Бэкдоры в Active Directory. Используем групповые политики, чтобы сохранить доступ к домену

Содержание статьи

• Объекты групповой политики
• SeEnableDelegationPrivilege
• Security Support Provider
• Списки доступа и дескрипторы безопасности
• Directory Services Restore Mode
• Skeleton Key
• Заключение

Во время атаки на инфраструктуру Active Directory очень важно сохранить полученный доступ. Для этого используются различные методы и средства, в том числе — особенности групповых политик и бэкдоры. В этой статье мы рассмотрим использование групповой политики и некоторых методов внедрения в критические процессы для поддержания привилегированного доступа.

Другие статьи про атаки на Active Directory

• Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий
• Атаки на Active Directory. Разбираем актуальные методы повышения привилегий
• Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен
• Защита от детекта в Active Directory. Уклоняемся от обнаружения при атаке на домен
• Защита от детекта в Active Directory. Как обмануть средства обнаружения при атаке на домен
• Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен
• Закрепляемся в Active Directory. Как сохранить доступ при атаке на домен

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный информацией из этой статьи.

Объекты групповой политики

Групповая политика позволяет администраторам управлять компьютерами и пользователями в Active Directory. Она состоит из нескольких частей и в большой компании может оказаться сложной в использовании без привлечения сторонних инструментов.

Групповые политики сохраняются как объекты групповой политики (GPO), которые затем связываются с объектами Active Directory. Дело в том, что групповые политики могут включать параметры безопасности, разделы реестра, правила установки программного обеспечения, сценарии для запуска и завершения работы, а члены домена обновляют параметры групповой политики по умолчанию каждые 90 минут на своих машинах и каждые 5 минут на контроллере домена.

В большинстве случаев в домене точно настроены:

• один объект групповой политики, определяющий обязательный пароль, Kerberos и политики всего домена;
• один объект групповой политики, настроенный для подразделения контроллеров домена;
• один объект групповой политики, настроенный для подразделения серверов и рабочих станций.

Посмотреть групповые политики можно в окне «Диспетчер серверов → Управление групповой политикой».

Файлы, которые содержат параметры политики («Шаблон групповой политики») расположены по пути C:WindowsSYSVOL[domain]Policies на контроллере домена.

Используя PowerShell Active Directory Get-ADObject, можно проверить наличие объекта групповой политики и его ключевые поля, интересующие нас.

PS > Get-ADObject 'CN={428FE319-FF53-4569-94A3-7C855A82570E},CN=Policies,CN=System,DC=domain,DC=dom' 

PS > Get-ADObject 'CN={428FE319-FF53-4569-94A3-7C855A82570E},CN=Policies,CN=System,DC=domain,DC=dom' -Properties displayname,gpcfilesyspath,gpcmachineextensionnames,gpcuserextensionnames 

При создании объекта групповой политики он может быть как связан, так и не связан с каким-либо объектом Active Directory. Если такая связь существует, атрибут gPLink этого объекта будет обновлен и в него будет добавлено значение DistinguishedName групповой политики. По этому признаку можно определить, какие групповые политики применяются к данному объекту Active Directory.

Если мы перейдем в любую директорию объекта групповой политики, то есть в C:WindowsSYSVOL[domain]Policies, то обнаружим следующие вложенные объекты:

1. Machine — директория с настройками машины для объекта групповой политики.
2. User — директория с пользовательскими настройками для объекта групповой политики.
3. GPT.INI — файл, который содержит параметры конфигурации объекта групповой политики.

Групповая политика была создана, чтобы упростить управление ресурсами в домене, однако злоумышленник также может использовать ее возможности для своих целей. К примеру, таким образом можно подменить программы, создать запланированные задачи, добавить новую локальную учетную запись на все компьютеры. Также приведу список интересных возможностей, которыми лично пользовался сам или видел, как пользовались другие операторы.

1. Использование сценариев PowerShell или VBS для настройки членства в группах на уровне домена.
2. Запуск Invoke-Mimikatz на всех контроллерах домена в качестве SYSTEM через определенный промежуток времени (например, раз в три дня).
3. Получение учетной записи krbtgt, а затем планирование задачи запуска DCSync на определенных машинах во всем лесу с использованием поддельных билетов Kerberos.
4. Установка RAT и добавление исключения в антивирусные правила в домене или лесу.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Я уже участник «Xakep.ru»

Источник