Когда котику делать нечего он поднимает свою лабораторию

Дисклеймер: 

Настоящая статья носит исключительно образовательный и исследовательский характер. Все описанные техники, инструменты и сценарии демонстрируются в полностью изолированной лабораторной среде с целью изучения механизмов атак и способов защиты от них. Автор не несёт ответственности за любое неправомерное использование представленной информации. Применение описанных методов в отношении систем, не принадлежащих вам, без явного письменного разрешения владельца является незаконным. Ибо когда коту делать нечего он бубенчики лижет)

Сегодня на повестке дня:

Строим полноценную лабораторию для отработки навыков тестирования на проникновение.

В главных ролях:

Мини ПК MSI PRO DP 10 апнутый до 32гб ОЗУ - используется в качестве жертвы на которой будем разворачивать лабораторию.

Ноутбук ASUS ROG Strix G16 - атакующая машина на которой установлена VMware с Kali Linux

На жертве у нас с вами развернут Proxmox, с помощью которого мы будем уже разворачивать свои уязвимые сети.

Почему именно он?

После долгих способов настроить PNETLAB и заставить его работать на этом железе, было потрачено много ночей и как оказалась эта гадость не будет работать с таким железом. По этой причине был  найден способ использовать виртуализацию первого уровня с помощью ОС PROXMOX. Не вижу смысла в данной статье углубляться в его настройку, так как есть много учебных материалов по его настройке на том же Youtube и в целом это  не вызывает никаких технических сложностей.

Но мы конечно же развернем на Proxmox изолированную Active Directory - среду с уязвимостями, настроим две сетевые зоны и продемонстрируем полный цикл атаки с применением C2 - фреймворка Adaptix от начального доступа до полной компроментации домена через боковое пермещение (на все бабки). 

И так, на железе c PROXMOX мы имеем следующие конфиги:

Два изолированных сегмента

Внешний сегмент - 10.10.1.0/24

Имитация захода в сеть из серой зоны, с этой сети мы будем действовать как атакующие.В данном сегменте у нас находятся две машины это наша Kali и Windows с терминальным сервером. Межсетевой экран pfSense разрешает трафик внутри сегмента, но не маршрутизирует пакеты во внутреннюю сеть 192.168.1.0/24. С точки зрения Kali, адреса из диапазона 192.168.1.0/24 не пингуются, недоступны ни по каким портам — их просто не существует в таблице маршрутизации.

Внутренний сегмент - 192.168.1.0/24

Это изолированная среда в которой у нас живет контроллер домена DC01 и второй интерфейс терминального сервера.

Насколько наглядно смог обяснить ИИ, как я хочу чтобы он сделал эту сзему) 

Задачи атакующего:

Мы пройдём с вами по классической Kill-Chain цепочке , которая выглядит следующим образом:

1. Разведка и начальный доступ - обнаружение RDP на 10.10.1.50, подбор или перебор учётных данных, вход на TS01.

2. Закрепление - доставка и запуск агента Adaptix C2 на TS01.

3. Эскалация привилегий - повышение прав до локального администратора TS01 (если изначально вошли под ограниченной учётной записью).

4. Кража учётных данных - дамп памяти LSASS и извлечение пароля или NT-хеша Draka Malfai.

5. Проксирование трафика - запуск SOCKS-прокси на агенте Adaptix, открывающем Kali доступ к подсети 192.168.1.0/24.

6. Боковое перемещение - Pass-the-Hash на DC1 (192.168.1.3) с использованием учётных данных..

7. Захват домена  - выполнение DCSync для извлечения всей базы паролей Active Directory.

Дополню, в качестве наполнения сети мы используем BadBlood 

https://github.com/davidprowe/BadBlood

BadBlood - это PowerShell-скрипт, автоматически генерирующий масштабную и слабо защищённую структуру Active Directory: сотни пользователей, десятки групп, организационные подразделения, некорректные списки ACL, сервисные учётные записи с SPN (уязвимые к Kerberoasting) и множество аккаунтов с предсказуемыми паролями.

А непосредственно сами образы машин можно взять здесь:

https://www.comss.ru/page.php?id=9611 (Используйте только для создания лабораторных сред, исключительно не рекомендую использовать нелицензионные продукты и сборки)

Официальный Мануал по C2 Adaptix https://adaptix-framework.gitbook.io/adaptix-framework

Приступим непосредственно  к опробации нашей лаборатории:

Разведка

nmap -sV -p- 10.10.1.0/24

- путём сканирования обнаруживаем, что на хосте TS01 имеем три открытых порта

3389 (MS-RDP)

445 (SMB)

139 (NetBIOS)

По сколько наша задача больше протестировать жизнеспособность лаборатории и посмотреть в деле C2, самой простым вектором входа я наметил брутфорс RDP

hydra -L users.txt -P passwords.txt rdp://ipTS01

Достаем креды john.doe и подключаемся с помощью xfreerdp

Вооружение

Думаю стоит уделить внимание самому средуству которое позволяет осуществить нам этам закрепления и пост-эксплуатации.

Adaptix C2 - это кросс-платформенный C2-фреймворк с графическим интерфейсом на Qt, написанный на C++. Он поддерживает HTTPS/HTTP/DNS-каналы связи, BOF-нагрузки, модули бокового перемещения, Mimikatz-подобный дамп учётных данных, SOCKS-прокси и многое другое.

Подробную сборку и настройку вы можете посмотреть в официальном мануале который я прикрепил выше.

Создаем слушатель и генерируем агент.

После того как мы заппустили листенер, мы генерим саму нагрузку

Размещаем и запускаем её на машине жерты, способ доставки оставлю выбрать вам например поднять pytohn сервер.

Если запуск агента получился вы увидите открытую сессию на экране с указанием следующей информации

От имение какого пользователя запущен агент

Имя машины

ОС машины

Получив сессию, первым делом изучаем окружение. В Adaptix мы активно используем Extension Kit - набор модулей, расширяющих функциональность фреймворка.

• hostname:. Роль хоста определена верно.

• ipconfig: Устройство в домене  и имеет два сетевых интерфейса: внешний и  внутренний. Это именно то, что нам нужно для проксирования.

• whoami: Наш агент запущен от имени пользователя john doe. У этого пользователя критические права отсутствуют, но это только начало.

Оценка привилегий и модуль Patcom

Анализируем привилегии пользователя. В Adaptix есть модуль PRF check, который выделяет опасные разрешения. Он показывает, что у john doe активирована привилегия SeImpersonatePrivilege. Это классический вектор для повышения прав до СИСТЕМЫ с помощью атаки «картофельных» эксплойтов (Juicy/Rogue Potato).

Для эксплуатации мы используем модуль Patcom. 

Как конкретно работает картошка рекомендую отедьно посмотреть в интернете и разобраться с абузом и запуском процессов.

Сетевая разведка и пользователи

• ipconfig (повторно): Подтверждает наличие двух интерфейсов и DNS-сервер 192.168.1.3 (контроллер домена).

• NetBIOS Scan: Запускаем модуль сканирования сети. Он находит в подсети 192.168.1.0/24 хост с IP 192.168.1.3, роль которого определяется как Domain Controller.

• Анализ директорий: Просматриваем C:\Users и видим профили двух ключевых пользователей: Dobby и John Do.

• Команда cover: Этот модуль показывает активные пользовательские сессии. Мы видим, что Dobby в данный момент подключён к TS01 через RDP с контроллера домена. Это идеальные условия для кражи его учётных данных.

Собираем учётные данные

Перед основным этапом дампа памяти, я предлагаю взглянуть на модуль Sauron. Данный модуль позволяет выцеплять из машины чувствительные файлы, играя на человеческой слабости, возможно в файлах найдутся пароли или же какая либо полезная информация.

Сам можуль предназначен для поиска файлов с чувствительной информацией в сетевых папках и на локальных дисках. Он ищет ключевые слова в файлах .doc, .xlsx и прочих.

Дамп хэшей SAM/LSASS

У нас есть права SYSTEM, поэтому дамп памяти LSASS не вызовет проблем. В лабораторных условиях антивирус отключён.

1. Запускаем модуль CRS (Credential Recovery System).

2. Выполняем дамп SAM (локальная база пользователей) и дамп LSASS (кеш учётных данных Active Directory и открытые пароли).

3. В результатах получаем NTLM-хеши локального администратора и доменных пользователей, включая Dobby

Process Injection / Инъекция в процесс пользователя

Чтобы действовать от имени Dobby процессов. Находим процессы, запущенные пользователемl lab/Dobby  , например, explorer.exe.

1. Выполняем инъекцию полезной нагрузки Adaptix в PID процесса explorer.exe.

2. Первая попытка инъекции может привести к аварийному завершению агента (зависит от версии ОС и защиты), но вторая успешна. 

3. Теперь у нас есть новый сеанс агента, который работает от лица самого Dobby. Все действия в этом сеансе будут выполняться с правами администратора домена, что упрощает атаку на DC1.

Настройка проксирования трафика

Контроллер домена DC1 (192.168.1.3) находится в изолированной сети. Наша задача - направить атакующий трафик с Kali через интерфейс TS01 (192.168.1.1).

1. В Adaptix на агенте TS01 активируем встроенный SOCKS5-прокси.

2. Настраиваем локальный SOCKS5-сервер на Kali, который слушает 127.0.0.1:1080.

3. Трафик туннелируется через основной HTTPS-канал связи с агентом. Интервал опроса в 4 секунды накладывает задержки, но для выполнения команд этого достаточно. Высокая задержка также делает трафик менее подозрительным для систем мониторинга.

4. На Kali настраиваем proxychains, указывая socks5 127.0.0.1 1080.

5. Проверяем связь: proxychains nmap -sT -Pn -p 445,88 192.168.1.3. Контроллер домена доступен! Туннель работает.

Атака DCSync и полный захват домена

Теперь, когда сетевой барьер преодолён, проводим главную атаку. Находясь в сессии от имениDobby  (или используя его NTLM-хеш), мы обладаем достаточными правами для репликации учётных данных с контроллера домена.

1. В Adaptix есть встроенный модуль для DCSync-атаки.

2. Запускаем атаку, нацеленную на контроллер домена DC01.

3. Adaptix извлекает из Active Directory NTLM-хеши всех учётных записей, включая  krbtgt - учётная запись службы Kerberos, золотой ключ к домену.

4. Домен lab.local  полностью скомпрометирован. Мы можем создать Golden Ticket и имперсонировать любого пользователя, включая встроенного администратора домена, на неограниченный срок.

Подводим итоги

В ходе этой лабораторной работы мы на практике прошли полную цепочку Kill Chain, используя возможности Adaptix C2:

• Развернули изолированный стенд с Active Directory на базе MSI Trident.

• Сгенерировали и доставили полезную нагрузку через веб-шелл на терминальный сервер.

• Провели анализ привилегий и повысили их до SYSTEM с помощью модуля Patcom.

• Выполнили разведку и определили главную цель - администратора домена Dobby с активной RDP-сессией.

• Использовали модули CRS и Sauron I для сбора хешей и файлов с паролями.

• Провели инъекцию кода в процесс  Dobby, получив его привилегии без ввода пароля.

• Преодолели сетевую изоляцию, настроив SOCKS5-прокси через агент на TS01.

• Провели DCSync-атаку и извлекли хеши всех пользователей домена.

Я очень долго собирался с мыслями писать данный материал или нет, всё восстанавливал по памяти, так что, к сожалению, напоненость скринами отсутсвует, за что прошу простить. На всё это я убил очень много времени, примерно в районе месяца, так как всё приходилось гуглить, читать, пробовать, костылить. После того как я закончил с самоделкой целью которой для себя я ставил гибкость лаборатории с её последующим расширением, пришёл к выводу, что на данный момент лучшим готовым решением для развертывания домашней лабы остается GOAD от OrangeCyberDefence https://github.com/Orange-Cyberdefense/GOAD Она имеет на данный момент мощное комьюники с полными мануалами установки на Proxmox. пробросом трафика и настройке сети через pfsense. Да, долго, да геморройно, но на выходе вы имеете огромную, расширяемую лабораторию с интересным сюжетом, ограничение лишь только ваше железо. На этом у меня всё, будьте здоровы!