SAMRi10 — контрразведывательный инструмент Windows

Информационная безопасность Оставить комментарий

SAMRi10 - контрразведывательный инструмент Windows

Контрразведывательный инструмент Windows: SAMRi10

Инструмент «SAMRi10» — это короткий сценарий PowerShell (PS), который изменяет разрешения по умолчанию для удаленного доступа к SAM в Windows 10 и Windows Server 2016. Этот процесс делает защиту более прочной и мешает злоумышленникам с легкостью получать ценные данные, которые могут помочь им продвинуться вглубь сети их жертвы.

Скачать SAMRi10

Рекогносцировка (вкратце разведка) является ключевым этапом в убийственной цепи продвинутых злоумышленников. После того, как злоумышленники нарушили единственную конечную точку, им необходимо определиться со своими следующими целями в корпоративной сети жертвы, в первую очередь — это привилегированные пользователи. Для того чтобы администраторы могли упрочнить свою сеть от таких разведывательных атак, нацеленных на локальных пользователей, Microsoft разработала инструмент «SAMRi10» (произносится самаритянин).

Атакующие используют взломанные учетные данные для того, чтобы продвигаться дальше вглубь сети своей жертвы. Эти взломанные учетные данные могут состоять из доменных или локальных учетных данных. Локальные учетные данные, особенно данные локальных администраторов, являются выгодной мишенью для нападок злоумышленников, т.к. менее управляемы (имеется ввиду сложность пароля и политика изменений) и менее отслеживаемы (нет трафика и журналов помимо конкретного компьютера).

Выдача диспетчера учетных записей безопасности Windows (Remote Security Manager, SAM) удаленно с помощью протокола SAM-Remote (SAMR) на машинах домена их жертвы позволяет злоумышленникам получить всех пользователей домена и локальных пользователей с их членством в группе и отобразить возможные маршруты в сети жертвы. Недавно, некоторые фреймворки (например, BloodHound) автоматизировали процесс сопоставления.

По умолчанию доступ к SAM может осуществляться удаленно (через SAMR) любым аутентифицированным пользователем, включая подключенных к сети пользователей, что фактически означает, что любой пользователь домена имеет доступ к нему. В Windows 10 появилась возможность управлять удаленным доступом к SAM с помощью определенного значения реестра. В Windows Anniversary update (Windows 10 Version 1607) разрешения по умолчанию были изменены, чтобы разрешить удаленный доступ только для администраторов. Был добавлен параметр групповой политики, который предоставляет удобный интерфейс для изменения этих разрешений по умолчанию.

Инструмент «SAMRi10» — это короткий сценарий PowerShell (PS), который изменяет разрешения на всех версиях Windows 10 и Windows Server 2016. Наиболее важно то, что этот процесс делает защиту более прочной и мешает злоумышленникам с легкостью получать ценные данные.

Диспетчер безопасности аккаунта и активная директория (Security Account Manager (SAM) and Active Directory)

Аккаунты всегда создаются относительно ведомства, выдающего разрешения. В Windows, это ведомство называется доменом. Домен может быть как локальным, так и расширенным на всю сеть. Домены хранят информацию о своих аккаунтах в базе данных аккаунтов. Windows использует Active Directory в качестве базы данных учетных записей в доменах, тогда как в средах, которые не являются доменными, в качестве базы данных учетных записей используется встроенная база данных диспетчера безопасности аккаунтов (SAM).

Локальные домены и база данных аккаунтов

Каждый компьютер, использующий Windows для работы, имеет свой собственный локальный домен, то есть он обладает базой данных аккаунтов для учетных записей конкретно для этого компьютера. Они называются локальными учетными записями, локальными группами и т.д. Поскольку компьютеры обычно не доверяют друг другу информацию об учетной записи, эти идентификаторы остаются локальными для компьютера, на котором они были созданы.

SAMR

Удаленный протокол диспетчера учетных записей безопасности (SAMR) предоставляет собой базу данных диспетчера учетных записей безопасности для аутентифицированного пользователя домена. Это делается для локальных и доменных учетных записей. Есть пять объектов, которые подвержены влиянию протокола: сервер, домен, группа, псевдоним и пользователь. Все эти объекты могут быть обновлены и прочитаны, а некоторые (пользователь, группа и псевдоним) также могут быть созданы и удалены.

Использование и рабочий процесс

Базовый процесс использования протокола SAMR выглядит следующим образом:

  1. Подключитесь к серверу (the00 удаленная машина).
  2. Перечислить / найти сервер для доменов.
  3. Откройте интересующий домен.
  4. Найдите пользователя или псевдоним / группу в домене.
  5. Откройте интересующего вас пользователя / псевдоним.
  6. Запросите интересующего вас пользователя / псевдоним.

Есть несколько инструментов, которые используют эти вызовы API, такие как Net User/GroupPowerSploit‘s Get-NetLocalGroup и Imapcket’s SAMRdump. Net User и Net Group являются встроенными инструментами командной строки Windows. С помощью этих инструментов аутентифицированный пользователь может добавлять или изменять и отображать информацию о пользователях или группах соответственно на локальном компьютере или контроллере домена. Get-NetLocalGroup запрашивает удаленный компьютер для своих локальных групп (включая группы «Администраторы» и «Пользователи»). SAMRdump, запрашивает целевую машину для своих локальных пользователей (с помощью EnumDomainUsers на целевой машине).

Необходимые разрешения для SAMR

До Windows 10 любой пользователь домена мог запрашивать любой компьютер для своих локальных пользователей по протоколу SAMR. В Windows 10 удаленные разрешения SAM можно настроить, установив следующее значение реестра:

HKLM/System/CurrentControlSet/Control/Lsa/RestrictRemoteSAM

Версия обновления Windows Anniversary изменила дескриптор безопасности по умолчанию для доступа к SAM, чтобы ограничить удаленный запрос SAM только для локальных администраторов, даже если вышеупомянутый ключ реестра отсутствует, и добавила параметр групповой политики («Доступ к сети: ограничение доступа клиентов, которые могут произвести удаленный вызовов SAM» («Network Access: Restrict clients allowed to make remote calls to SAM»)), чтобы разрешить централизованное администрирование этого параметра.

Детали

Сценарий SAMRi10 упрочняет удаленный доступ к SAM путем предоставления разрешения для членов группы администраторов или новой созданной группы (также с помощью этого сценария) под названием «Удаленные пользователи SAM» («Remote SAM Users»). Это позволит любому администратору или любой учетной записи службы / пользователя добавляться в локальную группу «Удаленные пользователи SAM» для удаленного доступа к SAM на укрепленной машине.

Контроллер домена Windows Server 2016, усиленный инструментом SAMRi10, по-разному реагирует на удаленный доступ к SAM на основе запрашиваемого типа учетной записи пользователя:

  • Учетная запись администратора домена: запрос упрочненного контроллера домена, например «Пользователь / группа», будет выполнен успешно.
  • Непривилегированная учетная запись пользователя: запрос упрочненного контроллера домена, например, с помощью «Net User / Group», приведет к ошибке «Access is denied».
  • Член «Удаленных пользователей SAM» («Remote SAM Users»): запрос настроенного контроллера домена, например «Net User / Group», будет выполнен успешно.

Машина Windows 10, упрочненная с помощью инструмента SAMRi10, будет реагировать на удаленный доступ к SAM, основанный на типе запрашиваемой учетной записи пользователя, также как и на упрочненный контроллер домена 2016. Удаленное выполнение метода PowerSploit Get-NetLocalGroup на укрепленном компьютере с помощью SAMRi10, с использованием непривилегированного пользователя приведет к ошибке «Access is denied».

Выполнение того же метода с учетной записи администратора или члена локальной группы «Удаленных пользователей SAM» («Remote SAM Users») на удаленном компьютере будет выполнено успешно.

Перевод: Анна Давыдова
Источник: n0where.net

Это интересно:

Оставить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *