Active Directory Report
Tusmada
1.1 Waa Maxay Active Directory (AD)?
1.2 Qeybaha Kala Duwan ee Active Directory
1.2.4 Organizational Units (OU)
3.1 Ururinta Macluumaadka (Information Gathering)
3.1.2 Baadhitaanka Adeegyada (Service Enumeration)
3.2.1 Waa Maxay User Brute Force?
3.2.2 Sidee U Dhacaa Weerarkan?
3.3.1 Waa Maxey Weerarada Password Spraygu?
3.3.2 Sidee Ayuu U Dhacaa Weerarkaan?
3.3.3 Sidee Looga Hortagaa Weerarada Noocaas Ah?
3.4.1 Waa Maxey SMB Relay Attack gu
3.4.2 Sidee Ayuu U Dhacaa Weerarkaan
3.5 Weerarada User Enumeration
3.5.1 Waa Maxay Weerarka User Enumeration ka?
3.5.2 Sidee Weerarkaan u Dhacaa?
3.2.2 Sidee u dhacaa weeraradaan
4.1.1 Sidee U dhacaa Weerarkaan
5.1.1 Waa Maxey Kerberos Authentication’s
5.1.2 Sida uu U Shaqeeyo Kerberos
5.1.2 Sidee U Dhacaa Weerarka TGT?
5.2.1 Sidee U Dhacaa Weerarka SPN?
5.2.2 Sidee Looga Hortagaa Weeraradan?
1. Hordhac
Hordhac ku saabsan warbixinta Active Directory wuxuu diiradda saaraa muhiimadda ay leedahay fahamka iyo ilaalinta kaabayaasha IT ee shirkadaha iyo hay'adaha, iyada oo si gaar ah loo eegayo Active Directory (AD) oo ah mid ka mid ah teknoolojiyadaha aasaasiga ah ee maareynta isticmaalayaasha iyo kheyraadka shabakadaha ee shirkadaha isticmaala nidaamyada Microsoft. AD waxay u oggolaaneysaa maamulayaasha shabakadda inay si fudud u maamulaan xogta isticmaalayaasha iyo siyaasadaha amniga, taas oo ka dhigaysa mid aad muhiim u ah ilaalinta macluumaadka xasaasiga ah iyo hawlaha muhiimka ah ee ganacsiga.
Si kastaba ha ahaatee, sida ay u faa'iidada badan tahay, Active Directory sidoo kale waxay noqon kartaa bartilmaameed weyn oo loogu talagalay weerarada cyber-ka haddii aan si habboon loo difaacin. Weerarada sida Password Spray, SMB Relay, iyo kuwo kale ayaa ku hanjabaya inay carqaladeeyaan ama xadaan xogta iyaga oo ka faa'iidaysanaya daciifnimada ka jirta qaabeynta ama maamulka AD. Sidaa darteed, warbixintan waxay qeexaysaa qaababka loo adeegsado weeraradan, sida loo ogaado suurtagalnimadooda, iyo tallaabooyinka ugu wanaagsan ee looga hortagi karo.
Ujeeddada warbixintan waa in la siiyo aqoon dhammaystiran oo ku saabsan sida Active Directory u shaqeyso, nuglaanta ay leedahay, iyo sida loo dhaqan geliyo difaac tayo leh oo lagu ilaalinayo kaabayaasha muhiimka ah. Tani waxay gacan ka geysaneysaa hubinta in ururada ay si buuxda uga faa'iideysan karaan faa'iidooyinka AD iyagoo yareynaya khatarta amni ee la xiriirta. Warbixintu waxay bixin doontaa tusaalooyin dhab ah, xeelado difaac, iyo tilmaamo ku saabsan sida ugu wanaagsan ee loo maareyn karo oo loo ilaalin karo deegaanka Active Directory si looga hortago weerarada iyo in la hubiyo hufnaan iyo waxqabadka shabakadda.
1.1 Waa Maxay Active Directory (AD)?
Active Directory (AD) waa adeeg maamul oo ay bixiso Microsoft, kaas oo u oggolaanaya maamulayaasha nidaamyada inay si fudud u maamulaan iyo inay si ammaan ah u abaabulaan xogta ku saabsan shabakadaha kombiyuutarka. Waxaa si weyn looga isticmaalaa shirkadaha iyo hay'adaha si loo maareeyo isticmaaleyaasha, kooxaha, qalabka, iyo siyaasadaha amniga iyadoo loo marayo hal interface maamul. AD waxay bixisaa habab loogu talagalay kaydinta macluumaadka isticmaale iyo siyaasadaha amniga, maareynta rukhsadaha helitaanka, iyo adeegyada kale ee muhiimka ah sida DNS.
1.2 Qeybaha Kala Duwan ee Active Directory
1.2.1 Domain
Domain waa qayb ka mid ah AD oo ka kooban koox isticmaaleyaal, kombiyuutarro, iyo qalabyo kale oo wadaagaya siyaasad iyo database ah. Waa heerka ugu hooseeya ee qaab dhismeedka AD waxaana maamula ugu yaraan hal Domain Controller.
1.2.2 Domain Controller (DC)
Domain Controller waa server dhexe ee shabakad AD ah kaas oo maamula nidaamka aqoonsiga iyo ogolaanshaha isticmaalayaasha. Waa mas'uul ka ah kaydinta, maaraynta, iyo xaqiijinta dhammaan xogta isticmaalaha iyo siyaasadaha amniga ee ku jira AD. Waxa kale oo uu bixiyaa adeegyo sida kooxda siyaasadda maamulka (GPO) oo lagu dhaqan geliyo siyaasadaha amniga iyo qaabeynta guud ahaan domainka.
1.2.3 Forest and Trees
Forest waa ururinta ugu sarreysa ee AD waxayna ka kooban tahay hal ama dhowr "trees." Forest wuxuu matalaa xuduudaha ugu sarreeya ee maamulka iyo siyaasadaha amniga ee AD. Tree waa ururinta Domains oo wadaagaya namespace isku xiran iyo siyaasad amni oo ay maamusho Root Domain. Trees gudahooda, Domains ayaa si nidaamsan u abaabuli kara, iyadoo la ilaalinayo xiriirka dhaxalka.
1.2.4 Organizational Units (OU)
Organizational Units waa sida "folders" ee lagu kaydiyo xogta isticmaalaha, kombuyuutarrada, iyo kooxaha dhexdooda Domain. OU-yada waxaa loo isticmaalaa in lagu dabaqo siyaasadaha maamulka oo tafaasiil ah kooxo ama ilo gaar ah, iyaga oo u oggolaanaya maamulayaasha inay abaabulaan AD si hufan oo fudud.
1.3 Black Box Testing
Black Box Testing waa qaab tijaabo ah oo aan diirada saarin dhismaha gudaha ee nidaamka laakiin xoogga saaraya dhaqanka iyo natiijooyinka howlaha nidaamka iyada oo aan la eegin sida nidaamku u shaqeeyo gudaha. Marka loo adeegsado AD, Black Box Testing waxay sahamin kartaa sida nidaamka uga jawaabayo isku dayada gelitaanka aan la fasaxin, iyada oo aan loo baahnayn in la fahmo qaab dhismeedka gudaha ee AD ama qaabeynta. Tijaabadani waxay caawin kartaa in la ogaado daciifnimada amniga ee suurtagalka ah iyada oo loo marayo habab kala duwan sida weerarada password spray ama SMB relay, kuwaas oo lagu ogaan karo nuglaanshaha aan ka muuqan qaabeynta amni ee caadiga ah.
2. Warbixin Kooban
Warbixintan waxay diiradda saareysaa baaritaanka iyo fahamka nuglaanshaha amniga ee Active Directory (AD), taasoo ah mid ka mid ah qaab-dhismeedyada ugu muhiimsan ee ay isticmaalaan shirkadaha iyo hay'adaha si ay u maareeyaan isticmaaleyaasha, kooxaha, iyo ilaha shabakadda. Active Directory waxay bixisaa adeegyo muhiim ah sida xaqiijinta isticmaaleyaasha, rukhsadaha helitaanka, iyo maamulka kheyraadka shabakadda. Si kastaba ha ahaatee, haddii aan si sax ah loo xakameyn, waxay noqon kartaa bartilmaameed sahlan oo loogu talagalay weerarada cyber-ka.
Warbixintu waxay falanqeyneysaa farsamooyin kala duwan oo la adeegsado si loo baaro loona xoojiyo amniga Active Directory, iyadoo la adeegsanayo habab tijaabo ah sida Black Box Testing. Waxaa la baaray xeelado ay adeegsadaan weeraryahannada si ay u helaan gelitaan sharci-darro ah oo ay ugu faafaan shabakadda, kuwaas oo ay ka mid yihiin:
Password Spray Attack: Weerar lagu isku dayo furaha sirta ah ee caanka ah oo la marsiiyo dhammaan isticmaaleyaasha si midkood u shaqeeyo.
SMB Relay Attack: Weerar lagu dhex galo isgaarsiinta isticmaaleyaasha iyo server-yada iyadoo la adeegsanayo borotokoolka SMB.
User Enumeration: Habka lagu ogaado isticmaaleyaasha dhabta ah ee ka diiwaangashan nidaamka AD.
Dumping Hashes: Weerar lagu helo furaha sirta ee hash-ka loo beddelay si looga faa’iidaysto.
Pass-the-Hash Attack: Weerar adeegsada hash-ka password-ka oo aan la isticmaalin password-ka laftiisa.
TGT Attack: Weerar lagu maamulayo tigidhyada aqoonsiga ee Kerberos si looga helo gelitaan sharci darro ah.
SPN Attack: Weerar diiradda saaraya adeegyada isticmaalaya Service Principal Names (SPN) si loogu xado xogta isticmaalaha.
Warbixintan waxay bixinaysaa sharraxaad qoto dheer oo ku saabsan weerarradan, sida ay u dhacaan, iyo sida looga hortagi karo. Waxaa sidoo kale la falanqeeyay qalabka la adeegsado iyo xalka amniga ee lagu difaaci karo nidaamka, si loo xoojiyo Active Directory lagana ilaaliyo weerarada dhici kara.
Ugu dambeyn, warbixintu waxay bixinaysaa talooyin ku aaddan sida maamulayaasha IT-ga iyo hay’adaha amniga u isticmaali karaan farsamooyin wax-ku-ool ah si ay u xoojiyaan amniga Active Directory, iyagoo isticmaalaya habab ammaan oo casri ah, hubinta joogtada ah, iyo xakamaynta marin u helka nidaamka.
3. Hababka (Methodologies)
Marka la eegayo amniga Active Directory (AD), waxaa jira habab kala duwan oo la adeegsado si loo xaqiijiyo waxqabadka iyo badqabka nidaamka. Hababkaas waxay ka caawiyaan maamulayaasha iyo kooxaha amniga inay fahmaan sida ugu wanaagsan ee loo ilaalin karo ilaha, loo aqoonsado daciifnimada, loona horumariyo difaaca ka dhanka ah weerarada suurtagalka ah. Hoos waxaa ku xusan qaar ka mid ah tallaabooyinka ugu muhiimsan ee ku lug leh habkan.
3.1 Ururinta Macluumaadka (Information Gathering)
Ururinta macluumaadka waa tallaabada ugu horreysa ee baaritaanka amniga AD. Waxay diiradda saartaa helitaanka xog guud oo ku saabsan deegaanka IT-ga oo dhan, oo ay ku jiraan server-yada, isticmaalayaasha, adeegyada shabakadda, iyo qalabka kale ee muhiimka ah.
Helitaanka xogta shabakadda: Isticmaal qalabka sida Nmap si aad u ogaato server-yada firfircoon, qalabka shabakadda, iyo adeegyada furan. Sidoo kale, waxaad isticmaali kartaa Advanced IP Scanner si aad u hesho liiska qalabka ku jira shabakadda iyo cinwaanadooda IP.
Baaritaanka adeegyada: Fahamka adeegyada shabakadda ee socda iyo qaabeyntooda ayaa muhiim u ah in la ogaado halka daciifnimada suurtagalka ah ay ka jiri karaan. Adeegyada sida SMB, LDAP, iyo Kerberos ayaa inta badan bartilmaameed u ah weerarada.
Xogta isticmaale iyo koox: Ururi xogta isticmaale sida magacyada isticmaalaha, kooxaha ay ka tirsan yihiin, iyo siyaasadaha loo adeegsado maamulka rukhsadaha.
3.1.1 Nmap
nmap oo loo soo gaabiyay Network Mapper, waa tuul open-source ah loo isticmaalo baaritaanka shabakadaha iyo hubinta amniga. Waxay kaa caawisaa in la aqoonsado server rada, adeegyada, iyo daciifnimada ku jirta shabakad iyadoo adeegsanaysa dirista packets xog ah kaas oo falanqaynsa jawaabaha laga helo.
Maxaan helay
Haan sharaxaad dheeraad ah ka bixiyo command kan
Nmap waa qalab kii
sC Waxay fulisaa qoraallo diyaar ah oo ujeedkoodu yahay ururinta xog dheeraad ah oo ku saabsan adeegyada oo ladhaho amase loogaran ogyahay "Default Scripts"
sV waxaa loo isticmaalaa in lagu ogaado noocyada adeegyada (Service Version Detection).
T4 waxay kordhineysaa heerka xawaaraha baaritaanka.
Natiijada soo baxdey
Ports ka furan
3.1.2 Baadhitaanka Adeegyada (Service Enumeration)
Kadib marka la ururiyo xogta guud sida ports futan iyo adeegada ayqananayaa, waa in la falanqeeyo si qoto dheer adeegyada socda ee shabakadda. Baadhitaankan wuxuu si gaar ah diiradda u saarayaa ogaanshaha iyo qiimeynta adeegyada la xiriira AD.
Baarista Adeegyada Shabakadda: Isticmaal Nmap si aad u baarto adeegyada shabakadda si aad u ogaato noocyada borotokoolada ay isticmaalayaan iyo albaabada furan. Tani waxay ka caawinaysaa in la aqoonsado adeegyada muhiimka ah sida DNS, DHCP, iyo server-yada faylasha.
Qiimeynta Amniga Adeegga: Adeegso qalabka baarista daciifnimada sida Nessus ama OpenVAS si loo baaro adeegyada laga helo daciifnimooyin amni oo suurtagal ah. Tani waxay bixin kartaa macluumaad ku saabsan cusbooneysiinta maqan, qaabeynta aan habboonayn, iyo arrimo kale oo keeni kara nuglaansho amni.
Baarista SMB iyo Ldap: Maadaama adeegyadan ay muhiim u yihiin howlaha AD, baaritaan gaar ah oo ku saabsan qaabeyntooda iyo amnigooda ayaa muhiim ah. Baadh sida loo maareeyo marin u helka, isticmaalka sirta, iyo siyaasadaha amniga la xiriira.
Hababkaan waxay bixiyaan aasaaska lagu dhisayo istiraatiijiyad amni oo dhammaystiran oo ku saabsan Active Directory, taas oo saamaxaysa in si wax ku ool ah looga hortago weerarada oo loo yareeyo daciifnimada suurtagalka ah ee nidaamka.
3.2 User Bruteforce
3.2.1 Waa Maxay User Brute Force?
Weerarka user brute force ee adeegsadayaasha waa marka qof uu adeegsado software ama script si uu u tijaabiyo tiro badan oo magacyada isticmaale ama furayaasha sirta ah si uu u helo xogta saxda ah ee u oggolaanaysa gelitaanka nidaamka ama adeegga. Tani waxaa badanaa lagu sameeyaa si otomaatig ah, iyadoo software-ka isku dayayo malaayiin ama balaayiin fursado ah si uu u helo isku-darka saxda ah.
3.2.2 Sidee U Dhacaa Weerarkan?
Weerarkan wuxuu dhacaa iyadoo la adeegsanayo barnaamijyo gaar ah oo loogu talagalay inay si toos ah u tijaabiyaan magacyada isticmaale iyo erayada sirta ah.
kerbrute: Waa qalab loogu talagalay in lagu ogaado isticmaalayaasha (user enumeration) iyo furo sireed yada (password spraying) ee adeegyada Kerberos.
userenum: waa sub-command kaas oo diirada saaraya ogaanshaha userska jira.
d waxay u taagan tahay domain.
Halka uu domain ka yahay nasri.com,--dc 192.168.119.200:
-dc waxay u taagan tahay domain controller, kaas oo ah server-ka maamulka domain-ka.
IP-ga domain controller-ka waa 192.168.119.200.
users2.txt: Fayl ay ku qoran yihiin magacyo kale duwan oo aad u badan
Natiijada
Users ka sax da ah ee aan soo helney
3.3 Weerarada Password Spray
3.3.1 Waa Maxey Weerarada Password Spraygu?
Weerarada Password Spray waa nooc ka mid ah weerarada cyber-ka kuwaas oo bartilmaameedsada nidaamyada leh isticmaaleyaal badan. Weeraryahanku wuxuu isku dayaa inuu isticmaalo hal ama dhowr furo sireedyo sida (passwords) oo aad u fudud ama caan ah aadna loo adeegsado, sida 'password123' ama 'hooyo143', isagoo isku dayaya inuu ku galo dhowr akoon oo kala duwan.
3.3.2 Sidee Ayuu U Dhacaa Weerarkaan?
Weerarka password spray wuxuu ka bilaabmaa ururinta liiska magacyada isticmaaleyaasha ama emailada ka diiwaangashan nidaamka bartilmaameed ka ah. Kadib, attacker wuxuu adeegsanayaa liisto furosireedyo caanka ah isagoo isku dayaya inuu ku tijaabiyo ama uu ku galo mid kasta mar kasta oo dhan isticmaaleyaasha si loo yareeyo halista in la xiro isticmaalaha sababtoo ah isku dayo badan ee galitaanka shabakada. liistada = wordlist
Haan sharaxaad kooban kabixiyo wordlist ama liisto
Waa maxey liisto waa file lagu soo ururiyo magacyo ama kuro sireedyo kale duwan oo aad u badan kaas oo attacks ka u sahlaya in ay isku dayaan in magacaantaas ama furo sireedyadaas in ay ku weerar galaan sida weerarda caanka ah, bruteforce passwordspay, passwordcrack
weerarkan waxaan u is ticmaaley kerbrute tuul kaas oo aan ku sharaxey ciwaan ka sare ee 3.2.2
3.3.3 Sidee Looga Hortagaa Weerarada Noocaas Ah?
Ka hortagga weerarada password spray waxay u baahan tahay isku-dhafka tallaabooyinka farsamo iyo kuwa siyaasadaha:
ku khasab isticmaaleyaasha inay adeegsadaan passwords xooggan oo isugu jira xarfaha waaweyn, kuwa yaryar, lambarada, iyo astaamo gaar ah.
Deji siyaasad xaddidaysa tirada isku-dayga login ee guuldareysta ka hor inta aan la xirin akoonka muddo cayiman. Tani waxay yaraynaysaa suurtagalnimada guusha weerarada noocaan ah.
Isticmaal qalabka sida SIEM (Security Information and Event Management) si aad u aqoonsato isku dayo aan caadi ahayn ama aan la filayn oo galitaan ah.
Tababarka Wacyigelinta Amniga
3.4 SMB Relay Attacks
3.4.1 Waa Maxey SMB Relay Attackgu
Weerarka SMB Relay waa nooc ka mid ah weerarada ku saleysan shabakadda oo si gaar ah u adeegsada borotokoolka SMB (Server Message Block), kaas oo ah hab ay ku wadaagaan kombiyuutarada ku xiran shabakadda Windows faylasha iyo daabacayaasha. Weerarkan, qofka weerarka geysanaya (weeraryahan) wuxuu qabtaa isku xirka shabakadda dhexdeeda ka socda isticmaale sharci ah ilaa server, ka dibna wuxuu "relay" gareeyaa isla codsigaas aqoonsiga (credentials) si uu u helo gelitaan aan fasax lahayn server kale ama adeeg shabakadeed. Tani waxay suurtagal ka dhigaysaa in weeraryahanku uu helo gelitaan isagoo adeegsanaya aqoonsiga isticmaale kale iyadoon loo baahnayn inuu ogaado passwordka dhabta ah ee isticmaalahaas.
3.4.2 Sidee Ayuu U Dhacaa Weerarkaan
Weerarka SMB Relay wuxuu dhacaa marka weeraryahanku dhexgalo isgaarsiinta u dhaxeysa isticmaale iyo server. Tusaale ahaan, marka isticmaale isku dayo inuu galo server ku jira shabakadda, codsigiisa aqoonsiga (oo ay ku jiraan magaca isticmaale iyo password hash) waxaa qaban kara weeraryahan, kaas oo markaa u gudbinaya server kale. Serverka labaad wuxuu u maleynayaa in codsigan yimid si toos ah isticmaalaha, sidaas darteed wuxuu u oggolaanayaa gelitaanka iyada oo aan shaki gelin aqoonsiga. Natiijadu waa in weeraryahanku helo helitaan aan xadidneyn oo ku saabsan kheyraadka shabakadda isagoo aan waligii ogeyn password-ka dhabta ah.
Sidaan aynu arki karno smb gu waan enable khasabna maahan.
Mar ka hore target machine ip yada smb enable ka ah haan ku uruursano file
Waxeyno wax kabadal ku sameyn doonaa tool keen responder, waxeynu off gareen doonaa smb iyo http
Responder waa tuul awood badan oo loo isticmaalo baaritaannada amase attacks ku ay adeegsadaan si loogu sameeyo xatooyo shabakadda iyo in la qabto xogaha sirta ah (credentials) ee ku jira shabakadaha gudaha.
Waxaan istimaalaynaa impacket tool kaa soo aynu ka dhex helayno ntlmrelayx
Haan sharaxno command kaan
Ntlmrelayx waa tuul ka mid ah Impacket toolasheeda, oo gaar ahaan loogu talagalay in lagu fuliyo weerarada NTLM relay
tf waxa u tilmaamaya file liiska bartilmaameedyada
File-ka target wuxuu ka kooban yahay IP-yada ama adeegyada bartilmaameedka ah
smb2support: waxa u tilmaamaya NTLMRelayX inuu taageero SMBv2
Waxeynu helnay hash targer keena
3.4.3 Sidee Looga Hortagaa
Ka hortagga weerarada SMB Relay waxay u baahan tahay dhowr tallaabo oo farsamo iyo siyaasadeed:
Hubi in dhammaan nidaamyada ku jira shabakadda si joogto ah loo cusbooneysiiyo. Microsoft ayaa sii daysay cusbooneysiin loogu talagalay in lagu xiro nuglaantaan, sidaas darteed cusbooneysiinta nidaamyada waa muhiim.
SMBv1 waa nooc hore oo borotokoolka SMB ah oo si gaar ah ugu nugul weeraradan. SMBv1 iyo u guurista noocyada SMB ee dambe sida SMBv2 ama SMBv3 ayaa yareyn kara halista.
SMB Signing waa hab amni oo hubiya in xogta la isweydaarsanayo ay tahay mid aan la faragelin karin. Marka SMB Signing la shaqeeyo, weeraryahannada ma awoodi doonaan inay "relay" gareeyaan codsiyada aqoonsiga si guul leh.
Xaddid gelitaanka shabakadaha muhiimka ah oo kaliya isticmaaleyaasha la aamminsan yahay. Tani waxay yaraynaysaa fursadaha uu weeraryahan ku heli karo aqoonsiyada muhiimka ah.
Bar shaqaalaha sida loo aqoonsado calaamadaha suurtagalka ah ee weerarada iyo muhiimadda ilaalinta macluumaadkooda shakhsi ahaaneed iyo kuwa xirfadeed.
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options
3.5 Weerarada User Enumeration
3.5 Waa Maxay Weerarka User Enumeration?
Weerarada User Enumeration waa weerar kamid ah weerada AD halkaas oo qofka weerarka geysanaya uu isku dayayo inuu uruuriyo macluumaadka ku saabsan isticmaalayaasha, sida magacyadooda, goorta ay markii ugu dambeysay soo galeen, iyo xaaladda passwordkooda. Ujeeddada laga leeyahay tani waa in la helo daciifnimooyin ama qaabab isticmaal oo sahlan oo la weerari karo.
3.5.1 Sidee Weerarkaan u Dhacaa?
Weerarkan waxaa lagu fuliyaa iyadoo la adeegsanayo 'Impacket' si loo soo saaro xogta loo baahan yahay ee ku jirta serverka Active Directory. Isticmaaluhu wuxuu amrayaa qalabka inuu isku dayo inuu helo xogta dhammaan isticmaalayaasha diiwaangashan, taas oo caadi ahaan loo adeegsan karo si loo falanqeeyo amniga gudaha.
3.5.2 Sidee Looga Hortagaa?
Xaddid Helitaanka: Hubi in kaliya isticmaalayaasha leh baahi ganacsi ay heli karaan macluumaadka Active Directory.
Soo Celinta Sirta Adag: Dhaqangeli siyaasado adag oo sirta ah si loo adkeeyo in la jabsado akoonnada.
Tababarka Wacyigelinta Amaanka: Bar isticmaalayaasha sida loo aqoonsado isku dayga phishingka iyo weerarada kale ee amniga.
La socodka iyo Digniinta: Isticmaal qalabka la socodka shabakada si aad ula socoto waxqabadyada ka shakisan iyo dhaqdhaqaaqyada aan caadiga ahayn.
Cusboonaysiinta iyo Dayactirka Joogtada ah: Hubi in nidaamyada iyo codsiyada la cusboonaysiiyo si loo xidho daldaloolooyinka amniga.
3.6 Dumping Hashes
Waa Maxay Dumping Hashes? "Dumping Hashes" waa habka laga soo saaro hashes-ka furaha sirta ah ee kaydiya nidaamyada kombiyuutarka, gaar ahaan kuwa ku jira Active Directory (AD) ee shabakadaha shirkadaha. loo adeegsado si loo ilaaliyo furaha asalka ah inaan si toos ah loo keydin ama loo soo bandhigin. Weeraryahanadu markay "dump" ku sameeyaan hashes-kan, waxay ujeedadoodu tahay inay dib u soo celiyaan ama "crack" gareeyaan furayaasha sirta ah si ay u helaan helitaanka aan la fasaxin.
3.6.1 Waa maxey hash cracking
Hash cracking waa habka loo isku dayo in la jebiyo ama la helo sirta asaliga ah ee ku jirta hash, kaasoo ah xog la beddelay oo aan si toos ah loo aqoonsan karin. Hashing waxaa badanaa loo isticmaalaa in lagu keydiyo sirta iyo xogta kale ee muhiimka ah iyadoo la adeegsanayo algorithms sida MD5, SHA-1, ama SHA-256
3.6.2 Sidee U Dhacaa?
Weeraryahanadu waxay adeegsan karaan qalab sida impacket ama Mimikatz, oo ah barnaamij loogu talagalay in lagu xado macluumaadka aqoonsiga isticmaalaha sida furaha sirta hashes iyo tigidhada Kerberos ee mashiinnada Windows.
Haddii nidaamka laga helo nuglaansho amni, weeraryahannadu waxay adeegsan karaan nuglaantaas si ay u galaan nidaamka oo ay u helaan hashes.
3.6.3 Sidee Looga Hortagaa?
Hubi in siyaasadaha sirta adag(Strong Password Policies) la meel mariyo si loo yareeyo fursadaha lagu jebin karo hashes-ka.
Ku rakib cusbooneysiinta amniga si joogto ah si loo xiro nuglaanta laga yaabo inay u oggolaato weeraryahanada inay galaan nidaamyada.
Ku dar lakabyo dheeri ah oo encryption ah xogta sirta ah si loo adkeeyo in la xado ama la jabiyo.
4. Privilege Escalation
Kor u qaadista awoodaha (Privilege Escalation) waa hab ay adeegsadaan attacks si ay u helaan xuquuqda maamulka ama xuquuqda isticmaale sare ee nidaam, taasoo u suurtagelinaysa inay fuliyaan howlo aan caadi ahaan suurtagal u ahayn isticmaale caadi ah. Tani waxay noqon kartaa kor-u-qaadis toos ah ama aan toos ahayn, waxayna kala yihiin labo nooc: vertikal (halkaasoo isticmaale caadi ah uu ku helo xuquuqda maamulaha) iyo horizontal (halkaasoo isticmaale uu ku helo xuquuqda isticmaale kale).
4.1 Pass-the-Hash Attack
Waa Maxay Pass-the-Hash Attack? Weerarka Pass-the-Hash waa nooc ka mid ah weerarada kor-u-qaadista awoodaha, halkaas oo weeraryahanku uu adeegsado hash-ka sirta ee laga xaday nidaamka si uu ugu qorto ama uu uga dhaqmo sidii isticmaale leh xuquuqdaas. Maadaama hash-ka la xaday uu noqon karo midka isticmaale ama maamule, weeraryahanku wuxuu awood u yeelan karaa inuu ku dhaqaaqo tallaabooyin badan oo aan xadidneyn gudaha shabakada ama nidaamka, isagoo aan u baahnayn inuu ogaado ama jabiyo erayga sirta ah ee asalka ah.
4.1.1 Sidee U Dhacaa?
Weeraryahanku wuxuu marka hore u baahan yahay inuu helo hashes-ka sirta ah, taasoo inta badan lagu gaaro iyadoo la adeegsanayo qalabyada sida Mimikatz, impacket, evil-winrm ama iyadoo laga faa'iideysanayo nuglaanta nidaamka.
Kadib markii la helo, hash-ka sirta ah waxaa loo adeegsan karaa in lagu galo (authenticate) nidaamyada kale ee shabakada iyadoo loo marayo hababka caadiga ah ee xaqiijinta, maadaama nidaamyadaasi ay aqbalaan hash-ka sida aqoonsiga saxda ah.
Sidee ayuu u dhacaa weerarada noocaan ah
Crackmapexec: Waa qalab ay isticmaalaan pen-testing oo awood badan, oo loogu talagalay in lagu baaro oo lagu weeraro SMB iyo borotokoollo kale.
Smb waa borotokoolka aan u mareyno (Port 445)
192.168.119.200:IP-ga nidaamka bartilmaameedka ee aad isku dayayso inaad la xiriirto.
u mubik: Magaca isticmaalaha (username) aad isticmaalayso si aad ugu gasho nidaamka. Halkan, magaca waa mubik.
d NASRI:Domain-ka nidaamka aad isku dayayso inaad isticmaasho, halkan waa NASRI.
p Password1: Waa erayga sirta ah (password) ee ku xiran magaca isticmaalaha mubik.
-sam: waxay dalbanaysaa in CrackMapExec uu isku dayo inuu soo dejiyo macluumaadka ku jira SAM (Security Account Manager) ee nidaamka Windows
haan sharaxaad kooban kabixiyo waxa uu yahey sam
4.1.2 Waa maxay SAM ?
SAM waa kooban magaca Security Account Manager, waana database muhiim ah oo ku jira nidaamyada Windowska kaasoo kaydiya macluumaadka isticmaalayaasha iyo fure sireedyada ee loo isticmaalo nidaamka
Inaga oo ka faa’iidaysanayna hash kaa haan isku deyno in aan noqono administrator
Waa maxay hash
Hash waa hab ama farsamo oo loo isticmaalo in xog (data) loo badalo lambar ama xarfo si joogto ah loo cabbiro, loogana ilaaliyo in si fudud loo fahmi karo ama loo beddelo.
Waa maxay domain admin
Domain Admin wuxuu leeyahay awoodda ugu sareysa ee lagu maamulo dhammaan kombiyuutarada iyo adeegyada ku jira domain kaas
Impacket-psexec: Waa tuulka tirsan Impacket, oo loo isticmaalo in lagu maamulo meelo fog (remote commands)
hashes :02482078fa45a41238d16c7cf29eb4dd: waa hash ka aan kor ku soo aragney
nasri.com/Administrator@192.168.119.200:
nasri.com: Domain-ka nidaamka aad la xiriirayso.
Administrator: Waa magac-isticmaale leh oggolaansho buuxa (admin privileges).
IP-ga bartilmaameedka 192.168.119.200
didaan arkikar waxaan siguul ah gudaha usoogalney
4.1.3 Sidee Looga Hortagaa?
Meel mari siyaasadaha sirta adag oo ku khasbaya isticmaalayaasha inay adeegsadaan furayaasha sirta ah ee xooggan iyo in la beddelo si joogto ah.
Ku xaddid isticmaale kasta xuquuqda uu u baahan yahay si uu u guto waajibaadkiisa, iska ilaali inaad siiso xuquuq aan loo baahnayn.
Hubi in dhammaan nidaamyada iyo barnaamijyadu yihiin kuwo la cusbooneysiiyay oo lagu dhaqmay dayactir amni oo joogto ah si loo yareeyo nuglaanta.
5. Post Exploitation
Post Exploitation waa marxalad ka mid ah weerarka kadib marka weeraryahanku uu si guul leh uga soo gudbo difaacyada hore oo uu helo awood uu ku fuliyo koodh ama uu ku helo xuquuqda nidaamka. Marxaladdan, weeraryahanku wuxuu fuliyaa hawlo kala duwan si uu u sii xoojiyo joogitaankiisa, u ururiyo xog dheeraad ah, u fuliyo weeraro dheeraad ah, ama u helo awood dheeraad ah.
5.1 TGT Attack
Waa Maxay Weerarka TGT (Ticket Granting Ticket Attack)? Weerarka TGT wuxuu dhacaa marka weeraryahanku adeegsado tigidhka TGT ee Kerberos si uu u abuuro tigidh been abuur ah (Golden Ticket). Tigidhkan wuxuu weeraryahanku ku heli karaa marin u helka dhammaan adeegyada ku xiran Active Directory. Weeraryahanku wuxuu ku sameeyaa tani iyadoo la adeegsanayo sirta keymasterka (krbtgt), taasoo ah sirta loo adeegsado in lagu saxeexo dhammaan TGT-yada shabakadda.
kahor weerar ka aan sifudud kuugu sharaxa waxa laga wada Kerberos Authentication’s
5.1.1 Waa Maxey Kerberos Authentication’s
Kerberos authentication waa hab amniga ah oo loo isticmaalo in lagu xaqiijiyo aqoonsiga isticmaalayaasha iyo adeegyada shabakada waxaana badanaa loo isticmaalaa nidaamyada Windows ee leh Active Directory
5.1.2 Sida uu U Shaqeeyo Kerberos
Sawir kan hoose waxaad ku fahmi kartaa qaab ka uu udhaco kerberos authenticationska
5.1.3 Sidee U Dhacaa Weerarka TGT?
Weeraryahanku wuxuu marka hore u baahan yahay inuu helo sirta account-ka krbtgt, oo mas'uul ka ah inuu saxiixo TGT-yada.
Kadib markii la helo sirta krbtgt, weeraryahanku wuxuu adeegsanayaa Mimikatz ama qalab kale oo la mid ah si uu u abuuro Golden Ticket.
Tigidhkan been abuurka ah wuxuu u oggolaanayaa weeraryahanka inuu si buuxda u helo marin u helka dhammaan adeegyada Active Directory.
waxaan isticmaaleyna mimkatz
Mimikatz
waa qalab caan ah oo loo isticmaalo post-exploitation kaas oo loo adeegsado in laga soo saaro xoga ha sirta ah tigidhyada Kerberos, iyo macluumaad kale oo xasaasi ah
Sidee ayuu u dhacaa weerarada TGT
TGT Attack waa weerar ay ku soo rogaan weeraryahannada kuwaas oo abuura tigidhyo TGT been abuur ah, kuwaas oo u oggolaanaya gelitaanka maamulka guud ee dhammaan adeegyada Active Directory
Waxaan run gareeyay mimkatz
Lsadump::dcsync: Waa module ka tirsan Mimikatz kaas oo u oggolaanaya weeraryahanka inuu ku sameeyo DCSync attack.
/domain:nasri.com: waxay tilmaamaysaa magaca domainka attacks rabo inuu ka helo macluumaadka
/user:krbtgt:krbtgt
Waxaan helnay tikitkii been abuurka ahaa een sameyney
5.2 SPN Attack
Waa Maxay Weerarka SPN (Service Principal Name Attack)? Weerarka SPN wuxuu diiradda saaraa adeegyada leh Service Principal Names (SPN). Weeraryahanku wuxuu ka faa'iidaystaa SPN-yada si uu u helo sirta adeegga iyadoo la adeegsanayo weerarka loo yaqaan 'Kerberoasting'. Tani waxay u oggolaaneysaa in la jabsado sirta adeegyada aan si fiican loo ilaalin oo inta badan leh xuquuq dheeraad ah.
5.2.1 Sidee U Dhacaa Weerarka SPN?
Weeraryahanku wuxuu uruuriyaa liiska SPN-yada ku xiran nidaamka.
Iyadoo la adeegsanayo SPN-yada la helay, weeraryahanku wuxuu codsan karaa TGS (Ticket Granting Service) tikidhka oo leh sirta hash ee adeegga. Kadibna wuxuu isku dayaa inuu jabsado hash-ka si uu u helo sirta qoraalka ah.
Weeraryahanku wuxuu adeegsan karaa furo sireedka la jabiyey si uu u helo marin u helid dheeraad ah nidaamka ama uu u fuliyo weeraro kale.
Haan isku deyno in aan jabino hash sqlservice siaan u helno furo sireed kiisa
Waxeyno hesanaa furosereedkii sqlservice ka
5.2.2 Sidee Looga Hortagaa Weeraradan?
Hubi in dhammaan adeegyadu ay adeegsanayaan fure sireed xooggan oo adag oo la cusboonaysiiyo si joogto ah.
Xadidida Helitaanka Macluumaadka SPN iyo TGT Oo kaliya siin xuquuqda lagama maarmaanka ah ee uruurinta macluumaadka SPN iyo adeegsiga TGT-yada shaqaalaha ama nidaamyada aad loogu kalsoon yahay.
Bar shaqaalaha sida loo aqoonsado weerarada suurtagalka ah iyo sidii ay uga hortagi lahaayeen iyaga oo adeegsanaya dhaqamada ugu fiican ee amniga.
6. Gunaanadka Warbixinta
Gunaanadka warbixinta Active Directory waxaa looga hadlay hababka kala duwan ee baaritaanka iyo sida loo ogaado nuglaanshaha ku jira nidaamyada Active Directory (AD) iyada oo loo marayo weerarada sida Password Spray, SMB Relay, User Enumeration, Pass the Hash iyo qaar kale. Warbixintu waxay bixisay faahfaahin ku saabsan sida weeraryahannadu u adeegsadaan qalabyo iyo xeelado kala duwan si ay u helaan helitaan aan fasax loo heysan iyo sida loo qaado weeraradaan, iyadoo sidoo kale la sharxay hababka looga hortago iyo tallaabooyinka amniga ee lagama maarmaanka u ah in la dhaqan geliyo si loo ilaaliyo xogta iyo ilaha shabakadda.
Waxaa muhiim ah in la xuso in, inkasta oo warbixintu si qoto dheer uga hadashay farsamooyinka iyo qalabyada weerarka, haddana waxaa jira baahi loo qabo in si joogto ah loo cusboonaysiiyo oo loo hagaajiyo siyaasadaha amniga, tababarka shaqaalaha, iyo in la sii wado horumarinta fahamka amniga si loola jaanqaado hanjabaadaha isbeddelaya. Tani waxay xaqiijin doontaa in ururku si wax ku ool ah uga hortago weerarada, loo yareeyo khatarta, iyo in la ilaaliyo kalsoonida adeegyada ay bixiyaan.
Ugu dambeyntii, maareynta iyo ilaalinta Active Directory waa mid joogto ah oo u baahan in si taxadar leh loo qorsheeyo, loo fuliyo, iyo in si joogto ah dib u eegis loogu sameeyo siyaasadaha amniga. Tani waxay ka caawineysaa in la yareeyo suurtagalnimada weerarada iyo yareynta saameynta ay ku yeelan karaan hawlaha muhiimka ah ee shirkada. Adigoo raacaya talooyinkan iyo fulinta dhaqamada ugu wanaagsan, shirkada wuxuu awood u yeelan doonaa inuu si wax ku ool ah uga hortago, uu ogaado, una jawaabo weerarada suurtagalka ah, isagoo hubinaya sii jiritaanka amniga guud ee macluumaadka iyo hantida IT-ga.
Last updated