Hlaing Bwar Logo
Back to articles
April 5, 20267 minsRed Teaming

Internal Network ကြီးကို သိမ်းကျုံးခြင်း: Pass-the-Hash နှင့် Active Directory (Red Teaming)

ရုံးတွေ၊ ဘဏ်တွေ အများဆုံးသုံးတဲ့ Windows Active Directory Environment ကြီးမှာ၊ NTLM Hashes တွေကို ဖြတ်ခိုးပြီး တကယ့် Password မသိဘဲနဲ့တောင် Admin Server ထဲ ဝင်သွားနိုင်တဲ့ တိုက်ခိုက်မှုအကြောင်း Analysis ပါ။

ကုမ္ပဏီအများစုရဲ့ ရုံးတွင်းကွန်ပျူတာ (Internal Network) တွေကို Windows Active Directory (AD) နဲ့ ချိတ်ဆက်ပြီး ထိန်းချုပ်ကြပါတယ်။ Red Teamer (Pentester) တစ်ယောက်အနေနဲ့ ရုံးတွင်း Network ထဲ ရောက်သွားပြီဆိုရင် ပစ်မှတ်က "Domain Controller (DC)" ကြီးကို Admin Access ရဖို့ (Domain Admin) ပဲ ဖြစ်ပါတယ်။

The Magic of "Pass-the-Hash" (PtH)

Windows ဟာ Password တွေကို အစိမ်းလိုက် မသိမ်းဘဲ NTLM Hash အနေနဲ့ ပြောင်းပြီး သိမ်းပါတယ်။ (ဥပမာ- aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0).

အံ့ဩစရာကောင်းတာက၊ တခြား Server ကို လှမ်းပြီး Authentication (Log in) ဝင်တဲ့အခါမှာ တကယ့် Password အစစ် (Cleartext) ကို ငယ်ငယ်ကလို ရိုက်ထည့်စရာ မလိုပါဘူး။ အပေါ်က NTLM Hash ကြီးကို ပို့ပေးလိုက်ရင်လည်း Windows က လက်ခံပါတယ်။

တိုက်ခိုက်ပုံ အဆင့်ဆင့်:

၁။ Hash တွေကို ဖြတ်ခိုးခြင်း (Credential Dumping):

ကိုယ့်စက်က (Local Admin) ရထားရင် Mimikatz ဆိုတဲ့ Tool ကို သုံးပြီး Memory (LSASS) ထဲမှာ ကျန်နေခဲ့တဲ့ Hash တွေကို ဆွဲထုတ်လို့ ရပါတယ်။

text
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

ဒီလို ရိုက်လိုက်ရင်၊ အဲ့ဒီစက်မှာ မနေ့က လာ login ဝင်သွားတဲ့ "IT Support" သမားရဲ့ Password Hash ကိုပါ မြင်ရပါပြီ။

၂။ Pass-the-Hash ဖြင့် အခြားစက်များသို့ ကူးဆက်ခြင်း:

အဲ့ဒီ Support သမားရဲ့ Hash ကို အသုံးပြုပြီး၊ Mimikatz ထဲကနေပဲ အခြား Server တွေဆီ လှမ်းဝင်ပါတယ်။

text
mimikatz # sekurlsa::pth /user:IT_Support /domain:CORP.LOCAL /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0

ဒီ Command ကို run လိုက်တာနဲ့ စက်ထဲမှာ cmd.exe အသစ်တစ်ခု ပွင့်လာပါတယ်။ အဲ့ဒီ CMD က ကိုယ့်ရဲ့ Account နဲ့ run နေတာမဟုတ်တော့ဘဲ၊ IT Support ခေါင်းစဉ်အောက်ကနေ run နေတာဖြစ်လို့... ပိတ်ထားတဲ့ တခြား Network drive တွေဆီ အရသာခံပြီး ဝင်မွှေလို့ ရသွားပါပြီ။

ကာကွယ်ရန် အဓိကနည်းလမ်းများ:

ဒီလိုမျိုး Lateral Movement တွေကို ရှောင်ရှားချင်ရင်၊

  • LAPS (Local Administrator Password Solution) ကိုသုံးပြီး စက်တိုင်းမှာ Local Admin Password ကို မတူအောင် ခွဲထားပါ။
  • Tiered Administration (Admin account တွေသုံးပြီး သာမန် User စက်တွေကို remote login မဝင်ခြင်း) ကို တင်းတင်းကျပ်ကျပ် သတ်မှတ်ထားရပါမယ်။
  • EDR (Endpoint Detection and Response) တွေက Mimikatz လို Tools တွေကို Memory Level ကနေ တားဆီးပေးနိုင်ပါတယ်ဗျ။

Continue Reading

More articles you might enjoy

SSRF ကနေတစ်ဆင့် AWS Server ကြီးတစ်ခုလုံး အသိမ်းခံရတဲ့အခါ (Cloud Security)
March 30, 20265 mins

SSRF ကနေတစ်ဆင့် AWS Server ကြီးတစ်ခုလုံး အသိမ်းခံရတဲ့အခါ (Cloud Security)

Cloud ပေါ်တင်ထားတဲ့ Web Application တစ်ခုမှာ SSRF (Server-Side Request Forgery) အားနည်းချက်ရှိနေရင်၊ EC2 Metadata Endpoint (169.254.169.254) ကနေ Admin Credentials တွေ ဘယ်လိုပါသွားတတ်လဲဆိုတာကို ရှင်းပြထားပါတယ်။

Read article
DevSecOps: Pipeline တွေထဲမှာ လုံခြုံရေးကို အလုံပိတ်ထားခြင်း
April 2, 20266 mins

DevSecOps: Pipeline တွေထဲမှာ လုံခြုံရေးကို အလုံပိတ်ထားခြင်း

Developer တွေ Github ပေါ် Code တင်လိုက်တာနဲ့ Secrets တွေ (API Keys, Passwords) မတော်တဆ ပါသွားတာတွေ၊ Docker image မှာ Vulnerabilities တွေ ပါလာတာတွေကို CI/CD Pipeline ထဲမှာ Auto ဘယ်လို ဖမ်းမလဲဆိုတာ ပြထားပါတယ်။

Read article
File Upload ကနေ shell တက်သွားတဲ့ သဘောတရား (PHP)
March 29, 20266 mins

File Upload ကနေ shell တက်သွားတဲ့ သဘောတရား (PHP)

Developer တော်တော်များများက ပုံတင်တဲ့ နေရာတွေမှာ `accept=".jpg,.png"` လောက်ပဲ စစ်လေ့ရှိပါတယ်။ ဒီဆောင်းပါးမှာ Backend ကို ဘယ်လို bypass လုပ်ပြီး RCE (Remote Code Execution) ရယူလဲဆိုတာ ရေးထားပါတယ်။

Read article