Przygotowanie laboratorium i atak na serwer Microsoft Exchange Architektura i wdrożenie laboratorium Zabójczy łańcuch usługi Active Directory Atakowanie serwera Exchange Enumeracja użytkowników i rozsiewanie haseł Zrzut danych i eksfiltracja Eksploity Zero2Hero Unikanie obrony Interfejs AMSI, tryb PowerShell CLM i blokada AppLocker Interfejs skanowania antymalware Sposób 1 — wymuszanie błędów Sposób 2 — zaciemnianie kodu Sposób 3 — patchowanie pamięci AppLocker i PowerShell CLM Ulepszone rejestrowanie powłoki PowerShell i Sysmon Usługa śledzenia zdarzeń dla systemu Windows (ETW) Rekonesans i odkrywanie domen Enumeracja przy użyciu wbudowanych funkcjonalności Polecenie cmdlet PowerShell WMI net.exe Protokół LDAP Narzędzia stosowane przy enumeracji SharpView/PowerView BloodHound Enumeracja usług i polowanie na użytkowników SPN Serwer plików Unikanie wykrywania enumeracji Microsoft ATA Tokeny-przynęty Dostęp do poświadczeń w domenie Poświadczenia w postaci czystego tekstu w domenie Sposoby stare, ale wciąż warte wypróbowania Hasło w polu opisu Rozsiewanie haseł Przechwytywanie hasha Wymuszone uwierzytelnianie Użycie do ataków protokołu MS-RPRN (eksploit PrinterBug) Użycie do ataków protokołu MS-EFSR (PetitPotam) Użycie do ataków protokołu WebDAV Użycie do ataków protokołu MS-FSRVP (ShadowCoerce) Użycie do ataków protokołu MS-DFSNM (DFSCoerce) Atak roasting na protokół Kerberos Kerberos 101 Atak ASREQRoast Atak roasting KRB_AS_REP (ASREPRoast) Atak Kerberoasting Automatyczne zarządzanie hasłami w domenie LAPS gMSA Hasła zamaskowane NTDS Atak DCSync Zrzucanie danych uwierzytelniających użytkownika w postaci czystego tekstu przez DPAPI Ruch boczny w obrębie domeny i pomiędzy lasami domen Wykorzystanie protokołów administracyjnych w domenie PSRemoting i JEA Protokół RDP Inne protokoły z klasami Impacket Przekazywanie hasha Atak pass-the-whatever Atak pass-the-hash Ataki pass-the-key i overpass-the-hash Atak pass-the-ticket Delegowanie protokołu Kerberos Delegowanie nieograniczone Ograniczone delegowanie oparte na zasobach Delegowanie ograniczone Atak Bronze Bit alias CVE-2020-17049 Wykorzystywanie przy atakach relacji zaufania do wykonywania ruchu bocznego Eskalacja przywilejów w domenie Eksploity Zero2Hero Podatność MS14-068 Podatność Zerologon (CVE-2020-1472) Podatność PrintNightmare (CVE-2021-1675 & CVE-2021-34527) Spoofing sAMAccountName i noPac (CVE-2021-42278/CVE-2021-42287) Podatność RemotePotato0 Wykorzystywanie do ataków list ACL Grupa Komputer Użytkownik Atak DCSync Naruszanie bezpieczeństwa zasad grupy Pozostałe wektory eskalacji przywilejów Wbudowane grupy bezpieczeństwa Wykorzystanie do ataków grupy DNSAdmins (CVE-2021-40469) Eskalacja domeny podrzędnej/potomnej Zarządzanie dostępem uprzywilejowanym Przetrwanie na poziomie domeny Sfałszowane bilety Manipulacje listami ACL i atrybutami obiektu domeny Atak DCShadow Atak Golden gMSA Przetrwanie na poziomie kontrolera domeny Atak typu Skeleton Key Złośliwy dostawca usług wsparcia w zakresie zabezpieczeń (SSP Konto DSRM Zmiana deskryptora zabezpieczeń Używanie do ataków usług certyfikatów w Active Director Teoria infrastruktury klucza publicznego Kradzież certyfikatów Kradzież THEFT1 — eksportowanie certyfikatów przy użyciu interfejsu CryptoAPI Kradzież THEFT2 — kradzież certyfikatu użytkownika poprzez DPAPI Kradzież THEFT3 — kradzież certyfikatu maszyny za pośrednictwem DPAPI Kradzież THEFT4 — zbieranie plików certyfikatów Kradzież THEFT5 — kradzież danych uwierzytelniających NTLM poprzez mechanizm PKINIT (nPAC-the-hash) Przetrwanie na poziomie konta Przetrwanie PERSIST1 — kradzież danych uwierzytelniających aktywnych użytkowników za pośrednictwem certyfikatów Przetrwanie PERSIST2 — przetrwanie na poziomie maszyny za pomocą certyfikatów Przetrwanie PERSIST3 — przetrwanie na poziomie konta poprzez odnowienie certyfikatu Poświadczenia-cienie (Shadow Credentials) Eskalacja przywilejów domeny Podatność Certifried (CVE-2022-26923) Błędne konfiguracje szablonów i rozszerzeń Niewłaściwa kontrola dostępu Błędna konfiguracja urzędu certyfikacji (CA) Ataki przekaźnikowe Przetrwanie na poziomie domeny Przetrwanie DPERSIST1 — fałszowanie certyfikatów przy użyciu skradzionego certyfikatu urzędu certyfikacji (CA) Przetrwanie DPERSIST2 — ufanie fałszywym certyfikatom wystawionym przez urzędy certyfikacji Przetrwanie DPERSIST3 — złośliwa błędna konfiguracja Naruszanie zabezpieczeń serwera Microsoft SQL Wprowadzenie, odkrywanie i enumeracja Wprowadzenie do serwera SQL Odkrywanie Brute force Enumeracja bazy danych Eskalacja przywilejów Podszywanie się pod innego użytkownika Błędna konfiguracja właściwości TRUSTWORTHY Wstrzykiwanie ścieżki UNC Z konta usługi na konto systemowe (SYSTEM) Od administratora lokalnego do administratora systemu Wykonywanie poleceń systemu operacyjnego Procedura składowana xp_cmdshell Niestandardowa rozszerzona procedura składowana Niestandardowe zestawy CLR Procedury automatyzacji OLE Zadania wykonywane przez agenta zadań Skrypty zewnętrzne Ruch boczny Konta usług współdzielonych Łącza do baz danych Automatyczne uruchamianie plików i rejestru Startowe procedury składowane Złośliwe wyzwalacze Przejmowanie usługi WSUS i menedżera SCCM Wykorzystywanie do ataków usługi WSUS Wprowadzenie do menedżera MECM/SCCM Wdrożenie Rozpoznanie Eskalacja przywilejów Wymuszenie client push przy uwierzytelnianiu Pozyskiwanie (harvesting) poświadczeń Ruch boczny Atak przekaźnikowy typu client push przy uwierzytelnianiu Przejęcie struktury fizycznej Wykorzystywanie do ataków serwera Microsoft SQL Wdrażanie aplikacji Zalecenia obronne