25.09.2024
1 хв
1150
BloodHound Community Edition — це інструмент для аналізу Active Directory, який допомагає швидко знаходити слабкі місця в домені та бачити взаємозв’язки між користувачами, групами й правами доступу. У статті пояснюється, як встановити BHCE, зібрати дані, імпортувати їх у систему та користуватися зручними графами, щоб оцінити безпеку середовища. Матеріал буде корисним тим, хто хоче розібратися в роботі BHCE простими словами та застосувати його у своїх тестах або аудитах.
Багато спеціалістів із кібербезпеки прагнуть опанувати BloodHound, однак часто стикаються з труднощами на старті. Через це початкова мотивація швидко згасає, виникає плутанина і навіть розчарування.
Цей матеріал пояснює процес встановлення BloodHound CE, збір необхідних даних, аналіз отриманої інформації та візуалізацію доменних зв’язків на її основі.
Перш ніж переходити до практики, важливо розуміти, у чому сенс роботи з BloodHound. Active Directory — складна система, де велика кількість налаштувань створює простір для помилок. У типових доменних середовищах рідко використовуються CVE-експлойти — більшість атак на підвищення привілеїв виникає саме через неправильні конфігурації. Завдання спеціаліста — виявити максимально можливу кількість таких сценаріїв, оцінити їх критичність і підготувати рекомендації для мінімізації ризиків.
Щоб ця робота приносила реальну користь і фінансову цінність, необхідно не лише знаходити проблеми, а й уміти чітко та професійно описувати їх у звітах. Просте, структуроване представлення ризиків є обов’язковим елементом успішного аудиту Active Directory.
BloodHound був розроблений компанією SpecterOps як спосіб візуалізації відносин між об’єктами AD. Через масштаб і складність більшості мереж AD аудит цих зв’язків вручну – кошмар. Натомість в оригінальній BloodHound для візуалізації цієї інформації використовувалася теорія графів Neo4j, що дозволяє передавати інформацію між об’єктами.
В даний час існує три версії BloodHound, про які вам необхідно знати:
BloodHound Legacy: Оригінальна версія BloodHound, яка більше не підтримується. Побудована на базі програми Electron, дещо складна у налаштуванні.
BloodHound Community Edition: Випущена в серпні 2023 року, активно підтримується. Використовує docker compose для керування набором контейнерів виключно простий у розгортанні. Плавний інтерфейс веб-додатку.
BloodHound Enterprise: Платна версія BloodHound для управління шляхами атак. Основна відмінність полягає в тому, що ця версія використовується для управління ризиками та перевірки.
Є кілька різних компонентів, про які ми маємо знати. По-перше, сам додаток BloodHound – це не більше ніж фронт-енд для візуалізації, представлення та аналізу даних. Нам потрібно зібрати дані про навколишнє середовище за допомогою колектора, щоб вони потрапили до програми для аналізу.
Нам потрібно зібрати дані з середовища AD, щоб передати їх у BloodHound для аналізу. Існує два основних колектори, про які вам потрібно знати:
SharpHound: Це офіційно підтримуваний інструмент колектора для BloodHound, написаний на C#. Для збору інформації його необхідно запускати з комп’ютера під керуванням Windows, підключеного до домену.
BloodHound.py: Сценарій на мові python, розроблений спільнотою та використовується для збору даних AD. Може бути запущений із машини на базі Linux, наприклад Raspberry Pi.
Важливо розуміти, що на момент написання цієї статті bloodhound.py не підтримує BloodHound-CE . Ви повинні використовувати гілку bloodhound-ce колектора bloodhound.python, якщо ви вирішите використовувати його. Не варто змішувати застарілі колектори з колекторами Community Edition – це призведе до збою під час введення (а це дуже неприємно!).
BloodHound – це веб-додаток, який використовується для інтерпретації даних, отриманих від колектора. Ця програма з графічним інтерфейсом, з яким ми взаємодіємо, щоб інтерпретувати дані для виявлення ризиків та шляхів ескалації. Фронтенд хороший лише настільки, наскільки хороші дані, отримані від колектора.
Усередині графічного інтерфейсу фронтенда знаходиться File Ingest. З його допомогою дані, отримані від колектора, розміщуються в базі даних Neo4j. Після аналізу ці дані будуть доступні GUI-додатку для аналізу.
Одним із найцікавіших моментів у BloodHound-CE є доступний HTTP API для запиту даних. Це допоможе нам автоматизувати та швидко витягувати дані, щоб довести їхню цінність у ході пентестингу.
Ми вже розповідали про оригінальну версію BloodHound і про те, чому вона важлива, але це дуже важливо розуміти. Старі колектори НЕ ПРАЦЮЮТЬ з Community Edition BloodHound. Будь-який бажаючий може використовувати застарілу версію, і вона, як і раніше, відмінно працюватиме, проте вона не буде відповідати останнім загрозам. Оскільки ми доводимо цінність гри для клієнтів, нам потрібно використовувати предмети, які можуть оцінити найбільш застосовні для них ризики.
Відмінно, тепер, коли ми знаємо все про кожну частину головоломки, ми можемо приступити до встановлення BloodHound-CE та збору даних для нашого аналізу.
Community Edition використовує docker compose через набір контейнерів. Це значно спрощує запуск та керування інфраструктурою для BloodHound, оскільки всі контейнери знаходяться у мережі docker.
Нам потрібно лише завантажити файл docker-compose.ymlта дати команду docker на складання контейнерів.
wget https://raw.githubusercontent.com/SpecterOps/bloodhound/main/examples/docker-compose/docker-compose.yml -O docker-compose.yml
docker-compose up
Зверніть увагу, що в журналах буде вказано початковий пароль, який потрібно використовувати для входу в систему.
Скопіюйте цей пароль та перейдіть за адресою http://localhost:8080, щоб увійти до графічного інтерфейсу. Користувачем буде admin.
Коли ви увійдете в систему, вам буде запропоновано змінити пароль.
Причому легкий пароль вам не дозволять.
Добре, ми увійшли. Але зачекайте тут немає даних! Як же нам розпочати аналіз? Спочатку нам потрібно завантажити колектори.
Ми маємо кілька способів зробити це. Ми можемо використовувати колектори SharpHound.exe C#, PowerShell або Python для збирання цієї інформації.
Щоб отримати копію колекторів, що підтримуються, ми можемо завантажити їх прямо з графічного інтерфейсу BHCE. Клацніть на шестерні, а потім на “Завантажити колектори”. Відкриється сторінка, на якій ми можемо завантажити колектор.
Після розпакування ми можемо запустити цей інструмент збирання на віддаленому хості. Виберіть зручний для вас спосіб виконання цієї операції, чи то маяк для послідовного виконання, чи інтерактивна RDP-сесія.
Використання SharpHound.exe є дуже простим – ми можемо просто запустити його без будь-яких додаткових прапорів, і він з радістю збере стандартну інформацію про поточний домен з поточним користувачем.
.\SharpHound.exe
Щоб зібрати всю доступну інформацію, ми можемо вказати прапор -c All. Це дозволить отримати такі відомості, як інформація ADCS, RDP та DCOM. Однак у великих середовищах збирання всієї інформації може призвести до перевантаження машини – майте це на увазі!
Особисто мені подобається збирати все, а потім шифрувати ZIP паролем і надавати файлам префікс. Хоча ці дані доступні всім користувачам домену, в чужих руках вони можуть стати конфіденційною інформацією.
.\SharpHound.exe -c All --zippassword 'p@ssw0rd' --outputprefix 'NORTH'
Після завершення ми побачимо, що zip-файл був створений і з нашим передбачуваним префіксом. Зверніть увагу на кількість об’єктів, це може бути корисним у звіті для клієнта.
Щоб зібрати дані з інших доменів у тому самому лісі, нам потрібно додати кілька додаткових прапорів. Наприклад, за допомогою прапора --domainнам потрібно буде попрямувати до потрібного домену. Далі ми переключимося на домен sevenkingdoms.local, працюючи від імені користувача [email protected]. Для роботи ця машина має бути здатною дозволити домен в DNS.
.\SharpHound.exe -c All --domain sevenkingdoms.local --zippassword 'p@ssw0rd' --outputprefix 'SEVENKINGDOMS'
Якщо ми знаходимося в лісі, але ми не маємо доступу до облікового запису, довіреного в окремому домені, ми завжди можемо запустити SharpHound.exeза допомогою команды runas.execommand.
runas /netonly /user:[email protected] cmd .\SharpHound.exe -c All --domain essos.local --zippassword 'p@ssw0rd' --outputprefix 'ESSOS'
В якості альтернативи можна вказати прапори --ldapusernameдля --ldappasswordпідключення до іншого домену. Це не потребує роботи команди runas.exe.
.\SharpHound.exe -c All --domain essos.local --ldapusername khal.drogo --ldappassword horse --zippassword 'p@ssw0rd' --outputprefix 'ESSOS'
Чи стикалися ви з ситуацією, коли файл SharpHound.exe відзначається засобами виявлення як шкідливий? У деяких сценаріях ми можемо обійти цей контроль, завантаживши файл C#, що виконується, в пам’ять, а потім виконавши точку входу (ATT&CK ID T1620).
$sh = [System.Reflection.Assembly]::Load([byte[]]([IO.FIle]::ReadAllBytes("C:\Temp\SharpHound.exe")));
$cmd = "-c All --zippassword 'p@ssw0rd' --outputprefix REFLECTED"
[Sharphound.Program]::Main($cmd.Split())
Зверніть увагу, що вам може знадобитися додати ключ --outputdirectory, щоб забезпечити збереження в потрібному місці.
Далі ми можемо використовувати інструмент bloodhound.pyдля збирання та цієї інформації. Як зазначалося раніше, поточний пакет bloodhound.pyу репозиторіях Kali призначений лише Legacy BloodHound. Вам потрібно завантажити гілку bloodhound-ce з їх GitHub .
sudo apt install bloodhound.py
bloodhound-python -d north.sevenkingdoms.local -u hodor -p hodor -c All -op default_kali_bloodhoundpy --zip -ns 192.168.56.10
Оскільки нас цікавлять дані для підтримки BHCE, давайте зосередимося на встановленні цієї гілки та її використанні. Зокрема ми можемо клонувати цю гілку прямо з GitHub.
git clone -b bloodhound-ce https://github.com/dirkjanm/BloodHound.py.git
Якщо ми не хочемо встановити залежність, ми завжди можемо створити контейнер для запуску. У репозиторії вже є Dockerfile, який ми можемо використовувати для збирання.
cd BloodHound.py docker build -t bloodhound .
docker run -v ${PWD}:/bloodhound-data -it bloodhound
a0140a0d356a:/bloodhound-data# bloodhound-python -d north.sevenkingdoms.local -u hodor -p hodor -c All -op ce_branch_bloodhoundpy --zip -ns 192.168.56.10
Тепер, коли ми змогли зібрати дані, нам потрібно вміти їх використати. Для цього потрібно завантажити їх у графічний інтерфейс, де вони будуть занесені до бази даних Neo4j. Для цього потрібно натиснути кнопку cog, а потім на кнопку Administration.
На цьому етапі ми можемо натиснути кнопку UPLOAD FILE(S) для завантаження наших даних. Зауважте, що ми не можемо завантажити zip-файл, але ми можемо вибрати кілька JSON-файлів одночасно.
У спливаючому вікні ми можемо перетягувати файли, які будуть прийняті. Пам’ятайте, що ми не можемо завантажити архів zip, але ми можемо завантажити всі JSON-файли, витягнуті з zip-архіву.
Після подвійного натискання кнопки завантаження ми повернемося на сторінку завантаження. Ми бачимо, що у статусі зазначено, що завантаження завершено! Ми можемо продовжити завантаження додаткових даних для інших доменів у лісі.
Один із найнеприємніших моментів у роботі BHCE – відсутність зворотного зв’язку при завантаженні застарілої інформації. Саме через цей сценарій, як мені здається, багато хакерів, які навчаються використовувати цей інструмент, розчаровуються та кидають роботу.
У цьому випадку, якщо ми зберемо інформацію з колекціонера для Legacy Bloodhound та імпортуємо її в BHCE, є ймовірність, що файли пройдуть початкову перевірку на завантаження, будуть позначені як завершені, але насправді не будуть прийняті.
Повернувшись на сторінку Explore, ми бачимо, що дані досі не отримані. Тут легко засмутитися – зрештою, ми ж завантажили дані, правда?
Щоб виявити це, нам довелося заглянути в журнали docker compose logs, щоб побачити помилку. Тут показано, що сталася помилка розмаршалінгу (процесу перетворення серіалізованих даних, часто у певному форматі, наприклад JSON, XML або бінарному, назад у вихідний об’єкт або завантажені дані).
Таке сталося з даними, зібраними за допомогою bloodhound-pythonрепозиторію Kali.
Для уникнення подібних проблем доцільно використовувати найновіші версії колекторів, сумісних із BHCE. Також було б корисно, аби графічний інтерфейс BHCE оновили таким чином, щоб він явно показував помилки розмаршалінгу або хоча б подавав чіткий сигнал про те, що процес Ingest завершився невдало.
Для отримання даних через API можна скористатися офіційною документацією. Хоча більшість користувачів зазвичай імпортують дані через графічний інтерфейс, BHCE повністю підтримує роботу й через API.
Якщо ви зайшли так далеко, ми можемо приступити до вивчення зібраних даних! Це дозволить нам знайти та зрозуміти взаємозв’язки між об’єктами у лісі та те, як їх можна використовувати. Спочатку ми можемо використовувати вбудовані запити для вивчення даних. Для цього потрібно натиснути кнопку CYPHER, потім на значок папки, щоб відкрити запити.
Клацнувши на одному з пошукових запитів, наприклад “Всі адміністратори домену”, ви додасте запит Cypher у рядок пошуку та пошукайте збіги у базі даних. Результати тепер будуть на екрані! Щоб отримати детальну інформацію про об’єкт, ми можемо натиснути на ньому, щоб переглянути його властивості. Це допоможе знайти додаткову інформацію про обліковий запис або домен.
Щоб знайти конкретні шляхи від одного об’єкта до іншого, можна використовувати кнопку PATHFINDING. У цьому випадку ми можемо запитати, як користувач samwell.tarlyможе отримати доступ до администраторам домена, щоб визначити, як цей користувач може використовувати цей шлях.
У цьому сценарії ми бачимо, що користувач samwell.tarlyмає дозволи GenericWrite, WriteOwnerі WriteDaclGPO STARKWALLPAPER. Якщо ми не знаємо, як це може бути використано, ми можемо натиснути на самому краю, щоб у правій панелі відкрилися властивості. Тут міститься інформація про Едж, у тому числі про те, як зловживати цим дозволом на машинах під керуванням Windows або Linux.
Наскільки це круто? Тут розповідається, що і як ми можемо використовувати для підтвердження впливу. Ці властивості також включають кілька відмінних посилань, які завжди варто прочитати, щоб дізнатися більше про конкретний сценарій зловживання.
Щоб позначити об’єкт як Owned, ми можемо клацнути правою кнопкою миші в графічному інтерфейсі. При цьому на об’єкті з’явиться значок черепа, що дозволить нам виконувати додаткові запити на основі об’єктів, що належать. Це допоможе нам відслідковувати, як ми можемо маневрувати в середовищі з отриманням доступу.
Щоб переглянути об’єкти, позначені як Owned, ми можемо натиснути кнопку “GROUP MANAGEMENT” у верхній частині сторінки. Ви помітите, що сторінка спочатку буде порожньою, і нам доведеться натиснути кілька кнопок, щоб отримати потрібну інформацію.
Почніть із натискання другої кнопки, щоб вибрати сутність для пошуку. У більшості випадків достатньо вибрати “Всі домени Active Directory”.
Після цього ми можемо натиснути на верхнє меню і вибрати “OWNED”.
На цьому етапі ми зможемо побачити обліковий запис, який ми відзначили як захоплений. Це може бути корисним для відстеження об’єктів у міру отримання доступу, а також для звітування перед клієнтом.
Хоча готові пошукові запити допоможуть швидко знайти цікаві об’єкти, нерідкі випадки, коли нам потрібно знайти щось не охоплене цими запитами. Щоб вирішити цю проблему, ми можемо створювати власні запити, які надсилаються до бази даних Neo4j. Так ми можемо переконатися, що пошук працює саме так, як ми задумали, і згодом зберегти його в пошуку користувача.
У стандартному наборі запитів BHCE помітно бракує кількох важливих пошукових операцій, які дозволяють ефективно пов’язувати окремі об’єкти домену з найбільш цінними або ризиковими цілями. У BHCE і Legacy це вирішується інакше, і для цього потрібні спеціальні запити в Cypher. Нижче наведено спосіб отримання списку всіх об’єктів, що належать до BHCE:
MATCH (n) WHERE "owned" in n.system_tags RETURN n
Його можна помістити в панель запитів Cypher, натиснути кнопку пошуку та побачити всі захоплені об’єкти. Зверніть увагу, що на зображенні нижче об’єкти User та Computer захоплені, але не мають шляху один до одного з цього пошуку.
Нижче наведено кілька корисних запитів, які добре зарекомендували себе на практиці й допомагають виявляти неправильні конфігурації у доменному середовищі:
Знайти усі необмежені делегування від не-DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH COLLECT(c1.name) AS domainControllers MATCH (c2 {unconstraineddelegation:true}) WHERE NOT c2.name IN domainControllers RETURN c2
Знайдіть користувачів, у яких є слово “pass”.
MATCH p = (d:Domain)-[r:Contains*1..]->(u:User) WHERE u.description =~ '(?i).*pass.*' RETURN p
Список усіх захоплених об’єктів
MATCH (n) WHERE "owned" in n.system_tags RETURN n
Знайдіть усі шляхи від володіння до об’єктів рівня 0
MATCH p = allShortestPaths((o)-[*1..]->(h)) WHERE 'owned' in o.system_tags AND 'admin_tier_0' in h.system_tags RETURN p
Якщо ви хочете дізнатися більше, у документації BloodHound є кілька фантастичних ресурсів про те, як створювати та розуміти глибокі запити Cypher: Пошук за допомогою Cypher – BloodHound (bloodhoundenterprise.io)
Коли ми хочемо зберегти результати пошуку для подальшого використання, ми можемо зберегти його за допомогою кнопки Save Query. Це призведе до появи категорії “Пошуки користувача” у тій же іконці папки для подальшого використання.
Однак на даний момент не існує способу завантаження запитів користувача з диска, як у BloodHound Legacy. Про це кілька разів писали в BloodHound Slack, пропонуючи використовувати API замість цього.
Тим не менш, ми можемо скористатися документацією API, щоб спробувати зрозуміти, що нам потрібно зробити. Корисно відзначити, що є кілька різних речей, які ми можемо використовувати для читання та розміщення нових запитів користувача в системі.
Якщо нам знадобиться прямий доступ до веб-консолі Neo4j, ми можемо зайти до неї, перейшовши за адресою http://localhost:7474. Для більшості сценаріїв у цьому немає необхідності, якщо нам не потрібен прямий доступ до бази даних.
Це веб-інтерфейс для бази даних Neo4j, який дозволить нам виконувати необроблені запити до шифру та переглядати дані. Зайдемо, використовуючи дефолтні облікові даніneo4j:bloodhoundcommunityedition
Ми можемо помістити необроблені запити у підказку та побачити результати, а також усі властивості для кожного повернутого об’єкта.
Це допоможе нам створювати і налагоджувати запити користувача для BHCE. Знову ж таки, доступ до веб-консолі Neo4j, як правило, не потрібен у більшості сценаріїв, але його корисно мати як запасний варіант на випадок необхідності.
У більшості консалтингових середовищ нам необхідно очистити дані BloodHound, щоб зберегти поділ даних між клієнтами. В останньому випуску BloodHound 5.8.0 це можна зробити у графічному інтерфейсі.
До версії 5.8.0 нам потрібно було видалити те, що використовується BloodHound, щоб очистити його. Залишаемо тут ці інструкції на випадок, якщо комусь доведеться знати, як це зробити, це також описано у випуску #107 для BHCE.
Для початку давайте перерахуємо томи, що використовуються докером:
docker volume ls
У цих даних ми бачимо два томи, пов’язані з BloodHound.
Визначення тома Neo4j, що використовується BloodHound Щоб видалити ці дані та отримати свіжий екземпляр даних BloodHound, нам потрібно видалити цей том. Зверніть увагу, що bloodhound_postgres-dataвикористовується для входу в графічний інтерфейс і веб-додаток. Зазвичай його не потрібно видаляти, якщо ви не хочете все скинути. Давайте видалимо цей скидання даних. Ми використовуємо нижченаведену команду, щоб попросити docker видалити цей том.
Щоб спростити завдання ми можемо виконати все це однією командою.
docker volume rm $(docker volume ls -q | grep neo4j-data)
Якщо ви хочете видалити все та отримати свіжу копію всіх контейнерів, томів та конфігурацій, дотримуйтесь цих інструкцій. Передбачається, що файл docker-compose.ymlзнаходиться у робочій директорії.
Спочатку нам потрібно знести контейнери та видалити томи за допомогою наступної команди:
docker-compose down -v
Після цього ми можемо отримати свіжу копію контейнерів за допомогою команди pull.
docker-compose pull
Зупинити контейнер дуже просто: ми можемо просто попросити docker зупинити їх.
docker compose stop
У багатьох середовищах ми захочемо поділитися нашим екземпляром BHCE з іншими, щоб усі вони могли підключитися до одного екземпляра. За промовчанням BHCE відкрито лише для localhost. Щоб досягти цього, потрібно змінити файл docker-compose.yml, щоб відкрити його для інших.
Змінивши наведений нижче рядок у службі bloodhound, ми можемо вказати Docker Compose відкривати графічний інтерфейс для інтерфейсів, відмінних від localhost. Це дуже зручно, якщо ми плануємо використовувати один сервер для одночасного використання багатьма пентестерами.
Якщо ми хочемо відкрити його для всіх інтерфейсів, змініть параметр BLOODHOUND_HOSTна 0.0.0.0. Зверніть увагу, що якщо у вас є білий IP, ваш сервер буде доступний в Інтернеті! Зазвичай краще прив’язати його тільки до інтерфейсу VPN, наприклад, до інтерфейсу WireGuard, щоб обмежити доступ.
Тим, хто прагне пришвидшувати робочі процеси й підвищувати якість результатів, завжди важливо знаходити інструменти, що реально економлять час. Постає логічне питання: як використати ці підходи, щоб виконувати завдання значно швидше та ефективніше?
Інструментар AD-Miner використовує дані в Neo4j для пошуку безлічі відомих ризиків і шляхів ескалації, а потім подає ці результати в HTML-файлі із загальною оцінкою.
Ми можемо запустити його, спочатку встановивши інструмент AD-Minerза допомогою pipx, а потім надавши інформацію для підключення до бази даних Neo4j – ці облікові дані зберігаються у файлі docker-compose.yml. За умовчанням це neo4j:bloodhoundcommunityedition. Зауважте, що це пароль до бази даних Neo4j, а не до графічного інтерфейсу BHCE!
Встановлення за допомогою pipx:
pipx install 'git+https://github.com/Mazars-Tech/AD_Miner.git'
Створення звіту AD-Miner за допомогою облікових даних BHCE за промовчанням
AD-miner -u neo4j -p bloodhoundcommunityedition -cf GOAD
Це може зайняти багато часу в залежності від розміру середовища – у деяких доменах мені доводилося чекати більше 2 годин! Після завершення процесу файли будуть знаходитись у папці render_GOAD, використовуючи мітку, вказану в ключі -cf. Ми можемо знайти цей HTML-файл у створеній папці.
Як це чудово! Тепер у нас є інтерактивна панель приладів, яка дозволяє звернути нашу увагу на найважливіші помилки в конфігурації. AD-Miner – це фантастичний інструмент для додаткового аналізу та збагачення даних.
BloodHound Community Edition — це потужний та водночас зручний інструмент, який значно спрощує аналіз Active Directory у складних корпоративних мережах. Використання сучасних колекторів, правильне введення даних та вміння працювати із графовими зв’язками дозволяє швидко знаходити неправильні конфігурації та потенційні шляхи атак. У поєднанні з інструментами на кшталт AD-Miner BHCE перетворюється на повноцінний набір для глибокого доменного аудиту, допомагаючи спеціалістам об’єктивно оцінювати ризики та формувати чіткі рекомендації для підвищення безпеки інфраструктури.
