Misconfiguration Manager
1.0.0
このリポジトリは、すべての既知のMicrosoft Configuration Manager(別名MCM、ConfigMGR、System Center Configuration Manager、またはSCCM)Tradecraftおよび関連する防御および強化ガイダンスの中央ナレッジベースとして機能します。私たちの目標は、SCCMトレードクラフトの分裂を支援し、ディフェンダーのSCCM攻撃パス管理を簡素化しながら、この曖昧な攻撃面で攻撃的なセキュリティの専門家を教育することです。ホワイトペーパーの静的な性質を超えるように設計されたこの生きたリポジトリは、SCCMの誤解と虐待を既知の既知の文書で、その関連性と有用性を高めるためにコミュニティからの継続的な貢献を奨励しています。
このリポジトリをキュレーションして、急速に進化しているSCCMの脅威の状況に対する認識を高め、Miter ATT&CKフレームワークからインスピレーションを得て、いくつかの逸脱をもたらしました。また、Push SecurityのSaaS Attack Techniques Matrixと、SchroederとLee Chagolla-Christensenの認定を受けたWhitepaperに強く影響を受けました。
私たちのアプローチは、既知の敵の戦術をカタログ化することを超えて、浸透試験、赤チーム運営、セキュリティ研究の領域からの貢献を含めています。 Specteropsでは、現実世界の環境でこのリポジトリで強調されている多くの誤解を活用していますが、ラボ環境で証明された実験的および探索的研究プロジェクトを表しています。
このプロジェクトは、私たちが知っているすべてのSCCM攻撃および防衛リソースの中心的な参照ポイントとしても機能します。
実証済みのSCCM中心の攻撃技術と防御戦略とリソースの両方をこのプロジェクトに提出し、このリポジトリのコンテンツに関するフィードバックと推奨事項を提供することを公然と招待します。
以下のSCCM攻撃マトリックスとSCCM攻撃および防御マトリックスから始めます。これは、Miter ATT&CKフレームワークの戦術に攻撃手法と、検出および予防戦略にマッピングされます。
攻撃的なセキュリティ実務家は、各手法に必要なセキュリティコンテキストとネットワークアクセスを識別する既知および文書化された攻撃技術のリストを確認することからも恩恵を受ける場合があります。
ディフェンダーとIT管理者は、既知の文書化された防衛技術のリストを確認することから利益を得ることができます。これは、各アイテムの実装に関与する可能性が最も高いと思われる管理者の役割を特定します。
特定の、ほとんどデフォルトの条件で階層を完全に損なう方法に興味がありますか?買収テクニックのリストをご覧ください。
手法の説明で使用されている用語に精通していない場合は、SCCMで一般的に使用される用語の定義を含む用語集ページを参照してください。
ラボ環境でこれらの手法をテストしたり、SCCMの攻撃と防御の詳細を学んだりしたい場合は、私たちが知っているすべてのSCCMラボと攻撃/防衛リソースへのリンクを含むリソースページを参照してください。このリポジトリの情報に影響を与え、情報を提供しました。
私たちが何かを見落としているか、以前の仕事のためにクレジットが欠けている場合は、私たちに連絡するか、プルリクエストを送信してください。アップデートを喜んで作成します。
| 初期アクセス | 実行 | 持続性 | 特権エスカレーション | 防衛回避 | 資格情報アクセス | 発見 | 横方向の動き | コレクション | コマンドと制御 | 剥離 |
|---|---|---|---|---|---|---|---|---|---|---|
| PXE資格情報 | アプリの展開 | アプリの展開 | サイトシステム(SMB)への中継 | アプリの展開 | PXE資格情報 | LDAP列挙 | サイトDB(MSSQL)へのリレー | cmpivot | cmpivot | |
| スクリプトの展開 | スクリプトの展開 | リレークライアントプッシュインストール | スクリプトの展開 | ポリシーリクエストの資格情報 | SMB列挙 | サイトDB(SMB)へのリレー | ||||
| AD CSへのリレー | サイトDB(MSSQL)へのリレー | DPAPI資格情報 | HTTP列挙 | HA間の中継 | ||||||
| LDAPへのリレー | LDAPへのリレー | レガシー資格情報 | cmpivot | アプリの展開 | ||||||
| サイトDB(SMB)へのリレー | サイトデータベース資格情報 | SMSプロバイダーの列挙 | スクリプトの展開 | |||||||
| ADCSへのリレー | クライアントプッシュインストールアカウント | サイトサーバーの列挙 | サイトシステム(SMB)への中継 | |||||||
| CASを子供に中継します | 分布ポイント略奪 | リレークライアントプッシュインストール | ||||||||
| Adminserviceへのリレー | CASを子供に中継します | |||||||||
| SMSプロバイダー(SMB)へのリレー | SMSプロバイダー(SMB)へのリレー | |||||||||
| HA間の中継 | SQLはDBAとしてリンクされています | |||||||||
| SQLはDBAとしてリンクされています | ||||||||||
| サイトDB(SMB)へのリレー |
| 信用‑ 1 | クレジット2 | 信用‑ 3 | 信用4 | 信用5 | 信用6 | Elevate -1 | Elevate -2 | Elevate -3 | exec ‑ 1 | exec ‑ 2 | Recon -1 | recon -2 | Recon -3 | Recon -4 | Recon -5 | Recon -6 | テイクオーバー1 | テイクオーバー2 | テイクオーバー3 | テイクオーバー4 | テイクオーバー5 | テイクオーバー‑ 6 | テイクオーバー‑ 7 | テイクオーバー8 | テイクオーバー‑ 9 | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| カナリア‑ 1 | x | x | x | x | x | x | ||||||||||||||||||||
| 検出‑ 1 | x | x | x | x | x | x | x | x | x | x | x | x | ||||||||||||||
| 検出‑ 2 | x | |||||||||||||||||||||||||
| 検出‑ 3 | x | x | x | |||||||||||||||||||||||
| 検出‑ 4 | x | |||||||||||||||||||||||||
| 検出‑ 5 | x | x | x | x | ||||||||||||||||||||||
| 防止‑ 1 | x | x | x | |||||||||||||||||||||||
| 防止‑ 2 | x | x | x | |||||||||||||||||||||||
| 防止‑ 3 | x | x | x | x | x | |||||||||||||||||||||
| 予防‑ 4 | x | x | x | x | ||||||||||||||||||||||
| 防止‑ 5 | x | x | x | |||||||||||||||||||||||
| 防止‑ 6 | x | |||||||||||||||||||||||||
| 防止‑ 7 | x | |||||||||||||||||||||||||
| 防止‑ 8 | x | x | x | x | ||||||||||||||||||||||
| 防止‑ 9 | x | x | x | x | x | |||||||||||||||||||||
| 防止‑ 10 | x | x | x | x | x | |||||||||||||||||||||
| 防止‑ 11 | x | x | x | |||||||||||||||||||||||
| 防止‑ 12 | x | x | x | x | x | x | x | x | ||||||||||||||||||
| 防止‑ 13 | x | |||||||||||||||||||||||||
| 防止‑ 14 | x | x | x | |||||||||||||||||||||||
| 防止‑ 15 | x | |||||||||||||||||||||||||
| 防止‑ 16 | x | |||||||||||||||||||||||||
| 防止‑ 17 | x | x | x | x | x | x | ||||||||||||||||||||
| 防止‑ 18 | x | |||||||||||||||||||||||||
| 防止‑ 19 | x | x | ||||||||||||||||||||||||
| 防止20 | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | ||||||||||
| 防止‑ 21 | x | |||||||||||||||||||||||||
| 防止‑ 22 | x |
リリースの時点で、私たちの意見では、Takeover-1からTakeover-1を介して、システムのデフォルトとSCCM階層のエクスペリエンスに基づいて、下降順に順序付けられます。さらなる追加は、リリース日までにシーケンシャルな順序に従います。
テイクオーバーを除き、これらの手法には順不同で番号が付けられています。より高いまたは低い数は、アイテムの重要性、尤度、またはそれがどのように優先されるべきかについての私たちの意見を表していません。
信用モニカーでコード化されたテクニックは、主に資格情報へのアクセスを悪用します。信用テクニックは、私たちが見た中で最も一般的であり、しばしば直接階層の買収またはドメインの妥協につながります。
Elevate Monikerでコーディングされたテクニックは、ローカルまたはドメインの特権エスカレーションに使用できます。場合によっては、これらは階層テイクオーバープリミティブのための他の手法で連鎖することができます。
execモニカーでコード化された手法は、SCCMのビルトイン機能を介してリモートターゲットでコマンド、スクリプト、コードなどを実行するために使用できます。
偵察モニカーでコード化された手法は、SCCMインフラストラクチャに対する偵察を実行するか、SCCMを使用してさらなる偵察を行うことに関連しています。
テイクオーバーモニカーでコードされた手法では、SCCM階層を妥協するために必要なさまざまな手順を説明しています。
カナリアのモニカとコーディングされた防御戦略は、忠実性の高い検出をつまずかせる際に敵を欺くために使用できる欺ception戦略を説明しています。
検出されたモニカーでコーディングされた防御戦略は、攻撃技術を検出するための戦略を説明します。場合によっては、より強力な検出には複数の検出戦略が必要になる場合があります。
モニカーを防御する防御戦略は、攻撃技術の1つ以上の側面を軽減するために構成の変更を説明します。場合によっては、攻撃技術を完全に軽減するために、複数の防止戦略が必要になる場合があります。
注:生産環境でそれらを構成する前に、変更を適切かつ徹底的にテストすることを強くお勧めします。このリポジトリの著者と貢献者は、変化の変化について責任を負いません。あなた自身の責任でガイドとして使用してください。
Duane Michael、Chris Thompson、およびGarrett Fosterは、次の貢献があるこのプロジェクトの主要な著者です。
Twitterで私たちに連絡するか、質問がある場合や貢献に興味がある場合は、Bloodhoundgang Slackの#sccmチャンネルにご参加ください!
