Webcast: Attack Tactics 5 – Zero to Hero Attack

幻灯片

时间戳链接跳转至YouTube：

• 4:11 – 基础设施与背景
• 8:28 – 攻击方法与计划概述与分解
• 11:35 – 攻击开始（获取访问权限），密码喷洒工具包
• 15:24 – MailSniper，检索全局访问列表
• 21:58 – 横向移动，OWA，VPN，SSH
• 27:05 – 扫描/枚举，Nmap SSH暴力破解，“查找开放”，移动，获取访问权限
• 34:07 – 获取访问权限，测试LLMNR，什么是LLMNR，Responder，NtlmRelayX
• 45:53 – 获取访问权限，横向移动 – crackmapexec
• 50:29 – 获取访问权限，GoPhish活动，额外访问路径，HTA，Cobalt Strike
• 59:48 – 总结

本网络研讨会的幻灯片可在此处找到：https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_AttackTactics5ZerotoHeroAttacks.pdf

由BHIS测试人员呈现：Jordan Drysdale, Kent Ickler, 和 John Strand

这是2019年4月26日现场BHIS网络研讨会的重新录制。

是否曾想看到从外部无访问权限到域接管的完整攻击？是否想在一小时内看到这一切？

OWA？密码喷洒？是的！ VPN？远程账户接管？是的！ 完全记录的命令和工具使用？是的！ MailSniper？绝对！ Nmap？显然！ Crackmapexec？肯定！ Cobalt Strike HTA钓鱼？这是我最担心的一个😀——但我们还是会尝试。

那么，这个网络研讨会有什么不同？我们将涵盖从零（外部，无访问权限）到英雄（内部，域管理员）的过程。

然后，在下一个网络研讨会中，我们将涵盖所有可能被检测和阻止的点。

获取包含所有命令的幻灯片和文档：https://activecountermeasures.com/documents

现场网络研讨会问题：

Q: 检测密码喷洒的最佳方法是什么？ A: John正在撰写博客来检测这类活动。当OWA暴露时，监控CAS上的安全日志至关重要。此外，配套网络研讨会将介绍如何捕捉本网络研讨会的所有活动。

Q: 在任务中是否积极使用云前端的Cobalt Strike服务器？ A: 如果任务是红队，我们必须使用。如果任务是渗透测试或C2，我们不一定追求隐蔽。我们测试现有控制结构，以帮助组织基线其当前态势并寻求改进。

Q: 是否遇到过访问客户思科路由器的情况？如果是，接下来会发生什么？ A: 是的，不幸的是，这经常发生。这些设备缺少补丁会留下一个非常危险的“默认开启”服务：SMI。智能安装服务允许轻松检索配置——我们通过扫描TCP/4786来检查这一点。有很多关于此的博客，SIET.py值得一看。

Q: TCP 4586和LLMNR，对吗？ A: 见上文。澄清：TCP/4786用于思科SMI。LLMNR很糟糕，NBNS也是。

如何禁用LLMNR及原因

Q: 是否有使用思科智能安装下载配置的PoC代码？ A: https://github.com/Sab0tag3d/SIET/blob/master/siet.py

Q: 但如果启用消息签名，可能会影响网络生产，不是吗？ A: 有报告称强制消息签名会减慢大文件传输。再次，如果您想了解此配置的影响，请随时联系consulting@blackhillsinfosec.com，让我们演示风险。此外，Nessus将此报告为中危仅因为此漏洞需要与另一个漏洞结合才能产生影响。

Q: 根据我的经验，SMB签名对服务的影响被大大夸大了。 A: 这一点，非常同意。感谢您确认我们的信念。这里有人最终会测试以验证，但我们感谢您这么说。

Q: 能否通过Responder获得的凭据进行传递哈希（PTH）？ A: 最佳问题！！！！挑战/响应机制将阻止此场景中的“重放”。例如，如果我正在毒化并成功挑战连接并接收哈希凭据，这些无法重放。要成功中继，我必须处于一个位置，我们称之为B。客户端A请求C，B毒化请求并将请求转发给A。C挑战认证，B转发回A，依此类推。基本上，请求/响应/挑战必须*未被篡改，但可以中继，不能重放。

Q: 如何限制命令提示符仅限管理员用户，而让PowerShell对所有人开放？ A: 不。全部限制，我们有一个称为“访问原生工具”的发现——理论上，它们应限制在适当的组中。会计部的Albert有什么业务运行PowerShell？这也有助于可见性——警报：会计部的Albert刚刚运行了PowerShell。派遣净化单位进行取证。

Q: 为什么不使用MultiRelay？ A: 这也是一个很好的问题——是的，它也是功能性的，但在测试一个又一个组织并使用MultiRelay获得访问权限后，shell有限且有点笨拙，上传和执行有效负载很痛苦，最后，对于网络研讨会——我们只想在五分钟或更短时间内演示凭据盗窃的影响。

Q: 你们攻击中哪部分最容易阻止？ 长密码，通过GPO强制消息签名，禁用LLMNR，并找出最佳方法从网络中清除NBNS——无论是在映像管理级别还是通过PowerShell，清除这些东西。非常危险。

Q: 这在网络上不会非常嘈杂吗？只是想根据红队内容调整我的方法。 A: 超级嘈杂。警报应该到处响起。然而，一旦恢复管理员哈希，crackmapexec smb攻击 surprisingly challenging to stop。CME只是利用原生通信，虽然单个受感染主机连接到 potentially hundreds of other systems 应该引起一些注意，但SMB连接完全正常。

Q: 从受感染的Windows系统运行inveigh怎么样？ A: 也包括中继选项，是的！这个工具也能做所有事情。

Q: 关于取证工件，演示看起来非常嘈杂！？ A: 是的，请保持关注。整个域的日志在网络研讨会后立即被捕获用于取证分析。下一个网络研讨会将涵盖蓝队遗漏的所有点以及这些攻击本可以被阻止的地方。

Q: 如果在网络上找不到Linux机器，是否使用Cobalt Strike来获得像CrackMapExec这样的工具功能？ A: 是的。此外，对于渗透测试——不是红队——我们特别要求一个具有典型域构建的Windows盒子和某处的Linux安装。

Q: 即使用户账户没有本地管理员权限，PowerShell是否仍可在攻击中被利用？ A: 肯定可以，并且通过像powershell -ep bypass和iex这样的东西，我们可以快速将脚本拉入内存，设计用于自动化PrivEsc过程。

Q: NTLMv2会阻止传递哈希吗？ A: 不会，这不能解决问题。之前的问题也暗示了这一点：长密码，通过GPO强制消息签名，禁用LLMNR，并找出最佳方法从网络中清除NBNS

Q: 你们运行的是什么版本的GoPhish？ A: 最新，最伟大，专门为这个网络研讨会安装。

Q: 如果密码要求设置为13+字符，如何进入？ A: 钓鱼获取有效负载，中继获取凭据。执行中继攻击不需要域凭据。

Q: 有更好的方式说“我们赢了”吗？ A: 我们更倾向于“通过妥协有效演示风险”。击中要害，并且不将我们与测试的公司对立。

Q: 所以仅禁用SMBv1对我们没有太大帮助？ A: 不，强制消息签名。

Q: SPF、DKIM、DMARC策略会阻止鱼叉式网络钓鱼邮件吗？ A: 如果“钓鱼者”精通邮件流，则不会。对于我们的钓鱼任务，我们做多件事，如设置SPF、DKIM和DMARC记录。然后我们还使用SendGrid，它与MS、大G、Y等有默契协议，将邮件投递到收件箱。您无法阻止 dedicated attack，但可以限制影响——阻断入站链接，限制附件类型，强制进行持续教育。

Q: 如何最好地避免垃圾邮件文件夹？ A: 见上文。 dedicated attackers 拥有合法邮件域，具有所需的所有细节。服务提供商之间的协议，即SendGrid和邮件提供商，允许金钱影响邮件流决策。

Q: 如果组织系统有GPO限制本地管理员通过网络进行身份验证，这仍然有效吗？ A: 我们在实验室中有 mixed results，最终 troubleshooting proper GPO application。我不能说它是100%有效的，因为它对我们不是。但是——如果此攻击无效，我们将哈希离线破解。此外——xfreerdp可以传递哈希，因此如果RDP可用，我们有另一个潜在的 game over scenario。

Q: Responder在上次渗透测试中导致网络减速。 A: -r 标志可能在本地子网上引起一些麻烦，因此正逐渐避免使用。我现在只使用 -d。

结束语： 很想看到这个播客的防御方！ 即将到来。