Внутренняя разведка Active Directory через Cobalt Strike / forpes.ru

14.03.2024 11:23

GorillaHacker 0 2800 Источник

Введение

С ростом автоматизированных вычислительных систем и с увеличением атак на данные системы резко возник вопрос мониторинга за операционными системами на базе которых и работает любая информационная система в компании. В данных операционных системах устанавливаются/подключаются новые классы средств защиты. Мониторинг за информационными системами углубляется, а аналитика атомарных событий усложняется.

В рамках внутренней разведки атакующие часто используют инструмент PowerShell для сбора информации о домене, что порождает больший интерес к контролю за данным инструментом со стороны подразделений мониторинга событий информационной безопасности.

Чтобы отойти от концепции использования PowerShell и .NET, оставаться более незаметными и минимизировать время на разведку контроллера-домена эксперты из Red Team Outflank создали скрипт для Cobalt Strike - Recon-AD, написанный на языках на C/C++ на основе ADSI и reflective DLL.

Ну что же, приступим к более детальному изучению данного решения.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Установка

Перед установкой нам понадобится наличие развернутого сервера Cobalt Strike, в нашем примере мы используем Cobalt Strike версии 4.9.

Для установки скрипта нам необходимо выполнить следующие действия:

Перейти по следующей ссылке https://github.com/outflanknl/Recon-AD/ и скачать архив с компонентами Recon-AD.

Распаковать папку “Outflank-Recon-AD” из скачанного архива и поместить ее в удобное для вас место на компьютере с которого будете запускать Cobalt Strike Client.

Загрузить скрипт “Recon-AD.cna” из разархивированной папки “Outflank-Recon-AD” в интерфейс Cobalt Strike Client (Cobalt Strike Script Manager).

После данных этапов мы можем приступать к использованию инструмента Recon-AD.

Описание функционала и применение

Данный инструмент состоит из главного скрипта и семи DLL-файлов (названия аналогичны командам в Cobalt Strike):

Recon-AD-Domain - используется для перечисления информации о домене (доменное имя, GUID, название сайта, политика паролей, список домен-контроллеров).
Recon-AD-Users - используется для получения объектов “Пользователи” Active Directory с атрибутами по заданному запросу.
Recon-AD-Groups - используется для получения объектов “Группы” Active Directory.
Recon-AD-Computers - используется для получения объектов “Компьютеры” Active Directory с атрибутами по заданному запросу.
Recon-AD-SPNs - используется для вывода перечня учетных записей Active Directory, участников службы (SPN) и отображения полезных атрибутов.
Recon-AD-AllLocalGroups - используется для получения списка локальных групп на хосте и членов данных групп.
Recon-AD-LocalGroups - используется для получения информации по определенной локальной группе (группа “Администраторы” по умолчанию).

Изучив основные компоненты данного инструментария можем приступить к демонстрации практического применения, для этого мы будем использовать тестовый стенд. Данный стенд состоит из нескольких виртуальных хостов подключенных к контроллеру домена.

С имитируем получение первоначального доступа на хост “GISPENTEST2” и произведем там внутреннюю разведку с применением “Recon-AD” в составе Cobalt Strike.

Получение информации о домене

Для получения информации о домене, в который мы получили доступ выполним следующую команду через интерактивную сессию хоста в Cobalt Strike.

Recon-AD-Domain

В результате мы получаем информацию о нашем тестовом домене.

Получение информации о пользователях домена

Для вывода информации о всех пользователях домена выполним следующую команду.

Recon-AD-Users all

Данная команда выведет полный список пользователей Active Directory со всеми атрибутами.

Для фильтрации запроса мы можем использовать следующие варианты команд.

Recon-AD-Users <User-Name>
Recon-AD-Users *admin* # имя УЗ содержит текст "admin"

Пример вывода одной из них указан ниже.

[03/14 13:05:59] beacon> Recon-AD-Users *Hack*
[03/14 13:05:59] [+] Let's enumerate user *Hack*
[03/14 13:05:59] [*] Tasked beacon to spawn Recon-AD-Users
[03/14 13:05:59] [+] host called home, sent: 128064 bytes
[03/14 13:06:00] [+] received output:
[+] objectClass:
top
person
organizationalPerson
user
[+] cn:
Gorilla GH. Hacker
[+] sn:
Gorilla
[+] c:
RU
[+] l:
Saint-Petersburg
[+] description:
Chief of pentesters
[+] telephoneNumber:
89999999998
[+] givenName:
Hacker
[+] initials:
GH
[+] distinguishedName:
CN=Gorilla GH. Hacker,CN=Users,DC=gtnp,DC=local
[+] instanceType:
4
[+] whenCreated:
3/14/2024 4:02:02 PM
[+] whenChanged:
3/14/2024 4:04:26 PM
[+] displayName:
Gorilla GH. Hacker
[+] uSNCreated:
high: 0 low: 80069
[+] uSNChanged:
high: 0 low: 80090
[+] co:
Russia
[+] name:
Gorilla GH. Hacker
[+] objectGUID:
{ADA81D30-8616-43D5-B3DC-BE4B569F9293}
[+] userAccountControl:
66048
[+] badPwdCount:
0
[+] codePage:
0
[+] countryCode:
643
[+] badPasswordTime:
No value set.
[+] lastLogoff:
No value set.
[+] lastLogon:
No value set.
[+] pwdLastSet:
3/14/2024 9:02:03 AM
[+] primaryGroupID:
513
[+] objectSid:
S-1-5-21-3395708365-1461986185-1509986597-1166
[+] accountExpires:
Never Expires.
[+] logonCount:
0
[+] sAMAccountName:
GorillaHacker
[+] sAMAccountType:
805306368
[+] userPrincipalName:
GorillaHacker@gtnp.local
[+] objectCategory:
CN=Person,CN=Schema,CN=Configuration,DC=gtnp,DC=local
[+] dSCorePropagationData:
3/14/2024 4:02:03 PM
1/1/1601
[+] mail:
gh@somemail.ru
[+] ADsPath:
LDAP://CN=Gorilla GH. Hacker,CN=Users,DC=gtnp,DC=local
[+] Password expire settings:
password never expires
[+] Account options:
account enabled

Получение информации о группах домена

Для вывода информации о всех группах домена выполним следующую команду.

Recon-AD-Groups all

Данная команда выведет полный список групп Active Directory со всеми атрибутами.

Для фильтрации запроса мы можем использовать следующие варианты команд.

Recon-AD-Groups <Group-Name>
Recon-AD-Groups admin # имя группы содержит текст "admin"

Получение информации о компьютерах домена

Для вывода информации о всех компьютерах домена выполним следующую команду.

Recon-AD-Computers

Для фильтрации запроса мы можем использовать следующие варианты команд.

Recon-AD-Computers <Computer-Name>
Recon-AD-Computers serv # имя хоста содержит текст "serv"

Получение информации об участников службы SPN

Для вывода данной информации выполним следующую команду.

Recon-AD-SPNs

Данная команда выведет полный список участников службы SPN.

Получение информации о локальных группах

Для вывода данной информации выполним следующую команду.

Recon-AD-AllLocalGroups <Computer-Name>

На выходе мы получаем полный список локальных групп на хосте и их участников.

Получение информации о заданной локальной группе

Для вывода данной информации выполним следующую команду.

Recon-AD-LocalGroups <Computer-Name> <Group-Name>

В рамках данного запроса мы запросили информацию по группе “Users”.

Заключение

В данной статье мы рассмотрели инструмент “Recon-AD”: его особенности, установку, функционал и практическое применение. Его применение позволит сократить время на получение необходимой информации для проведения следующих этапов тестирования (атак) скомпрометированной инфраструктуры, а также оставаться более незамеченным для средств защиты в корпоративном сегменте.