Microsoft Active Directory'deki En Aktif Saldirilar

Active Directory’deki En Aktif Saldırılar

Anıl MamakADEO Security

Anıl Mamak

§Bilgisayar Mühendisi

§Pentester

§Cyber Security Researcher

Ajanda

Neden?

Nasıl?

Neler yapılabilir?

Neden?

Data

Erişim

Şan, Şöhret

Zarar Verme

Nasıl?

Hedef Belirleme

Bilgi Toplama

Analiz

Saldırı

Motivasyon

Bilgi Toplama - Shodan

Bilgi Toplama - Shodan

Bilgi Toplama - Nmap

Bilgi Toplama - Nmap

Analiz

Servisler

Varsayılan Kullanıcılar

Zayıf Parola

Servisler

Remote Desktop Protocol

Server Message Block(SMB)

MSSQL

Apache Tomcat

Kerberos

Varsayılan Kullanıcılar – Zayıf Parolalar

Apache Tomcat

• admin:admin, tomcat:tomcat

Zayıf Parola

• admin:123456

• Administrator:Password1

• sa:1234

Saldırı - Apache Tomcat

Saldırı - Apache Tomcat

Saldırı - Apache Tomcat

Saldırı - Apache Tomcat

Saldırı - Apache Tomcat

Saldırı - MSSQL

Saldırı - MSSQL

Saldırı - MSSQL

Engelleme - MSSQL

Tahmin edilmesi zor parolalar kullanılmalı

MSSQL sunucusuna erişim yetkileri kısıtlanmalı

Saldırı - RDP/SMB

Saldırı - RDP/SMB

Saldırı - RDP/SMB

Engelleme - RDP/SMB

Administrator için tahmin edilmesi zor parolalar kullanılmalı

RDP – SMB erişimleri kısıtlanmalı

Her makineye KB2871997 patch’i kurulmalı

Mimikatz

Dump credentials

• Lsass

Dump Kerberos Tickets

Credential Injection

• Pass the Hash, Over- Pass The Hash

Teşekkürler Benjamin Delpy !

Dump Credential - Mimikatz

Dump Credential - Mimikatz

Dump LSASS - Mimikatz

Wdigest

Basic Authentication

• Username + Password

Digest Access Authentication

• (username, generate_md5_key(username, URI, password))

Wdigest

• Digest Access Authentication’da kullanılmak üzere tasarlanmış sistem kütüphanesidir.

Kerberos

Windows 2000 server ve sonrası için default kimlik doğrulama yöntemidir.

1. Client

2. Server

3. Key-Distribution-Center/KDC

Pass the Hash

Pass the Hash - Kerberos

Over Pass the Hash

Over Pass the Hash

Over Pass the Hash

Over Pass the Hash

Over Pass the Hash

Windows 8.1, 2012-R2 LSA Protection Bypass

• Microsoft Windows 8.1’i yayınladığında bazı güvenlik değişiklikleri ekledi.

• Mimikatz ve WCE gibi araçlar artık LSA belleğinden kimlik bilgilerini clear text

olarak alamıyor.

• Wdigest hala kullanıldığı için yapı değişikliği yapılamadı.

• Varsayılan olarak Wdigest sağlayıcısı registryden kaldırıldı.

Windows 8.1, 2012-R2 LSA Protection BypassHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest

Windows 8.1, 2012-R2 LSA Protection Bypass

Windows 8.1, 2012-R2 LSA Protection Bypass

Windows 8.1, 2012-R2 LSA Protection Bypass

Windows 8.1, 2012-R2 LSA Protection Bypass

Windows 8.1, 2012-R2 LSA Protection Bypass

Windows 8.1, 2012-R2 LSA Protection Bypass

Teşekkürler

Twitter : @anlmmkMail : anilmamak@gmail.com

References

Skip Duckwall & Benjamin Delpy’s Blackhat USA 2014 presentation “Abusing Microsoft Kerberos – Sorry Guys You Still

Don’t Get It” http://www.slideshare.net/gentilkiwi/abusing-microsoft-kerberos-sorry-you-guys-dont-get-it

Mimikatz and Active Directory Kerberos Attacks http://adsecurity.org/?p=556

Microsoft Enhanced security patch KB2871997 http://adsecurity.org/?p=559

Dumping WDigest Creds with Meterpreter Mimikatz/Kiwi in Windows 8.1 https://www.trustedsec.com/april-

2015/dumping-wdigest-creds-with-meterpreter-mimikatzkiwi-in-windows-8-1

Sean Metcalf Blackhat USA 2015 presentation “Red vs Blue: Modern Active Directory Attacks, Detection, & Protection”

http://www.slideshare.net/Shakacon/red-vs-blue-modern-atice-directory-attacks-detection-protection-by-sean-metcalf

Digest Access Authentication https://en.wikipedia.org/wiki/Digest_access_authentication

Kerberos https://en.wikipedia.org/wiki/Kerberos_(protocol)