Security

Что такое LDAP Simple Bind и почему это плохо

Security Нет комментариев

Даже считая себя опытным специалистом в какой-то сфере нужно периодически вспоминать о базовых вещах.

К такому выводу я пришел просмотрев видеов духе «20 секретов Excel для начинающих» :)

Ну а раз так, то вполне себе можно перенести эту идею на безопасность инфраструктуры и поговорить о LDAP Simple Bind :)

С одной стороны — то, что Simple Bind используется в инфраструктуре — это плохо. С другой — из личного опыта — в 90% компаний, с которыми мне пришлось работать, я лично видел пролетающие по сети пароли в открытом виде.

Итак, подтвердим в тестовой среде, что LDAP Simple Bind это действительно небезопасно.

Для этого используем контроллер домена (Windows 2016), клиента, который будет подключаться к контроллеру по LDAP (Windows 10, IP: 10.0.0.200, ПК в домене, на этот ПК установлены инструменты RSAT) и ПК потенциального злоумышленника (Windows 10 с установленным Wireshark)

Читать далее…

PowerShell – Could not create SSL/TLS secure channel

PowerShell, Security Нет комментариев

В рамках плотного знакомства пришлось столкнуться с необходисмостью запуска Mimikatz в пямяти исследуемого сервера, без запуска утилиты на диск.

Как оказалось, со стороны исследуемого сервера был открыт только 443 (SSL) порт. Подготовка web сервера с самоподписанным SSL сертификатом сложности не представляет, но вот загрузка и выполенение PowerShell скриптов с такого сервера вызвали некоторые сложности.

А конкретно -

The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Товарищ гугль подсказал замечательную функцию, код которой приведен ниже -

Читать далее…

Active Directory Kill Chain Attack & Defense

ActiveDirectory, Security Нет комментариев

Оригинал статьи находится тут

Summary

This document was designed to be a useful, informational asset for those looking to understand the specific tactics, techniques, and procedures (TTPs) attackers are leveraging to compromise active directory and guidance to mitigation, detection, and prevention. And understand Active Directory Kill Chain Attack and Modern Post Exploitation Adversary Tradecraft Activity.

Читать далее…

Обход требования Bitlocker encryption requirement для съемных дисков

PowerShell, Security Нет комментариев

Многие компании используют групповые политики, для того, чтобы запретить пользователям запись конфиденциальной (и не только) информации на съемные нешифрованные устройства. Нужно понимать, что идея очень неплохая, но абсолютно бесполезная, если у пользователя есть права локального администратора.  Ниже — ответ почему именно так.
Отключение запрета записи на криптованные носители -

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE] "RDVDenyWriteAccess"=dword:00000000

Активация запрета записи на криптованные носители -

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE] "RDVDenyWriteAccess"=dword:00000001

Эта информация приведена исключительно с целью улучшения понимания «как это работает». Задачи «взлома» или «компроментации» продуктивных систем не стоит.

Ссылки. Security

ActiveDirectory, PFE, Security Нет комментариев

Пусть тут поживут. Постоянно приходится искать :)

- Определение LM\NTLM

https://secpfe.com/wordpress/en/2017/03/01/controlling-and-restricting-ntlm-usage-part-i/

https://secpfe.com/wordpress/en/2017/03/02/controlling-and-restricting-ntlm-usage-part-ii-audit-and-detection/

https://github.com/secpfe/NTLMHound/

 

- ATA и ATA Playbook

https://docs.microsoft.com/en-us/advanced-threat-analytics/what-is-ata

https://gallery.technet.microsoft.com/ATA-Playbook-ef0a8e38

 

- Identifying Clear Text LDAP binds to your DC’s

https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs/

 

- LAPS Audit Reporting via WEF PoSH and PowerBI

https://blogs.technet.microsoft.com/kfalde/2015/11/18/laps-audit-reporting-via-wef-posh-and-powerbi/

 

-LAPS and permission to join computer to domain

https://blogs.msdn.microsoft.com/laps/2015/07/17/laps-and-permission-to-join-computer-to-domain/

 

- Pass-the-Hash

https://technet.microsoft.com/en-us/security/dn785092

(Mitigating Pass-the-Hash and Other Credential Theft v1, Mitigating Pass-the-Hash and Other Credential Theft v2, How Pass-the-Hash works PDF)

 

- Administrative Tools and Logon Types

https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material#ATLT_BM

 

- Privileged Access Workstations (PAW)

https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations

 

- Privileged Access Workstation (PAW) Content

https://gallery.technet.microsoft.com/Privileged-Access-3d072563

 

Update 31.07.2017

Microsoft Advanced Threat Analytics Proof of Concept Playbook

https://gallery.technet.microsoft.com/Advanced-Threat-Analytics-591ca681

 

Update 21.08.2017

Troubleshooting ATA known issues

https://docs.microsoft.com/en-us/advanced-threat-analytics/suspicious-activity-guide

Update 26.08.2017

Understanding ATA Suspicious Activity Alerts

 https://blogs.technet.microsoft.com/enterprisemobility/2016/11/04/understanding-ata-suspicious-activity-alerts/