Как стать автором
Обновить

Захватываем сеть через сервер централизованного управления и защищаемся от таких атак

Время на прочтение 6 мин
Количество просмотров 21K
Всего голосов 32: ↑31 и ↓1 +30
Комментарии 9

Комментарии 9

Можете подсказать какреализовать эту рекомендацию: "чтобы хост был недоступен для внешнего подключения по RDP и SMB, пока антивирус отключен". Интерисует именно контроль этой меры защиты в случае отключенного антивируса (естественно подразумевается, что пока антвирус работает, то ограничение на доступ по RDP/SMB портам включено и ограничивается средсвами сетевого модуля защщиты самого антивируса ).

Спасибо за статью!

Как вариант через PoSH скрипт, смотрящий в логи и делающий желаемое.

я тут поразмыслил, и мне более надежным видится путь того, что лучше сосредоточить усилия на мониториге того, что основное средство защиты на рабочей станции все же работает, не отклчено и имеет состояние healthy (и другие средства защиты тоже, если они обязательны: dlp-агент, доп.мониторинг, политики и пр). И если оно по каким-то причинам отключилось, то усилия приложить что бы побыстрее его привести в чувство и разобраться в причинах.

В первую очередь нужно посмотреть на три важных элемента защиты: LAPS, чтобы не было такого лёгкого lateral movement, credentials guard - который отправил мимикатц в прошлое и нормальный мониторинг с обязательным аудитом wfp, ну n tier архитектура с файерволллм на раб станции и сервера.

С посылом "Сервер управления защитой - тоже потенциальный инструмент для взлома защиты" - соглашусь. А вот выводы - спорные.

Первое, что стоит сделать, — переименовать хост. И пентестеры, и злоумышленники часто идентифицируют цели по названиям. Если хост обозначен, например, как kis.domain.local или ksc.domain.local, считайте, что на нем нарисована мишень.

лол) Первый же скомпрометированный комп с антивирусом расскажет, куда он коннектится. А будет то kis.domain.local или megatron.domain.local - фиолетово.

Среди хостов, доступных администратору, нашлась машина, защищенная антивирусом Касперского. В его настройках был указан IP-адрес сервера управления антивирусной защитой. даже и хостнейм был не нужен :)

>> чтобы хост был недоступен для внешнего подключения по RDP и SMB, пока антивирус отключен

Лучший способ выстрелить себе в ногу :) Особенно, если это часть чего-то критичного, и оно вдруг внезапно легло - а починить низзя.

Куда лучше ограничить доступ к таким вещам на уровне сети - например, только с компов админов. Конечно, их тоже можно поломать, но это явно сложнее, чем рандомную тачку.

Используя хеш, я получил сессию на сервере администрирования и создал вспомогательную локальную учетную запись pentest. Затем добавил pentest в локальную группу Administrators (чтобы получить право на подключение по протоколу RDP) и локальную группу KLAdmins, в которой находятся учетки администраторов антивирусной защиты.

и конечно же, появление новой учётки на сервере не стриггерило алерт нигде :)

Если на безопасность всем_пофиг, можно и более явно шатать, проблема уже не в антивирусе.

Куда лучше ограничить доступ к таким вещам на уровне сети - например, только с компов админов. Конечно, их тоже можно поломать, но это явно сложнее, чем рандомную тачку.

Как показывает опыт, далеко не всегда поломать машинку админа сильно тяжелее, "рандомную тачку". Сегодня среднестатистический админ - это непуганое нечто. Не часто встречаются люди, более-менее разбирающиеся в впоросах секурности.

Безусловно, переименование хостов не панацея, но это еще один барьер, возможность слегка замедлить действия злоумышленника. К слову, удаление инструментов диагностики антивирусного решения с клиентских машин - тоже эффективная дополнительная мера. Мы время от времени встречаемся с ней на практике.
Что касается контроля состава локальных групп - такое на практике ни разу не встречалось. Обычно мониторинг касается доменных групп.
Компрометация административной машины также не всегда является сложной задачей: некоторые админы не перезагружают хосты месяцами. В результате не устанавливаются критические обновления безопасности.

Не надо открывать rdp из пользовательского сегмента в серверный. Ставим мониторинг на добавление пользователей в доменные группы админов.

Здравствуйте,что посоветуете для начинающего пентестера

Зарегистрируйтесь на Хабре , чтобы оставить комментарий