Enumerating Security Controls

Windows Defender

Windows Defender (hoặc trước đó là Microsoft Defender sau bản update 5/2020) đã chặn các công cụ như PowerView. Có nhiều cách để bypass. Sử dụng built-in command Get-MpComputerStatus trong PowerShell để kiểm tra trạng thái của Defender, nếu RealTimeProtectionEnabled được set là true thì Defender được enabled.

Get-MpComputerStatus
PS C:\htb> Get-MpComputerStatus

AMEngineVersion                 : 1.1.17400.5
AMProductVersion                : 4.10.14393.0
AMServiceEnabled                : True
AMServiceVersion                : 4.10.14393.0
AntispywareEnabled              : True
AntispywareSignatureAge         : 1
AntispywareSignatureLastUpdated : 9/2/2020 11:31:50 AM
AntispywareSignatureVersion     : 1.323.392.0
AntivirusEnabled                : True
AntivirusSignatureAge           : 1
AntivirusSignatureLastUpdated   : 9/2/2020 11:31:51 AM
AntivirusSignatureVersion       : 1.323.392.0
BehaviorMonitorEnabled          : False
ComputerID                      : 07D23A51-F83F-4651-B9ED-110FF2B83A9C
ComputerState                   : 0
FullScanAge                     : 4294967295
FullScanEndTime                 :
FullScanStartTime               :
IoavProtectionEnabled           : False
LastFullScanSource              : 0
LastQuickScanSource             : 2
NISEnabled                      : False
NISEngineVersion                : 0.0.0.0
NISSignatureAge                 : 4294967295
NISSignatureLastUpdated         :
NISSignatureVersion             : 0.0.0.0
OnAccessProtectionEnabled       : False
QuickScanAge                    : 0
QuickScanEndTime                : 9/3/2020 12:50:45 AM
QuickScanStartTime              : 9/3/2020 12:49:49 AM
RealTimeProtectionEnabled       : True
RealTimeScanDirection           : 0
PSComputerName                  :

AppLocker

Là một ứng dụng whitelist các software hoặc các file executables được allow chạy trong hệ thống. Mục tiêu là bảo vệ enviroment từ malware hoặc các software không được cho phép chạy trong môi trường corp. AppLocker là một giải pháp để whitelist các file được chạy, scripts, Windows installer files, DLL, package apps,... Các corp thường chặn cmd.exe và powershell.exe và quyền ghi vào một số đường dẫn thư mục nhất định.

%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Hoặc PowerShell_ISE.exe. Để kiểm tra AppLocker policy:

PowerShell Constrained Language Mode

PowerShell Constrained Language Mode lock nhiều feature của PowerShell, ví dụ như COM object, only allow .NET types, XAML-based workflows, PowerShell classes,...

Kiểm tra nhanh PowerShell đang đặt ở Full Language Mode hay Constrained Language Mode.

LAPS

Local Administrator Password Solution (LAPS) là giải pháp được sử dụ để randomize local administrator password và prevent lateral movement. Ta có thể enumerate được domain user nào có thể read được LAPS password được đặt cho các hosts đã cài đặt LAPS và hosts nào không cài đặt. LAPSToolkit có nhiều chức năng. Một trong số đó là parsing được ExtendedRights cho tất cả hosts được enabled LAPS, hiển thị được cái group có delegated cho việc đọc LAPS password. Một account khi join vào computer sẽ có quyền All Extended Rights đối với host đó và cung cấp khả năng đọc được LAPS password.

Find-AdmPwdExtendedRights

Find-LAPSDelegatedGroups sẽ check các quyền trên mỗi computer có bật LAPS cho bất kì group nào có quyền đọc và user nào có All Extended Rights. User có All Extended Rights sẽ đọc được LAPS password và có thể ít an toàn hơn các user delegated groups.

Get-LAPSComputers

Ta có thể sử dụng Get-LAPSComputers để tìm các computer đã bật LÁP khi password expired và nếu user có quyền có thể xem được password ở dạng cleartext.

PreviousInternal Password SprayingNextCredentialed Enumeration

Last updated