jekob heidelberg bloghoved

SEC-T: Active Directory bagdøre og forsvar

På årets SEC-T konference i Stockholm gav jeg en præsentation under titlen: Active Directory persistent backdoors, indicators of compromise and kicking attackers out.

I den forbindelse deler jeg mine slides som PDF her: bit.ly/SECT2015

Seancen blev også optaget og er nu tilgængelig her::

Jeg håber, at indholdet måske kan komme andre til gavn.

/Jakob

Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Juul

Hej Jakob

Som standard, logges det så, når der laves en backup af ntds.dit?
Hvis nej, kan det så enables?

vedr. delegation:
Findes der er en god måde at detektere at der er lavet delegation? Jeg antager at sikkerheden i en standard/ny installation er god nok (hvilket måske er en fejl).

Jakob H. Heidelberg

Hej Claus,

Når man laver backup af NTDS.dit med NTDSUTIL, så sker der en hel del i event loggen, også som standard. Så man kan "opdage" det - hvis man kigger efter det.

De logs man skal holde øje med er "Directory Service" (Source: "NTDS ISAM" eller "Microsoft-Windows-ActiveDirectory_DomainService", hhv. ID: 2001 + 1917) og "Application" (Source: ESENT, ID: 102, 103, 105, 216, 300, 302, 325, 326, 327, 2001, 2003, 2005 + 2006). Formentlig ikke en komplet liste, men så har du da en ide om, hvad der skal kigges efter.

Ift. "tyveri" af NTDS.dit er der dog rigtig mange andre ting man skal holde øje med - herunder System State backups, men det kan også gøres med f.eks. Shadow Copy, ligesom det kan udføres så det er "usynligt" for Windows event loggen, hvis man f.eks. kopierer via VM-host eller storage enheder (såfremt DC'ere er virtuelle). Her må man så have andre logs til rådighed.

Delegation logges også, men der er IMHO ikke mange, der kan gennemskue de log entries i praksis. Jeg har flere gange tænkt at udvikle et tool (PowerShell script), som kan sammenligne aktuel tilstand med "default" installation, som må regnes for sikker. Jeg har nemlig ikke fundet noget, der kan gøre det - endnu. Det samme tool skulle kigge på adminSDholder objektet, men jeg har desværre ikke så meget tid til den slags pt.

mvh
/Jakob

Claus Juul

Hej Jakob

Tanke der slog mig, når nu Windows AD kan håndhæve en password historik, så må de tidligere Passwords også være gemt i AD'et et sted.
Antallet af Passwords der gemmes er det så baseret på gpo indstillingen eller uafhængig heraf, logisk set bør det være afhængigt af gpo, men implementering er ikke altid logiske.
For hvert at disse tidligere passwords, gemmes der så også andet, fx oplysninger om hvornår det blev sat.

Er det noget du har tænkt over eller ved noget om?

Jakob H. Heidelberg

Hej Claus,

Ja, tidligere passwords ligger også i NTDS.dit. Jeg har været lidt inde på emnet her: http://www.version2.dk/blog/saadan-piller-en-hacker-ntdsdit-fra-hinanden...

"ntds_decode" har dog ikke mulighed for at trække historiske passwords ud, men vha. f.eks. libesdb og ntdsxtract er det muligt på en *nix maskine.

Der ligger ikke info om hvornår de tidligere passwords blev lagt i databasen, kun de givne hash-værdier (LM/NT).

Jeg TROR ikke, at AD gemmer tidligere passwords, med mindre password politikken dikterer det. De fleste har det sat til, så jeg er ikke stødt på det IRL. Samtidig TROR jeg ikke, at AD clearer historiske passwords, hvis GPOen f.eks. ændres. Der er lidt at teste for et nysgerrigt sind - med tilstrækkelig tid :)

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize