TMT观察网_独特视角观察TMT行业

在執(zhí)行例行內(nèi)部滲透測試時，通過了在分析模式下運行Responder來開始評估，以便了解通過廣播發(fā)送的內(nèi)容。令人驚訝的是，發(fā)現(xiàn)在運行它之后不久，Responder的SMB監(jiān)聽器捕獲了一個哈希。 

這個哈希屬于一個名為“panagent”的帳戶，然后被認為它是指PAN(PaloAltoNetworks)代理。把哈希扔進了Hashcat，不久之后就恢復了明文密碼。使用CrackMapExec，將這些憑據(jù)映射到本地網(wǎng)絡(luò)中的內(nèi)部系統(tǒng)，并發(fā)現(xiàn)它們在環(huán)境中的多個主機上具有管理員訪問權(quán)限。

在獲得這些系統(tǒng)上的管理員訪問權(quán)限后，然后執(zhí)行了所謂的“憑據(jù)隨機播放”，直到被破壞了“Domain Admins”組中帳戶的憑據(jù)。所以發(fā)生了什么事？

便開始研究這個問題，只能找到的最早的文章是Rapid7的一篇文章：R7-2014-16：Palo Alto Networks用戶ID憑證曝光。根本原因似乎是Palo Alto用于映射特定用戶的網(wǎng)絡(luò)流量的稱為“用戶ID”的功能。這一發(fā)現(xiàn)之后，它促使帕洛阿爾托發(fā)布咨詢的錯誤配置的用戶ID的安全影響。 

為了了解User-ID的功能，便設(shè)置了一個Palo Alto防火墻，以了解如何配置它，并閱讀Palo Alto提供的有關(guān)如何設(shè)置User-ID的文檔。

在設(shè)置用戶ID之前，首先需要做的事情之一是建立區(qū)域。文檔警告讀取器只能在受信任區(qū)域上啟用用戶ID。它還通知你，通過用戶ID進行探測可能會顯示服務帳戶名、域名和加密密碼哈希。

若要使用此功能，還必須使用它配置用戶/服務帳戶。PaloAlto文檔建議你使用所需的最低權(quán)限；但是，什么是最低要求還不太清楚。可以假設(shè)不需要本地管理員權(quán)限。

當設(shè)置User-ID時，你必須指定User-ID應該與之通信的網(wǎng)絡(luò)范圍，否則它將默認為所有服務器。

要定義此區(qū)域，你可以通過轉(zhuǎn)到“網(wǎng)絡(luò)”選項卡，單擊“區(qū)域”，修改“包含”列表和“排除”列表以及選中“啟用用戶標識”框來設(shè)置區(qū)域。

最后一步是迄今為止最危險的一步，Palo Alto現(xiàn)在建議你不要啟用它。雖然文檔中的警告建議你不要在“高安全性網(wǎng)絡(luò)”上啟用它，但這可以更好地解釋為一種警告，即不要在安全有任何問題的網(wǎng)絡(luò)上啟用它。

使用WMI和/或NetBIOS執(zhí)行客戶端探測。NetBIOS是一種多播名稱解析協(xié)議，在任何網(wǎng)絡(luò)上都特別危險，并且始終建議在企業(yè)范圍內(nèi)禁用它。閱讀Palo Alto關(guān)于客戶探測的文檔時，風險變得更加明顯。

這意味著，對于防火墻識別的網(wǎng)絡(luò)上的任何未知系統(tǒng)，它將立即嘗試連接到設(shè)備，然后默認每20分鐘重復一次。如果你的網(wǎng)絡(luò)中存在惡意攻擊系統(tǒng)，此功能將每隔20分鐘將域名，用戶名和加密密碼哈希發(fā)送到該惡意設(shè)備。這是非常不受歡迎的。要禁用此功能或確保未啟用此功能，請導航到“設(shè)備”選項卡，然后單擊“用戶標識”。從那里單擊齒輪圖標，導航到客戶端探測選項卡，然后取消選中“啟用探測”。

區(qū)塊鏈安全公司W(wǎng)F曲速未來表示：希望這有助于那些使用Palo Alto防火墻的用戶更好地了解與User-ID相關(guān)的風險以及其中特別危險的Client Probing選項。