Атака DCShadow на домен: пошаговая инструкция
В данной статье мы рассмотрим динамичную атаку DCShadow. Она является частью персистентности и создает мошеннический контроллер домена в сети. Атака представляет собой реальную угрозу, так как способна взаимодействовать и с другими атаками, среди которых DCSync и Golden ticket.
Атака DCShadow
Dcshadow — это особая утилита программы mimikatz, которая имеет возможность получить и управлять данными Active Directory (AD), включая объекты и схемы, путем регистрации и репликации поведения контроллера домена (DC). Она имитирует поведение контроллера домена (используя такие протоколы, как RPC, применяемые только в DC) для ввода своих собственных данных, минуя систему безопасности компьютера и ваш SIEM. Утилита имеет некоторое сходство с атакой DCSync (уже присутствующей в lsadump модуле программы mimikatz).
Атака еще называется атакой доминирования, поскольку требует для своей корректной работы запуска от имени администратора домена.
Описание процесса атаки
Атака производится пользователем в следующей последовательности:
- Регистрация DC путем создания 2 объектов в разделе CN=Configuration и изменения SPN компьютера.
- Хищение данных (процесс запускается с помощью DrsReplicaAdd, KSS или AD).
- Удаление объектов, ранее созданных для понижения значимости контроллера домена.
Пошаговая инструкция
Используя скомпрометированные данные учетной записи пользователя, идентифицируется личность пользователя (Yashika) и подтверждается, что он является членом группы пользователей домена.
Для того чтобы выполнить динамическую атаку DCShadow, нужно загрузить и установить mimikatz в машину-хост и запустить ее от имени администратора (ввести команды !+ и !processtoken). Это зарегистрирует и запустит службу mimidrv и повысит уровень значимости токена, таким образом, ему будет предоставлена привилегия запуска функций на уровне ядра операционной системы через приложение.
!+
!processtoken
token::whoamiС помощью token:: whoami можно пронумеровать текущий идентификатор. Как можно заметить, показана привилегия NT Authority / System.
Теперь нужно выполнить следующую команду, которая будет имитировать фиктивный контроллер домена в сети и попытается добавить пользователя Yashika в группу администраторов домена.
lsadump::dcshadow /object:yashika /attribute:primaryGroupID /value:512
Далее нужно открыть еще один mimikatz в новом окне и выполнить команду, которая попытается сделать поддельный контроллер домена легитимным.
lsadump::dcshadow /push
Итак, после выполнения вышеупомянутой команды снова проверена идентичность пользователя Yashika и замечено, что на этот раз он стал членом группы администраторов домена.
net user yashika /DomainDCshadow считается динамической атакой, потому что после добавления пользователя в PrimaryGroupID, другому администратору будет сложно удалить любого участника из группы администраторов домена.
Эта атака также является связующим элементом для выполнения других атак, таких как DCsync. Как уже говорилось ранее, если хост является членом привилегированной группы, такой как администраторы домена, злоумышленник может сымитировать контроллер домена с помощью атаки DCsync и получать хэши NTLM пользователя от других контроллеров домена в сети.
Подробнее об этом тут.
lsadump::dcsync /domain:ignite.local /user:krbtgtПосле того, как злоумышленник сможет получить хэши сервера KDC, в дальнейшем он будет способен осуществить атаку Golden ticket, поэтому DCShadow cчитается одной из самых динамичных атак на AD.
Источник статьи на английском языке — ссылка.
Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.
