Комментарии 15
И локальный администратор ca02.domain.local - то же самое, что и администратор домена?
Грустим о KES на сервере (наше неприятное будущее), но у KSWS самозащита по умолчанию отключена, и включать ее желания нет.
Нет, локальный администратор ca02.domain.local - это не администратор домена.
Это понятно, просто видимо опубликовали до того, как написали вторую часть.
Что бы делали без unconstrained delegation, что всё же редкость?
Можно было бы попробовать проэксплуатировать уязвимость PrintNigthMare на других хостах. Возможно, удалось бы найти учетные данные или kerberos-билеты админов. Или были бы запущены процессы от администратора домена и можно было бы использовать token impersonation. Или посмотреть что есть в LSA: несколько раз встречала, что сервисы запускаются от имени УЗ, которая является администратором домена, тогда ее пароль можно получить из LSA.
Отследить BloodHound (если уж есть SIEM) можно по количеству обращений от одного хоста к большому количеству других. Будет авторизация в каждом, чтобы собрать сессии и подобное. А обычные LDAP запросы делают большое количество систем и я всплеска при запуске коллектора не видел. Хотя, зависит от режима запуска, наверное...
К тому же, скорее всего, будет инцидент, как необычное поведение пользователя, если своё правило именно под BH не писали.
Если у нас задача не словить инцидент и не обнаружить себя в сети, то надо бы выполнять сбор информации по AD через BoF и большими слипами. Все это даст отличную скрытность от АВПО и мониторинга.
Как я понял, в посте описан шумный пентест, никто не парился над скрытностью.
Да, вы правы. Это был обычный пентест, скрытность не была нужна.
Так-то да, но злоумышленник, попадая в сеть, не знает точные настройки систем мониторинга. Может там статистика за сутки подводится, а может за 15 минут. Так то понятно, что никто сразу не будет запускать никакие активные сканеры и коллекторы, если надо оставаться незамеченным. Сначала трафик посмотреть. Конечные точки оттуда можно взять.
У коллектора Bloodhound есть опция --collectionmethod, которая позволяет выбрать, что собирать. Если указать DCOnly, то будут обращения только к контроллеру домена. Это более "тихий" вариант.
Добрый день, а подскажите пожалуйста.
Проверил, что неограниченное делегирование у меня включено только на 2х контроллерах домена в сети. Но никак не могу найти подводные камни того, что будет если я выключу это делегирование. Уровень леса - 2012R2. Что может пойти не так после выключения?
Неограниченное делегирование на контроллерах домена включено по умолчанию. Я не встречала такого, чтобы на контроллерах домена его не было. Честно говоря, не знаю к чему может привести его выключение (если это вообще возможно).
Для эксплуатации неограниченного делегирования на контроллере домена необходимо уже быть администратором домена.
С какой вероятностью учетная запись принтера, которая могла обращаться по LDAP в сети и с которой были получены креды в открытом виде(responder), будет присутствовать в других панелях управления принтерами? От других фирм производителей. То есть , это свойство панелей управления принтеров Kyocera или встречается и у других производителей?
я просто остановила службы, потому что самозащита не была включена (ИБ-шник, который сидел рядом, очень удивился)
В мануале к KES написано, что защита от остановки службы не работает в 64-х битной системе.
В начале был принтер. Как получить привилегии администратора домена, начав с принтера