Атака DCShadow на домен: пошаговая инструкция

Дата: 10.06.2020. Автор: Игорь Б. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Атака DCShadow на домен: пошаговая инструкция

В данной статье мы рассмотрим динамичную атаку DCShadow. Она является частью персистентности и создает мошеннический контроллер домена в сети. Атака представляет собой реальную угрозу, так как способна взаимодействовать и с другими атаками, среди которых DCSync и Golden ticket.

Атака DCShadow

Dcshadow — это особая утилита программы mimikatz, которая имеет возможность получить и управлять данными Active Directory (AD), включая объекты и схемы, путем регистрации и репликации поведения контроллера домена (DC). Она имитирует поведение контроллера домена (используя такие протоколы, как RPC, применяемые только в DC) для ввода своих собственных данных, минуя систему безопасности компьютера и ваш SIEM. Утилита имеет некоторое сходство с атакой DCSync (уже присутствующей в lsadump модуле программы mimikatz).

Атака еще называется атакой доминирования, поскольку требует для своей корректной работы запуска от имени администратора домена.

Описание процесса атаки

Атака производится пользователем в следующей последовательности:

  1. Регистрация DC путем создания 2 объектов в разделе CN=Configuration и изменения SPN компьютера.
  2. Хищение данных (процесс запускается с помощью DrsReplicaAdd, KSS или AD).
  3. Удаление объектов, ранее созданных для понижения значимости контроллера домена.

Пошаговая инструкция

Используя скомпрометированные данные учетной записи пользователя, идентифицируется личность пользователя (Yashika) и подтверждается, что он является членом группы пользователей домена.

Атака DCShadow на домен: пошаговая инструкция

Для того чтобы выполнить динамическую атаку DCShadow, нужно загрузить и установить mimikatz в машину-хост и запустить ее от имени администратора (ввести команды !+ и !processtoken). Это зарегистрирует и запустит службу mimidrv и повысит уровень значимости токена, таким образом, ему будет предоставлена привилегия запуска функций на уровне ядра операционной системы через приложение.

!+
!processtoken
token::whoami

С помощью token:: whoami можно пронумеровать текущий идентификатор. Как можно заметить, показана привилегия NT Authority / System.

Атака DCShadow на домен: пошаговая инструкция

Теперь нужно выполнить следующую команду, которая будет имитировать фиктивный контроллер домена в сети и попытается добавить пользователя Yashika в группу администраторов домена.

lsadump::dcshadow /object:yashika /attribute:primaryGroupID /value:512
Атака DCShadow на домен: пошаговая инструкция

Далее нужно открыть еще один mimikatz в новом окне и выполнить команду, которая попытается сделать поддельный контроллер домена легитимным.

lsadump::dcshadow /push
Атака DCShadow на домен: пошаговая инструкция

Итак, после выполнения вышеупомянутой команды снова проверена идентичность пользователя Yashika и замечено, что на этот раз он стал членом группы администраторов домена.

net user yashika /Domain

DCshadow считается динамической атакой, потому что после добавления пользователя в PrimaryGroupID, другому администратору будет сложно удалить любого участника из группы администраторов домена.

Атака DCShadow на домен: пошаговая инструкция

Эта атака также является связующим элементом для выполнения других атак, таких как DCsync. Как уже говорилось ранее, если хост является членом привилегированной группы, такой как администраторы домена, злоумышленник может сымитировать контроллер домена с помощью атаки DCsync и получать хэши NTLM пользователя от других контроллеров домена в сети.

Подробнее об этом тут.

lsadump::dcsync /domain:ignite.local /user:krbtgt

После того, как злоумышленник сможет получить хэши сервера KDC, в дальнейшем он будет способен осуществить атаку Golden ticket, поэтому DCShadow cчитается одной из самых динамичных атак на AD.

Атака DCShadow на домен: пошаговая инструкция

Источник статьи на английском языке — ссылка.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Об авторе Игорь Б

Представитель редакции CISOCLUB. Добавляю статьи на сайт.
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *