CORSO RED TEAMING ACTIVE DIRECTORY:​ ATTACK AND DEFENSE

In questa sezione esplorerai le tattiche di raccolta di informazioni critiche all’interno di Active Directory e imparerai come scalare i privilegi locali, fondamentali per condurre attacchi mirati e ottenere accesso a risorse critiche.​

• Enumerare informazioni utili come utenti, gruppi, appartenenze a gruppi, computer, proprietà degli utenti, trust, ACL per mappare i percorsi di attacco.​
• Imparare e mettere in pratica diverse tecniche di escalation dei privilegi locali su una macchina Windows.​
• Cercare i privilegi di amministratore locale sui computer del dominio di destinazione utilizzando diversi metodi.​
• Abusare delle applicazioni aziendali per eseguire percorsi di attacco complessi che comportano l’aggiramento dell’antivirus e il passaggio a macchine diverse.​

In questo modulo esplorerai le strategie avanzate di “Lateral Movement” per spostarti all’interno di Active Directory, scoprirai come scalare i privilegi di dominio e apprenderai le tattiche di persistenza per mantenere l’accesso alle risorse desiderate.​

• Imparare a trovare le credenziali e le sessioni degli account di dominio con privilegi elevati, come gli amministratori di dominio, ed estrarre le loro credenziali.​
• Imparare a estrarre le credenziali da un ambiente ristretto in cui viene applicato il whitelisting delle applicazioni.​
• Comprendere il classico Kerberoast e le sue varianti per l’escalation dei privilegi.​
• Comprendere e sfruttare i problemi di delega​
• Imparare ad abusare dei privilegi dei gruppi protetti per aumentare i privilegi.​
• Abusare della funzionalità Kerberos per persistere con privilegi DA. Falsificare i ticket per eseguire attacchi come Golden ticket e Silver ticket per persistere.​
• Abusare della modalità sicura del DC Administrator per persistere.​
• Abusare del meccanismo di protezione come AdminSDHolder per la persistenza.​

In questa sezione esplorerai approfonditamente le strategie per stabilire la persistenza all’interno del dominio, ottenere il controllo dominante e scalare i privilegi fino a diventare amministratore enterprise. Questo modulo copre tattiche avanzate necessarie per dominare e proteggere un ambiente Active Directory, preparandoti per le sfide più complesse di sicurezza informatica.​

• Abusare dei diritti minimi richiesti per attacchi come DCSync modificando le ACL degli oggetti di dominio.​
• Imparare a modificare i descrittori di sicurezza dell’host del controller di dominio per persistere ed eseguire comandi senza bisogno di privilegi DA.​
• Imparare a elevare i privilegi da Domain Admin di un dominio figlio a Enterprise Admin sulla radice della foresta abusando delle chiavi di fiducia e dell’account krbtgt.​
• Eseguire attacchi di fiducia intra-foresta per accedere alle risorse della foresta.​
• Abusare dei collegamenti ai database per ottenere l’esecuzione di codice in tutta la foresta utilizzando semplicemente i database.​

Esplorerai le strategie per monitorare e rilevare attività sospette, apportare cambiamenti architetturali per migliorare la sicurezza, eludere sistemi di analisi avanzata delle minacce e sfuggire a tecniche di depistaggio.​

• Scopri gli eventi utili registrati quando vengono eseguiti gli attacchi discussi​
• Scopri brevemente le modifiche all’architettura necessarie in un’organizzazione per evitare gli attacchi discussi: appartenenza a gruppi temporali, controllo ACL, LAPS, filtro SID, autenticazione selettiva, protezione delle credenziali, protezione del dispositivo (WDAC), gruppo di utenti protetti, PAW, amministrazione a livelli ed ESAE o Foresta Rossa​
• Scopri come Advanced Threat Analytics di Microsoft e altri strumenti simili rilevano gli attacchi al dominio e come evitare e aggirare tali strumenti​
• Comprendere come l’inganno può essere utilizzato efficacemente come meccanismo di difesa in AD​