深入解析Windows域后门技术:千种渗透与持久化方法

本文详细探讨了攻击者在Windows域环境中植入后门的多种技术手段,包括创建管理员账户、密码哈希转储、组策略篡改等,并提供了取证和防御建议,帮助安全人员全面了解域安全威胁。

深入解析Windows域后门技术:千种渗透与持久化方法

http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx

“唯一能够以高度确定性修复域泄露的方法是完全重建域。”

个人而言,我同意这一点,但……但这是否是真正的解决方案,我不确定。同样适用于受感染的计算机。当发现恶意软件能够在计算机上运行时(例如,计划扫描发现了恶意软件),没有简单的方法可以100%确定计算机上没有rootkit。因此,重建计算机可能是一个值得考虑的好方法。对于偏执狂,使用新硬件;)

但重建单个工作站和重建整个域的复杂性不在同一级别。重建一个域可能需要数周或数月(或数年,这永远不会发生,因为业务在此之前就会关闭)。

有无数记录在案的方法可以后门计算机,但我从未见过有人收集所有后门域的方法。在下文中,我将引用域管理员,但实际上,我指的是域管理员、企业管理员和架构管理员。

后门域的方法

所以,这里有一个不完整的列表,用于后门域:

  • 创建新的域管理员用户。易于执行,易于检测,易于修复
  • 转储密码哈希。攻击者可以破解这些哈希或直接传递哈希。自KB2871997以来,传递哈希可能更棘手(https://technet.microsoft.com/library/security/2871997),但并非不可能。易于执行,难以检测,难以修复——只需考虑服务用户密码。在修复过程中,考虑所有密码都已泄露,即使是强密码。
  • 登录脚本——修改登录脚本并在其中添加恶意内容。本文中详细描述的任何内容都可以添加:D
  • 使用已可用的账户,并为其添加域管理员权限。重置其密码。干扰当前组成员身份——例如http://www.exploit-db.com/papers/17167/
  • 后门任何域管理员登录的工作站。在修复工作站时,不要忘记清理漫游配置文件。后门的类型可以使用不同形式:恶意软件、本地管理员、密码(隐藏管理员,RID为500)、粘滞键等。
  • 后门任何域控制器服务器。对于高级攻击,请参见Skeleton keys
  • 通过向常用可执行文件添加恶意软件来后门网络共享上域管理员常用的文件——Backdoor factory
  • 更改AD分区的所有权/权限——如果您有具体如何执行此操作的详细信息,请评论
  • 创建新的域用户。使用SID历史隐藏管理员权限。易于执行,难以检测,易于修复——检查Mimikatz实验性addsid
  • 黄金票据——易于执行,难以检测,中等修复难度
  • 白银票据——易于执行,难以检测,中等/困难修复难度
  • 通过组策略后门工作站/服务器

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce, 计划任务(两年后运行任务), 调试粘滞键

  • 后门补丁管理工具,参见此处幻灯片

[更新2017.01.10]

  • 为用户分配SeEnableDelegationPrivilege
  • 目录服务恢复模式(DSRM)
  • 恶意安全支持提供程序(SSP)
  • DSRMv2
  • AdminSDHolder
  • 编辑GPO

其他技巧

以下列表不适合先前的“即时管理员”提示,但如果攻击者的主要立足点已被禁用,它仍然可以使攻击者的生活更轻松:

  • 后门最近的备份——当需要后门时,销毁文件,以便从后门备份中恢复文件
  • 后门Exchange服务器——获取电子邮件副本
  • 后门工作站/服务器黄金镜像
  • 更改登录脚本的权限以允许以后修改
  • 在文件共享上放置恶意符号链接,通过指定IP地址上的SMB身份验证尝试收集哈希,稍后获取密码哈希
  • 后门远程管理管理,例如HP iLO——例如创建新用户或窃取当前密码
  • 后门文件,例如在共享上用于SMB中继
  • 后门内部开发软件的源代码
  • 在新攻击中使用任何类型的嗅探或重用密码,例如网络管理员、防火墙管理员、VPN管理员、AV管理员等。
  • 更改代理pac文件的内容(必要时更改浏览器配置),包括为选定域使用恶意IP上的代理的特殊例外。重定向流量,强制身份验证,获取密码哈希,???,获利。
  • 在以高权限运行的应用程序中创建高权限用户,例如MSSQL、Tomcat,并拥有机器,冒充用户,获取其凭据等。典型的渗透测试路径变得容易。
  • 从服务器中删除补丁,更改补丁策略以不安装这些补丁。
  • 窃取Windows根/中间CA密钥
  • 通过更改组策略(例如重新启用LM哈希)削弱AD安全性

更新[2015-09-27]:我发现了Jakob Heidelberg的这个精彩演示。它提到了(至少)以下技术,值得检查这些:

  • Microsoft本地管理员密码解决方案
  • 为域管理员注册虚拟智能卡证书

取证

如果您被选中修复攻击者获得域管理员权限的网络,那么,您有很多事情需要查看:)

我可以推荐两种工具,可以在调查过程中帮助您:

  • AD资源管理器工具用于比较AD
  • NTDS取证
  • BTA(感谢Sn0rkY)

经验教训

但猜猜看,并非所有这些问题都能通过重建AD来解决。还必须从头开始重建所有计算机。这似乎相当不可能。当有人创建新的AD时,不可能不从旧域迁移一些配置/数据/文件。每当发生这种情况时,新AD也有被后门的风险。

好吧,我们注定要失败,但我们能做什么?我建议进行适当的日志分析,分析趋势,并检测网络中的奇怪模式。最好把钱花在这些上,而不是域重建上。当您发现某些东西时,进行适当的事件响应。祝您好运!

Ps:感谢Andrew、EQ和Tileo为这篇文章添加了新想法。

也请查看主机后门文章!:)

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次