Embed Size (px)
Citation preview
Active Directory’deki En Aktif Saldırılar
Anıl MamakADEO Security
Anıl Mamak
§Bilgisayar Mühendisi
§Pentester
§Cyber Security Researcher
Ajanda
Neden?
Nasıl?
Neler yapılabilir?
Neden?
Data
Erişim
Şan, Şöhret
Zarar Verme
Nasıl?
Hedef Belirleme
Bilgi Toplama
Analiz
Saldırı
Motivasyon
Bilgi Toplama - Shodan
Bilgi Toplama - Shodan
Bilgi Toplama - Nmap
Bilgi Toplama - Nmap
Analiz
Servisler
Varsayılan Kullanıcılar
Zayıf Parola
Servisler
Remote Desktop Protocol
Server Message Block(SMB)
MSSQL
Apache Tomcat
Kerberos
Varsayılan Kullanıcılar – Zayıf Parolalar
Apache Tomcat
• admin:admin, tomcat:tomcat
Zayıf Parola
• admin:123456
• Administrator:Password1
• sa:1234
Saldırı - Apache Tomcat
Saldırı - Apache Tomcat
Saldırı - Apache Tomcat
Saldırı - Apache Tomcat
Saldırı - Apache Tomcat
Saldırı - MSSQL
Saldırı - MSSQL
Saldırı - MSSQL
Engelleme - MSSQL
Tahmin edilmesi zor parolalar kullanılmalı
MSSQL sunucusuna erişim yetkileri kısıtlanmalı
Saldırı - RDP/SMB
Saldırı - RDP/SMB
Saldırı - RDP/SMB
Engelleme - RDP/SMB
Administrator için tahmin edilmesi zor parolalar kullanılmalı
RDP – SMB erişimleri kısıtlanmalı
Her makineye KB2871997 patch’i kurulmalı
Mimikatz
Dump credentials
• Lsass
Dump Kerberos Tickets
Credential Injection
• Pass the Hash, Over- Pass The Hash
Teşekkürler Benjamin Delpy !
Dump Credential - Mimikatz
Dump Credential - Mimikatz
Dump LSASS - Mimikatz
Wdigest
Basic Authentication
• Username + Password
Digest Access Authentication
• (username, generate_md5_key(username, URI, password))
Wdigest
• Digest Access Authentication’da kullanılmak üzere tasarlanmış sistem kütüphanesidir.
Kerberos
Windows 2000 server ve sonrası için default kimlik doğrulama yöntemidir.
1. Client
2. Server
3. Key-Distribution-Center/KDC
Pass the Hash
Pass the Hash - Kerberos
Over Pass the Hash
Over Pass the Hash
Over Pass the Hash
Over Pass the Hash
Over Pass the Hash
Windows 8.1, 2012-R2 LSA Protection Bypass
• Microsoft Windows 8.1’i yayınladığında bazı güvenlik değişiklikleri ekledi.
• Mimikatz ve WCE gibi araçlar artık LSA belleğinden kimlik bilgilerini clear text
olarak alamıyor.
• Wdigest hala kullanıldığı için yapı değişikliği yapılamadı.
• Varsayılan olarak Wdigest sağlayıcısı registryden kaldırıldı.
Windows 8.1, 2012-R2 LSA Protection BypassHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
References
Skip Duckwall & Benjamin Delpy’s Blackhat USA 2014 presentation “Abusing Microsoft Kerberos – Sorry Guys You Still
Don’t Get It” http://www.slideshare.net/gentilkiwi/abusing-microsoft-kerberos-sorry-you-guys-dont-get-it
Mimikatz and Active Directory Kerberos Attacks http://adsecurity.org/?p=556
Microsoft Enhanced security patch KB2871997 http://adsecurity.org/?p=559
Dumping WDigest Creds with Meterpreter Mimikatz/Kiwi in Windows 8.1 https://www.trustedsec.com/april-
2015/dumping-wdigest-creds-with-meterpreter-mimikatzkiwi-in-windows-8-1
Sean Metcalf Blackhat USA 2015 presentation “Red vs Blue: Modern Active Directory Attacks, Detection, & Protection”
http://www.slideshare.net/Shakacon/red-vs-blue-modern-atice-directory-attacks-detection-protection-by-sean-metcalf
Digest Access Authentication https://en.wikipedia.org/wiki/Digest_access_authentication
Kerberos https://en.wikipedia.org/wiki/Kerberos_(protocol)
