Ir ao conteúdo
Regras do Clube do Hardware

Ataques no Active Directory sem rastros

Rodrigo Neto_429919
 Compartilhar

Posts recomendados

Rodrigo Neto_429919
 

Rodrigo Neto_429919

Postado
Postado

Caros estou com um problema que esta sendo difícil encontrar uma solução, comece a trabalhar como segurança da informação em uma empresa onde não tinha a área de segurança, instalei recentemente o SIEM Wazuh para monitorar o ambiente e notei que estamos tendo mais de 200 mil requisições no nosso Active Directory POR DIA, pelo que pude perceber as tentativas não visam uma conta específica, ele cai testando nome de usuário de A a Z, por exemplo: Admin, Administrator, Administrador, Adan, Beth, Carlos, e assim vai... Nesse meio também aparece tentativas com SQLadmin, suporte. Mas nos logs que me apresentam estas informações não me trazem de qual estação parte estas requisições, no log, o campo Workstation fica vazio ou traz em alguns casos hosts que não existem no ambiente como: Server, Win-394789, 45643, Win-rhyd67.... E esses nomes não aparecem no DHCP, não aparecem no firewall, não é possível pingar... Se alguém ja passou por isso e puder ajudar eu agradeço muito.

ZTM
 

ZTM

Postado
Postado

Olá @Rodrigo Neto_429919 , como vai?

 

Isso me parece um ataque de varredura/bruteforce e deve ter alguém na empresa bem espertinho(a) querendo escalar privilégios.

 

Para começo de conversa:

 

1º Esqueça nome da machine, IP etc, tudo isso da para Spoofar.

 

2º Fiquei pensando em uma hipótese: O seu Gestor de TI, está te testando, contratou uma equipe de Red Team para realizar ataques ao Active Directory, afim de te testar.

 

Realizando Information Gathering do ataque:

 

1º Ser for um ataque externo, está sendo totalmente direcionado.

 

2º Uma estação pode estar infectada já que é apenas um usuário final, o atacante faz uma varredura de domain, afim de buscar configurações mal feitas, obsoletas, arcaicas, fracas, vulnerabilidades, para chegar até um Servidor crítico ou Domain Controller.

 

3º Faça um Information Gathering do atacante, colete todos os dados, não seja dedutivo, ou seja, se não está aparecendo nos logs, faça uma abstração maior, amplie seu pensamento.

 

4º Que tal um Honeypot e ficar capturando, monitorando, interagindo, com esse suposto atacante? Deixe totalmente vull e crie um rootkit(para a defesa da organização) e fique analisando o comportamento, lógico que não é simples criar do zero, mas é isso.

 

5º Veja um padrão da varredura feita com o dicionário, se ele foi montado, por exemplo, está testando específicos ou aleatórios? Se for aleatório, saiba técnicas para saber onde achar essa wordlist, se eu descubro onde foi pega essa wordlist, isso é muito bom. Ele é padrão de algum software? Disponibilizado em algum lugar, enfim.

 

Deve estar percebendo que minhas dicas é para capturar quem é o atacante trabalhando com inteligência.

 

Não vou te ensinar técnicas de mitigar um ataque no seu Active Directory, afinal, eu nem sou Analista de Segurança da STAFF e eu só tenho 12 anos.

 

Dicas:

 

1º Não permita o acesso ao Servidores Físicos Domain Controller.

 

2º O Administrador Local ainda existe? Desabilite. Não adianta você renomear ou fazer gambiarra, você deve saber que com WMIC da para descobrir name do Administrador, pois o final do SID sempre é 500.

 

3º O ambiente é Zero Trust? Ou seja, todo mundo com acesso mínimo? Ou é aquelas empresas com 500 Administradores?

 

4º Trabalhe com Inteligência de Logon.

 

Aff, cansei.

 

Se o seu chefe pediu para você da uma monitorada e você se deparou com um ataque, deve ser um time Red Team mesmo. Em contra partida, se eles já eram atacados, mesmo antes de você entrar na empresa, aí é outra história.

 

Abraços.

  • Membro VIP
Lusitano
 

Lusitano

Postado
  • Membro VIP
Postado

@Rodrigo Neto_429919 Olá, esse tipo de problemas deverá ser resolvido pelo setor de informática da sua empresa. Caso a empresa não possua uma equipe de suporte capaz de o resolver, deverá recorrer a empresas que prestam este serviço. Note que nosso trabalho é voluntário e gratuito, visando ajudar usuários finais e não prestar consultoria e para um trabalho profissional é geralmente necessário outro tipo de informação que regra geral não deverá ser tratado em fóruns públicos.

 

Pode contudo, continuar com o seu tópico e por sua conta e risco, esperar que alguém o ajude.

 

Abraços

Rodrigo Neto_429919
 

Rodrigo Neto_429919

Postado
  • Autor
Postado
21 horas atrás, ZTM disse:

Olá @Rodrigo Neto_429919 , como vai?

 

Isso me parece um ataque de varredura/bruteforce e deve ter alguém na empresa bem espertinho(a) querendo escalar privilégios.

 

Para começo de conversa:

 

1º Esqueça nome da machine, IP etc, tudo isso da para Spoofar.

 

2º Fiquei pensando em uma hipótese: O seu Gestor de TI, está te testando, contratou uma equipe de Red Team para realizar ataques ao Active Directory, afim de te testar.

 

Realizando Information Gathering do ataque:

 

1º Ser for um ataque externo, está sendo totalmente direcionado.

 

2º Uma estação pode estar infectada já que é apenas um usuário final, o atacante faz uma varredura de domain, afim de buscar configurações mal feitas, obsoletas, arcaicas, fracas, vulnerabilidades, para chegar até um Servidor crítico ou Domain Controller.

 

3º Faça um Information Gathering do atacante, colete todos os dados, não seja dedutivo, ou seja, se não está aparecendo nos logs, faça uma abstração maior, amplie seu pensamento.

 

4º Que tal um Honeypot e ficar capturando, monitorando, interagindo, com esse suposto atacante? Deixe totalmente vull e crie um rootkit(para a defesa da organização) e fique analisando o comportamento, lógico que não é simples criar do zero, mas é isso.

 

5º Veja um padrão da varredura feita com o dicionário, se ele foi montado, por exemplo, está testando específicos ou aleatórios? Se for aleatório, saiba técnicas para saber onde achar essa wordlist, se eu descubro onde foi pega essa wordlist, isso é muito bom. Ele é padrão de algum software? Disponibilizado em algum lugar, enfim.

 

Deve estar percebendo que minhas dicas é para capturar quem é o atacante trabalhando com inteligência.

 

Não vou te ensinar técnicas de mitigar um ataque no seu Active Directory, afinal, eu nem sou Analista de Segurança da STAFF e eu só tenho 12 anos.

 

Dicas:

 

1º Não permita o acesso ao Servidores Físicos Domain Controller.

 

2º O Administrador Local ainda existe? Desabilite. Não adianta você renomear ou fazer gambiarra, você deve saber que com WMIC da para descobrir name do Administrador, pois o final do SID sempre é 500.

 

3º O ambiente é Zero Trust? Ou seja, todo mundo com acesso mínimo? Ou é aquelas empresas com 500 Administradores?

 

4º Trabalhe com Inteligência de Logon.

 

Aff, cansei.

 

Se o seu chefe pediu para você da uma monitorada e você se deparou com um ataque, deve ser um time Red Team mesmo. Em contra partida, se eles já eram atacados, mesmo antes de você entrar na empresa, aí é outra história.

 

Abraços.

Boa tarde.... Bom primeiramente muiiito obrigado pela resposta, estou criando um HoneyPot, acredito ser uma boa alternativa para encontrar mais evidencias ou até mesmo descobrir a origem. Não é um red team pois assim que entrei o gestor anterior saiu, minha entrada foi mais por conta da LGPD, mas aqui dentro fiz meu trabalho para monitorar e detectei isso, dentre outras coisas que ja foram resolvidas. Os servidores estão bem configurados, eu criei GPO para desabilitar os hashs, desabilitei as contas ADM, criei contas ADM para quem precisa porém apenas para usar para elevações, para trabalho cotidiano são usadas contas limitadas, retirei acesso de todos que acessavam o DC e criei instalei os clients do AD para os que precisam gerenciar contas de usuários, limitando as contas deles como operadores. Vou criar o servidor depois venho aqui dizer o que aconteceu.

 

ZTM
 

ZTM

Postado
Postado

@Rodrigo Neto_429919

 

Nossa, que legal, fico feliz por isso, você é bom cara.

 

Sabe o que eu fiquei imaginando? Aquelas paradas de filme, o gestor anterior saiu da empresa e agora está atacando onde ele trabalhou por que ele ainda está com uma backdoor em alguma estação. Eai, já pensou nisso? KKKKKKK, loucura.

 

Espero que você tenha feito uma geral, mudado tudo, depois da retirada do antigo gestor.

 

Valeu.

Rodrigo Neto_429919
 

Rodrigo Neto_429919

Postado
  • Autor
Postado
1 hora atrás, Lusitano disse:

@Rodrigo Neto_429919 Olá, esse tipo de problemas deverá ser resolvido pelo setor de informática da sua empresa. Caso a empresa não possua uma equipe de suporte capaz de o resolver, deverá recorrer a empresas que prestam este serviço. Note que nosso trabalho é voluntário e gratuito, visando ajudar usuários finais e não prestar consultoria e para um trabalho profissional é geralmente necessário outro tipo de informação que regra geral não deverá ser tratado em fóruns públicos.

 

Pode contudo, continuar com o seu tópico e por sua conta e risco, esperar que alguém o ajude.

 

Abraços

Boa tarde amigo, tudo bem? O time de TI esta aplicando todas as recomendações que eu faço, mas detectar de onde estão partindo estes ataques é minha função, o TI pode sim e tem contribuído muito, tínhamos outras situações sérias de segurança que detectei e já foram resolvidas, agora estou a 3 dias focados neste problema, ter um auxilio de uma empresa externa especializada (blu team) é sempre bom, mas ainda não é o caso, sempre consegui junto com as equipes resolver problemas de segurança, alguns com mais tempo outros com menos, acredito que este sera o mesmo caso, não tenho dúvidas que iremos resolver, porém como esta sendo um cenário novo, dúvidas sempre vão fazer parte, mas agradeço a contribuição.

 

ZTM
 

ZTM

Postado
Postado

@Henrique - RJ

 

1º Por que uma pessoa iria ordenar uma rede botnet com packet ICMP "aleatoriamente", sendo que tem como bloquear no firewall do servidor?

 

2º O mesmo já disse sabem o domínio, estão claramente tentando entrar com algum login e senha de alguma estação.

 

Fui.

Henrique - RJ
 

Henrique - RJ

Postado
Postado
27 minutos atrás, ZTM disse:

@Henrique - RJ

 

1º Por que uma pessoa iria ordenar uma rede botnet com packet ICMP "aleatoriamente", sendo que tem como bloquear no firewall do servidor?

 

2º O mesmo já disse sabem o domínio, estão claramente tentando entrar com algum login e senha de alguma estação.

 

Fui.

 

Talvez sejam redes de PCs zumbis infectados pelo mundo que já tiveram esses endereços atacados e que foram atribuídos aos servidores por DHCP a essa empresa.

 

Imagina se eu instalo em meu PC um bot que veio em um jogo pirateado e meu IP, dado por DHCP, se torna conhecido dessa rede de zumbis que passam a pingar explorando vulnerabilidades do meu sistema. Amanhã esse meu IP atual passa pra outro que passa a ser alvo desses ataques.

 

Já aconteceu comigo e eu renovei o meu IP por meio de comandos ipconfig por terminal cessando o ataque que havia sido detectado e bloqueado pelo firewall da suíte gratuita Comodo Internet Security Premium.

ZTM
 

ZTM

Postado
Postado

@Henrique - RJ

 

Puts cara..

 

1 hora atrás, Henrique - RJ disse:

Imagina se eu instalo em meu PC um bot que veio em um jogo pirateado e meu IP, dado por DHCP

 

Todo IP é dado pelo DHCP, é a mesma coisa eu falar "Eu nasci de uma mulher, que é minha mãe", você fala como se fosse algo revolucionario.

 

1 hora atrás, Henrique - RJ disse:

passam a pingar explorando vulnerabilidades do meu sistema.

 

Que tipo de pessoa fica enviando packet ICMP(ping)? Qualquer um sabe bloquear. E como assim explorar no SEU SISTEMA, afinal, é no da empresa dele ou no seu? Os ataques de Botnet são mais avançados, pode ficar tranquilo.

 

1 hora atrás, Henrique - RJ disse:

Já aconteceu comigo e eu renovei o meu IP por meio de comandos ipconfig por terminal cessando o ataque que havia sido detectado e bloqueado pelo firewall da suíte gratuita Comodo Internet Security Premium.

 

Puts grilo, você consegue parar um ataque ICMP no cmd com ipconfig KKKKK e firewall, foi exatamente o que eu acabei de te falar, tu relata como se você fala-se para um adulto "Você acredita que eu consegui botar um chiwawa pra correr, eu gritei bem alto para ele, cara, eu sou muito ***** né? Acredita?", percebeu? Acho que está faltando conhecimento da sua parte, estamos falando de coisas mais avançadas aqui.

 

Fui.

  • Curtir 1

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora
 Compartilhar
Ir à lista de tópicos

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

Mais

×
×
  • Criar novo...