Webcast: 攻击战术5 – 从零到英雄攻击

幻灯片

时间码链接跳转至YouTube：

• 4:11 – 基础设施与背景
• 8:28 – 攻击方法与计划概述及分解
• 11:35 – 攻击开始（获取访问权限），密码喷洒工具包
• 15:24 – Mailsniper，检索全局访问列表
• 21:58 – 横向移动，OWA，VPN，SSH
• 27:05 – 扫描/枚举，Nmap SSH暴力破解，“查找开放”，移动，获取访问权限
• 34:07 – 获取访问权限，测试LLMNR，什么是LLMNR，Responder，NtlmRelayX
• 45:53 – 获取访问权限，横向移动 – crackmapexec
• 50:29 – 获取访问权限，GoPhish活动，额外访问路径，HTA，Cobalt Strike
• 59:48 – 总结

本次网络研讨会的幻灯片可在此处找到：https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_AttackTactics5ZerotoHeroAttacks.pdf

由BHIS测试人员呈现：Jordan Drysdale、Kent Ickler和John Strand

这是2019年4月26日现场BHIS网络研讨会的重新录制。

是否曾想看到从外部无访问权限到域控接管的完整攻击？是否想在一小时内看到这一切？

OWA？密码喷洒？没错！ VPN？远程账户接管？没错！ 完全记录的命令和工具使用？没错！ MailSniper？绝对！ Nmap？显然！ Crackmapexec？肯定！ Cobalt Strike HTA钓鱼？这是我最担心的一个😀 – 但我们还是会尝试。

那么有什么不同？本次网络研讨会将涵盖从零（外部，无访问权限）到英雄（内部，域管理员）的全过程。

然后，在下一个网络研讨会中，我们将涵盖所有可能被检测和阻止的点。

获取包含所有命令的幻灯片和文档：https://activecountermeasures.com/documents

现场网络研讨会问题：

Q: 检测密码喷洒的最佳方法是什么？ A: John正在撰写博客来检测这类活动。当OWA暴露时，监控CAS上的安全日志至关重要。此外，配套网络研讨会将介绍如何捕获本次网络研讨会的所有活动。

Q: 在任务中是否积极使用云前端的Cobalt Strike服务器？ A: 如果任务是红队，我们必须这样做。如果任务是渗透测试或C2，我们不一定试图隐蔽。我们测试现有控制结构，以帮助组织基线其当前态势并寻求改进。

Q: 是否遇到过访问客户思科路由器的情况？如果是，接下来会发生什么？ A: 是的，而且很遗憾，这经常发生。这些设备缺少补丁会留下一个非常危险的“默认开启”服务：SMI。智能安装服务允许轻松检索配置 – 我们通过扫描TCP/4786来检查这一点。有很多关于此的博客，SIET.py值得一看。

Q: TCP 4586和LLMNR，对吗？ A: 见上文。澄清：TCP/4786用于思科SMI。LLMNR很糟糕，NBNS也是。

如何禁用LLMNR及原因

Q: 是否有使用思科智能安装下载配置的PoC代码？ A: https://github.com/Sab0tag3d/SIET/blob/master/siet.py

Q: 但如果启用消息签名，可能会影响网络生产，对吗？ A: 有报告称强制消息签名可能会减慢大文件传输。同样，如果您想了解此配置的影响，请随时联系consulting@blackhillsinfosec.com，让我们演示风险。此外，Nessus将其报告为中等仅因为此漏洞需要与另一个漏洞结合才能产生影响。

Q: 根据我的经验，SMB签名对服务的影响被大大夸大了。 A: 这一点，非常赞同。感谢您确认我们的信念。这里有人最终会为了验证而测试，但我们感谢您这么说。

Q: 能否通过responder获取的凭据进行传递哈希（pth）？ A: 最佳问题！！！！挑战/响应机制将阻止此场景中的“重放”。例如，如果我正在投毒并成功挑战连接并接收哈希凭据，这些无法重放。要成功中继，我必须处于一个位置，我们称之为B。客户端A请求C，B投毒请求并将请求转发给A。C挑战认证，B转发回A，依此类推。基本上，请求/响应/挑战必须*未被篡改，但可以中继，不能重放。

Q: 限制命令提示符仅限管理员用户而保持PowerShell对所有人开放，您怎么看？ A: 不。限制所有，我们有一个称为“访问本机工具”的发现 – 理论上，它们应限制在适当的组中。会计部的Albert有什么业务运行PowerShell？这也有助于可见性 – 警报：会计部的Albert刚刚运行了PowerShell。派遣净化单位进行取证。

Q: 为什么不使用MultiRelay？ A: 这也是一个很好的问题 – 是的，它也是功能性的，但在测试一个又一个组织并使用MultiRelay获取访问权限后，shell有限且有点笨拙，上传和执行有效负载很痛苦，最后，对于网络研讨会 – 我们只想在五分钟或更短时间内演示凭据盗窃的影响。

Q: 你们攻击中哪部分最容易阻止？ 长密码，在GPO中强制消息签名，禁用LLMNR，并找出最佳方法清除网络中的NBNS – 无论是在映像管理级别还是通过PowerShell，清除这些东西。非常危险。

Q: 这在网络上不会非常嘈杂吗？只想根据红队内容调整我的方法。 A: 超级嘈杂。警报应该到处响起。然而，一旦恢复管理员哈希，crackmapexec smb攻击 surprisingly challenging to stop。CME只是利用本机通信，虽然单个受感染主机连接到潜在数百个其他系统应该敲响一些警钟，但SMB连接完全正常。

Q: 从受感染的Windows系统运行inveigh怎么样？ A: 也包括中继选项，是的！这个工具也可以做所有事情。

Q: 关于取证工件，演示看起来非常嘈杂！？ A: 是的，请保持关注。整个域的日志在网络研讨会后立即被捕获用于取证分析。下一个网络研讨会将准确涵盖蓝队遗漏的地方以及这些攻击本可以被阻止的地方。

Q: 如果在网络上找不到Linux机器，是否使用Cobalt Strike来获得像CrackMapExec这样的工具功能？ A: 是的。此外，对于渗透测试 – 不是红队 – 我们特别要求一个具有典型域构建的Windows框和某处的Linux安装。

Q: 即使用户帐户没有本地管理员权限，PowerShell是否仍可在攻击中被利用？ A: 绝对可以，并且使用像powershell -ep bypass和iex这样的东西，我们可以快速将脚本拉入内存，旨在自动化PrivEsc过程。

Q: NTLMv2会阻止传递哈希吗？ A: 不会，这不能解决问题。较早的问题也暗示了这一点：长密码，在GPO中强制消息签名，禁用LLMNR，并找出最佳方法清除网络中的NBNS

Q: 你们运行什么版本的GoPhish？ A: 最新，最伟大，专为本次网络研讨会安装。

Q: 如果密码要求设置为13+字符，如何进入？ A: 钓鱼获取有效负载，中继获取凭据。执行中继攻击不需要域凭据。

Q: 有更好的方式说“我们赢了”吗？ A: 我们更倾向于“通过妥协有效演示风险”。击中要害，不让我们与测试的公司对立。

Q: 所以仅禁用SMBv1对我们没有太大帮助？ A: 不，强制消息签名。

Q: SPF、DKIM、DMARC策略会阻止鱼叉式网络钓鱼邮件吗？ A: 如果“钓鱼者”精通邮件流，则不会。对于我们的钓鱼任务，我们做多件事，如设置SPF、DKIM和DMARC记录。然后我们还使用SendGrid，它与MS、大G、Y等有默契协议，将邮件放入收件箱。您无法阻止 dedicated attack，但可以限制影响 – 断开入站链接，限制附件类型，强制执行持续教育。

Q: 如何最好地避免垃圾邮件文件夹？ A: 见上文。 dedicated attackers 拥有合法邮件域，具有所有所需的具体内容。服务提供商之间的协议，即SendGrid和邮件提供商，允许金钱影响邮件流决策。

Q: 如果组织系统有GPO限制本地管理员通过网络进行身份验证，这仍然有效吗？ A: 我们在实验室中有 mixed results，最终 troubleshooting proper GPO application。我不能说它是100%有效的，因为对我们来说不是。但是 – 如果此攻击无效，我们将哈希离线破解。此外 – xfreerdp可以传递哈希，因此如果RDP可用，我们有另一个潜在的 game over scenario。

Q: Responder在上次渗透测试中导致网络减速。 A: -r 标志可能在本地子网上引起一些麻烦，因此正逐渐被避免。我现在只使用 -d。

最后： 很想看到这个播客的防御方！ 即将到来。

想要从撰写此博客的人那里学习更多疯狂技能？ 查看Jordan和Kent的这些课程：

• 捍卫企业
• 假设妥协 – 带有检测和Microsoft Sentinel的方法论

提供实时/虚拟和点播！