Misconfiguration Manager
1.0.0
Este repositório serve como uma base central de conhecimento para todo o gerenciador de configuração da Microsoft conhecido (também conhecido como MCM, ConfigMGR, System Center Manager, ou SCCM) Tradecraft e orientação defensiva e de endurecimento associado. Nosso objetivo é ajudar a desmistificar o SCCM Tradecraft e simplificar o gerenciamento de caminhos de ataque do SCCM para os defensores, além de educar os profissionais de segurança ofensivos nessa superfície de ataque nebulosa. Projetado para ir além da natureza estática dos Whitepapers, este repositório vivo documenta as equívocas conhecidas do SCCM e seus abusos e incentiva as contribuições contínuas da comunidade para melhorar sua relevância e utilidade.
Nós selecionamos esse repositório para aumentar a conscientização sobre o cenário de ameaças do SCCM em rápida evolução, inspirando -se na estrutura Mitre ATT e CK, com alguns desvios. Também fomos fortemente influenciados pela matriz de Técnicas de Ataque SaaS da Push Security, bem como como Schroeder e o whitepaper certificado certificado de Lee Chagolla-Christensen.
Nossa abordagem se estende além da catalogação das táticas dos adversários conhecidos para incluir contribuições do reino dos testes de penetração, operações da equipe vermelha e pesquisa de segurança. Na Specterops, alavancamos muitas configurações errôneas destacadas neste repositório em ambientes do mundo real, enquanto outros representam projetos de pesquisa experimental e exploratória comprovados em um ambiente de laboratório.
Este projeto também serve como um ponto de referência central para todos os recursos de ataque e defesa do SCCM que estamos cientes.
Convidamos abertamente você a enviar técnicas de ataque comprovadas e exploratórias focadas em SCCM e estratégias e recursos defensivos para este projeto e a fornecer feedback e recomendações sobre o conteúdo deste repositório.
Comece com a matriz de ataque do SCCM e a matriz de ataque e defesa do SCCM abaixo, que mapeiam as técnicas de ataque às suas táticas de estrutura MITRE ATT & CK, bem como às suas estratégias de detecção e prevenção.
Os profissionais de segurança ofensivos também podem se beneficiar da revisão da lista de técnicas de ataque conhecidas e documentadas, que identificam o contexto de segurança e o acesso à rede necessários para cada técnica.
Os defensores e administradores de TI podem se beneficiar da revisão da lista de técnicas de defesa conhecidas e documentadas, que identificam as funções do administrador que achamos que provavelmente estarão envolvidas na implementação de cada item.
Curioso sobre como uma hierarquia pode ser completamente comprometida em certas condições padrão? Confira a lista de técnicas de aquisição.
Se você não estiver familiarizado com um termo usado na descrição de uma técnica, consulte a página Glossário, que contém definições para termos comumente usados no SCCM.
Se você quiser testar essas técnicas em um ambiente de laboratório ou aprender mais sobre ataques e defesa do SCCM, consulte a página de recursos, que contém links para todo o laboratório do SCCM e recursos de ataque/defesa que estamos cientes, muitos dos muitos de que inspirou e informou as informações neste repositório.
Se nos ignorarmos alguma coisa ou estivermos perdendo créditos para o trabalho anterior, entre em contato conosco ou envie uma solicitação de tração e ficaremos felizes em fazer atualizações.
| Acesso inicial | Execução | Persistência | Escalada de privilégios | Evasão de defesa | Acesso à credencial | Descoberta | Movimento lateral | Coleção | Comando e controle | Exfiltração |
|---|---|---|---|---|---|---|---|---|---|---|
| Credenciais PXE | Implantação de aplicativos | Implantação de aplicativos | Retransmissão para o sistema do site (SMB) | Implantação de aplicativos | Credenciais PXE | Enumeração LDAP | Relé para o Site DB (MSSQL) | Cmpivot | Cmpivot | |
| Implantação de scripts | Implantação de scripts | Instalação de push do cliente de retransmissão | Implantação de scripts | Credenciais de solicitação de política | Enumeração SMB | Retransmissão para o site DB (SMB) | ||||
| Retransmissão para ad cs | Relé para o Site DB (MSSQL) | Credenciais DPAPI | Enumeração HTTP | Relé entre Ha | ||||||
| Retransmissão para LDAP | Retransmissão para LDAP | Credenciais legadas | Cmpivot | Implantação de aplicativos | ||||||
| Retransmissão para o site DB (SMB) | Credenciais de banco de dados do site | Enumeração do provedor de SMS | Implantação de scripts | |||||||
| Retransmissão para ADCs | Conta de instalação de pressão do cliente | Enumeração do servidor do site | Retransmissão para o sistema do site (SMB) | |||||||
| Retransmitir CAS para criança | Pilhagem de ponto de distribuição | Instalação de push do cliente de retransmissão | ||||||||
| Retransmissão para o Adminservice | Retransmitir CAS para criança | |||||||||
| Relay para o provedor de SMS (SMB) | Relay para o provedor de SMS (SMB) | |||||||||
| Relé entre Ha | SQL ligado como DBA | |||||||||
| SQL ligado como DBA | ||||||||||
| Retransmissão para o site DB (SMB) |
| Cred - 1 | Cred - 2 | Cred - 3 | Cred - 4 | Cred - 5 | Cred - 6 | Elevate - 1 | Elevate - 2 | Elevate - 3 | EXEC -1 | EXEC -2 | Recon - 1 | Recon - 2 | Recon -3 | Recon -4 | Recon -5 | Recon -6 | Aquisição - 1 | Aquisição - 2 | Aquisição - 3 | Aquisição - 4 | Aquisição - 5 | Aquisição - 6 | Aquisição - 7 | Aquisição - 8 | Aquisição - 9 | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Canário -1 | X | X | X | X | X | X | ||||||||||||||||||||
| Detect -1 | X | X | X | X | X | X | X | X | X | X | X | X | ||||||||||||||
| Detect -2 | X | |||||||||||||||||||||||||
| Detect -3 | X | X | X | |||||||||||||||||||||||
| Detect -4 | X | |||||||||||||||||||||||||
| Detect -5 | X | X | X | X | ||||||||||||||||||||||
| Prevenir - 1 | X | X | X | |||||||||||||||||||||||
| Prevenir - 2 | X | X | X | |||||||||||||||||||||||
| Prevenir - 3 | X | X | X | X | X | |||||||||||||||||||||
| Prevent -4 | X | X | X | X | ||||||||||||||||||||||
| Prevenir - 5 | X | X | X | |||||||||||||||||||||||
| Prevenir - 6 | X | |||||||||||||||||||||||||
| Prevenir - 7 | X | |||||||||||||||||||||||||
| Prevenir - 8 | X | X | X | X | ||||||||||||||||||||||
| Prevenir - 9 | X | X | X | X | X | |||||||||||||||||||||
| Prevenir - 10 | X | X | X | X | X | |||||||||||||||||||||
| Prevenir - 11 | X | X | X | |||||||||||||||||||||||
| Prevenir - 12 | X | X | X | X | X | X | X | X | ||||||||||||||||||
| Prevenir - 13 | X | |||||||||||||||||||||||||
| Prevenir - 14 | X | X | X | |||||||||||||||||||||||
| Prevenir - 15 | X | |||||||||||||||||||||||||
| Prevenir - 16 | X | |||||||||||||||||||||||||
| Prevent -17 | X | X | X | X | X | X | ||||||||||||||||||||
| Prevenir - 18 | X | |||||||||||||||||||||||||
| Prevenir - 19 | X | X | ||||||||||||||||||||||||
| Prevent -20 | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | ||||||||||
| Prevenir - 21 | X | |||||||||||||||||||||||||
| Prevenir - 22 | X |
No momento da liberação, a aquisição-1 até a aquisição-9, em nossa opinião, é ordenada em ordem descendente de probabilidade, com base nos padrões do sistema e em nossas experiências testando hierarquias de SCCM. Outras adições seguirão o pedido seqüencial por data de lançamento.
Com exceção da aquisição, essas técnicas são numeradas em nenhuma ordem específica. Um número maior ou mais baixo não representa nossa opinião sobre a importância, probabilidade ou como deve ser priorizado.
Técnicas codificadas com um apelido de credibilidade abusam principalmente de acesso à credencial. As técnicas de crédito são as mais comuns que vimos e geralmente levam à aquisição direta de hierarquia ou comprometimento do domínio.
Técnicas codificadas com um apelido de elevação podem ser usadas para escalada de privilégios locais ou de domínio. Em alguns casos, eles podem ser acorrentados com outras técnicas para uma aquisição de hierarquia primitiva.
Técnicas codificadas com um apelido executivo podem ser usadas para executar comandos, scripts, código etc. em um alvo remoto através da funcionalidade incorporada do SCCM.
Técnicas codificadas com um apelido de reconhecimento relacionadas à execução de reconhecimento contra a infraestrutura do SCCM ou o uso do SCCM para realizar um reconhecimento adicional.
As técnicas codificadas com um apelido de aquisição descrevem as várias etapas necessárias para comprometer uma hierarquia do SCCM.
Estratégias defensivas codificadas com um apelido canário descrevem estratégias de decepção que poderiam ser usadas para enganar os adversários para disparar uma detecção de alta fidelidade.
Estratégias defensivas codificadas com um apelido de detecção descrevem estratégias para detectar técnicas ofensivas. Em alguns casos, várias estratégias de detecção podem ser necessárias para uma detecção mais forte.
Estratégias defensivas codificadas com um apelido de prevenção descrevem as alterações de configuração para mitigar um ou mais aspectos de uma técnica ofensiva. Em alguns casos, várias estratégias de prevenção podem ser necessárias para mitigar completamente uma técnica ofensiva.
Nota: Recomendamos fortemente testes adequados e completos de quaisquer alterações antes de configurá -las em um ambiente de produção. Os autores e colaboradores deste repositório não são responsáveis por nenhuma mudança de ruptura. Use como um guia por sua conta e risco.
Duane Michael, Chris Thompson e Garrett Foster são os principais autores deste projeto, com contribuições de:
Entre em contato conosco no Twitter ou junte -se a nós no canal #sccm na folga do BloodhoundGang se você tiver alguma dúvida ou estiver interessado em contribuir!
