Misconfiguration Manager
1.0.0
该存储库是所有已知的Microsoft Configuration Manager(又名MCM,Configmgr,System Center Configuration Manager或SCCM)Tradecraft的中心知识库以及相关的防御和硬化指导。我们的目标是帮助揭开SCCM Tradecraft并简化捍卫者的SCCM攻击路径管理,同时还以这种模糊的攻击表面对进攻安全专业人员进行教育。该活着的存储库文件旨在超越白皮书的静态性质,已知的SCCM错误配置及其滥用,并鼓励社区的持续贡献以增强其相关性和实用性。
我们已经策划了这个存储库,以提高人们对迅速发展的SCCM威胁景观的认识,从MITER ATT&CK框架中汲取灵感,并有一些偏差。我们还受到Push Security的SaaS攻击技术矩阵以及Will Schroeder和Lee Chagolla-Christensen认证的预先拥有的白皮书的强烈影响。
我们的方法不仅扩展了已知对手的策略,还包括渗透测试,红色团队运营和安全研究的贡献。在Specterops,我们利用了现实环境中此存储库中强调的许多错误配置,而其他则代表了在实验室环境中证明的实验性和探索性研究项目。
该项目也是我们所知道的所有SCCM攻击和防御资源的中心参考点。
我们公开邀请您向该项目提交经过验证和探索性SCCM的攻击技术以及防御性策略和资源,并提供有关此存储库中内容的任何反馈和建议。
从下面的SCCM攻击矩阵和SCCM攻击和防御矩阵开始,将其映射到其MITER ATT&CK框架策略以及其检测和预防策略。
进攻安全从业人员还可以从审查已知和记录的攻击技术列表中受益,该技术标识了每种技术所需的安全环境和网络访问。
辩护人和IT管理员可以从审查已知和记录的防御技术列表中受益,这表明我们认为最有可能参与每个项目的实施中的管理员角色。
好奇层次结构如何在某些(主要是默认条件下)完全妥协?查看收购技术列表。
如果您不熟悉技术描述中使用的术语,请参阅词汇表,其中包含SCCM中常用术语的定义。
如果您想在实验室环境中测试这些技术或了解有关SCCM攻击和防御的更多信息,请参阅“资源”页面,其中包含指向所有SCCM实验室的链接以及我们知道的所有SCCM实验室和攻击/防御资源这启发了并告知此存储库中的信息。
如果我们忽略了任何东西或缺少上班的信用,请与我们联系或提交拉动请求,我们很乐意进行更新。
| 初始访问 | 执行 | 持久性 | 特权升级 | 国防逃避 | 凭证访问 | 发现 | 横向运动 | 收藏 | 命令和控制 | 渗透 |
|---|---|---|---|---|---|---|---|---|---|---|
| PXE凭据 | 应用部署 | 应用部署 | 继电器到站点系统(SMB) | 应用部署 | PXE凭据 | LDAP枚举 | 继电器到网站DB(MSSQL) | cmpivot | cmpivot | |
| 脚本部署 | 脚本部署 | 继电器客户推动安装 | 脚本部署 | 政策请求凭据 | SMB枚举 | 继电器到站点DB(SMB) | ||||
| 接力AD CS | 继电器到网站DB(MSSQL) | DPAPI凭证 | HTTP枚举 | HA之间的继电器 | ||||||
| 继电器到LDAP | 继电器到LDAP | 旧版证书 | cmpivot | 应用部署 | ||||||
| 继电器到站点DB(SMB) | 站点数据库凭据 | SMS提供商枚举 | 脚本部署 | |||||||
| 传递到ADC | 客户推动安装帐户 | 站点服务器枚举 | 继电器到站点系统(SMB) | |||||||
| 接力CAS与孩子 | 分配点抢劫 | 继电器客户推动安装 | ||||||||
| 接力到管理员 | 接力CAS与孩子 | |||||||||
| 继电器到SMS提供商(SMB) | 继电器到SMS提供商(SMB) | |||||||||
| HA之间的继电器 | SQL链接为DBA | |||||||||
| SQL链接为DBA | ||||||||||
| 继电器到站点DB(SMB) |
| CRED -1 | CRED -2 | CRED -3 | CRED -4 | CRED -5 | CRED -6 | 高架1 | 抬高2 | 高架3 | Exec -1 | Exec -2 | 侦察1 | 侦察2 | 侦察3 | 侦察4 | 侦察5 | 侦察6 | 收购−1 | 接管−2 | 收购3 | 接管−4 | 收购−5 | 收购—6 | 接管−7 | 接管−8 | 收购—9 | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 金丝雀1 | x | x | x | x | x | x | ||||||||||||||||||||
| 检测1 | x | x | x | x | x | x | x | x | x | x | x | x | ||||||||||||||
| 检测2 | x | |||||||||||||||||||||||||
| 检测3 | x | x | x | |||||||||||||||||||||||
| 检测4 | x | |||||||||||||||||||||||||
| 检测5 | x | x | x | x | ||||||||||||||||||||||
| 预防1 | x | x | x | |||||||||||||||||||||||
| 预防2 | x | x | x | |||||||||||||||||||||||
| 预防3 | x | x | x | x | x | |||||||||||||||||||||
| 预防4 | x | x | x | x | ||||||||||||||||||||||
| 预防5 | x | x | x | |||||||||||||||||||||||
| 预防6 | x | |||||||||||||||||||||||||
| 预防7 | x | |||||||||||||||||||||||||
| 预防8 | x | x | x | x | ||||||||||||||||||||||
| 预防9 | x | x | x | x | x | |||||||||||||||||||||
| 预防10 | x | x | x | x | x | |||||||||||||||||||||
| 预防11 | x | x | x | |||||||||||||||||||||||
| 预防12 | x | x | x | x | x | x | x | x | ||||||||||||||||||
| 预防13 | x | |||||||||||||||||||||||||
| 预防14 | x | x | x | |||||||||||||||||||||||
| 预防15 | x | |||||||||||||||||||||||||
| 预防16 | x | |||||||||||||||||||||||||
| 预防17 | x | x | x | x | x | x | ||||||||||||||||||||
| 预防18 | x | |||||||||||||||||||||||||
| 预防19 | x | x | ||||||||||||||||||||||||
| 预防20 | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | ||||||||||
| 预防21 | x | |||||||||||||||||||||||||
| 预防22 | x |
在发布时,我们认为,通过系统默认值和我们测试SCCM层次结构的经验,以降序的可能性顺序订购了Take-1 Takeover-1。进一步的添加将按发布日期遵循顺序顺序。
除了收购外,这些技术的编号没有特定的顺序。较高或更低的数字并不代表我们对项目的重要性,可能性或应如何优先级的意见。
用信誉绰号编码的技术主要滥用凭据访问。信用技术是我们见过的最常见的技术,并且通常导致直接的层次结构收购或领域妥协。
用高架绰号编码的技术可用于本地或域特权升级。在某些情况下,这些可以用其他技术链接,以实现层次结构的原始结构。
使用EXEC绰号编码的技术可用于通过SCCM的内置功能在远程目标上执行命令,脚本,代码等。
用Recon Moniker编码的技术与对SCCM基础设施进行侦察或使用SCCM进行进一步侦察有关。
用接管绰号编码的技术描述了损害SCCM层次结构所需的各种步骤。
用金丝雀绰号编码的防御策略描述了欺骗策略,这些策略可用于欺骗对手在跳闸高保真检测时。
用检测名称编码的防御策略描述了检测进攻技术的策略。在某些情况下,可能需要进行多种检测策略以进行更强的检测。
用防止绰号编码的防御性策略描述了配置的变化,以减轻进攻技术的一个或多个方面。在某些情况下,可能需要多种防止策略来完全减轻进攻技术。
注意:在生产环境中配置任何更改之前,我们强烈建议对任何更改进行适当和彻底的测试。该存储库的作者和贡献者对任何破坏变化概不负责。作为您自身风险的指南。
杜安·迈克尔(Duane Michael),克里斯·汤普森(Chris Thompson)和加勒特·福斯特(Garrett Foster)是该项目的主要作者,贡献了:
如果您有任何疑问或有兴趣贡献,请在Twitter上与我们联系,或加入我们的#sccm频道!
