Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Hackerfest folouap
září 26
Hackerfest folouap

Minulý týden byla konference HackerFest, údajně se během ní konal nějaký kvíz pro účastníky, a kdo nejlépe odpovídal, něco asi dostal :-)

Pro zábavu, zde jsou otázky, kterými jsem já přispěl do kvízu. Jo a nejprve ještě prezentace z konference a ještě jedna z TechEd 2017, která se hodí tématicky a byl o ni zájem

HackerFest 2017 - Credentials guard and (non)shielding
TechEd 2017 - UEFI, Secure Boot, TPM and Device Guard

A teď už ty slíbené otázečky. A rovnou upozorňuju, že slovo "renovovanější" je v otázce číslo 3 schválně :-)

  1. Na jedné PC stanici ve větší podnikové Active Directory síti byl při pravidelné noční kontrole souborů na disku objeven malware. IT oddělení odpojilo počítač od sítě, odvezlo na incident response oddělení, kde ho borci odvirovali přímo pomocí stejného antiviru, který nákazu detekoval. Opětovná kontrola souborů na disku už žádný další malware nehlásí. Je možné vrátit počítač zpět do provozu?
    1. ano, je to čisté, když se to odvirovalo
    2. ne, protože stejný antivirus, který to detekoval, to nedokáže spolehlivě odvirovat
    3. ne, protože nákaza se už musela rozšířit po síti a jednoznačně už napadla i další počítače
    4. ne, protože nevíme, co na počítači malware způsobil, jestli to nebyl jenom trojský kůň, skrz kterého se do stroje dostaly další, kdovíjaké nákazy
  2. Na Windows operačních systémech v Active Directory doméně se používá služba (service), která se spouští pod doménových uživatelským účtem. Jedná se o účet vyhrazený pro běh této služby na více počítačích. Heslo tohoto účtu služby se zadává ručně při instalaci této služby na počítačích. Jak je na počítačích dlouhodbě uloženo?
    1. ve formě MD4 hash v HKLM registrech
    2. ve formě MD5 hash pomocí DPAPI
    3. ve formě LM hash v HKCU registrech
    4. v plné formě v HKLM registrech
  3. Podniková Active Directory síť s několika stovkami stanic využívá naplno všechny dostupné software ochrany, které nabízí používané Windows 10 1703 x64 operační systémy. Jedná se zejména o BitLocker, UEFI Secure Boot, Device (Credentials) Guard, UAC, Remote Credentials Guard, Windows Defender, Windows Firewall a pod. Admini se tedy ke správě stanic neobávají používat přímo uživatelské účty, které jsou členem skupiny Domain Admins a to jak pro přihlašování lokálně, tak přes RDP apod. Je to chyba?
    1. není to chyba, v pořádku, tyto technologie je ochrání
    2. není to chyba, jen by to chtělo vyměnit antimalware za nějaký pokročilejší, renovovanější, který navíc optimalizuje registry a paměť
    3. není to chyba, stačí mít hesla dlouhá alespoň 15 znaků a vše je v pořádku
    4. je to chyba, evidentně nikdy neslyšeli pojmy jako SSO, hardware/software keylogger, špionážní kamera atd. Doporučujeme buď vyměnit doktora, nebo alespoň nějaké jiné prášky
  4. V podnikovém prostředí Active Directory sítě je implementována separace privilegovaných účtů správců od účtů uživatelských pro běžnou práci. Ke správě se vždy používají pouze vyhrazené admin účty. Správci mají samozřejmě i osobní uživatelské účty pod kterými pracují s aplikacemi jako je prohlížení internetu, email, helpdesk a různé další podnikové agendy. Privilegované účty jsou používány přesně tak, jak to má být, jen pro správu omezených skupin počítačů na definovaných úrovních rizikovosti. Například účty pro správu Active Directory, účty pro správu serverů, nebo účty pro správu různých skupin stanic a notebooků. I přesto se jeden z obyčejných zaměstnanců dokázal nabourat skrz celou síť. Evidentně nějak zjistil heslo účtu doménového admina. Je to účet správce, který má pod svou kontrolou jak účet člena skupiny Domain Admins, tak i jiný účet správce stanic a další oddělený účet pro správu serverů. Je potvrzeno, že účet žádného doménového admina se na žádné stanici nikdy nepoužil. Útočník nikdy neměl přístup nikam jinam, než ke své doménové stanici a měl k dispozici pouze svůj obyčejný omezený uživatelský účet. Co je nejpravděpodobnější příčina toho, že útočník zjistil heslo účtu doménového admina?
    1. uhádl ho z hlavy na několik pokusů
    2. vyzkoušel ho online přes LDAP spojení na DC pomocí automatického hádače hesel
    3. získal hash tohoto hesla z logon keše na své stanici a kreknul heslo pomocí 3D GPU grafické karty
    4. ten blázen správce má na všech svých oddělených účtech stejné heslo

Comments

Startcom CA cert revoked in Chrome

Juraj Binka on 28.9.2017 10:39

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments