Бэкдоры в Active Directory. Используем групповые политики, чтобы сохранить доступ к домену

Во время атаки на инфраструктуру Active Directory очень важно сохранить полученный доступ. Для этого используются различные методы и средства, в том числе — особенности групповых политик и бэкдоры. В этой статье мы рассмотрим использование групповой политики и некоторых методов внедрения в критические процессы для поддержания привилегированного доступа.

Другие статьи про атаки на Active Directory

  • Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий
  • Атаки на Active Directory. Разбираем актуальные методы повышения привилегий
  • Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен
  • Защита от детекта в Active Directory. Уклоняемся от обнаружения при атаке на домен
  • Защита от детекта в Active Directory. Как обмануть средства обнаружения при атаке на домен
  • Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен
  • Закрепляемся в Active Directory. Как сохранить доступ при атаке на домен

 

Объекты групповой политики

Групповая политика позволяет администраторам управлять компьютерами и пользователями в Active Directory. Она состоит из нескольких частей и в большой компании может оказаться сложной в использовании без привлечения сторонних инструментов.

Групповые политики сохраняются как объекты групповой политики (GPO), которые затем связываются с объектами Active Directory. Дело в том, что групповые политики могут включать параметры безопасности, разделы реестра, правила установки программного обеспечения, сценарии для запуска и завершения работы, а члены домена обновляют параметры групповой политики по умолчанию каждые 90 минут на своих машинах и каждые 5 минут на контроллере домена.

В большинстве случаев в домене точно настроены:

  • один объект групповой политики, определяющий обязательный пароль, Kerberos и политики всего домена;
  • один объект групповой политики, настроенный для подразделения контроллеров домена;
  • один объект групповой политики, настроенный для подразделения серверов и рабочих станций.

Посмотреть групповые политики можно в окне «Диспетчер серверов → Управление групповой политикой».

Управление групповой политикой

Файлы, которые содержат параметры политики («Шаблон групповой политики») расположены по пути C:WindowsSYSVOL[domain]Policies на контроллере домена.

Шаблон групповой политики

Используя PowerShell Active Directory Get-ADObject, можно проверить наличие объекта групповой политики и его ключевые поля, интересующие нас.

PS > Get-ADObject 'CN={428FE319-FF53-4569-94A3-7C855A82570E},CN=Policies,CN=System,DC=domain,DC=dom'

Использование Get-ADObject для получения основной информации об объекте групповой политики

PS > Get-ADObject 'CN={428FE319-FF53-4569-94A3-7C855A82570E},CN=Policies,CN=System,DC=domain,DC=dom' -Properties displayname,gpcfilesyspath,gpcmachineextensionnames,gpcuserextensionnames

Использование Get-ADObject для получения ключевой информации об объекте групповой политики

При создании объекта групповой политики он может быть как связан, так и не связан с каким-либо объектом Active Directory. Если такая связь существует, атрибут gPLink этого объекта будет обновлен и в него будет добавлено значение DistinguishedName групповой политики. По этому признаку можно определить, какие групповые политики применяются к данному объекту Active Directory.

Если мы перейдем в любую директорию объекта групповой политики, то есть в C:WindowsSYSVOL[domain]Policies, то обнаружим следующие вложенные объекты:

  • Machine — директория с настройками машины для объекта групповой политики.
  • User — директория с пользовательскими настройками для объекта групповой политики.
  • GPT.INI — файл, который содержит параметры конфигурации объекта групповой политики.
  • Содержимое директории объекта групповой политики

    Групповая политика была создана, чтобы упростить управление ресурсами в домене, однако злоумышленник также может использовать ее возможности для своих целей. К примеру, таким образом можно подменить программы, создать запланированные задачи, добавить новую локальную учетную запись на все компьютеры. Также приведу список интересных возможностей, которыми лично пользовался сам или видел, как пользовались другие операторы.

  • Использование сценариев PowerShell или VBS для настройки членства в группах на уровне домена.
  • Запуск Invoke-Mimikatz на всех контроллерах домена в качестве SYSTEM через определенный промежуток времени (например, раз в три дня).
  • Получение учетной записи krbtgt, а затем планирование задачи запуска DCSync на определенных машинах во всем лесу с использованием поддельных билетов Kerberos.
  • Установка RAT и добавление исключения в антивирусные правила в домене или лесу.
  • Источник: xakep.ru

    Ответить

    Ваш адрес email не будет опубликован. Обязательные поля помечены *