ГРУППОВАЯ ПОЛИТИКА ДЛЯ SCRIPT KIDDIES — TrustedSec

ВВЕДЕНИЕ

Я наконец-то продвинулся в этом мире и играю в компании вместо n00bs, но все рабочие станции заблокированы. Что это за групповая политика? Почему это оскорбляет мою нежность?

Итак, вы, наконец, перешли в высшую лигу. Вы больше не тратите время на то, чтобы взламывать своих друзей, родителей или кемпинга из Fortnite. Вы решили использовать навыки, которые вы узнали (возможно, из моего предыдущего поста: Введение в макросы и VBA для Script Kiddies, и отправиться в корпоративную Америку. Толкальщики карандашей на фермах со стойлами могут показаться легкой мишенью, но они защищены из-за какой-то серьезной волокиты и страшного системного администратора.Эти системные администраторы имеют в своем арсенале множество инструментов и не боятся использовать их для защиты своего королевства.Одним из наиболее широко используемых инструментов является групповая политика.

Групповая политика — это функция, встроенная в операционную систему Windows, которая позволяет администратору управлять настройками машины [1]. Хотя эти групповые политики можно использовать на отдельной машине, они наиболее широко используются и эффективны при администрировании машин и пользователей в домене с помощью Active Directory. Групповая политика предоставляет администратору централизованное управление для настройки параметров безопасности, применения ИТ-политик, развертывания программного обеспечения, запуска сценариев и выполнения других задач [2]. Вместе набор конфигураций называется объектом групповой политики (GPO). В конечном счете, эти политики контролируют, что пользователи могут и не могут делать в системе, поэтому они важны.

Групповые политики могут применяться к определенным компьютерам, пользователям или организационным единицам. Когда система или пользователь входит в Active Directory, они обрабатывают соответствующие групповые политики на основе членства в домене, определенной группе или организационном подразделении. Политики передаются через Active Directory, службу каталогов Microsoft. Active Directory используется для управления доменом и предоставляет свои услуги с использованием протокола облегченного доступа к каталогам (LDAP). Политики безопасности для домена перечислены в каталоге LDAP. В частности, их можно найти в общей папке домена SYSVOL. Все групповые политики домена хранятся в \\‹DOMAIN›\SYSVOL\‹DOMAIN›\Policies\, и каждый аутентифицированный пользователь имеет доступ для чтения к этому расположению, поэтому система может запускать эти политики безопасности каждый раз, когда пользователь входит в систему, а также случайным образом каждый раз. 90 минут.

Функциональность групповой политики обычно улучшается или расширяется за счет использования расширений групповой политики. Эти расширения имеют компоненты на стороне сервера и на стороне клиента. Администратор использует серверный компонент и редактор групповой политики (GPE) для настройки политики. Расширение на стороне клиента применяет параметры политики к клиенту [3 ].

Групповая политика сложна, и понимание всех взаимосвязей и настроек само по себе является целым курсом системного администратора. TL; DR заключается в том, что групповая политика используется в доменах для настройки параметров всех компьютеров, и она предоставляет множество функций для системных администраторов и много головной боли для хакеров. Итак, вы можете сдаться и просто вернуться к взлому этого домашнего пользователя с неисправленной машиной Windows Vista, но если вы хотите увидеть, что групповая политика может предложить нам Script Kiddies, продолжайте читать.

ГРУППОВЫЕ ПОЛИТИКИ В ACTIVE DIRECTORY

Ладно, ладно, значит, групповая политика — это набор Заповедей, переданных системным администратором сверху. Это действительно кажется несправедливым. Пожалуйста, скажите мне, что есть способ понерфить эту суперсилу. Я заблокировал пользователя домена, могу ли я использовать этот доступ для развлечения и получения прибыли?

Как мы только что узнали, групповые политики обычно администрируются и распространяются через Active Directory с использованием LDAP. Это означает, что большая часть интересующей нас информации о групповой политике будет поступать из сети. Кроме того, если вам посчастливилось быть аутентифицированным пользователем по праву или по праву, то у вас есть доступ к общему ресурсу LDAP, содержащему эту ценную информацию. Итак, что вы можете сделать, имея правильный доступ к сети?

СОБИРАЯ ИНФОРМАЦИЮ

Групповые политики хранят много информации, которая может быть ценной для обычного Script Kiddie. Эти настройки могут сообщить вам много информации об окружающей среде, политиках безопасности, службах и т. д. Существует множество инструментов, которые помогут вам отображать и анализировать групповые политики, включая PowerView и Bloodhound [4]. Вы можете определить, какие политики применяются к локальной системе, пользователю или другим системам в сети. Эти настройки могут помочь определить, на что нацеливаться, чего следует избегать и, возможно, как использовать другие системы. В дополнение к самим групповым политикам вы можете найти некоторые сценарии, запускаемые этими объектами групповой политики, которые могут включать незашифрованные пароли, учетные записи, общие сетевые ресурсы и т. д.

ЗЛОУПОТРЕБЛЕНИЕ ГРУППОВОЙ ПОЛИТИКОЙ

Помимо простого сбора информации, вы можете воспользоваться преимуществами групповой политики, чтобы облегчить себе работу. Самый распространенный взлом — это перечисление групповых политик и поиск некоторых объектов групповой политики, на редактирование которых у вас есть права [5 ]. Если вы можете редактировать объект групповой политики, то вы можете делать все, что может делать системный администратор (но лучше), в том числе:

Запуск скриптов
Установить и запустить бэкдор
Изменить пароли пользователей
Создать учетные записи
Изменить разрешения

АТАКУЮЩАЯ ГРУППОВАЯ ПОЛИТИКА

Мы собрали информацию и злоупотребили этими групповыми политиками, но мы можем сделать еще один шаг и атаковать некоторые функции групповых политик. В дополнение к паролям, которые вы можете найти в скрипте, вы можете восстановить пароли из настроек групповой политики (GPP). GPP дают системным администраторам возможность хранить и использовать учетные данные в нескольких сценариях, включая сопоставление дисков, планирование задач, запуск служб и изменение паролей локальных администраторов [6]. Это может помочь системному администратору, но также может предоставить вам путь для атаки. Имея доступ к этим GPP, злоумышленники могут использовать инструменты для расшифровки этих паролей. Доступно несколько инструментов, включая модули, встроенные в Metasploit [7 ]. Microsoft выпустила исправление в 2014 году, но вы можете найти некоторые неисправленные системы или старые файлы GPP, которые все еще уязвимы.

АРТЕФАКТЫ ЛОКАЛЬНОЙ ГРУППОВОЙ ПОЛИТИКИ

Так ты говоришь, что есть шанс? Тем не менее, похоже, что большая часть хаков групповой политики Active Directory исправлена. Я почти уверен, что сеть заблокирована, и у меня действительно есть доступ только к этой ничьей машине. Что еще может сделать для меня групповая политика?

Большинство методов, описанных до сих пор, широко обсуждались на форумах. Атаки GPP были встроены в стандартные инструменты, и Microsoft исправила уязвимости. Кроме того, системные администраторы все лучше и лучше блокируют разрешения в отношении объектов групповой политики. Таким образом, вы, возможно, не сможете использовать и злоупотреблять объектами групповой политики, как в старые добрые времена, но вы все равно можете использовать групповую политику для ситуационной осведомленности. Когда вы попадаете в систему, всегда лучше получить немного информации об окружающей среде, и есть некоторые артефакты групповой политики, которые могут помочь в этом. Использование информации, доступной через локальные артефакты групповой политики, может быть самым простым способом получить лучшее представление о системе и сети, не вызывая никаких тревожных сигналов разведки.

ИСТОРИЯ ПОЛИТИКИ ГРУППЫ

Групповые политики выталкиваются из контроллера домена через службу Active Directory. Поскольку объекты групповой политики применяются при запуске компьютера или при входе пользователя в систему, локальная система создает историю этих действий. Эта история хранится в реестре. В реестре хранится история каждого объекта групповой политики, примененного к системе, и каждого пользователя, вошедшего в домен.

Подраздел групповой политики History может предоставить некоторую легкодоступную информацию об окружающей среде. Все пользователи имеют доступ к истории GPO, применяемой к их собственной учетной записи, а также к системе, а администраторы имеют доступ к истории GPO каждого пользователя, вошедшего в систему.

Чтобы проверить объекты групповой политики, примененные к текущему пользователю, перейдите к разделу реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History

Чтобы проверить объекты групповой политики, примененные к локальной системе, перейдите к разделу реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History

Эта История включает в себя, какие расширения групповой политики были настроены, порядок применения объектов групповой политики, данные о версии и некоторые параметры для каждого объекта групповой политики.

Как мы видим на рисунке 1, информация о каждом GPO хранится в реестре. Сюда входят DisplayName, Extensions, FileSysPath и Link.

История разбита по расширениям групповой политики, которые хранятся в соответствии с их GUID. Вот некоторые из распространенных идентификаторов GUID:

На рис. 1 мы видим, что клиентские расширения «Административный шаблон» и «Безопасность» использовались для применения настроек. Мы также можем увидеть историю различных версий, которые были применены.

Подключ История содержит некоторую интересную информацию, включая имя контроллера домена и домен, к которому присоединен компьютер.

ГРУППОВАЯ ПОЛИТИКА СОСТОЯНИЕ

В дополнение к подразделу History раздел реестра групповой политики также содержит подраздел State. Подключ State содержит дополнительную информацию для нашей ситуационной осведомленности, особенно в отношении самой машины. Этот подраздел Machine включает в себя Distinguished-Name в Active Directory и Site-Name. Вы можете использовать эту информацию, чтобы начать планировать дизайн и компоновку сети.

Подключ State также содержит информацию о каждом пользователе, вошедшем в систему в интерактивном режиме. Это включает в себя их Distinguished-Name и Site-Name, которые обработали их вход в систему. Эту информацию можно сопоставить с SID пользователя.

ГРУППОВАЯ ПОЛИТИКА

Последний ключ групповой политики, который мы рассмотрим, — это подраздел GroupMembership. Подключ GroupMembership содержит информацию о группе для пользователя и системы. По мере обработки объектов групповой политики реестр сохраняет список идентификаторов безопасности соответствующих групп.

На рисунке 5 мы видим все группы, в которых состоит текущий пользователь. Это может быть полезно для определения их доступа и разрешений на локальном компьютере и в сети.

На рисунке 6 мы видим членство в группе локальной машины, а также каждого пользователя, вошедшего в систему на этой машине. Опять же, для этого может потребоваться больше прав и разрешений, чем у вас есть, но это может дать вам гораздо лучшее представление о том, кто использует машину и, возможно, для чего она используется в домене.

Членство в группах использует многие известные SID (https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/security-identifiers-in-windows). В дополнение к обычным группам безопасности существуют некоторые внутренние группы, которые могут предоставлять полезную информацию, такую как:

S-1–5–4 — Пользователи, выполнившие вход в систему в интерактивном режиме.
S-1–5–2 — Пользователи, вошедшие в систему через сетевое соединение.
S-1–5–6 — все участники безопасности, которые вошли в систему как служба.
S-1–5–14 — Пользователи, выполнившие вход через терминальные службы.

Эта дополнительная информация может дать нам возможность атаки. Если мы увидим, что системный администратор входит в эту машину через протокол удаленного рабочего стола (RDP), то мы можем принудительно кэшировать учетные данные в открытом виде в LSASS для следующего RDP-подключения к ящику и — бац — учетных данных на несколько дней.

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation /v AllowDefaultCredentials /t REG_DWORD /d 1

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation /v ConcatenateDefaults_AllowDefault /t REG_DWORD /d 1

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials /v 1 /t REG_SZ /d «TERMSRV/*»

ЗАКЛЮЧЕНИЕ

Итак, групповая политика — это реально. Это помогает защитить всех тех, кто толкает карандаши, которые не могут отличить фишинг от аквариумного питомца и предпочитают просто использовать «пароль» в качестве пароля. Это источник разочарования, но он также может быть источником информации. Теперь я знаю, где искать инсайдерскую информацию.

После этого неглубокого погружения в групповую политику вы должны лучше понять, что такое групповая политика, как она облегчает работу системного администратора и какую информацию она может предоставить вам как злоумышленнику. Групповая политика может быть мощным оружием в защите замка, который является корпоративным доменом, но было показано, что у нее есть свои уязвимости, и даже если некоторые из этих уязвимостей были исправлены, она все еще может обеспечить богатую ситуационную осведомленность. Он может предоставить вам информацию о самой машине, а также о пользователях, которые вошли в систему. В общем, это может дать вам лучшее представление об окружающей среде, в которую вы попали, и, надеюсь, с большими знаниями приходит большая сила. Итак, постарайтесь не слишком бояться групповой политики и всегда не забывайте проверять возвращаемые значения.

[1] Групповая политика — Википедия

[2] Об API групповой политики | Документы Майкрософт

[3] История групповой политики Windows, хранящаяся в реестре — RickyAdams.com

[4] Изменение групповой политики (T1484) (cyberwarfare.live)

[5] Злоупотребление разрешениями GPO — harmj0y

[6] Поиск паролей в SYSVOL и использование настроек групповой политики — Active Directory Security (adsecurity.org)

[7] Сброс учетных данных MITRE ATT&CK T1003 (picussecurity.com)

Первоначально опубликовано на https://trustedsec.com 11 февраля 2021 г.

смотрите также:

Новые материалы

Объяснение документов 02: BERT

BERT представил двухступенчатую структуру обучения: предварительное обучение и тонкая настройка. Во время предварительного обучения модель обучается на неразмеченных данных с помощью..

Как проанализировать работу вашего классификатора?

Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..

Работа с цепями Маркова, часть 4 (Машинное обучение)

Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..

Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]

Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..

Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter

Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..

Учебные заметки: создание моего первого пакета Node.js

Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..

Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!

Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..

Метки

Machine Learning JavaScript Data Science Artificial Intelligence Software Development Python Web Development Coding Deep Learning AI React Software Engineering Nodejs Java Front End Development Typescript Computer Science Data Algorithms Development NLP Tech Programming Languages CSS ChatGPT HTML Python Programming Javascript Tips Angular Computer Vision Startup Data Visualization Neural Networks Tutorial Statistics Productivity Reactjs Learning