Комментарии 9
Можете подсказать какреализовать эту рекомендацию: "чтобы хост был недоступен для внешнего подключения по RDP и SMB, пока антивирус отключен". Интерисует именно контроль этой меры защиты в случае отключенного антивируса (естественно подразумевается, что пока антвирус работает, то ограничение на доступ по RDP/SMB портам включено и ограничивается средсвами сетевого модуля защщиты самого антивируса ).
Спасибо за статью!
Как вариант через PoSH скрипт, смотрящий в логи и делающий желаемое.
я тут поразмыслил, и мне более надежным видится путь того, что лучше сосредоточить усилия на мониториге того, что основное средство защиты на рабочей станции все же работает, не отклчено и имеет состояние healthy (и другие средства защиты тоже, если они обязательны: dlp-агент, доп.мониторинг, политики и пр). И если оно по каким-то причинам отключилось, то усилия приложить что бы побыстрее его привести в чувство и разобраться в причинах.
В первую очередь нужно посмотреть на три важных элемента защиты: LAPS, чтобы не было такого лёгкого lateral movement, credentials guard - который отправил мимикатц в прошлое и нормальный мониторинг с обязательным аудитом wfp, ну n tier архитектура с файерволллм на раб станции и сервера.
С посылом "Сервер управления защитой - тоже потенциальный инструмент для взлома защиты" - соглашусь. А вот выводы - спорные.
Первое, что стоит сделать, — переименовать хост. И пентестеры, и злоумышленники часто идентифицируют цели по названиям. Если хост обозначен, например, как kis.domain.local или ksc.domain.local, считайте, что на нем нарисована мишень.
лол) Первый же скомпрометированный комп с антивирусом расскажет, куда он коннектится. А будет то kis.domain.local или megatron.domain.local - фиолетово.
Среди хостов, доступных администратору, нашлась машина, защищенная антивирусом Касперского. В его настройках был указан IP-адрес сервера управления антивирусной защитой.
даже и хостнейм был не нужен :)
>> чтобы хост был недоступен для внешнего подключения по RDP и SMB, пока антивирус отключен
Лучший способ выстрелить себе в ногу :) Особенно, если это часть чего-то критичного, и оно вдруг внезапно легло - а починить низзя.
Куда лучше ограничить доступ к таким вещам на уровне сети - например, только с компов админов. Конечно, их тоже можно поломать, но это явно сложнее, чем рандомную тачку.
Используя хеш, я получил сессию на сервере администрирования и создал вспомогательную локальную учетную запись pentest. Затем добавил pentest в локальную группу Administrators (чтобы получить право на подключение по протоколу RDP) и локальную группу KLAdmins, в которой находятся учетки администраторов антивирусной защиты.
и конечно же, появление новой учётки на сервере не стриггерило алерт нигде :)
Если на безопасность всем_пофиг, можно и более явно шатать, проблема уже не в антивирусе.
Куда лучше ограничить доступ к таким вещам на уровне сети - например, только с компов админов. Конечно, их тоже можно поломать, но это явно сложнее, чем рандомную тачку.
Как показывает опыт, далеко не всегда поломать машинку админа сильно тяжелее, "рандомную тачку". Сегодня среднестатистический админ - это непуганое нечто. Не часто встречаются люди, более-менее разбирающиеся в впоросах секурности.
Безусловно, переименование хостов не панацея, но это еще один барьер, возможность слегка замедлить действия злоумышленника. К слову, удаление инструментов диагностики антивирусного решения с клиентских машин - тоже эффективная дополнительная мера. Мы время от времени встречаемся с ней на практике.
Что касается контроля состава локальных групп - такое на практике ни разу не встречалось. Обычно мониторинг касается доменных групп.
Компрометация административной машины также не всегда является сложной задачей: некоторые админы не перезагружают хосты месяцами. В результате не устанавливаются критические обновления безопасности.
Не надо открывать rdp из пользовательского сегмента в серверный. Ставим мониторинг на добавление пользователей в доменные группы админов.
Здравствуйте,что посоветуете для начинающего пентестера
Захватываем сеть через сервер централизованного управления и защищаемся от таких атак