______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Bloodhound-инструмент для изучения безопасности домена Active Directory.

Bloodhound-это приложение с открытым исходным кодом, используемое для анализа безопасности доменов active directory. Инструмент вдохновлен теорией графов и разрешениями объектов active directory. Средство выполняет прием данных из доменов Active Directory и подчеркивает потенциал для расширения прав в доменах Active Directory, таким образом раскрывая скрытые или сложные пути атаки, которые могут поставить под угрозу безопасность сети.

Данные, которые могут быть собраны с помощью Bloodhound, включают в себя информацию о пользователях с правами администратора, а также о том, могут ли указанные пользователи получить доступ к любым другим компьютерам в сети и информацию о членстве в группах. Вся эта информация может быть использована злоумышленником для добавления новых пользователей в группы, удаления текущих пользователей, добавления новых администраторов в системы и изменения учетных данных существующих администраторов.

Настройка Bloodhound

Bloodhound поддерживается Linux, Windows и OSX. Ищейка зависит от Neo4j. Neo4j представляет собой систему управления базами данных график. Это графовая база данных NoSQL, написанная на Java. Поэтому Java также требуется для запуска Neo4j и, в конечном счете, Bloodhound. Целью использования Neo4j является визуализация взаимосвязи между информацией, полученной через Bloodhound. В операционной системе Windows neo4j должен быть установлен отдельно вместе с последней версией Java. Затем Bloodhound framework можно клонировать из Github с помощью следующей команды.

git clone https://github.com/adaptivethreat/Bloodhound

В Kali Linux установка отличается. Сначала нам нужно обновить репозитории установленных приложений и обновить пакеты, используя следующие команды.

apt-get update

apt-get dist-upgrade

После этого Bloodhound может быть установлен с помощью следующей команды.

apt-get install bloodhound

Команда не только устанавливает Bloodhound, но и устанавливает пакет Neo4j. Следующий шаг-запуск и настройка Neo4j с помощью следующей команды.

neo4j console

Вышеупомянутая команда запускает Neo4j и устанавливает удаленный интерфейс в http://localhost:7474. Поскольку Neo4j установлен как пакет по умолчанию с Bloodhound, он имеет имя пользователя и пароль по умолчанию i-e

Username: neo4j

Password: neo4j

Нам нужно изменить пароль по умолчанию из соображений безопасности. Чтобы изменить учетные данные по умолчанию, откройте базу данных Neo4j в веб-браузере, введя следующий адрес:

http://localhost:7474

После загрузки, интерфейс Neo4j дает возможность изменить пароль по умолчанию.

Анализ данных с Bloodhound

После настройки Neo4j откройте интерфейс Bloodhound, введя приложение в терминале.

bloodhound

Команда запрашивает СУБД Neo4j базы данных, как показано на следующем скриншоте.

Мы можем видеть на скриншоте, что Болт также включен на localhost. Болт-это сетевой протокол, используемый для связи клиента с сервером. Предоставьте необходимые учетные данные, чтобы открыть интерфейс Bloodhound с подключенной базой данных Neo4j. Интерфейс загружается с различными опциями. С левой стороны мы можем видеть информацию о базе данных с некоторыми предварительно построенными запросами.

Запросы позволяют анализировать данные, извлеченные из целевых хостов. Помимо предварительно созданных запросов, можно также использовать пользовательские запросы. С правой стороны у нас есть различные параметры, такие как импорт/экспорт графика, загрузка данных и настройки порогов. Импорта/экспорта используются для импорта и экспорта графики в формате JSON. Опция загрузки используется для подачи данных в интерфейс Bloodhound. Важно отметить, что CSV-файлы создаются на целевом хосте, содержащем информацию, требуемую Bloodhound. Эти файлы CSV должны быть загружены в Bloodhound с помощью опции загрузки в интерфейсе Bloodhound. После загрузки запустите нужные запросы к данным. Мы можем запускать пользовательские или готовые запросы к данным из интерфейса, такие как поиск всех администраторов домена, нахождение кратчайшего пути к администраторам домена и сопоставление доверия домена и т. д. Запросы демонстрируют результаты в графическом виде.

Требования к сбору данных

Bloodhound обычно требует три типа информации из сетей Active Directory. Это включает

  1. Logged in users
  2. Users with admin rights
  3. Relationship between the users and the current groups

Приведенные выше данные можно собрать с помощью PowerShell Ingestor из репозитория Bloodhound.

Существует также основанный на Python приемник называется BloodHound.Py который должен быть установлен вручную с помощью pip, чтобы функционировать. BloodHound.Py в настоящее время не поддерживает Kerberos в отличие от других ingestor. Тем не менее он по-прежнему может выполнять задачи сбора данных по умолчанию, такие как сбор членства в группах, сбор локальных администраторов, сбор сеансов и такие задачи, как перечисление доверия домена.

Пример выходных данных инструментов в сопоставлении маршрута через компьютеры администратора показан ниже:

Bloodhound-отличный инструмент для анализа отношений доверия в средах Active Directory. Инструмент определяет пути атаки в корпоративной сети, которые могут быть использованы для тестера пера, чтобы иметь возможность получить разрешения администратора домена.

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх