Закрепившись, мы могли бы использовать этот доступ, чтобы понять защитное состояние хостов, продолжить перечисление домена теперь, когда наша видимость не так ограничена, и, при необходимости, поработать над тем, чтобы "жить за счет земли", используя инструменты, которые изначально существуют на хостах. Важно понимать механизмы контроля безопасности, действующие в организации, поскольку наши техники могут варьироваться на использование определенных инструментов, которые мы используем для разведки и последующий эксплуатации. Понимание средств защиты, с которыми мы можем столкнуться, поможет нам принимать обоснованные решения относительно использования инструментов и спланировать наши действия путем отказа от использования определенных инструментов или их модификации. Некоторые организации имеют более строгую защиту, чем другие, а некоторые не применяют меры контроля безопасности одинаково повсеместно. К определенным машинам могут применяться политики, которые могут усложнить наше перечисление, которые не применяются на других машинах.
Защитник Windows (или Microsoft Defender ) значительно улучшился за последние годы и по умолчанию блокирует такие инструменты, как PowerView. Существуют способы обхода этих средств защиты. Мы можем использовать встроенный командлет PowerShell Get-MpComputerStatus, чтобы получить текущее состояние защитника. Здесь мы видим, что для RealTimeProtectionEnabled параметра установлено значение True, что означает, что в системе включен Defender.
Перечисление элементов управления безопасностью
PS C:\\htb> Get-MpComputerStatus
AMEngineVersion : 1.1.17400.5
AMProductVersion : 4.10.14393.0
AMServiceEnabled : True
AMServiceVersion : 4.10.14393.0
AntispywareEnabled : True
AntispywareSignatureAge : 1
AntispywareSignatureLastUpdated : 9/2/2020 11:31:50 AM
AntispywareSignatureVersion : 1.323.392.0
AntivirusEnabled : True
AntivirusSignatureAge : 1
AntivirusSignatureLastUpdated : 9/2/2020 11:31:51 AM
AntivirusSignatureVersion : 1.323.392.0
BehaviorMonitorEnabled : False
ComputerID : 07D23A51-F83F-4651-B9ED-110FF2B83A9C
ComputerState : 0
FullScanAge : 4294967295
FullScanEndTime :
FullScanStartTime :
IoavProtectionEnabled : False
LastFullScanSource : 0
LastQuickScanSource : 2
NISEnabled : False
NISEngineVersion : 0.0.0.0
NISSignatureAge : 4294967295
NISSignatureLastUpdated :
NISSignatureVersion : 0.0.0.0
OnAccessProtectionEnabled : False
QuickScanAge : 0
QuickScanEndTime : 9/3/2020 12:50:45 AM
QuickScanStartTime : 9/3/2020 12:49:49 AM
RealTimeProtectionEnabled : True
RealTimeScanDirection : 0
PSComputerName :
На основе выданного отчета Get-MpComputerStatus видно, что:
Вывод: Хотя базовая антивирусная защита работает, система уязвима из-за отключенных компонентов безопасности.
Белый список приложений - это список утвержденных программных приложений или исполняемых файлов, которым разрешено присутствовать и запускаться в системе. Цель - защитить среду от вредоносного ПО и подписанного программного обеспечения, которое не соответствует конкретным бизнес-потребностям организации. AppLocker - это решение Microsoft для внесения в белый список приложений, которое предоставляет системным администраторам контроль над тем, какие приложения и файлы могут запускать пользователи. Обеспечивает детальный контроль над исполняемыми файлами, скриптами, файлами установщика Windows, библиотеками DLL и т.п. Организации часто блокируют доступ cmd.exe и PowerShell.exe и на запись к определенным каталогам, но все это можно обойти.
PS C:\\htb> Get-AppLockerPolicy -Effective | select -ExpandProperty RuleCollections
PathConditions : {%SYSTEM32%\\WINDOWSPOWERSHELL\\V1.0\\POWERSHELL.EXE}
PathExceptions : {}
PublisherExceptions : {}
HashExceptions : {}
Id : 3d57af4a-6cf8-4e5b-acfc-c2c2956061fa
Name : Block PowerShell
Description : Blocks Domain Users from using PowerShell on workstations
UserOrGroupSid : S-1-5-21-2974783224-3764228556-2640795941-513
Action : Deny
PathConditions : {%PROGRAMFILES%\\*}
PathExceptions : {}
PublisherExceptions : {}
HashExceptions : {}
Id : 921cc481-6e17-4653-8f75-050b80acca20
Name : (Default Rule) All files located in the Program Files folder
Description : Allows members of the Everyone group to run applications that are located in the Program Files folder.
UserOrGroupSid : S-1-1-0
Action : Allow
PathConditions : {%WINDIR%\\*}
PathExceptions : {}
PublisherExceptions : {}
HashExceptions : {}
Id : a61c8b2c-a319-4cd0-9690-d2177cad7b51
Name : (Default Rule) All files located in the Windows folder
Description : Allows members of the Everyone group to run applications that are located in the Windows folder.
UserOrGroupSid : S-1-1-0
Action : Allow
PathConditions : {*}
PathExceptions : {}
PublisherExceptions : {}
HashExceptions : {}
Id : fd686d83-a829-4351-8ff4-27c7de5755d2
Name : (Default Rule) All files
Description : Allows members of the local Administrators group to run all applications.
UserOrGroupSid : S-1-5-32-544
Action : Allow