Skip to content

Instantly share code, notes, and snippets.

@e-cite

e-cite/lateral-movement-in-microsoft-enviroments.md

Last active May 16, 2022 13:08
Show Gist options
  • Save e-cite/989661f8324fb333b17a91c37259a0a4 to your computer and use it in GitHub Desktop.
Save e-cite/989661f8324fb333b17a91c37259a0a4 to your computer and use it in GitHub Desktop.
Download ZIP
Suricata Notes
Raw
lateral-movement-in-microsoft-enviroments.md

Schulung "Lateral Movement in Microsoft Environment"

Teil 1 (12.5.2022)

Techniken für Lateral Movement

  • WinRM (Windows Remote Management)
  • WinRS (Windows Remote Shell)
  • SMB / PsExec/RCE/RSE
  • DCOM
  • SSH Port Forwarding
  • VNC
  • RDP
  • WMI (Windows Management Instrumentation)
  • KRB5 (Pass the Hash, Pass the Ticket) (nicht via Netzwerk sichtbar)

Erkennung mit Suricata

  • Suricata kann bei allen netzwerkbasierten Techniken unterstützen.
  • Oftmals sind netzwerkbasierte Techniken die einzige Erkennungsmöglichkeit zur Erkennung der Kompromittierung von Systemen, insb. für OT-Devices, ohne AV, Geräte ohne Host-IDS
  • Erkennung kann erfolgen mittels:
    • SMB/DCERPC Protocol transaction logs
    • Rules
    • Lua Scripting
    • Flow_id correlation
  • Wichtige Punkte für gute Erkennung:
    • Man muss Lateral Movement Techniken kennen
    • Positionierung des Sensors im Netzwerk
    • Alarme triggern nur bei neuen Paketen, nicht bei bereits vergangenen
    • Suricata Protokoll-Data kann für Hunting von bestehenden, untypischen Verbindungen unterstützen

Zusammenfassung

  • Eine bestehende Verbindung kann sehr einfach über die Community-Id / Flow-Id nachverfolgt werden
  • SELKS bringt viele Dashboards mit, die maßgeblich für eine gute Analyse sind
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment