Giám sát Active Directory - Wazuh

# Giám sát Active Directory - Wazuh ## 1.1 Setup Wazuh Manager trên Ubuntu sudo apt install open-vm-tools-desktop -y curl -sO https://packages.wazuh.com/4.13/wazuh-install.sh ![image](https://hackmd.io/_uploads/BkXHxsPJWx.png) sudo chmod +x wazuh-install.sh sudo bash wazuh-install.sh --all-in-one --port 9000 ![image](https://hackmd.io/_uploads/SJ-DxjDybx.png) ![image](https://hackmd.io/_uploads/ryVPgoPy-x.png) User: admin Password: 5YdA7W+J0A*B6m8lEFlWDBDY38Uz72No ![image](https://hackmd.io/_uploads/Hysvejv1Wx.png) ![image](https://hackmd.io/_uploads/Hk1dlowkWg.png) ![image](https://hackmd.io/_uploads/HJfOgoPJZe.png) ![image](https://hackmd.io/_uploads/rkV_gjPJWe.png) Cấu trúc domain: ``` zerotrust.com ├── OU=AdminAccounts ← Quản trị hạ tầng │ ├── User: admin.root (Domain Administrator – toàn quyền Domain) │ ├── User: admin.it01 (IT Administrator – quản trị OU, server, GPO) ├── OU=DepartmentUsers ← Người dùng nội bộ │ ├── OU=Finance │ │ ├── User: fin.user01 │ │ ├── User: fin.user02 │ │ └── Group: Finance_Group │ │ └── Quyền: Truy cập \\FS1\Finance │ ├── OU=HR │ │ ├── User: hr.user01 │ │ ├── User: hr.user02 │ │ └── Group: HR_Group │ │ └── Quyền: Truy cập \\FS1\HR │ ├── OU=IT │ │ ├── User: it.helpdesk (Hỗ trợ kỹ thuật) │ │ ├── User: it.support (Vận hành IT cơ bản) │ │ └── Group: IT_Group │ │ └── Quyền: │ │ - Reset mật khẩu người dùng nội bộ │ │ - Remote desktop đến client (qua GPO delegation) │ │ - Không có quyền Domain hoặc quản trị GPO │ └── OU=Dev │ ├── User: dev.user01 │ ├── User: dev.user02 │ └── Group: Dev_Group │ └── Quyền: Truy cập repo nội bộ, thư mục \\FS1\Dev └── OU=Quarantine ← Tài khoản vi phạm ├── User: quarantine.user01 └── Ghi chú: - Tài khoản bị vô hiệu hóa tạm thời ``` ## 1.2 Cài Wazuh Agent Cài chọn deploy new agent ![image](https://hackmd.io/_uploads/BJppxiPJZg.png) Sau đó copy lệnh và cài wazuh agent trên máy Windows Server 2019 ![image](https://hackmd.io/_uploads/S1VCesvkWl.png) ``` Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.13.1-1.msi -OutFile $env:tmp\wazuh-agent; msiexec.exe /i $env:tmp\wazuh-agent /q WAZUH_MANAGER='192.168.134.190' WAZUH_AGENT_NAME='WindowsServer2019' NET START WazuhSvc ``` ![image](https://hackmd.io/_uploads/SJ3CgivJ-l.png) Test-NetConnection -ComputerName 192.168.134.190 -Port 1515 ![image](https://hackmd.io/_uploads/HySxbiDk-x.png) Cài đặt thành công agent trên máy Windows Server 2019 ![image](https://hackmd.io/_uploads/r16xWjvybg.png) ![image](https://hackmd.io/_uploads/r1bWWov1-l.png) ## 1.3 Test rule Thêm rule: /var/ossec/etc/rules/local_rules.xml Chọn Manage rules ![image](https://hackmd.io/_uploads/SkgmM9dk-l.png) #### 1.3.1 Kerbroasting Bật audit log ghi lại yêu cầu vé dịch vụ Kerberos (TGS-REQ) khi vé truy cập dịch vụ sau khi đã có TGT. Event id 4769 ![image](https://hackmd.io/_uploads/rJ0NG9uy-g.png) Rule Wazuh ![image](https://hackmd.io/_uploads/Syz8f5uybl.png) Cấu hình lỗi Kerbroasting trên máy Windows Server bằng Script ![image](https://hackmd.io/_uploads/SJ9IG5d1Zl.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110001 ![image](https://hackmd.io/_uploads/SyzPGcuyZg.png) #### 1.3.2 AS-REP roasting Bật audit log ghi lại ghi lại việc yêu cầu vé cấp phép TGT. Event id 4768 ![image](https://hackmd.io/_uploads/rJo_Gcuy-x.png) Rule Wazuh ![image](https://hackmd.io/_uploads/HJ1Ff9OJbx.png) Cấu hình lỗi AS-REP roasting trên máy Windows Server bằng Script ![image](https://hackmd.io/_uploads/B1jtfqdkZg.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110002 ![image](https://hackmd.io/_uploads/HyEcfc_J-g.png) #### 1.3.3 Shadow Credentials Bật audit log ghi lại khi một object trong AD bị thay đổi (attribute change) Event id 5136 ![image](https://hackmd.io/_uploads/B1LsGcO1Zg.png) Rule Wazuh ![image](https://hackmd.io/_uploads/r1jiM9uy-g.png) Cấu hình lỗi Shadow Credentials trên máy Windows Server bằng Script ![image](https://hackmd.io/_uploads/BkBhf9uJZe.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110004 ![image](https://hackmd.io/_uploads/S1hhf5d1Zx.png) #### 1.3.4 DCSync Bật audit log ghi lại Ghi nhận truy cập hoặc thay đổi đối tượng trong AD (User, Group, Computer, OU, v.v.) Event id 4662 ![image](https://hackmd.io/_uploads/rynaM9O1Zx.png) Rule Wazuh ![image](https://hackmd.io/_uploads/SyZRG5O1-g.png) Cấu hình lỗi DCSync trên máy Windows Server bằng Script ![image](https://hackmd.io/_uploads/Hyi0fcOJbe.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110007 ![image](https://hackmd.io/_uploads/ryMJQ9O1be.png) #### 1.3.5 Goden ticket Cấu hình để gửi log dạng json lên wazuh Fix: https://documentation.wazuh.com/current/user-manual/manager/event-logging.html#enabling-archiving ![image](https://hackmd.io/_uploads/H1EgQ9O1Wl.png) Bật audit log ghi lại yêu cầu vé dịch vụ Kerberos (TGS-REQ) khi vé truy cập dịch vụ sau khi đã có TGT. Event id 4769 ![image](https://hackmd.io/_uploads/HJ7cmq_JZg.png) Bật audit log ghi lại đăng nhập thành công (local, network, service...). Event id 4624 ![image](https://hackmd.io/_uploads/Hks57cu1Wx.png) Rule Wazuh ![image](https://hackmd.io/_uploads/ByyoQ5dJbe.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110010 ![image](https://hackmd.io/_uploads/BJYi7cOk-l.png) #### 1.3.6 ESC1 Bật Auditing trong Certification Authority console ![image](https://hackmd.io/_uploads/Byu3X9Okbe.png) Bật audit log ghi khi CA đã nhận được một yêu cầu chứng chỉ. Event id 4886 ![image](https://hackmd.io/_uploads/BJy675OJWl.png) Rule Wazuh ![image](https://hackmd.io/_uploads/BJmpm9dkZl.png) Cấu hình lỗi ESC1 trên máy Windows Server bằng Script ![image](https://hackmd.io/_uploads/Skaa7q_y-g.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110011 ![image](https://hackmd.io/_uploads/By8RQ5_1bl.png) #### 1.3.7 Pass-the-Hash Bật audit log ghi lại đăng nhập thành công (local, network, service...). Event id 4624 ![image](https://hackmd.io/_uploads/HyRy49dy-l.png) Rule Wazuh ![image](https://hackmd.io/_uploads/rkVl45ukZl.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110012 ![image](https://hackmd.io/_uploads/HJyWNqdyWx.png) #### 1.3.8 Resource Based Constrained Delegation Bật audit log ghi lại khi một object trong AD bị thay đổi (attribute change). Event id 5136 ![image](https://hackmd.io/_uploads/rJeGEqOyZg.png) Bật audit log ghi lại yêu cầu vé dịch vụ Kerberos (TGS-REQ) khi vé truy cập dịch vụ sau khi đã có TGT. Event id 4769 ![image](https://hackmd.io/_uploads/BkDGNc_JZl.png) Rule Wazuh ![image](https://hackmd.io/_uploads/HksGNqdJZg.png) Cấu hình lỗi RBCD trên máy Windows Server bằng Script ![image](https://hackmd.io/_uploads/SJPQN5OyWl.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110014 ![image](https://hackmd.io/_uploads/HJ0mV5_1Wl.png) #### 1.3.9 AdminSDHolder Bật audit log ghi lại khi một object trong AD bị thay đổi (attribute change). Event id 5136 ![image](https://hackmd.io/_uploads/S10NNcuyZx.png) Rule Wazuh ![image](https://hackmd.io/_uploads/BJWSE5uJZe.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110016 ![image](https://hackmd.io/_uploads/H1iSN9_1bl.png) #### 1.3.10 Evil-winrm Sửa file C:\Program Files (x86)\ossec-agent\ossec.conf để gửi log lên Wazuh. Fix: https://wazuh.com/blog/detecting-powershell-exploitation-techniques-in-windows-using-wazuh/ ![image](https://hackmd.io/_uploads/Sk6UVcOkZx.png) Sử dụng PowerShell Module Logging. Trên máy DC, mở Group Policy Editor và thực hiện các bước sau: Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell. Chọn: Turn on Module Logging ![image](https://hackmd.io/_uploads/HySPNc_y-e.png) Tích chọn Enable và chọn Show cạnh Module Names ![image](https://hackmd.io/_uploads/Sk3w4cdyWg.png) Sau đó nhập 2 giá trị sau: Microsoft.PowerShell.* / Microsoft.WSMan.Management ![image](https://hackmd.io/_uploads/HJrd45Oy-l.png) ![image](https://hackmd.io/_uploads/rkq_EqdJWg.png) Chạy gpupdate /force để cập nhật nhóm chính sách ngay lập tức. Trong Event Viewer tại đường dẫn: Applications and Services Logs > Microsoft > Windows > PowerShell > Operational ![image](https://hackmd.io/_uploads/S1-FE9d1bx.png) Rule Wazuh ![image](https://hackmd.io/_uploads/B14KEcd1Wg.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110018 ![image](https://hackmd.io/_uploads/ByWcV5uy-l.png) #### 1.3.11 Abusing AD-DACL: ForceChangePassword Bật audit log ghi lại khi mật khẩu của một user trong domain thay đổi. Event id 4724 (auditpol /set /category:"Account Management" /success:enable /failure:enable) ![image](https://hackmd.io/_uploads/r1Ys49OJWe.png) Rule Wazuh ![image](https://hackmd.io/_uploads/BJhjN5_k-x.png) Cấu hình lỗi Abusing AD-DACL: ForceChangePassword trên máy Windows Server bằng Script ![image](https://hackmd.io/_uploads/rkPh45uJWe.png) Tấn công từ máy Kali Trên Wazuh Manager vào mục Agent, Threat Hunting, Event và lọc rule.id: 110019 ![image](https://hackmd.io/_uploads/Hyo6N9_J-g.png) ## 1.4 Active Respone Wazuh Mở PowerShell với quyền Administrator Cài đặt công cụ PyInstaller: • pip install pyinstaller • pyinstaller --version Chạy pyinstaller -F moveUser.py để chuyển thành file .exe Copy file moveUser.exe đó vào thư mục Wazuh Agent ![image](https://hackmd.io/_uploads/BJc-B5d1-g.png) ![image](https://hackmd.io/_uploads/ryaZS5uk-x.png) Khởi động lại Wazuh agent để áp dụng thay đổi: Restart-Service -Name wazuh Mở file cấu hình của Wazuh Manager: /var/ossec/etc/ossec.conf và thêm cấu hình ![image](https://hackmd.io/_uploads/SkVzS9_1Wl.png) Trên Wazuh Server, chạy lệnh: sudo systemctl restart wazuh-manager Sau khi tấn công với kỹ thuật Kerbroasting thành công user sẽ bị move vào OU Quarantine và tài khoản bị disable ![image](https://hackmd.io/_uploads/HynGrqd1bx.png) Với account bị disable sẽ không thể login được ![image](https://hackmd.io/_uploads/r1_7H9_J-x.png)