BloodHound – Elevação de privilégio no Active Directory

BloodHound é uma ferramenta usada para visualizar ambientes do Active Directory e foi desenhada para encontrar relacionamentos dentro de um domínio do Active Directory (AD) para descobrir caminhos de ataque. Usando a teoria dos grafos para encontrar o caminho mais curto para um invasor percorrer para elevar seus privilégios dentro do domínio.

Se os hackers podem usar essa ferramenta para explorar o melhor caminho do ataque, você pode usá-lo para localizar e proteger os pontos fracos de sua organização. A recomendação é executar frequentes avaliações internas em ambientes de domínio e com o uso de soluções como essa ter uma visão abrangente das permissões concedidas aos diferentes objetos do Active Directory.

O software utilizada o Neo4j é um tipo especial de banco de dados – é um banco de dados de gráficos que pode facilmente descobrir relacionamentos e calcular o caminho mais curto entre os objetos usando seus links.

Imagem

O banco de dados deve ser populado com dados do Active Directory e essa é feita usando um ingestor chamado SharpHound. (.exe de linha de comando ou script do PowerShell)

O SharpHound coleta todas as informações que pode sobre o AD e seus usuários, computadores e grupos. Ele ainda coleta informações sobre sessões ativas, permissões de AD e muito mais usando apenas as permissões de um usuário regular.

SharpHound gera arquivos JSON que serão utilizados para popular o banco de dados Neo4j e então permitir a visualização gráfica.

Tipos de Ataques

O mais comum é ter uma conta que foi comprometida e através dessa conta identificar se é possivel e qual o caminho para comprometer o Domain Admins por exemplo.

Segundo Thierry Viaccoz (@viaccoz) existe ataques que permite usar as permissões de contas de computador que são membros de Domain Admins. ou administradores locais de outro computador.

O BloodHound permite facilmente identificar

  • Todos os computadores em administradores de domínio
  • Todos os computadores do administrador local para outro computador

Links de referencia e download:

Anúncio

Sobre Daniel Donda 550 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

1 Comentário

  1. Daniel Boa tarde, o arquivo SharpHound.ps1 deve ser obrigatório a execução no servidor AD com perfil adm, ou posso executar de qualquer máquina que esteja na rede do domínio alvo ?

Faça um comentário

Seu e-mail não será divulgado.


*