攻击类型计算机/设备账户与用户账户本质上是一样的,如果配置不当同样危险。所以一些其他的攻击可以利用计算机帐户密码/哈希:1.银票攻击;2.金票攻击;3.过时的DNS条目;4.替代攻击方法。金票和银票攻击利用Kerberos票证授予服务(TGS)伪造票证。金票和银票攻击的主要区别在于,银票只允许攻击者为特定服务伪造TGS票。两者都可以被利用,因为Zerologon允许攻击者更改计算机帐户密码。一旦攻击者可以访问计算机帐户密码哈希,该帐户就可以用作查询ActiveDirectory的“用户”帐户,但更有趣的用例是创建钞票以作为管理员访问计算机托管的服务。默认情况下,ActiveDirectory不会阻止计算机帐户访问AD资源,即使计算机帐户的密码多年未更改也是如此。什么钞票攻击?银行票据攻击的关键要素如下:1.KRBTGT账户哈希;2、目标用户;3.账户SID;4、域名;5、目标服务;6.目标服务器。如果攻击者倾倒了ActiveDirectory数据库或获悉了域控制器的计算机帐户密码,攻击者可以使用钞票以管理员身份攻击DC的服务并留在ActiveDirectory中。我们可以通过Pass-The-Hash在DC上运行CME来获取SID,显然其他方法也可以使用whoami/user。这是Mimikatz中用于在我们获得SID后执行攻击的命令行:kerberos::golden/domain:purplehaze.defense/user:zephr/sid:S-1-5-21-2813455951-1798354185-1824483207/rc4:9876543210abcdef9876543210abcdef/target:DC2.purplehaze.defense/service:cifs/ptt/id:500TicketattackagainstCIFSservice还有其他方法可以进行ticketattack,但是mimikatz可以通过ticketflag和kerberos::golden函数使之简单的。金票攻击与银票类似,可以使用krbtgt账户哈希、KRBTGT账户所属域的域名和SID生成金票。可以为有效的域帐户或不存在的帐户创建金票,这对攻击者更具吸引力!kerberos::golden/domain:purplehaze.defense/user:zephr/sid:S-1-5-21-2813455951-1798354185-1824483207/rc4:9876543210abcdef9876543210abcdef/target:DC2.purplehaze.defense/ptt命令攻击金票主要重点是AD环境中的域控制器,但很少有人关注基于DNS的攻击,在这种攻击中,攻击者可以发现旧DCDNS条目的陈旧DNS条目,并更改计算机密码而不影响操作。例如,如果要扫描主机网络并找到不再存在的DNS条目,则可以发起攻击。启动选择的PoC,在本例中我将使用mimikatz:lsadump::zerologon/server:stream-dc.purplehaze.defense/account:stream-dc$/exploit我们的目标是AD中不存在的域控制器(也被称为过时的DNS条目)被有效地利用了!现在,上面看起来和第一轮PoC完全一样,这是因为它基本上是一个警告,表明DNS条目有一个AD帐户,但没有与之关联的计算机,所以我只是设法更改了一个密码。网络上没有与计算机关联的AD对象,从而在潜在的特权域上建立了攻击立足点。使防御者无法招架的强力攻击。以上就是该漏洞的利用方法。以下是攻击项目的具体描述。目前受Zerologon漏洞影响的系统包括WindowsServer2019、WindowsServer2016、WindowsServer2012R2、WindowsServer2012、WindowsServer2008R2、WindowsServer2008、WindowsServer2003R2、WindowsServer2003。修复Zerologon漏洞首先,修复这个漏洞需要几个步骤,目前还没有完整的解决方案。缓解措施包括在所有DC和RODC上安装更新、监视新事件以及解决使用易受攻击的Netlogon安全通道连接的不兼容设备。可以允许不兼容设备上的计算机帐户使用易受攻击的Netlogon安全通道进行连接。但是,它们应该更新以支持Netlogon的安全RPC,并且帐户应该尽快实施以消除攻击风险。应用Microsoft的2020年8月11日补丁以获得每个操作系统的KB编号的完整列表。此外,MS将于2021年2月9日发布更新,该更新将开启DC强制模式。解决办法是将组策略与注册表键值设置相结合,暂时解决这个问题:1、策略路径:“计算机配置”>“Windows设置”>“安全设置”>“安全选项”;2.设置名称:DomainController:允许易受攻击的Netlogon安全通道连接;需要注意的是,微软警告说:在部署更新时,该策略应该用作第三方设备的临时安全措施。添加以下注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\FullSecureChannelProtection1–这将启用强制模式。DC将拒绝易受攻击的Netlogon安全通道连接,除非“域控制器:允许易受攻击的Netlogon安全通道连接”组策略中的“创建易受攻击的连接”列表允许该帐户。0–DC将允许来自非Windows设备的易受攻击的Netlogon安全通道连接。此选项将在运行时版本中弃用。这可以通过以下命令实现:REGadd"HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters"/vFullSecureChannelProtection/tREG_DWORD/d1/f除了添加工作解决方案外,Microsoft还没有针对特定事件ID发布指南监控您设备上可疑活动的漏洞。安装2020年8月或更高版本更新后,检查域控制器上的事件日志,了解系统事件日志中是否存在以下事件:1.如果连接被拒绝,则会记录事件ID5827和5828;2.如果“域控制器:允许易受攻击的Netlogon安全通道连接”组策略允许连接,则会记录事件ID5830和5831;3.只要允许易受攻击的Netlogon安全通道连接,就会记录事件ID5829。这些事件应在配置DC执行模式之前或执行阶段于2021年2月9日开始之前得到解决。检测和响应:监控攻击如上所述,可以编写查询来监控异常活动,以发现事件日志中的漏洞利用活动。有很多工具可以执行事件监控,但我将只介绍一些来自开源工具的搜索查询,这些工具包含可以转换到其他平台的sigma规则。我还收集了其他人收集的数据,希望能帮助您缩小搜索范围。1.https://twitter.com/james_inthe_box创建的Snort规则;2、CoreLight的Zeek检测包;另外,阅读splunk查询的文章,可以在各种工具中监控以下事件日志和sysmon的事件ID。1.事件ID-4742:计算机帐户已更改,具体而言,该操作可能是由匿名登录事件执行的。2.事件ID-5805,计算机帐户身份验证失败,这通常是由于同一计算机名的多个实例或计算机名未复制到每个域控制器引起的。3、事件代码4624:请注意,如果主机利用此漏洞,成功登录计算机,具体为事件代码4624,则触发事件代码4724。4、Sysmon事件ID3:网络连接事件记录TCP/UDP连接,当Zerologon事件发生时,从攻击者计算机到受害者域控制器再到LSASS进程建立传入网络连接。5.Sysmon事件ID1和13:如果设备密码被重置,Powershell的系统进程很可能会产生以下参数。请注意,serviceName是zer0dump.py的唯一属性,默认情况下它是“fucked”,事实上serviceName可以是任何东西:powershell.exe-cReset-ComputerMachinePassword'6.系统事件代码ID3210:如果主机已被利用,并且更改了计算机密码,事件日志中将充满指示NETLOGON错误的3210事件ID,尤其是当主机位于复制对中时。7.事件ID-4662:如果在上述事件ID之后执行DCSync攻击,将使用三个GUID中的任何一个生成事件ID4662:7.1:“DS-Replication-Get-Changes”扩展权限;7.2:CN:DSCopyGetChanges;7.3:GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd27.4:“复制目录更改全部”扩展权限;7.5;CN:DSCopyGetChangesAll7.6:GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd27.7:"复制过滤集中的目录变化"的扩展权限(并非总是需要,但我们可以添加它以防万一);7.8:CN:DS复制更改过滤器设置;7.9:GUID:89e95b76-444d-4c62-991a-0facbeda640c;下面是成功利用事件日志中记录的攻击链示例(注意事件日志已被清除,以显示成功利用事件生成的事件):SyslogSecurityLogs,AuthenticationFailed,GUID为nullattack时生成的Sysmon日志尝试Sigma防御规则也可以利用一些sigma规则找到ZeroLogon,第一个是SOCPrime的AdamSwan写的规则:title:PossibleCVE-2020-1472(zerologon)description:CVE-2020-1472(NetlogonElevationofPrivilegeVulnerability)maycreatethousandsofNetrServerReqChallenge&NetrServerAuthenticate3requestsinauthorshortamountoftime.:SOCPrimeTeamdate:2020/09/11references:-https://github.com/SecuraBV/CVE-2020-1472tags:-attack.lateral_movement-attack.T1210logsource:product:zeekservice:dce_rpcdetection:selection:endpoint:'netlogon'ope配给:'NetrServerReqChallenge'selection2:endpoint:'netlogon'operation:'NetrServerAuthenticate3'timeframe:1mcondition:selectionorselection2|count()bysrc_ip>100falsepositives:-'unknown'level:highDC-Synctitle:MimikatzDCSyncid:611eab06-a145-4dfa-a295-3ccc5c20f59描述:检测MimikatzDC同步安全事件状态:实验日期:2018/06/03修改:2020/09/11作者:BenjaminDelpy、FlorianRoth、ScottDermott参考资料:-https://twitter.com/gentilkiwi/status/1003236624925413376.wigithub.com/ggentilkis///dcc132457408cf11ad2061340dcb53c2tags:-attack.credential_access-attack.s0002-attack.t1003.006logsource:product:windowsservice:securitydetection:selection:EventID:4662Properties:-'*ReplicatingDirectoryChangesAll*'-'*1131f6ad-9c2f-dc74f-11dEventID:4662Properties:-'*DS-Replication-Get-Changes*'-'*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2*'filter1:SubjectDomainName:'WindowManager'filter2:SubjectUserName:-'NTAUTHORITY*'-'*$'-'MSOL_*'条件ion:selectionandnotfilter1andnotfilter2falsepositives:-ValidDCSyncthatisnotcoveredbythefilters;pleasereportlevel:high安全查询VQL匿名登录自定义工件:name:Custom.Windows.EventLogs.AnonymousLogon-ZLdescription:|ParseSecurityEventLogforAnonymousLogoneventsthatcouldbeZeroLogonattemptsprecondition:SELECTOSFrominfo()whereOS='windows'parameters:-name:dateFromdefault:"“类型:时间戳名称:securityLogFiledefault:C:/Windows/System32/Winevt/Logs/Security.evtxsources:-查询:-SELECTSystem.EventID.Value,EventData.SubjectUserSid,EventData.SubjectUserName,EventData.SubjectDomainName,EventData.SubjectLogonId,EventData.TargetUserSid、EventData.TargetUserName、EventData.TargetDomainName、EventData.TargetLogonId、EventData.LogonType、EventData.WorkstationName、EventData.Properties、EventData.LogonGuid、EventData.TransmittedServices、EventData.ProcessId、EventData.ProcessName、EventData.IpAddress、EventData。IpPort、EventData.ImpersonationLevel、EventData.RestrictedAdminMode、EventData.TargetOutboundUserName,EventData.TargetOutboundDomainName,EventData.VirtualAccount,EventData.TargetLinkedLogonId,EventData.ElevatedToken,timestamp(epoch=System.TimeCreated.SystemTime)asTime,System.TimeCreated.SystemTimeASTimeUTCFROMparse_evtx(文件名=securityLogFile)WHERESystem.EventID.Value=4742ANDtimestamp(epoch)=System.TimeCreated.SystemTime)>=dateFrom与ZeroLogonVQL相关的所有事件ID:name:Custom.Windows.EventLogs.ZeroLogonHuntdescription:|ParseSecurityEventLogforZeroLogonEvents;4662,4672,5805,4624,4742precondition:SELECTOSFrominfo()whereOS='windows'参数:-name:dateFromdefault:""type:timestamp-name:securityLogFiledefault:C:/Windows/System32/Winevt/Logs/Security.evtxsources:-queries:-SELECTSystem.EventID.Value,EventData.SubjectUserSid,EventData.SubjectUserName,EventData.SubjectDomainName、EventData.SubjectLogonId、EventData.TargetUserSid、EventData.TargetUserName、EventData.TargetDomainName、EventData.TargetLogonId、EventData.Properties、EventData.LogonType、EventData.LogonProcessName、EventData.AuthenticationPackageName、EventData.WorkstationName、EventData.LogonGuid、EventData.TransmittedServices、EventData.LmPackageName、EventData.KeyLength、EventData.ProcessId、EventData.ProcessName、EventData.IpAddress、EventData.IpPort、EventData。模拟级别、EventData.RestrictedAdminMode、EventData.TargetOutboundUserName、EventData.TargetOutboundDomainName、EventData.VirtualAccount、EventData.TargetLinkedLogonId、EventData.ElevatedToken、时间戳(epoch=System.TimeCreated.SystemTime)asTime、System.TimeCreated.SystemTimeASTimexFilexFileLogonParse_evtEventID.Value=4662ORSystem.EventID.Value=4672ORSystem.EventID.Value=5805ORSystem.EventID.Value=4624ORSystem.EventID.Value=4742ANDtimestamp(epoch=System.TimeCreated.SystemTime)>=dateFrom可以通过缩短第二个查询Detailsrelatedtotheaboveeventid来创建进一步创建VQL查询KevinBeaumont编写了一个奇怪的Azure查询程序,使您能够在Azure环境中查询ZeroLogon:wherevar>100此外,如果您安装了AzureATP,名为“可疑Netlogon特权升级尝试(CVE-2020-1472利用)”的AzureATP检测将自动触发警报。本文翻译自:https://blog.zsec.uk/zerologon-attacking-defending/如有转载请注明原文地址:
