Compromise AD และการป้องกัน

ความสงสัยเกี่ยวกับการโจมตี AD เลยหาข้อมูลใน Internet และตั้ง LAB ทดสอบ

จากการทดสอบเกี่ยวกับ Attacking Active Directory (Compromise AD)

สามารถ Compromise ได้ แต่ จะมีปัจจัยหลาย ๆอย่าง หรือต้องใช้ Tool เสริมเยอะพอสมควร

ถ้าลองคิด Target infrastructure จริง ๆ หรือเป้าหมายที่เราจะโจมตีนั้น

คิดว่า อยากมาก ที่จะสามารถ เจาะระบบ ได้ถึง AD เพราะ AD นั้น เป็น Internal ที่ทำงานอยู่ภายใน ปัจจัยหลาย ๆ อย่าง ก็คือ

1. เครื่อง Client มีการติดตั้ง EDR,XDR, = แค่นี้ก็ไม่สามารถ Run Tool ต่าง ๆ ได้แล้ว

2.การเข้าถึง Network Internal ทำได้ยากมาก = นอกซะจาก ได้รหัส WIFI มา 555 หรือทำ rogue wifi

3.อาจจะทำ phishing,Reverse TCP ใส่ในเครื่องเหยื่อ และได้ Meterpreter ได้ ก็จริง แต่ Permission นั้นเป็นแค่ User ไม่เคย Remote ไปยัง เครื่องอื่น ใช้งาน Internet อย่างเดียว

เราก็ ไม่ได้อะไรอยู่ดี หรืออาจจะต้องทำ Privilege Escalation เพื่อ ยกระดับสิทธ์ อยู่ดี ซึ่งจะยกอย่างไร

4.ถ้าเราได้ Shell เครื่องเหยื่อมาแล้ว ก็จริง ไม่ว่าจะได้ ทาง Reverse TCP,หรืออื่น ๆ… ซึ่งเราก็ทำอะไรไม่ได้ เพราะ เครื่องเหยื่อต้องมีการ โหลด Tool ต่าง ๆ ลงเครื่อง เพื่อที่จะใช้ในการ Hack, ซึ่ง Tool

พวกนี้มันก็ มี Signature อยู่แล้ว ขนาด Windows Defender ยัง เจอ และ ถ้า มีการติดตั้ง EDR,XDR ละ แบบนี้ หน้าจะ Run อะไรไม่ได้เลย

5.การทำ Lateral Movement เพื่อที่จะ Move จากเครื่องที่สิทธิ์ ต่ำ ๆ ไปยัง Domain Admin, Enterprice Admin. แต่เครื่องที่เป็น Domain Admin นั้นมี EDR,XDR ถึงจะ Move ตัวเองไปได้

แต่ก็ ไม่สามารถใช้ Tool Dump Password ได้อยู่ดี,

6.ถึงเราจะสามารถ ยึด เครื่องเหยื่อได้แล้ว…แต่ เครื่องเหยื่อนั้น อยู่ Network Zone User, ซึ่ง Zone นี้ มีการปิด Port 3389 ไม่ได้ Remote. เราจะไปอีกเครื่องยังไง

ถึงจะไม่สามารถใช้งานได้จริงแบบ 100% แต่ก็ได้รู้ Concept ของการโจมตี มายัง Active Directory(AD)อย่างว่าแหละ ใคร สามารถ ยึด AD ได้

ทั้งองกรณ์นั้น ก็ ไม่เหลื่อ อะไรแล้ว 555 AD คือพระเจ้า ของ Windows, Join Domain โดนหมด 5555

ยังอาจจะยังเล่นไม่นาน แต่ถ้ามีการป้องกันดังนี้ คิดว่า หน้าจะช่วยได้ ถึง 95% เลย หรือป่าวไม่รู้ 555 ผมคิดเอง เออเอง 555

1. Install EDR or XDR

2. Update Path Windows Version

3. Update Software Version

4. Privilege Account

5. Set Network Zone Allow Specifically Port and service

6. Solution PAM

7. Strong Password

8. Security Awareness Training

9. Solution Attivo Network {AD Secure, Fake Credential} = อันนี้ Admin ทำอยู่ บอกเลย Solution นี้ ดีมาก 555

เหตุการณ์ไหนละ ที่จะสามารถทำได้

1.เครื่องเหยื่อ Client ไม่มีการติดตั้ง Antivirus, EDR,XDR และมีการ Run File Backdoor. เลยทำให้ Hacker ได้ Meterpreter Reverse TCP ไปเลยทำให้

Hacker สามารถควบคุม เครื่อง Client ได้

2.User ทำ Credential หาย

3.User ตั้ง & Password ง่ายเกินไป

4.Hacker สามารถ Hack WIFI และทำการ information gatering และสามารถ ยึดเครื่อง Client ได้ และ Lateral Movement ตัวเอง ไปยังเครื่องที่เป็น Domain Admin

#แค่ติดตั้งAntivirusดีดีซักตัวแล้วหมั่นUpdatePathWindows_Or_Update_Path_Software_เพียงเท่านี้คุณก็จะรอดจากสิ่งพวกนี้แล้ว

#จัดทำขึ้นเพื่อการเรียนรู้ไม่ต้องเป็นการชี้นำแนวทางที่ผิด

#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก

#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ

#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

#Share_Knowledge_and_Experience

Active Directory สามารถ Hack ได้ ถ้ามีความละหลวมในเรื่องของ Security อาจจะคิดว่า มันไม่สำคัญ… แต่จริง ๆ แล้ว AD คือ เป็นที่เก็บ Username & Password ทั้งหมดขององกรณ์…Active Directory Hack ยาก แต่ สามารถ โดน Hack ได้