Dette indlæg er alene udtryk for skribentens egen holdning.

SEC-T: Active Directory bagdøre og forsvar

25. september 2015 kl. 09:156
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

På årets SEC-T konference i Stockholm gav jeg en præsentation under titlen: Active Directory persistent backdoors, indicators of compromise and kicking attackers out.

I den forbindelse deler jeg mine slides som PDF her: bit.ly/SECT2015

Seancen blev også optaget og er nu tilgængelig her::

Remote video URL

Jeg håber, at indholdet måske kan komme andre til gavn.

Artiklen fortsætter efter annoncen

/Jakob

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
28. september 2015 kl. 19:17

Hej Claus,

Ja, tidligere passwords ligger også i NTDS.dit. Jeg har været lidt inde på emnet her: http://www.version2.dk/blog/saadan-piller-en-hacker-ntdsdit-fra-hinanden-57117

"ntds_decode" har dog ikke mulighed for at trække historiske passwords ud, men vha. f.eks. libesdb og ntdsxtract er det muligt på en *nix maskine.

Der ligger ikke info om hvornår de tidligere passwords blev lagt i databasen, kun de givne hash-værdier (LM/NT).

Jeg TROR ikke, at AD gemmer tidligere passwords, med mindre password politikken dikterer det. De fleste har det sat til, så jeg er ikke stødt på det IRL. Samtidig TROR jeg ikke, at AD clearer historiske passwords, hvis GPOen f.eks. ændres. Der er lidt at teste for et nysgerrigt sind - med tilstrækkelig tid :)

5
28. september 2015 kl. 16:31

Hej Jakob

Tanke der slog mig, når nu Windows AD kan håndhæve en password historik, så må de tidligere Passwords også være gemt i AD'et et sted. Antallet af Passwords der gemmes er det så baseret på gpo indstillingen eller uafhængig heraf, logisk set bør det være afhængigt af gpo, men implementering er ikke altid logiske. For hvert at disse tidligere passwords, gemmes der så også andet, fx oplysninger om hvornår det blev sat.

Er det noget du har tænkt over eller ved noget om?

4
28. september 2015 kl. 09:33

Hej Claus,

Når man laver backup af NTDS.dit med NTDSUTIL, så sker der en hel del i event loggen, også som standard. Så man kan "opdage" det - hvis man kigger efter det.

De logs man skal holde øje med er "Directory Service" (Source: "NTDS ISAM" eller "Microsoft-Windows-ActiveDirectory_DomainService", hhv. ID: 2001 + 1917) og "Application" (Source: ESENT, ID: 102, 103, 105, 216, 300, 302, 325, 326, 327, 2001, 2003, 2005 + 2006). Formentlig ikke en komplet liste, men så har du da en ide om, hvad der skal kigges efter.

Ift. "tyveri" af NTDS.dit er der dog rigtig mange andre ting man skal holde øje med - herunder System State backups, men det kan også gøres med f.eks. Shadow Copy, ligesom det kan udføres så det er "usynligt" for Windows event loggen, hvis man f.eks. kopierer via VM-host eller storage enheder (såfremt DC'ere er virtuelle). Her må man så have andre logs til rådighed.

Delegation logges også, men der er IMHO ikke mange, der kan gennemskue de log entries i praksis. Jeg har flere gange tænkt at udvikle et tool (PowerShell script), som kan sammenligne aktuel tilstand med "default" installation, som må regnes for sikker. Jeg har nemlig ikke fundet noget, der kan gøre det - endnu. Det samme tool skulle kigge på adminSDholder objektet, men jeg har desværre ikke så meget tid til den slags pt.

mvh /Jakob

3
25. september 2015 kl. 12:02

Hej Jakob

Som standard, logges det så, når der laves en backup af ntds.dit? Hvis nej, kan det så enables?

vedr. delegation: Findes der er en god måde at detektere at der er lavet delegation? Jeg antager at sikkerheden i en standard/ny installation er god nok (hvilket måske er en fejl).