Цей допис є рефлексією після участі у навчаннях, де команди синіх захищали інфраструктуру, команди червоних її атакували, а команда зелених жалілась на недоступність сервісів і старанно псувала нерви синім 🙂

Кольорова гама допису буде така:

Зелене – це те, що було зроблено добре і вчасно
Червоне – те, що точно можливо було зробити інакше, або в інший час
Синє – ідеї, які з’явились вже після навчання і не були протестовані.

0. Провести асесмент інфраструктури з допомогою Ping Castle Це дозволило виявити помилки конфігурації Active Directory (Всі користувачі були додані в групу локальних адміністраторів, групу операторів бекапів та групу аккаунт операторів. Всі користувачі мали права змінювати абсолютно всі доменні групові політики і т.д.)

1. Використати Autoruns та PersistenceSniper.  Autoruns ми запустили відразу, а про PersistenceSniper забули :(. Наступного разу забувати не варто, інструмент генерує текстовий звіт який зручно аналізувати та містить багато корисної інформації.

2. Включити NLA для RDP. За словами колег з команди червоних, це частково зменшило можливість використання “закладок”. Про закладки детальніше в наступному пункті.

3. Чистка “закладок” в операційних системах. Ми ідентифікували купу “закладок”  в гілках реєєстру:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DisplaySwitch.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe]

В параметрі Debugger був прописаний cmd.exe . Більше інформації щодо режиму відладки можна знайти на сайті Microsoft , а також додаткова інформація про те, як щось корисне може бути перетворене на щось зловмисне.

Цей крок позначений червоним через те, що чистка “закладок” була виконана вручну, а можна було сфокусуватись на відновленні роботи Windows Defender і отримати результат автоматично.

4. Відновлення функціонування Windows Defender Корінь проблеми ми знайшли, але через невірно встановлені приорітети це вже було трохи запізно. Відновлений Defender допоміг знайти Cobalt Strike та автоматизувати чистку “закладок”.

Причини “проблем” з Defender знаходились у гілках реєстра:
– Вже знайома нам гілка [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]. Тут потрібно було перевірити наявність гілок, що відповідають іменам файлів MSASCui.exe, MpCmdRun.exe, MsMpEng.exe і, при наявності, видалити ці гілки.
– Параметр DisableAntiSpyware зі значенням 1, що знаходився в гілці [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]. Значення параметра необхідно було повернути в 0.

5. Перевірка файлів операційної системи за допомогою sfc.exe /scannow. Коментарі зайві, більше інформації можна знайти на сайті Microsoft Єдине, що хочу додати – цей крок чудово скриптується.

Приклад скриптування від колег:

Очевидно, треба мати PSExec

6. В ході навчання виник неприємний момент, коли заблокувалось виконання всіх exe файлів. Причина цієї поведінки мені не зрозуміла (чи то ми так старанно захищались, чи то команда червоних зробила наше життя більш цікавим). В ході діагностування проблеми я отримав нові знання – параметри реєстра можна міняти за допомогою .inf файлів, навіть коли regedit.exe недоступний або заборонено його виконання.  Додаткова інформація тут і тут

Приклад inf файла, що розблоковує regedit.exe –

Використання максимально просте. По збереженому inf файлу треба клікнути правою кнопкою мишки і вибрати пункт Install.

7. Використання Microsoft Safety Scanner Нажаль, ідея використати цей продук прийшла запізно. Додаткова інформація є на сайті Microsoft