ݺߣ

ݺߣShare a Scribd company logo

Microsoft Active Directory'deki En Aktif Saldirilar

Adeo Security
Adeo Security

Adeo tarafından Microsoft İstanbul ve Ankara ofislerinde gerçekleştirilen SOME Etkinliğinde Anıl Mamak'a ait sunum

1 of 50
Downloaded 17 times
Active Directory’deki En Aktif Saldırılar Anıl Mamak ADEO Security
Anıl Mamak §Bilgisayar Mühendisi §Pentester §Cyber Security Researcher
Ajanda  Neden?  Nasıl?  Neler yapılabilir?
Neden?  Data  Erişim  Şan, Şöhret  Zarar Verme
Nasıl?  Hedef Belirleme  Bilgi Toplama  Analiz  Saldırı  Motivasyon
Bilgi Toplama - Shodan
Bilgi Toplama - Shodan
Bilgi Toplama - Nmap
Bilgi Toplama - Nmap
Analiz  Servisler  Varsayılan Kullanıcılar  Zayıf Parola
Servisler  Remote Desktop Protocol  Server Message Block(SMB)  MSSQL  Apache Tomcat  Kerberos
Varsayılan Kullanıcılar – Zayıf Parolalar  Apache Tomcat • admin:admin, tomcat:tomcat  Zayıf Parola • admin:123456 • Administrator:Password1 • sa:1234
Saldırı - Apache Tomcat
Saldırı - Apache Tomcat
Saldırı - Apache Tomcat
Saldırı - Apache Tomcat
Saldırı - Apache Tomcat
Saldırı - MSSQL
Saldırı - MSSQL
Saldırı - MSSQL
Engelleme - MSSQL  Tahmin edilmesi zor parolalar kullanılmalı  MSSQL sunucusuna erişim yetkileri kısıtlanmalı
Saldırı - RDP/SMB
Saldırı - RDP/SMB
Saldırı - RDP/SMB
Engelleme - RDP/SMB  Administrator için tahmin edilmesi zor parolalar kullanılmalı  RDP – SMB erişimleri kısıtlanmalı  Her makineye KB2871997 patch’i kurulmalı
Mimikatz  Dump credentials • Lsass  Dump Kerberos Tickets  Credential Injection • Pass the Hash, Over- Pass The Hash  Teşekkürler Benjamin Delpy !
Dump Credential - Mimikatz
Dump Credential - Mimikatz
Dump LSASS - Mimikatz
Wdigest  Basic Authentication • Username + Password  Digest Access Authentication • (username, generate_md5_key(username, URI, password))  Wdigest • Digest Access Authentication’da kullanılmak üzere tasarlanmış sistem kütüphanesidir.
Microsoft Active Directory'deki En Aktif Saldirilar
Kerberos  Windows 2000 server ve sonrası için default kimlik doğrulama yöntemidir. 1. Client 2. Server 3. Key-Distribution-Center/KDC
Microsoft Active Directory'deki En Aktif Saldirilar
Pass the Hash
Pass the Hash - Kerberos
Over Pass the Hash
Over Pass the Hash
Over Pass the Hash
Over Pass the Hash
Over Pass the Hash
Windows 8.1, 2012-R2 LSA Protection Bypass • Microsoft Windows 8.1’i yayınladığında bazı güvenlik değişiklikleri ekledi. • Mimikatz ve WCE gibi araçlar artık LSA belleğinden kimlik bilgilerini clear text olarak alamıyor. • Wdigest hala kullanıldığı için yapı değişikliği yapılamadı. • Varsayılan olarak Wdigest sağlayıcısı registryden kaldırıldı.
Windows 8.1, 2012-R2 LSA Protection Bypass HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Windows 8.1, 2012-R2 LSA Protection Bypass
Teşekkürler Twitter : @anlmmk Mail : anilmamak@gmail.com
References  Skip Duckwall & Benjamin Delpy’s Blackhat USA 2014 presentation “Abusing Microsoft Kerberos – Sorry Guys You Still Don’t Get It” http://www.slideshare.net/gentilkiwi/abusing-microsoft-kerberos-sorry-you-guys-dont-get-it  Mimikatz and Active Directory Kerberos Attacks http://adsecurity.org/?p=556  Microsoft Enhanced security patch KB2871997 http://adsecurity.org/?p=559  Dumping WDigest Creds with Meterpreter Mimikatz/Kiwi in Windows 8.1 https://www.trustedsec.com/april- 2015/dumping-wdigest-creds-with-meterpreter-mimikatzkiwi-in-windows-8-1  Sean Metcalf Blackhat USA 2015 presentation “Red vs Blue: Modern Active Directory Attacks, Detection, & Protection” http://www.slideshare.net/Shakacon/red-vs-blue-modern-atice-directory-attacks-detection-protection-by-sean-metcalf  Digest Access Authentication https://en.wikipedia.org/wiki/Digest_access_authentication  Kerberos https://en.wikipedia.org/wiki/Kerberos_(protocol)

More Related Content

Microsoft Active Directory'deki En Aktif Saldirilar