Clever Geek Handbook

Cómo detectar el movimiento de atacantes por la red

En proyectos para analizar la seguridad de los sistemas de información corporativos en 2019, nuestros pentesters lograron superar el perímetro de red del 93% de las empresas . Al mismo tiempo, la red del 50% de las empresas podría penetrar en un solo paso. Para evitar que los atacantes reales alcancen su objetivo, es importante identificar su actividad a tiempo. Una de las etapas críticas de un ataque es el movimiento lateral, cuando los atacantes expanden su presencia en la red.

En este artículo, le mostraré qué actividad está relacionada con el movimiento dentro del perímetro y cómo, utilizando el análisis de red, identificar el uso de tales tácticas.

Qué se refiere a moverse dentro del perímetro

Primero, veamos varios esquemas que lo ayudarán a comprender en qué etapas se divide el ataque.

https://github.com/infosecn1nja/Red-Teaming-Toolkit
https://github.com/infosecn1nja/Red-Teaming-Toolkit

red team :

  1. (Recon)

  2. (Initial Compromise)

  3. (Establish Persistence)

  4. (Escalate Privileges)

  5. (Internal Recon)

  6. (Lateral Movement)

  7. (Data Analysis)

  8. 4―7 ( )

  9. (Exfiltration and Complete Mission)

Active Directory Kill Chain, , .

 https://github.com/infosecn1nja/AD-Attack-Defense
 https://github.com/infosecn1nja/AD-Attack-Defense

  3.  

  6. 2—5

  8. ,

, .

Matriz ATT & CK para empresas
ATT&CK Matrix for Enterprise

ATT&CK, . MITRE. . , – . . , .

Lateral movement ( ) , , , . DCOM, , . .

. , .

, :

  • ASP .NET, DMZ;

  • devops- agusev, ;

  • gpavlov ;

  • DC Administrator.

agusev gpavlov .

1.

, . devops- agusev, . , .

2. BloodHound DCOM (T1021.003)

BloodHound. , agusev Distributed Component Object Model (DCOM). SharpHound ( BloodHound) AGUSEV. Microsoft Management Console (MMC) 2.0.

DCOM    , . , DCOM. , ( MMC 2.0). .

, , , .

AD BloodHound

BloodHound gpavlovAdm, .

3. RDP- (T1021.001 T1570)

RDP- AGUSEV. RDP- kerbrute (https://github.com/ropnop/kerbrute), gpavlovAdm.

Kerbrute . , . BloodHound, gpavlov. , GPAVLOV gpavlov, gpavlovAdm.

BloodHound

kerbrute. 

4. c smbexec (T1021.002)

, gpavlov ( , ). smbexec Impacket. , , — gpavlovAdm. mimikatz SharpSploit (Github).

SharpSploit PowerSploit. PowerShell, SparpSploit — DLL C# .NET . , .

5.

mimikatz SharpSploit . , ntds.dit. secretsdump Impacket (Github).

. ATT&CK.

Lista de técnicas de ataque

NTA- PT Network Attack Discovery. PT NAD L2—L7, , .

?

, , . , RDP — , , . , DMZ, RDP- . , devops- , .

Dashboards PT Network Attack Discovery
PT Network Attack Discovery

, RDP-?

SMB- DCERPC. RPC DCOM- Impacket. lateral movement .

Alerta encontrada ataque usando DCOMExec de Impacket 
DCOMExec Impacket 

— , Impacket. cmd.exe system32 . HTTP-.

- ?

, ; , . «» , — , SPN- Active Directory. , .

Notificación de un ataque LDAP detectado
LDAP

LDAP. , . , , , , , BloodHound. , , Kerberos. 8380 : . PT NAD Kerberos.

Sesiones de Kerberos
Kerberos

? ?

, gpavlovAdm gpavlov. Kerberos- (KDC) . PT NAD . gpavlovAdm , — . gpavlov , , .

Uso de la cuenta gpavlov para descargar SharpSploit
gpavlov SharpSploit

? , ?

, . Service Control Manager Impacket, sharpsloit.dll.

Confirmación de descarga de SharpSploit
SharpSploit

, gpavlovAdm. , — gpavlovAdm. . PT NAD , SCM, , SAM, LSA, SECURITY NTDS. , .

Alertas de volcado del registro del controlador de dominio

lateral movement

, , . :

  • COM-, (, MMC 2.0);

  • ;

  • helpdesk Just Enough Administration;

  • ;

  • System.Management.Automation.dll.

: , PT Expert Security Center (PT ESC)



More articles:


All Articles