Получи 30.000 рублей от codeby

Мы запустили конкурс для авторов, в котором может принять участие любой желающий. За первое место - 7500 руб., второе - 5000, третье 2500. Главный приз 30.000 рублей вы получаете независимо от места в конкурсе. Подробнее на форуме codeby ...

SAMRi10 - контрразведывательный инструмент Windows

Контрразведывательный инструмент Windows: SAMRi10

Инструмент «SAMRi10» — это короткий сценарий PowerShell (PS), который изменяет разрешения по умолчанию для удаленного доступа к SAM в Windows 10 и Windows Server 2016. Этот процесс делает защиту более прочной и мешает злоумышленникам с легкостью получать ценные данные, которые могут помочь им продвинуться вглубь сети их жертвы.

Скачать SAMRi10

Рекогносцировка (вкратце разведка) является ключевым этапом в убийственной цепи продвинутых злоумышленников. После того, как злоумышленники нарушили единственную конечную точку, им необходимо определиться со своими следующими целями в корпоративной сети жертвы, в первую очередь — это привилегированные пользователи. Для того чтобы администраторы могли упрочнить свою сеть от таких разведывательных атак, нацеленных на локальных пользователей, Microsoft разработала инструмент «SAMRi10» (произносится самаритянин).

Атакующие используют взломанные учетные данные для того, чтобы продвигаться дальше вглубь сети своей жертвы. Эти взломанные учетные данные могут состоять из доменных или локальных учетных данных. Локальные учетные данные, особенно данные локальных администраторов, являются выгодной мишенью для нападок злоумышленников, т.к. менее управляемы (имеется ввиду сложность пароля и политика изменений) и менее отслеживаемы (нет трафика и журналов помимо конкретного компьютера).

Выдача диспетчера учетных записей безопасности Windows (Remote Security Manager, SAM) удаленно с помощью протокола SAM-Remote (SAMR) на машинах домена их жертвы позволяет злоумышленникам получить всех пользователей домена и локальных пользователей с их членством в группе и отобразить возможные маршруты в сети жертвы. Недавно, некоторые фреймворки (например, BloodHound) автоматизировали процесс сопоставления.

По умолчанию доступ к SAM может осуществляться удаленно (через SAMR) любым аутентифицированным пользователем, включая подключенных к сети пользователей, что фактически означает, что любой пользователь домена имеет доступ к нему. В Windows 10 появилась возможность управлять удаленным доступом к SAM с помощью определенного значения реестра. В Windows Anniversary update (Windows 10 Version 1607) разрешения по умолчанию были изменены, чтобы разрешить удаленный доступ только для администраторов. Был добавлен параметр групповой политики, который предоставляет удобный интерфейс для изменения этих разрешений по умолчанию.

Инструмент «SAMRi10» — это короткий сценарий PowerShell (PS), который изменяет разрешения на всех версиях Windows 10 и Windows Server 2016. Наиболее важно то, что этот процесс делает защиту более прочной и мешает злоумышленникам с легкостью получать ценные данные.

Диспетчер безопасности аккаунта и активная директория (Security Account Manager (SAM) and Active Directory)

Аккаунты всегда создаются относительно ведомства, выдающего разрешения. В Windows, это ведомство называется доменом. Домен может быть как локальным, так и расширенным на всю сеть. Домены хранят информацию о своих аккаунтах в базе данных аккаунтов. Windows использует Active Directory в качестве базы данных учетных записей в доменах, тогда как в средах, которые не являются доменными, в качестве базы данных учетных записей используется встроенная база данных диспетчера безопасности аккаунтов (SAM).

Локальные домены и база данных аккаунтов

Каждый компьютер, использующий Windows для работы, имеет свой собственный локальный домен, то есть он обладает базой данных аккаунтов для учетных записей конкретно для этого компьютера. Они называются локальными учетными записями, локальными группами и т.д. Поскольку компьютеры обычно не доверяют друг другу информацию об учетной записи, эти идентификаторы остаются локальными для компьютера, на котором они были созданы.

SAMR

Удаленный протокол диспетчера учетных записей безопасности (SAMR) предоставляет собой базу данных диспетчера учетных записей безопасности для аутентифицированного пользователя домена. Это делается для локальных и доменных учетных записей. Есть пять объектов, которые подвержены влиянию протокола: сервер, домен, группа, псевдоним и пользователь. Все эти объекты могут быть обновлены и прочитаны, а некоторые (пользователь, группа и псевдоним) также могут быть созданы и удалены.


Набираем команду codeby webinar

Набираем команду для организации и проведения вебинаров Подробнее ...

Использование и рабочий процесс

Базовый процесс использования протокола SAMR выглядит следующим образом:

  1. Подключитесь к серверу (the00 удаленная машина).
  2. Перечислить / найти сервер для доменов.
  3. Откройте интересующий домен.
  4. Найдите пользователя или псевдоним / группу в домене.
  5. Откройте интересующего вас пользователя / псевдоним.
  6. Запросите интересующего вас пользователя / псевдоним.

Есть несколько инструментов, которые используют эти вызовы API, такие как Net User/GroupPowerSploit‘s Get-NetLocalGroup и Imapcket’s SAMRdump. Net User и Net Group являются встроенными инструментами командной строки Windows. С помощью этих инструментов аутентифицированный пользователь может добавлять или изменять и отображать информацию о пользователях или группах соответственно на локальном компьютере или контроллере домена. Get-NetLocalGroup запрашивает удаленный компьютер для своих локальных групп (включая группы «Администраторы» и «Пользователи»). SAMRdump, запрашивает целевую машину для своих локальных пользователей (с помощью EnumDomainUsers на целевой машине).

Необходимые разрешения для SAMR

До Windows 10 любой пользователь домена мог запрашивать любой компьютер для своих локальных пользователей по протоколу SAMR. В Windows 10 удаленные разрешения SAM можно настроить, установив следующее значение реестра:

Версия обновления Windows Anniversary изменила дескриптор безопасности по умолчанию для доступа к SAM, чтобы ограничить удаленный запрос SAM только для локальных администраторов, даже если вышеупомянутый ключ реестра отсутствует, и добавила параметр групповой политики («Доступ к сети: ограничение доступа клиентов, которые могут произвести удаленный вызовов SAM» («Network Access: Restrict clients allowed to make remote calls to SAM»)), чтобы разрешить централизованное администрирование этого параметра.

Детали

Сценарий SAMRi10 упрочняет удаленный доступ к SAM путем предоставления разрешения для членов группы администраторов или новой созданной группы (также с помощью этого сценария) под названием «Удаленные пользователи SAM» («Remote SAM Users»). Это позволит любому администратору или любой учетной записи службы / пользователя добавляться в локальную группу «Удаленные пользователи SAM» для удаленного доступа к SAM на укрепленной машине.

Контроллер домена Windows Server 2016, усиленный инструментом SAMRi10, по-разному реагирует на удаленный доступ к SAM на основе запрашиваемого типа учетной записи пользователя:

  • Учетная запись администратора домена: запрос упрочненного контроллера домена, например «Пользователь / группа», будет выполнен успешно.
  • Непривилегированная учетная запись пользователя: запрос упрочненного контроллера домена, например, с помощью «Net User / Group», приведет к ошибке «Access is denied».
  • Член «Удаленных пользователей SAM» («Remote SAM Users»): запрос настроенного контроллера домена, например «Net User / Group», будет выполнен успешно.

Машина Windows 10, упрочненная с помощью инструмента SAMRi10, будет реагировать на удаленный доступ к SAM, основанный на типе запрашиваемой учетной записи пользователя, также как и на упрочненный контроллер домена 2016. Удаленное выполнение метода PowerSploit Get-NetLocalGroup на укрепленном компьютере с помощью SAMRi10, с использованием непривилегированного пользователя приведет к ошибке «Access is denied».

Выполнение того же метода с учетной записи администратора или члена локальной группы «Удаленных пользователей SAM» («Remote SAM Users») на удаленном компьютере будет выполнено успешно.

<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

Это интересно:



Похожие темы

Как скрыть версии веб-сервера Apache и PHP (на Lin... Сокрытие версий Apache и PHP — это один из элементов в обеспечении безопасности веб-сервера. Знание версий этих программ может облегчить задач...
Редактируем PDF файлы на Linux и на Windows... Некоторое время назад мне понадобилось отредактировать файл PDF. Ничего подходящего на моём компьютере на нашлось, есть Foxit Reader, но в своей бес...
Установка Apache, PHP, MySQL, phpMyAdmin Всё будет хорошо Митя Фомин Теперь доступна инструкция "Установка и настройка сервера Apache, PHP, MySQL, phpMyAdmin на Windows 10". Она заменяет ...
Эмуляция сети из нескольких компьютеров на одном к... Эта инструкция небольшая, но очень полезная. Она пригодится: тестировщикам на проникновение и хакерам: для сканирования с одной операционной си...
Брандмауэр для чего нужен и как работает- для чайн... Брандмауэр (из англ. firewall) - система компьютерной безопасности, которая защищает ваш домашний,офисный компютер или сервер от вредоносного кода, ха...