千种后门技术:深入解析Windows域(林)渗透与持久化

本文详细列举了多种针对Windows域(林)的后门技术,包括创建隐藏管理员、黄金票据、组策略篡改等,并探讨了域环境下的取证与修复挑战,为安全从业者提供全面的攻防视角。

Jump ESP, jump!: 千种后门Windows域(林)的方法

当Kerberos权限提升漏洞(CVE-2014-6324 / MS14-068)公开时,以下博客文章的修复段落引起了轰动:
http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx

“唯一能以高度确定性修复域泄露的方法是彻底重建域。”

个人而言,我同意这一点,但……这是否是真正的解决方案,我不确定。同样适用于受感染的计算机。当发现恶意软件能在计算机上运行时(例如计划扫描发现恶意软件),没有简单的方法能100%确定计算机上没有rootkit。因此,重建计算机可能是值得考虑的做法。对于偏执狂,使用新硬件;)

但重建单个工作站和重建整个域的复杂程度不在同一级别。重建域可能需要数周或数月(或数年,但这永远不会发生,因为业务会在那之前关闭)。

有无数记录在案的方法可以后门计算机,但我从未见过有人收集所有后门域的方法。以下,我将引用域管理员,但实际上我指的是域管理员、企业管理员和架构管理员。

后门域的方法

以下是一个不完整的列表:

  1. 创建新的域管理员用户:易于操作,易于检测,易于修复

  2. 转储密码哈希:攻击者可以破解这些哈希或直接传递哈希。自KB2871997以来,传递哈希可能更棘手(https://technet.microsoft.com/library/security/2871997),但并非不可能。易于操作,难以检测,难以修复——想想服务用户密码。在修复过程中,考虑所有密码都已泄露,即使是强密码。

  3. 登录脚本:修改登录脚本并添加恶意内容。本文中几乎任何细节都可以添加:D

  4. 使用现有账户并添加域管理员权限:重置其密码。干扰当前组成员身份——例如http://www.exploit-db.com/papers/17167/

  5. 后门任何域管理员登录的工作站:在修复工作站时,不要忘记清理漫游配置文件。后门类型可以不同形式:恶意软件、本地管理员、密码(隐藏管理员,RID 500)、粘滞键等。

  6. 后门任何域控制器服务器:对于高级攻击,参见Skeleton keys

  7. 后门网络共享文件:通过向常用可执行文件添加恶意软件来后门域管理员常用的网络共享——Backdoor factory

  8. 更改AD分区的所有权/权限:如果您有具体操作细节,请评论

  9. 创建新的域用户:使用SID历史隐藏管理员权限。易于操作,难以检测,易于修复——检查Mimikatz实验性addsid

  10. 黄金票据:易于操作,难以检测,中等修复难度

  11. 白银票据:易于操作,难以检测,中等/困难修复难度

  12. 通过组策略后门工作站/服务器

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • 计划任务(两年后运行任务)
    • 调试粘滞键

  13. 后门补丁管理工具,参见此处幻灯片

[更新2017.01.10]

  1. 为用户分配SeEnableDelegationPrivilege
  2. 目录服务恢复模式(DSRM)
  3. 恶意安全支持提供程序(SSP)
  4. DSRMv2
  5. AdminSDHolder
  6. 编辑GPO

其他技巧

以下列表不适合之前的“即时管理员”提示,但如果攻击者的主要立足点被禁用,仍然可以使他们的生活更轻松:

  • 后门最近备份——当需要后门时,破坏文件,以便从后门备份恢复文件
  • 后门Exchange服务器——获取电子邮件副本
  • 后门工作站/服务器黄金镜像
  • 更改登录脚本权限以允许后续修改
  • 在文件共享上放置恶意符号链接,通过指定IP地址的SMB身份验证尝试收集哈希,稍后获取密码哈希
  • 后门远程管理管理,例如HP iLO——例如创建新用户或窃取当前密码
  • 后门文件,例如在共享上用于SMB中继
  • 后门内部开发软件的源代码
  • 在新攻击中使用任何类型的嗅探或重用密码,例如网络管理员、防火墙管理员、VPN管理员、AV管理员等。
  • 更改代理pac文件内容(必要时更改浏览器配置),包括为选定域添加特殊例外以在恶意IP上使用代理。重定向流量,强制身份验证,获取密码哈希,???,盈利。
  • 在以高权限运行的应用程序中创建高权限用户,例如MSSQL、Tomcat,并拥有机器,冒充用户,获取其凭据等。典型的渗透测试路径变得容易。
  • 从服务器移除补丁,更改补丁策略以不安装这些补丁。
  • 窃取Windows根/中间CA密钥
  • 通过更改组策略削弱AD安全性(例如重新启用LM哈希)

更新[2015-09-27]:我发现了Jakob Heidelberg的这个精彩演示。它提到(至少)以下技术,值得检查:

  • Microsoft本地管理员密码解决方案
  • 为域管理员注册虚拟智能卡证书

取证

如果您被选中修复攻击者获得域管理员权限的网络,那么,您有很多事情要查找:)

我可以推荐两个在调查过程中可以帮助您的工具:

  • AD资源管理器工具用于比较AD
  • NTDS取证
  • BTA(感谢Sn0rkY)

经验教训

但猜猜看,并非所有这些问题都能通过重建AD来解决。还必须从头开始重建所有计算机。这似乎相当不可能。当有人创建新AD时,不可能不从旧域迁移一些配置/数据/文件。每当发生这种情况时,新AD也可能被后门。

好吧,我们完蛋了,但我们能做什么?我建议进行适当的日志分析,分析趋势,并检测网络中的奇怪模式。最好把钱花在这些上,而不是域重建上。当您发现某些东西时,进行适当的事件响应。祝好运!

PS:感谢Andrew、EQ和Tileo为本文添加新想法。

也查看主机后门文章!:)

发布时间:2015年3月5日星期四晚上10:04
标签:后门, 域, 黑客, Windows

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次