כל הזכויות שמורות לטל בן שושן – Shushan.co.il

הגדרה והתקנת Microsoft ATA – Advanced Threat Analytics

Microsoft ATA הוא כלי המותקן על שרת הוא בודק את תעבורת הרשת ובודק את ה Packets שעוברים בו.
הוא בודק ספציפית את הפרוטוקולים DNS NTLM Kerberos, RCP ועוד הוא מזהה התחברויות, שימוש לא הגיוני "אנומלי", מלכודות ועוד
הוא מבצע זאת על ידי שימוש ב Port Mirror (שכפול המידע העובר דרך פרט אחד לפורט אחר) והפורט האחר הזה הוא שרת ה ATA
הATA מסוגל לקחת מידע מלוגים, Event Viewer , מערכת SIEM, ה Windows Event Forwarder ובודק את הרשאות המשתמש והתנהגותו.
אם פתאום משתמש ניגש ל100 תיקיות שיתוף, זה חרגיה מהנורמה, אם המשתמש פתאום מבצע 100 שאילתות DNS זה חריגה מהנורמה.
עוד הרבה אופציות של זיהוי קיימות ב ATA – הוא יתריע כ Suspicious Activities על הפעולות הבאות:

• Reconnaissance – איסוף מידע מהAD, סריקה ברשת, העברת מידע או העתקה שלו ברשת.
• Lateral movement – ניסיון של התוקף לתקוף כמה שיותר רשתות או שרתים \ מחשבים
• Domain – בדיקה של AD, התחברויות לתחנה, התנתקות שינוי הרשאות וכו'
• Malicious Attacks – כל ההתקפות הבאות, הוא ינסה לזהות:
  Pass The Hash
  Pass The Ticket
  Overpass the hash
  Forged PAC
  Goden Ticket
  Malicious Replication
  Brute Force
  Remote Execution Code – ניסיון הרצה של קוד מרחוק, יכול להיות Powershell Remote Execution Code
  ניתן לבצע זאת על ידי פתיחת ה PowerShell תחילה

Enter-PSSession

ואז תוכלו לבצע שאילתות ב WMI למשל (לא חובה למדריך זה)

Get-WmiObject -Class Win32_OperatingSystem -Namespace root/cimv2 -ComputerName .

במאמר זה נתקין את ATA על שרת Windows Server 2016 ונבדוק עם מחשב המחובר לדומיין חלק מההתקפות שATA מזהה

הדרישות

• שרת Domain Controller
• PC1 המצורף לדומיין

תחילה נוריד את Advanced Threat Analytics לשרת ה Windows Server 2016

נפעיל את ההתקנה

הבא

הבא (אם קיים לכם תעודה ארגונית הכניסו כעת) אם לא המשיכו

מצויין!

כעת בשולחן העבודה נוצר אייקון ניהול ל ATA ניכנס אליו ונזין את שם המשתמש שמנהל את ה AD, הסיסמא ושם הדומיין

כעת נתקין את ה GateWay Setup

נבצע את ההתקנה

הבא

הבא

התקן

כעת נסמן לו שתמיד יבצע עדכונים

אם קיים סים ניתן לסמן ON

כעת בסרגל העליון, יש חיפוש ואפשרויות

בחיפוש אפשר לחפש למשל את המשתמש Shushan ולבדוק מתי התחבר, האם נכשל בהתחברות ולאיזה מחשב ניסה להתחבר

גם את המחשב עצמו בדומיין אפשר לבדוק

כעת המערכת אוספת מידע על כל המשתמשים והמחשבים בארגון.

נוכל ל"זייף" כמה התקפות על מנת לבדוק את יעילות המערכת

Honeytoken

Honeytoken הוא סוד של מלכודת, מנהל הרשת \ אבטחת המידע מכניס את ה SID של המשתמש, בגרסה הזו של ATA אין צורך ויש להקיש שם משתמש בלבד, ברגע שהמשתמש יהיה בשימוש, לא משנה איזה – התחברות , הפעלה של תוכנה וכו' נקבל התראה בחלון ה Timeline כ Suspicious Attack.

בהגדרות בצד שמאל נלחץ על Entity tags

נזין את המשתמש שאנחנו רוצים שיהיה כפתיון

Noy

(אם אתם לא מוצאים את המשתמש, התחברו איתו לפחות לאחד המחשבים בדומיין ואז התנתקו)

נוסיף את המשתמש

כעת נתחבר עם המשתמש ונקבל התראה, תוכלו להכנס להתראה על מנת לקבל יותר מידע

Simple Bind LDAP

התחברו עם המשתמש שלכם: נאמר

tal

פתחו את הדפדפן והורידו את ldp.exe

פתחו את התוכנה ולחצו על Connection

כעת לחצו על Advanced ואז שנו ל Simple ולחצו OK

כעת הקישו את שם המשתמש Shushan הסיסמא שלו והדומיין!!

כעת נחפש את המשתמש tal ונוכל למצוא שהוא השתמש ב Simple Bind והעביר את המשתמש והסיסמא כ Clear Text

Reconnaissance

נפתח כעת את ה CMD ונקיש

nslookup

נקיש

ls tal.local

• tal.local זה שם הודמיין שלי

נקבל שגיאה שלא ניתן לקבל את ה Zones כיוון שלא מאושר Transfer

אבל ATA הבחין בניסיון ה Reconnaissance הזה והוציאה התראה

 Pass The Hash – Pass The Ticket – Godeln Ticket

על מנת שהתראה זו תופיע לנו, עלינו לבצע את המדריך

Pass The Hash ממשתמש למנהל הארגון בעזרת Mimikatz והסבר על Golden Ticket | Pass The ticket | | NTLM

לאחר שתבצעו מדריך זה, אחרי כמה דקות תקבלו התראה בנוסח הבא