Azure AD и Active Directory

На прошлой неделе в Германии проходила конференция Troopers.

Делимся с вами презентацией с выступления Dirk-jan (того самого, который опубликовал ресеч про PrivExchange).

https://github.com/mis-team/interesting/blob/master/inyourcloud_TR19.pdf

Инструментарий и видео будут опубликованы позже. Но и из презентации можно почерпнуть много полезных вещей:

1) о взаимодействии AD и Azure AD
2) о том, что такое AD Sync и как эта база формируется
3) о том как может помочь/навередить SSO (это с какой стороны посмотреть)

А самое главное - компрометация аккаунта в AzureAD (который отвечает за синхронизацию хешей пользователей между AD и Azure) означает автоматическую компрометацию домена компании.

В общем рекомендуем почитать, а потом ещё и послушать, а может быть и поюзать...

#redteam

Заметки на полях: инфраструктура для работы

Все знают, что основная платформа для проведения работ в сфере тестирования на проникновение - kali linux.

Однако она не всегда удобна, да и, на самом деле, совсем не удобна, для проведения RedTeam кампаний на этапе работы уже внутри сети.

Гораздо удобнее имитировать действия обычного пользователя с Windows машины. Но инструменты то нужны специфические. И тут начинается - не всегда все нормально устанавливается, тратится много времени и в общем-то совершенно не удобно.

Опытные команды используют docker-контейнеры или самописные скрипты для разворачивания новой машины со всеми плюшками в один клик.

Однако не все готовы к такому. И тут совершенно недавно компания Fireeye выпустила совершенно крутую штуку (так по крайней мере кажется на первый взгляд, мы сами ещё не тестировали) - CommandoVM - Windows машина со всеми необходимыми инструментами для проведения пентеста или RedTeam.

Делимся с вами ссылками на пост от Fireeye с примерами

https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html

И гитхаб, откуда можно все скачать

https://github.com/fireeye/commando-vm

#redteam

Рейтинг упоминания киберпреступных группировок в медиапространстве в 1 квартале 2019 года

Киберпреступные группировки постоянно упоминаются в различных источниках медиапространства. Сегодня мы публикуем небольшой рейтинг по упоминаниям в 1 квартале 2019 года.

На самом деле интересно - в атаках активно используются свежие уязвимости, начинают проявлять себя новые преступные группировки


https://medium.com/@karelova.ov/рейтинг-упоминания-киберпреступных-группировок-в-медиапространстве-в-1-квартале-2019-года-301dac270977

А тем временем опубликовали тулзу, которая помогает извлечь и расшифровать сохраненные учётные данные с сервера AzureAD Connect. Поскольку такие аккаунты обладают привилегиями - получаем доступ и в саму Active Directory и в Azure AD.

Ссылка: https://github.com/fox-it/adconnectdump

Atomic Red Team

В конце апреля Mitre ATT&CK обновили немного свой проект Atomic Red Team, добавив новые методы, техники и программное обеспечение.

Atomic Red Team - специальный проект, который помогает при проведении RedTeam кампаний. Основная его идея - создать независимые друг от друга небольшие тесты, которые помогут проверить информационную систему на наличие реакции на действия злоумышленников. Основная фишка - все тесты составлены на основе техник и методов, которые используют реальные киберпреступные группировки.

Алгоритм работы с тестами совершенно простой:

1.Выбирается тест (не всегда нужно проводить все тесты). Тесты составлены для различных платформ (linux, macos, windows).

2. Тест выполняется (в тестах максимально понятно описано, что должно детектироваться, какие группировки используют, что нужно запустить)

3. Смотрим реагирует ли система защиты на инцидент, логируются ли действия

4. При необходимости меняются настройки информационной системы для обнаружения инцидента и проверка проводится заново.

Подробная информация по Atomic Red Team представлена на https://attack.mitre.org/ и
https://atomicredteam.io

Тесты можно найти на GitHub:
https://github.com/redcanaryco/atomic-red-team

#redteam

Заметки на полях: немного больше, чем сервисные учётные записи

Проводя исследование информационной системы Заказчика, первое, на что обращаешь внимание - доменные администраторы или учётные записи, которые имеют более высокие привилегии.

Очень часто системные администраторы не думают о последствиях, когда добавляют служебную учётную запись в группу администраторов домена. Причем некоторым служебным учётным записям права доменного администратора и не требуются. Но проще добавить, чем разбираться.

Делимся с вами небольшим списком таких служебных учётных записей, которые оооочень часто являются администраторами домена. Отметим сразу - для них такие большие права не требуются.

- Backup, NetBackup, CommVault, Altiris - учётные записи для резервного копирования

- Microsoft AGPM - учётная запись для управления объектами группой политики

- Archive - учётная запись для архивирования Exchange

- антивирусы (McAfee, Trend Micro)

- Azure - используется для AzureAD Connect

- Exchange, Mail, ExAdmin - учётные записи для почтовых серверов

- VMware - сервисные учётные записи для виртуальной среды

- VPN - учётная запись, чтобы была возможность сбросить забытый или истекший пароль пользователя

- ITSM решения (например, service now) - учётные записи для оказания технической поддержки пользователям

- Microsoft System Center Management - учётная запись для деплоя различных приложений, патчей, обновлений настроек

Ещё раз обращаем ваше внимание, что настроить корректную работу данных учётных записей можно без наделения их правами доменного администратора.

Ну и если вы встретили данные учётки в домене при проведении пентеста - высока вероятность, что они будут обладать немного бОльшими привилегиями, чем это необходимо. И вы этим можете попробовать воспользоваться.

#redteam

Рубрика "фишечки" от Microsoft: Office 365

Компания TrustedSec, также как и мы, фанатеют по исследованию того, какие возможности предоставляют облачные приложения от Microsoft. Недавно они опубликовали супер интересный пост про Office365.

Как мы уже говорили - многие компании переносят свои почтовые сервера в облако. Это удобно и своеобразное перекладывание ответственности за безопасность на дяденек из Microsoft.

Однако не все компании используют второй фактор для доступа к Microsoft Online Services (таким как почта, OneDrive, SharePoint и т.д.). Мы очень любим такие ситуации - это позволяет с минимальными усилиями получить большое количество информации.

Итак, основная проблема состоит в следующем:

- отсутствие второго фактора при аутентификации
- слабые пароли пользователей
- "фишечка" от Microsoft - возможность энумерейтить логины пользователей

Как с этим работать:

1. Ищем как формируются почты пользователей компании из открытых источников

2. Составляем словари или берём готовые и запускаем тулзу office365userenum

3. Полученный список валидных логинов запускаем на брут по словарю со слабыми паролями

4. Находим одну учётную запись, используя ее запускаем PowerShell скрипт o365recon для автоматического сбора информации. Мы рекомендуем собирать информацию не только с помощью скриптов, но и вручную. При проведении RedTeam ничто не заменит взгляда человека.

5. Полученный с предыдущего этапа список реальных почтовых адресов также запускаем на брут по словарю

6. Используем полученные данные для других сервисов или получения другой информации


Более подробно написано в статье. Очень рекомендуем ее почитать

https://www.trustedsec.com/2019/05/owning-o365-through-better-brute-forcing/

#redteam

Заметки на полях: угоняем ажурный поддомен

Платформа Azure очень удобная - на ней легко можно развернуть нужное приложение или сервер, оперативно удалить не нужное приложение и сервер. Удобно, быстро, практично.

За исключением одного. Многие администраторы при удалении приложения не думают (или не знают) о том, что есть ещё DNS, запись которого никуда не пропадет (по всей видимости в Azure записи автоматически создаются, но не удаляются автоматически). Пропадает только конечный IP-адрес, который ссылался на старое приложение.

Как выяснилось такие доменные имена можно привязать к чужому Azure и спокойно использовать для различных махинаций.

Vincent Yiu в своей статье описал, что использовать данный недостаток можно для разворачивания С&C сервера.

Действительно круто, когда все агенты идут на поддомен компании. Никаких подозрений!

https://vincentyiu.co.uk/red-team/attack-infrastructure/azure-apps-for-command-and-control

#redteam

Прячемся для закрепления в Windows

Делимся с вами статьями от Dominic Chell о персистенсе.
Автор рассказывает о том, какие техники он использует, чтобы сохраниться в системе.

Большой плюс таких техник - не требуют высоких привилегий пользователя.

1. Техника использования настроек и шаблонов Microsoft Office.

Работает, потому что есть доверенные директории, из которых документы запускаются без блокировок макросов и настроек

https://www.mdsec.co.uk/2019/05/persistence-the-continued-or-prolonged-existence-of-something-part-1-microsoft-office/

2. Перехват СОМ (Component Object Model)
В данной технике описывается метод угона HKCU

https://www.mdsec.co.uk/2019/05/persistence-the-continued-or-prolonged-existence-of-something-part-2-com-hijacking/

#redteam

Habr Time

Наконец-то дошли руки поделиться с вами нашим исследованием-разработкой обратного туннеля.

Опубликовали первую часть исследования. Всего будет 3.
Не пропустите)

С предложениями по улучшению пишите в комментариях, присоединяйтесь к разработке - будем всегда рады

https://habr.com/ru/post/453870/

Habr Time

А тем временем мы опубликовали вторую часть масштабного исследования по разработке обратного туннеля.

Если у вас есть мысли по улучшению кода, добавлению функционала, готовность присоединиться к разработке - мы всегда за!

https://habr.com/ru/post/453970/

Habr Time

Мы опубликовали 3-ю и заключильную часть нашего исследования по разработке обратного туннеля.

Будем рады вашим комментариям!

https://habr.com/ru/post/454254/

И снова Azure AD Connect

Вчера Fox-IT опубликовали очередную статью про то, какая интересная вещь Azure AD Connect.

Уязвимость уже закрыта и такой трюк не провернуть. Но это очень просто и очень красиво.

Кратко опишем проблему.

Компания использует Azure AD. Удобно, хорошо, так делают многие. Для того, чтобы синхронизировать между собой Azure AD и локальный AD - существует Azure AD Connect. Это логично. Если у пользователя локально изменился пароль, то Azure AD тоже об этом должен узнать.

Собственно косяк был в том, что при создании копии уже существующей учётной записи в локальном каталоге AD - Azure AD Connect не создавал новую, а перезаписывал старую учётную запись. Таким образом злоумышленники могли менять пароли, используя только права на создание учётной записи (без прав на смену паролей).

Правда работало это все только там, где не было второго фактора. Но даже сейчас не все компании 2 фактор используют.

В общем основной вывод, который можно вынести из статьи - иногда учётная запись сотрудника тех поддержки может дать гораздо больше возможностей, чем поиски учётки доменного администратора.

Расставляйте приоритеты при проведении RedTeam.

А более подробное описание по ссылке:

https://blog.fox-it.com/2019/06/06/syncing-yourself-to-global-administrator-in-azure-active-directory/

#redteam

CVE-2019-1040

Последние несколько дней все обсуждают уязвимость CVE-2019-1040 и патч от Майкрософта.

Если вы ещё ничего не знаете - рассказываем.
Фишка в ntlm. Оказывается из-за того, что при использовании ntlm можно обходить проверку подлинности - есть возможность передать SMB аутентификацию на LDAP. В итоге RCE под системой на машине.

Как эксплуатировать: в ntlmrelayx добавили функционал, позволяющий эксплуатировать уязвимость, если она не закрыта.

Для защитников: патч есть и его нужно ставить как можно быстрее.

Для пентеста и редтима: проверяйте в первую очередь наличие обновлений. Если обновление не стоит - вы нашли лёгкий способ завладеть компанией.

https://dirkjanm.io/exploiting-CVE-2019-1040-relay-vulnerabilities-for-rce-and-domain-admin/

​​Прямо сейчас мы на конференции Offzone 2019 находимся на втором треке с темой «Дела ажурные: как Microsoft Azure помогает в проведении фишинговой атаки»

Дааа.. мы «любим» Microsoft.. 😏

​​А в 16.00 на 2 треке на Offzone мы представим доклад на тему "Используем «фишечки» Microsoft Advanced Threat Analytics при проведении RedTeam"

Присоединяйтесь😉

Немного про AMSI

AMSI (Antimalware Scan Interface) - интерфейс сканирования на наличие вредоносных программ - встроенный в Windows интерфейс, позволяющий проверять программы и процессы на предмет наличия угроз. Интегрируется с антивирусом и действительно доставляет много проблем при запуске, например, PowerShell скриптов.

Часто успех RedTeam кампаний зависит от того есть ли возможность обойти AMSI.

Делимся с вами некоторыми ссылками, в которых описаны способы обхода, но предупреждаем, что все актуально только в моменты публикации данных статей - такие вещи стараются быстро закрывать.

https://www.contextis.com/en/blog/amsi-bypass - подробно и хорошо описано, что вообще такое AMSI и как работает. Есть ссылка на разработанный скрипт, который помогает обходить AMSI

https://movaxbx.ru/2019/06/04/how-red-teams-bypass-amsi-and-wldp-for-net-dynamic-code/ - описаны универсальные способы обхода, не требующие каких-то глубоких знаний о работе AMSI

#redteam

Дела ажурные - как Microsoft Azure помогает при проведении фишинговой атаки

Для тех, кто не был на Offzone или не слышал наше выступление - опубликовали статью на Хабре!

https://habr.com/ru/post/458364/

Вот это точно TEAMwork

А вы слышали про MS Teams?
Это новое (ну относительно новое) приложение от Microsoft, по заложенному функционалу - аналог Slack. Так сказать Slack глазами Microsoft. Приложение входит в пакет офис и активно, ну очень активно пиарится. Собственно, если вы устанавливаете пакет Office 365 - Teams там будет.

Буквально на прошлой неделе исследователи опубликовали крутую вещь, связанную с Teams.

1.кладём нужный нам пейлоад (payload.exe) в папку
%userprofile%\AppData\Local\Microsoft\Teams\current\

2. запускаем update.exe

%userprofile%\AppData\Local\Microsoft\Teams\Update.exe --processStart payload.exe --process-start-args "whatever args"

3. Видим, что наш пейлоад запущен без проблем и все работает отлично.

Разберёмся. Мы не всегда можем запустить какие-то полезные нагрузки на компьютере заказчика из-за того, что наш пейлоад является каким-то левым исполняемым файлом. Мы говорим не про ограничения доступа и права пользователя, а про органичения, что приложение может запускаться только, если оно подписано доверенным издателем.

И в данном случае происходит следующее - наш пейлоад запускается с помощью update.exe, процесса, который является доверенным. А то, что запущено и подписано доверенным издателем - запускается и не блокируется.

Microsoft вроде как обещает устранить это в своих следующих обновлениях. А пока это работает.

Как пример приводим видео, где товарищ таким образом запускает пейлоад метасплойта на windows 10

https://youtu.be/zYPMk4vXigo

#redteam

Кинопятница

Если вам надоели сериалы, триллеры, фильмы ужасов и вы ломаете голову, что интересного и полезного можно посмотреть в выходные — представляем вам новую рубрику «Кинопятница».

Сегодняшняя рекомендация — записи докладов с TROOPERS19, а именно трека AD Security.

Про TROOPERS мы вам уже рассказывали — это конференция по ИБ (кто бы мог подумать), которая проходила в марте в Германии. Нас она заинтересовала тем, что там есть отдельная сессия про AD. И люди, которые выступают — первоклассные специалисты, которых мы очень уважаем.

Представляем вам небольшой обзор 13 докладов, которые были в сессии про AD.

https://medium.com/@karelova.ov/%D0%BA%D0%B8%D0%BD%D0%BE%D0%BF%D1%8F%D1%82%D0%BD%D0%B8%D1%86%D0%B0-troopers19-570602ef7e71
 
Ссылка на "фильмы" - https://www.youtube.com/playlist?list=PL1eoQr97VfJnvOWo_Jxk2qUrFyB-BJh4Y

KeePass как помощник для закрепления в системе

Если вам необходимо закрепиться на машине, где есть KeePass, то этот пост для вас!

Делимся ссылками на крутые исследования:

1. Часть 1. https://medium.com/@two06/persistence-with-keepass-part-1-d2e705326aa6 - закрепление через плагины KeePass. Метод требует прав локального администратора.

2. Часть 2. https://medium.com/@two06/persistence-with-keepass-part-2-3e328b24e117 - закрепление через триггеры KeePass. Пользователь не должен быть привилегированным.

Описанные методы - не уязвимости KeePass. Это использование существующего функционала. На наш взгляд это ещё круче.

#redteam