Jeg har før været inde på "password spraying", og i dette blogindlæg vil jeg uddybe konceptet ud fra både et angrebs- og et forsvarsmæssigt synspunkt og underbygge med et par nyudviklede PowerShell scripts til Proof of Concept. Tanken er at udbrede forståelsen for og kendskabet til denne angrebsmetode, samt give inspiration til hvordan angreb forhindres og opdages.

Vanen tro fokuseres på on-premise Active Directory (AD) og tilhørende NTLM/Kerberos protokoller, som de fleste virksomheder anvender til autentificering af brugerne i miljøet, men svagheder og mulige løsninger er nogenlunde de samme uanset system og protokol.

Denne type angreb foretages f.eks. også nemt mod eksterne tjenester og portaler, som f.eks. VPN, Citrix, TS/RDP eller Outlook Web Access (OWA), der ikke har multi-faktor validering aktiveret. Til sådanne formål findes andre værktøjer, f.eks. THC Hydra og moduler i Metasploit.

Læs mere her: https://www.version2.dk/blog/spray-833910

Hermed anden del af en serie blogindlæg om hvordan man bygger en GPU-cracking computer.

Første indlæg, Sådan bygges en GPU-cracking computer #1, handler om den åbne ramme bygges og hvilke dele og værktøj der skal anvendes.

Dette andet indlæg handler om hvordan delene klargøres og sammensættes.

Læs mere her: https://www.version2.dk/blog/gpucracking2-739095

Jeg er ikke ligefrem en "handy-man". Jeg kan rive ned, men sjældent bygge op. Alligevel – eller måske af samme grund – blev jeg for nogle måneder siden betaget af ideen om at designe og bygge min egen åbne ramme, et såkaldt ”open air rig”, til bl.a. at teste specialbyggede computere til mere krævende beregningsopgaver, eksempelvis cracking af adgangskoder og (tidligere) Bitcoin-mining med GPU’er.

Jeg har efterhånden bygget en del af den slags computere, som er først og fremmest kendetegnet ved, at de er proppet med lige så mange grafikkort, som man har råd til – i både indledende hardwareinvestering og følgende strømforbrug.

Læs mere her: https://www.version2.dk/blog/gpucracking1-739096

Jeg har tidligere været inde på, at man kan Undgå dårlige adgangskoder i Active Directory (AD) ved hjælp af blacklisting. Det er en rimelig fornuftig metode, om end den er reaktiv i den konkrete implementering (der til gengæld er helt gratis).

Hvis man i stedet ønsker at være proaktiv og undgå, at dårlige koder overhovedet oprettes i AD, så vil jeg anbefale, at man i stedet ændrer virksomhedens grundlæggende adgangskodepolitik og generelle tilgang til adgangskoder markant. Der er i store træk behov for en slags paradigmeskifte.

Først og fremmest skal der en væsentlig holdningsændring til omkring, hvad "sikkerhedseksperter" og virksomhedens sikkerhedsansvarlige antager er stærke adgangskoder og gode politikker i praksis, dvs. mod aktuelle og reelle hacker-metoder.

Jeg vil således i dette blogindlæg argumentere for, at man fremover bør kræve væsentlig længere adgangskoder af brugerne, mod at man frafalder krav om kompleksitet og hyppige skift, samt at en sådan ændret tilgang både er mere simpel for brugeren og betydelig mere sikker i relation til nutidens trusler.

Læs mere her: https://www.version2.dk/blog/adgangskoder-670319

Et problem med Active Directory (AD) og tilhørende adgangskodepolitikker er, at selvom krav om adgangskodekompleksitet er slået til, så finder angribere (herunder penetration-testers) nemt dårlige bruger-adgangskoder, som IT administratorer eller sikkerhedsansvarlige ikke har mulighed for at opdage "out-of-the-box".

Simple og meget udbredte adgangskoder, så som "Sommer2015", "Oktober2015", "Password1", "[firmanavn]+[årstal]" o.s.v., lever alle op til almindelige krav om længde og kompleksitet, men i praksis er det utrolig dårlige koder, som vil være de første, en angriber vil forsøge med.

Læs mere her: https://www.version2.dk/blog/undgaa-daarlige-adgangskoder-i-active-directory-389787

På årets SEC-T konference i Stockholm gav jeg en præsentation under titlen: Active Directory persistent backdoors, indicators of compromise and kicking attackers out.

I den forbindelse deler jeg mine slides som PDF her: bit.ly/SECT2015

Seancen blev også optaget og er nu tilgængelig her:https://www.youtube.com/watch?v=w6761-NWmj4

Jeg håber, at indholdet måske kan komme andre til gavn.

/Jakob

Læs mere her: https://www.version2.dk/blog/sec-t-active-directory-bagdoere-og-forsvar-370704

Trods titlen handler dette indlæg ikke om, hvorvidt organisationens almindelige brugere er gjort til lokale administratorer eller ej. Dét sprængfarlige emne har jeg allerede behandlet i indlægget ”Smid nu de lokale administratorer på porten!” – og min, såvel som Microsofts og alverdens sikkerhedsfirmaers, anbefaling er uændret og står vist rimelig klar.
 
Nærværende indlæg handler derimod om, hvordan man bedst håndterer den lokale ”Administrator” konto, som er indbygget i Windows operativsystemet, både hvad angår tilhørende adgangskode(r) og tildelte rettigheder.
 
Kontoen er historisk set hadet af systemadministratorer pga. dens uhåndterbarhed, og elsket af hackere pga. den vidtrækkende anvendelighed, men det kan og bør stoppes nu!

Læs mere her: https://www.version2.dk/blog/ustyrlige-admins-253449

Jeg har udfærdiget et "lille" PowerShell script, New-ADReport.ps1, som udtrækker en række interessante informationer om brugere, computere og grupper i Active Directory (AD). Tanken er at give et hurtigt overblik over miljøets tilstand - primært med sikkerhed for øje.

Man kan i store træk sammenligne det med de udtræk, som en klassisk IT-revision jævnligt foretager - med et twist. Der ses eksempelvis på politikker for adgangskoder, inaktive bruger- og computerkonti, anvendelsen af en række specielle rettigheder og konfigurationer, medlemskab af privilegerede grupper m.v.

Forhåbentlig kan alle de, som ikke har investeret i mere forkromede værktøjer til den slags, få glæde af scriptet og måske anvende det til at få strammet lidt op på sikkerheden i Active Directory, evt. til at kontrollere at ens outsourcing-partner og/eller driftafdeling har styr på AD-relaterede processer, konfigurationer og tildelte rettigheder.

Læs mere her: https://www.version2.dk/blog/new-adreport-109508

Jeg får en del spørgsmål relateret til ransomware disse dage; fra virksomheder, venner, familie og (kon)kollegaer. I dag var det et par kommuner, i morgen er det måske dig selv eller dit netværk.

Hvad gør man når man er blevet ramt af ransomware? Hvad kan man gøre for at forhindre katastrofale konsekvenser? Ligger nøglen stadig under måtten?

Nedenfor har jeg lavet en checkliste, som muligvis ikke er komplet (endnu), men som forhåbentlig kan hjælpe brugere og netværksadministratorer rundt omkring.

Læs mere her: https://www.version2.dk/blog/ransomeware-ufrivillig-kryptering-med-mulige-oekonomiske-konsekvenser-beskyt-dig-selv-dine

Jeg har tidligere skrevet et indlæg, som reflekterede over hvor mange administratorer, der egentlig findes i et givent Active Directory (AD). Jeg vil nu udvide med endnu et par kreative eksempler på hvordan en kompetent angriber, kan skjule sig i mængden - steder hvor den almindelige IT-revision aldrig kigger.

Læs mere her: https://www.version2.dk/blog/historien-om-den-skjulte-domain-admin-68832

Lad mig sige det som det er: lokale administratorer er sendt fra de mørkeste afkroge af Helvede. De er IT-afdelingens værste mareridt og blandt virksomhedens største IT risici. Virksomhedens klienter og brugere er ekstremt sårbare og typisk voldsomt eksponerede elementer. Tildeles de administrative privilegier, så er der ikke langt til total kompromittering af miljøet (herunder Active Directory), hvis man altså ikke har taget sine forholdsregler.

Er man IT-ansvarlig i en organisation, hvor brugerne er lokale administratorer, altså brugere der til daglig er logget på med administrative privilegier på den lokale maskine, så vil jeg håbe, at man allerede har udvist rettidig omhu ved at meddele den øverste ledelse, at IT-afdelingen på ingen måde kan garantere, at involverede maskiner er sikre, pålidelige og brugbare. Hvis ledelsen mener, at virksomheden kan leve med en sådan risiko, jamen så er det jo fint, bevares – bare få det på skrift og tag det op igen med jævne mellemrum!

Læs mere her: https://www.version2.dk/blog/smid-lokale-administratorer-paa-porten-67674

Jeg har i nogle år fulgt et interessant Linux projekt, som for ganske nylig ramte den magiske version 1.0. Systemet er kræs for de paranoide, de forfulgte og de sikkerhedsbevidste, om end man ikke behøver at tilhøre alle kategorier for at få glæde af det.

Læs mere her: https://www.version2.dk/blog/de-anonymes-foretrukne-operativsystem-i-ny-windows-forklaedning-58925

Der er i nattens løb opstået en del mystik omkring TrueCrypt projektet. Noget tyder på, at det officielt er lukket ned. Andet tyder på, at projektet er kompromitteret i en eller anden form.

Intet af dette er godt nyt for TC brugere!

Læs mere her: https://www.version2.dk/blog/mysteriet-om-truecrypt-hacked-eller-droppet-58903

Er det egentlig i orden, når man på blogs som denne, deler viden om hvordan en hacker, i praksis angriber en infrastruktur? Spørgsmålet synes at dele vandene.

Personligt er jeg klar tilhænger af at dele en sådan viden, da det som oftest peger en i retning af, hvordan man skal beskytte sig mod disse angreb.

Et eksempel er mit indlæg om hvordan en hacker kan have glæde af NTDS.dit filer - og jeg har mere på vej af samme skuffe, med mindre nogen altså her kan overbevise mig om, at det ikke vil gavne sikkerheden "derude".

Læs mere her: https://www.version2.dk/blog/skal-man-laere-andre-hacke-58758

I min digitale "bunke" over ufærdige blogindlæg har der længe ligget et, som hermed er opprioriteret grundet en aktuel sikkerhedsartikel og -opdatering fra Microsoft.

Min oprindelige tanke var at advare mod en meget uheldig funktion (læs: noget man også kunne opfatte som en sårbarhed) i Windows og samtidig demonstrere, hvor nem den er at udnytte for en hacker. I værste fald fører den nemlig til en fuldstændig kompromittering af Active Directory - og det ta'r kun 5 minutter for en almindelig bruger.

Der har oven i købet - i mere end 2 år (!) - eksisteret offentligt tilgængelige Python og PowerShell scripts, samt et Metasploit Modul til formålet.

Læs mere her: https://www.version2.dk/blog/historien-om-en-feature-der-aldrig-skulle-have-vaeret-der-58705

I et tidligere blogindlæg fortalte jeg bl.a. om det vigtige i at beskytte sine »Ntds.dit« filer, som udgør Active Directory (AD) databasen. Nu vil jeg lige vise, hvordan en angriber relativt nemt kan konvertere en sådan fil til yderst brugbar information. Det har aldrig været lettere.

Læs mere her: https://www.version2.dk/blog/saadan-piller-en-hacker-ntdsdit-fra-hinanden-57117

Jeg vil lige dele en idé, i håb om andre kan bruge og gerne forbedre den. Kort fortalt er jeg kommet op med en relativt dynamisk metode til at blokere kommunikation med alverdens hackeres foretrukne netværk, nemlig Tor.

Løsningen skal i nuværende form betragtes som et "proof of concept", baseret på et Windows PowerShell script, der styrer et Active Directory »Group Policy Object« (GPO), som igen styrer »Windows Firewall with Advanced Security« (WFAS) konfigurationen på linkede Windows servere og klienter (Windows Vista og op).

Læs mere her: https://www.version2.dk/blog/smid-tor-ud-af-dit-netvaerk-56940

Jeg vil i dette indlæg give inspiration til, hvordan man kan forbedre sikkerheden omkring virksomhedens implementering af Active Directory (AD).

Vi skal se på, hvordan man i praksis, med lidt teknisk indsigt og kreativ tankegang, kan opnå administrator rettigheder på et domæne - uden at få ens egen brugerkonto smidt ind i en privilegeret gruppe.

Det er tanken, at påpege nogle typiske "huller", der ofte opstår omkring AD, og som potentielt kan udnyttes af en ondsindet person - hvad enten hun er intern eller ekstern. Forhåbentlig kan bevidstheden om disse hullers karakter og eksistens hjælpe til at højne sikkerhedsniveauet i din virksomhed.

Læs mere her: https://www.version2.dk/blog/hvor-mange-administratorer-findes-der-egentlig-paa-dit-domaene-56965