حملات شرکت مایکروسافت : AD در حالت دفاعی

   
نام نویسنده:
|
دسته بندی:
|
حملات شرکت مایکروسافت : ADدر حالت دفاعی

 دقیقا یکی از بهترین سخنرانی هایی بود که خود من شنیده بودم . او در ابتدا نظر اجمالی به عملیات عادی Kerberos (Kerberos normal operation ) داشت و سپس ، کند و کاوی در مشکلات بالقوه پیرامون PowerShell داشت و اشاره کرد که مورد عمده اینها ابزاری  بومی می باشد که توسط هیچ AV یا ضد بدافزاری (anti –malware ) شناسایی نشده است و اغلب مدیران و مجریان کار ها توجهی به حملاتی که از جانبPowerShellنشئت می گیرد ندارند .
سوء استفاده از Microsoft Kerberos :
به دلیل پیکربندی بد و همچنین مدیریت حساب ضعیف و در پی آن امکان خروج اطلاعات از سیستم ، احتمال سرقت اطلاعات برای یک هکر بسیار راحت و سهل الوصول می  شود تا بدین وسیلهبتواند اطلاعات خاص را جمع آوری و برای بدست آوردن ادمین (admin  ) دامنه در AD مورد استفاده قرار بدهد .نرم افزاری همچون Kerberoast که یک قفل شکن آفلاینTicket Granting Service (TGS )می باشد ، سبب راحت تر شدن کسب امتیازات بهتر می شود . مخزن مدارک Group Policy Preferences ( GPP)، یک کلید عمومی خاصی دارد که بر روی MSDN در دسترس می باشد .

blue-team-response w 600
KB2962486 مشکل آسیب پذیری GPP را جبران می کند اما ، گذر واژه ها را از SYSVOL حذف نمی کند .به هنگامی که کاربران موفق شوند به سیستم دسترسی پیدا کنند، Mimikatz به آنها این اجازه را می دهد که تمامی قاعده و قانون ها را کنار بریزند ،مجوز های Kerberos را از سر راه بردارند ، در مجوز ها و قوانین نفوذ نمایند و مجوز های نقره ای ( مجوز های جعلی TGSکه برای مواقعی که خدمات مورد نظر بر روی یک سرور تنظیم شده باشد ،محدود شده اند ) و یا مجوز های طلایی ( مجوز های Kerberos جعلی که از طرف تمامی DC های موجود در دامنه مورد پذیرش قرار گرفته اند : یک TGT معتبر (TGT[Ticket Granting Ticket] ) ایجاد نمایند .
نقره ای و طلایی : مجوز شما از چه نوع است ؟!
مجوز های نقره ای احتمالا بیش از مجوز های طلایی خطرناک باشند زیرا انجام عملیات تخریب مورد نیاز برای آنها -- قوانین اشتراک کامپیوتری پایگاه داده ای SAM– از آنچه که به عنوان اشتراک دامنه Kerberos برای مجوز طلایی(KRBTGT) مورد نیاز است ، راحت تر می باشد و دلیل دیگر آن هم این است که نسخه نقره ای هیچگاه توسط DC ها مورد بازرسی قرار نمی گیرد .


پیشنهاد مهم دیگری که توسط Sean عنوان شد این بود که Kerberos بایستی توسط یک نماینده قانونی متعهد و ملزم نصب بشود . انجام این امرمانع از اعتبار سنجی ( درخواست مجوز ارائه خدمات ) شدن کاربراز سوی سرور های پشتیبان مجاز توسط یک سرور نرم افزار نهانی می شود .همچنین لیستی از اسامی خدمات اصلی یا همان Service Principal Names (SPNs ) مجاز نیز باید به ابزار های کامپیوتر یا خود کاربر در AD اضافه بشود .
آسیب پذیری دیگری که توسط Metcalf مورد بحث قرار گرفت و اثبات شد نشان داد که چگونه می شود مجوز کاربر را در پنج دقیقه برای AD شدن آن از دوباره طراحی نمود .این آسیب پذیری استثمارKekeoنام دارد .
دفاع تیم آبی (Blue Team )
آنچه که در مورد صحبت های Seanشایان ذکر است این است که وی برای هر چه مستحکم تر کردن ADبه منظور جلوگیری کامل و یا محدود کردن حملاتی که خودشنام برد ، گام های مشخصی را لیست کرد و همچنین لیستی همبر اساس قدرت ریسک پذیری کار برای تثبیت آن ارائه نمود . برخی از این موارد شامل تکنیک هایی هستند که در مورد مستحکم تر کردن نحوه قرار گیری PowerShell (PS) می باشند . این موارد عبارت اند از : ذخیره سازی اطلاعات مربوط به تمامی فعالیت های PowerShell ، توجه ویژه به فعالیت PS معین ، محدود کردن کنترل از راه دور PS ، مسدود کردن به کارگیری و اجرای اسکریپت ها توسط AppLocker : و آرایش PS v5و اجرای نسخه های گسترده سیستم .
سایر اقداماتی که توسط Metcalf برای Blue Team برشمرده شد ، دارای گام هایی است که منجر به موارد زیر می شود :
•    به حداقل رساندن کاربران با استفاده از حقوق ادمین (admin ) DC .
•    حساب های کاربری و ادمین جداگانه .
•    حفاظت از سیاست های GPPبا استفاده از قرار دادن فایل xml در SYSVOL و تنظیم آن برای همه گان : انکار اجازه .
•    تصادفی کردن رمز های ادمین محلی کامپیوتر .
•    مستحکم تر کردن حساب های خدمات .
•    حذف Windows 2003 .
•    کارگاه های مجزای Admin برای Admin ها در مقابل کاربران و یا عملکرد های کاربران .
•    هم تراز کردن سه سطح شامل مستحکم تر کردن کامل دامنه های ادمین ها و جداسازی کاربران ادمین از دامنه ها .
یک حمله جدید SMB : قدمت یکسان ، پیشینه یکسان ، اما بسیارخطرناک تر
سخنرانی که توسط HormazdBillimoria و Jonathan Brossard انجام گرفت جزئیات یک حمله قدیمی بر علیه Windows Single Sign ON (SSO)را بیش از پیش آشکار کرد ، این حمله پروتکلMS Server Message Block (SMB)را وسیله نفوذ در سیستم قرار می دهد و این امر نیز به نوبه خود سبب احتمالات بالایی کشف رمز کاربری از طریق اینترنت می شود . ویندوز پیام مجوز های ورود به حساب کاربری را برای اشتراک کنترل از راه دور اینترنت ارسال می نماید . نام کاربری در قالب یک متن و به طور کاملا واضح ارسال می شود و همچنین کلمه عبور ویندوز نیز در فایلی با فرمت NTLMv2که مقداری به هم ریخته است برای کاربران فرستاده می شود .
همانطور که در گفته های نویسندگان نیز آمده است ، این حمله واقعا یک حمله تاریخی و منحصر به فرد است که حتی قادر است بر روی ویندوز 10 و بروزر Edge آن نیز کار بکند . مجوز های AD در شرایطی ارسال خواهند شد که کامپیوتر به دامنه متصل باشد . کاربران نام "French kiss "را بر این حمله گذاشته اند .
حمله واقعی بعدی از ارتباط میان سرور SMB کنترل کننده هکر و سیستم های قربانیان فراتر رفته و وارد دستگاه ردیف سوم شده است ، یعنی قسمتی از شبکه به اصطلاح قربانیان این حملات که اغلب تصدیق های NTLMv2 را دریافت می نماید . آنها این پدیده مهم را  "Menage á Trois" نام گذاری کرده اند و به این نام می خوانند . با وجود اینکه SMB در این امر خیلی هم مفید واقع نمی شود و کارایی آنچنانی ندارد ، نویسندگان صفحات سفید از یک حمله برای تقویت SMB در برابر HTTPS استفاده کرده اند ، مانند موردی که در آن یک سرور Exchangeاز طریق HTTPS تصدیق مربوط به NTLM را دریافت می نماید . بسیاری از این گونه سرور ها برای همگان در دسترس می باشند .
مسدود کردن بسته های SMBپیرامون پورت های 137/18/139/445، دیگر جوابگو نیست و کافی نمی باشد زیرا لپ تاپ های شرکتی ( گروهی و عمومی ) که خارج از شبکه مورد استفاده قرار می گیرند در برابر این دو حمله خطرناک آسیب پذیر خواهند بود . به علاوه اینکه نویسندگان برای اعلام موافقت با فیلترینگ پورت هایی که در بالا اشاره شد ، پیشنهاد می کنند که هیچ بسته خروجی IP نباید با پورت های تطبیقی مقصد به IP عمومی و همگانی متصل بشود .
WMI ، به عنوان ابزاری برای حمله :
در قسمت دیگری از سخنرانی که به طور اختصاصی توسط Metcalf مورد تاکید قرار گرفت ، اشاره ای شد به حملات موسسات تجاری و بازرگانی و دست کاری هایی که طبق مشاهدات ، به طور مکرر در مورد مشتریان FireEyeصورت پذیرفته است . اولین سخنان Matt Graeber در Black Hat با عنوان" سوء استفاده از ابزار تنظیمات ویندوز به منظور ایجاد یک Backdoor پایا ، غیر همزمان و فاقد اطلاعات "(Abusing Windows Management Instrumentation to Build a Persistent, Asynchronous, and Fileless Backdoor)در خبر ها منتشر شد.
Matt  در این سخنان توضیح می دهد که چگونه هم Ghost و هم Stuxnet از WMI برای پنهان شدن و عدم رویت استفاده می نمایند . وی در این سخنرانی تشریح کرده است کهStuxnet با استفاده از تبدیل نوشتار یک فایل سیستمی به کد اجرایی سیستمی (exe ) ،Ghost با استفاده از اسناد وقایع برای فشرده کردن و آپلود اسناد جدید و فعال سازی کنترل برای یک ActiveX تازه که به عنوان یک کانال C2 از IE استفاده می نماید ، موجبات مخفی ماندن و عدم شناسایی خود را فراهم می نمایند . او همچنین در ادامه سخنان خودتوضیح داد که به هنگامی کهWMI استاندارد های CIM و WBEMرا برای جلوگیری از پیش نویس چیزی اجرا می نماید از چه نوع ساختار بنیادی پیروی می کند و در مورد موارد ثابت ذخیره شده و ساکن در هنگام انجام تنظیمات ،ابزار پرس و جو ، داده های مورد انتقال و اجرای کار ها بر روی اهداف نیز توضیحاتی داد .
کاربری WMI با فرمت wmic.exe طراحی شده است تا در این فرمت مورد استفاده قرار بگیرد : یک استفاده دیگر از این سیستم هم در کوکی های Sapien WMI Explorerمی باشد و کاربرد وسیع دیگری هم برای آنها وجود دارد که قبل ها هم مورد بررسی قرار گرفته است و آن wbemtest.exe می باشد . بر اساس بررسی هایی که انجام گرفته استWinrm.exeمی تواند با قابلیتی که برای اجرای WMI بر روی WinRM دارد ، جانشین PowerShell هم بشود .
همانند PowerShell ، WMI هم مزایای بسیاری دارد : البته برای هکر ها :
•    به صورت پیش فرض ، خدمات مربوط به آن فعال می باشند و به صورت جزئی بر روی همه انواع سیستم های ویندوز قابل دسترسی می باشند .
•    به عنوان سیستم فایل سیستمی اجرا می شوند .
•    هیچ چیزی به غیر از محل ذخیرهسازی داده ها به طور مستقیم با دیسک در تماس نمی باشد .
•    Blue Team ها از خطرناک بودن WMI مطلع نیستند و آن را به عنوان حمله تشخیص نمی دهند و WMI یک حامل ایمن و غیر مشکوک تلقی می شود .
•    تقریبا همه چیز در ویندوز قادر به راه اندازی یک فرآیند WMI می باشند .
WMI در زمینه شناسایی کارایی بسیار خوبی دارد و در حملات نشان داده شده توسط آقایMattبرای تشخیص وجود VM ها و Sandbox ها مفید واقع می شود .WMI همچنین در استقامت کارهای اجرایی نیز کارایی دارد مانند مواردی که Mattیک نمونه SEADADDY از Mandiantرا نشان داد .علاوه بر این WMI به عنوان یک کانال C2به منظور خارج کردن یک جریان نیز کاربرد دارد .


استحکام و دفاع WMI :
پس از توضیح و تشریح حملات پیشرفته دیگر که هم اکنون قابل مشاهده هستند ، آقایGraeber برخی اقدامات دفاعی را نیز توصیف کردند :
•    WMI احتمالا برای تشخیص WMI نیز به کار گرفته بشود .
•    SysinternalsAutorun  هااسکریپت های WMI را شناسایی و به موارد خود WMI متصل می نمایند .
•    Kansa یک فریم ورک است که بر پایه PS عمل می نماید ( همانگونه که Matt به آن اشاره کرد ) .
•    از قوانین فایروال پیروی کنید .
•    جایی که امکان آن فراهم بود خدمات WMI را متوقف نمایید .
•    به خوبی و با دقت عملیات اجرایی بر روی فعالیت های WMI را ارزیابی کنید .
مثال واقعی از حمله WMI :
انگیزه بررسی هایی که قصد اشاره به آنها را داریم به پرده برداری ازAPT 29 توسط Mandiant در سال 2015بر می گردد که در این کار WMI به مانند PowerShell به طور وسیعی به منظور مخفی ماندن و فرار از شناسایی به کار گرفته شد . این سخنان در ابتدا یک بخش معرفی داشت که در واقع ادامه سخنان پیشین Matt به حساب می رود . در خصوص تحقیقاتی که در مورد ویژگی های WMI انجام گرفته است ، آقای Matt از Microsoft's CIM Studio هم به عنوان نمونه ای از ابزار به کار گرفته شده نام برد . آنها تعداد زیادی از نمونه های WMI را که با استفاده از خصوصیاتی مانند مشخص کردن این مطلب که چه زمانی removable mediaدر آن قابل دسترس است یا اصلا این امکان در آن وجود دارد یا خیر و یا اینکه با دادن یک برنامه وسیع برای کنترل از راه دور روی WinRM یا PowerShell سیستم چگونه عمل می نماید .
گرابر در این خصوص گفته است : " هر امکاناتی که در آینده برای کاربران مفید باشد برای حمله کنندگان و هکر ها نیز مفید خواهد بود " . با اینکه محتویات متنوع تاکیدات متفاوتی داشتند اما قطعه پیش فرض کاملا جدید بود . این امر در جای خود سبب مشکلاتی می شد و دلیل آن هم این بود که CIM Repository غیرقانونی بود . با برگشت به رویداد APT 29 ، هکر ها وحمله کنندگان از وجود بررسی ها و جستجوها ی موجود به دنبال خود آگاه می شوند و از تکنیک anti-forensics استفاده می نمایند تا کماکان مبهم و ناشناخته باقی بمانند و مورد شناسایی واقع نشوند .Graeber همچنین گفته است : " هکر ها برخی اطلاعات غیر معمول و ناشناخته ای را در مورد WMI، وضعیت مقاومت آنها و ظرفیت ذخیره ای ، حرکات درونی آن به نمایش گذاشته اند .
مناظره WMI :
به منظور بررسی های جانبی و کمکی ، ویلی اسکریپتی بر روی python نوشته است که بر روی هر دو سیستم Linux و Windows قابلیت اجرا دارد و همینطور Claudiu نیز ابزاری برای C** نوشته است . اطلاعات بیشتر در پایین ارائه می گردد .
•    از WMI برای فهرست کردن فیلتر صفحات مشتریان استفاده نمایید .
•    برای اطلاع از وضعیت جریانات مشکوک می توانید از جست و جو توضیحات WMI کمک بگیرید .
•    منبع CIM را کپی نمایید و وارد یک سیستم دیگر نمایید و آن را تجزیه و تحلیل نمایید .
•    از یک روش بازیابی دستی WMI استفاده نمایید .

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید