Chaining, een unieke feature van NodeZero by NetBoss

In een vorige blog heb ik aangegeven wat dieper in te zullen gaan op één van de unieke features van NodeZero by NetBoss, namelijk chaining.

Chaining

NodeZero kan zonder credentials en autonoom een volwaardige pentest uitvoeren. Tijdens de pentest worden dezelfde aanvalstechnieken en tools gebruikt die ook door hackers worden gebruikt. Ook worden aanvalspatronen gevolgd die alleen gebruikt worden bij geavanceerde aanvallen. Chaining is daar een belangrijk onderdeel van. Bij chaining worden kwetsbaarheden, verzamelde inloggegevens, misconfiguraties en gevaarlijk productdefaults gecombineerd en gebruikt binnen een aanval.

Veel organisaties gebruiken al vulnerability scanners en één van de problemen met vulnerability scanners is de grote hoeveelheid niet in context geplaatste informatie die terugkomt. De lijst met kwetsbaarheden wordt vaak op basis- en in volgorde van de CVE-score aangepakt waardoor kwetsbaarheden met lagere scores vaak laat of niet verholpen worden. Dit is gevaarlijk omdat kwetsbaarheden met een lage CVE-score gecombineerd met elkaar soms een heel ander beeld kunnen geven. Voeg daar misconfiguraties, verzamelde credentials en gevaarlijke productdefaults aan toe en je begrijpt waarom chaining zo belangrijk is en zoveel toevoegt.

Er volgt nu een gedetailleerd voorbeeld van een case waar chaining uiteindelijk heeft geleid tot een domain compromise. Dit is een voorbeeld van een resultaat uit een pentest die in productie is uitgevoerd.

De volledig autonome aanval heeft gebruik gemaakt van twee kwetsbaarheden en leidde binnen 33 minuten en 9 seconden tot de domain compromise.

NodeZero:

  1. Beschrijft gedetailleerd elke stap van een aanvalspad. Je kunt inzoomen op die details zodat je precies weet wat er in die stap is uitgevoerd
  2. Levert bewijs van elke exploit, wat betekent dat er geen false positives zijn
  3. Prioriteert kwetsbaarheden en de impact die ze hebben op de organisatie zodat u weet wat u eerst moet verhelpen
  4. Identificeert kwetsbaarheden die na het fixen meerdere problemen oplossen
  5. Begeleidt u bij het fixen van de kwetsbaarheden met stap voor stap beschrijvingen

Aanvalspad

NodeZero is gestart vanaf host 10.0.222.200

NodeZero start

NodeZero ontdekte de host 10.0.4.4.

NodeZero start

NodeZero ontdekte een Java service op 10.0.4.4 port 1099

NodeZero start

NodeZero ontdekte dat er sprake was van H3-2020-0022: Insecure Java JMX Configuration onder de Java service op 10.0.4.4 port 1099

NodeZero start

Het bestand C:\Windows\win.ini werd via de RCE-kwetsbaarheid buit gemaakt

NodeZero start

NodeZero startte een Remote Access Tool op host 10.0.4.4 om verder misbruik te maken van H3-2020-0022: Insecure Java JMX Configuration

NodeZero start

NodeZero maakte gebruik van de Remote Access Tool onder het administrator account op 10.0.4.4 en ontdekte H3-2021-0042: Credential Dumping – Security Account Manager (SAM) Database

NodeZero start

NodeZero ontdekte een NTLM Hash voor de gebruiker cbr-user door gebruik te maken van H3-2021-0042: Credential Dumping – Security Account Manager (SAM) Database

NodeZero start

NodeZero ontdekte een Domain Controller 10.0.4.1 (dc01.pod04.h3airange.internal)

NodeZero start

NodeZero ontdekte de SMB service op domain controller 10.0.4.1 (dc01.pod04.h3airange.internal) port 445

NodeZero start

NodeZero verifieerde de credentials voor domain admin cbr-user in domain POD04.H3AIRANGE.INTERNAL op de SMB service op domain controller 10.0.4.1 (dc01.pod04.h3airange.internal) port 445

NodeZero start

Bewijs dat NodeZero, na 33 minuten en 9 seconden, tot een domain compromise en domain user compromise kwam

NodeZero start

Tijdens de aanval heeft NodeZero misbruik gemaakt van 2 kwetsbaarheden:

  • H3-2020-0022: Insecure Java JMX
  • H3-2021-0042: SAM Dump

Binnen het aanvalspad werd er misbruik gemaakt van 1 compromised credential:

  • Domain Admin cbr-user

Er waren 2 hosts betrokken bij deze aanval:

  • 10.0.4.4
  • Domain Controller 10.0.4.1

Zodra een domein is gecompromitteerd, moeten alle hosts, domain user accounts, data infrastructuur, en applicaties gekoppeld aan dat domein, als volledig gecompromitteerd worden beschouwd. Bovendien moeten ook alle applicaties die worden uitgevoerd op een domain-joined computer of gebruik maken van Active Directory integratie ten behoeve van user-authenticatie, als volledig gecompromitteerd worden beschouwd.

Het fixen van de Insecure Java JMX Configuration kwetsbaarheid had in dit geval 28% van de kritische impacts verholpen. NodeZero begeleidt u stap voor stap met het oplossen van de gevonden kwetsbaarheden.

NodeZero start

Bron praktijkvoorbeeld: https://www.horizon3.ai/nodezero-pivots-through-your-network-with-the-attackers-perspective/

Find-Fix-Verify met NodeZero by NetBoss

"Attackers don’t have to “hack in”, they log in"
"Automatiseer uw beveiligingsvalidatie"
"Patched ≠ Remediated"
"Als het slim is, is het kwetsbaar"
"Vertrouwen en technologie is goed, maar controle is beter"
"Is cybercriminaliteit niet uw grootste concurrent?"



Controleer continue uw beveiligings status




Meer ontdekken?

Find

Voer een pentest uit op uw omgeving

Verify

Voer weer een pentest uit om te verifiëren dat de fixes goed zijn doorgevoerd

Fix

Stel prioriteiten en los die problemen op die er echt toe doen

Herkenbaar?



0%
test 1 keer per jaar of nooit
0%
heeft netwerk misconfiguraties
0%
jaarlijks groei van zero day exploits
0%
gebruikt standaard credentials

Meeste recente cyberincidenten in Nederland (bron: datalekt.nl)


Warning: DOMDocument::loadHTML(): Tag header invalid in Entity, line: 191 in /home/netboss/domains/ontdekdehack.nl/public_html/blogs/content/chaining-een-unieke-feature-van-nodezero-by-netboss.php on line 185

Warning: DOMDocument::loadHTML(): Tag nav invalid in Entity, line: 200 in /home/netboss/domains/ontdekdehack.nl/public_html/blogs/content/chaining-een-unieke-feature-van-nodezero-by-netboss.php on line 185

Warning: DOMDocument::loadHTML(): Tag article invalid in Entity, line: 265 in /home/netboss/domains/ontdekdehack.nl/public_html/blogs/content/chaining-een-unieke-feature-van-nodezero-by-netboss.php on line 185

Warning: Undefined array key 4 in /home/netboss/domains/ontdekdehack.nl/public_html/blogs/content/chaining-een-unieke-feature-van-nodezero-by-netboss.php on line 202
DatumOrganisatieBeschrijvingBron
23-04-2024 10:3723-04-2024 10:3722-04-2024Carpetright
Cyberaanval legt pinterminals Carpetright platRTL23-04-2024 10:36
23-04-2024 10:3619-04-2024SIS Automatisering
SIS Automatisering getroffen door ransomware aanval van de criminele organisatie PLAYDe criminele organisatie PLAY heeft op het darkweb aangekondigd dat zij SIS Automatisering heeft getroffen met een ransomware-aanval en losgeld heeft geëist. (Bron: ccinfo.nl)23-04-2024 10:3523-04-2024 10:35
18-04-202418-04-2024XD Connects getroffen door ransomware aanval van de criminele organisatie Cactus
De criminele organisatie Cactus heeft op het darkweb aangekondigd dat zij XD Connects heeft getroffen met een ransomware-aanval en losgeld heeft geëist. (Bron: ccinfo.nl)Cybercrimeinfo.nl22-04-2024 09:5418-04-2024
11-04-2024ValuascollegaCyberaanval op schoolboekenleverancier Iddink treft ValuascollegaEen recente cyberaanval op Iddink Learning Materials B.V. treft ook Valuascollega. Iddink is een belangrijke leverancier van schoolboeken en digitaal lesmateriaal, heeft geleid tot diefstal van persoonlijke gegevens zoals namen, e-mailadressen en bankgegevens. Ouders en leerlingen worden geadviseerd om extra waakzaam te zijn voor phishingmails en andere frauduleuze activiteiten. De aanval, toegeschreven aan de criminele groep Cactus, heeft mogelijk brede implicaties voor andere scholen in Nederland. Er is melding gedaan bij de Autoriteit Persoonsgegevens. (Bron: ogvo.nl)
OGVO19-04-2024 16:4618-04-202418-04-2024
Gemeente HaarlemDe gemeente Haarlem heeft een datalek veroorzaakt door niet genoeg informatie zwart te lakken in de documenten die werden vrijgegeven na verzoeken op basis van de Wet open overheid (Woo). Hierdoor zijn persoonsgegevens van 44 ambtenaren openbaar geworden. Dit incident heeft zich zowel in 2021 als in 2022 voorgedaan en heeft mogelijk geleid tot misbruik van deze gegevens door derden. Het betreft een ernstige schending van de privacywetgeving. (Bron: haarlemsdagblad.nl)Haarlems Dagblad
19-04-2024 16:4519-04-2024 16:4511-04-2024Cals College
Iddink Learning MaterialsCyberaanval op schoolboekenleverancier Iddink treft Cals CollegeHet Kontakt

Accuraat

NodeZero helpt u te concentreren op het oplossen van problemen die daadwerkelijk kunnen worden misbruikt, waardoor u en uw team worden behoed voor het opsporen van kwetsbaarheden die niet kunnen worden misbruikt en ‘false-positives’

Snelheid

U kunt uw hele IT-landschap binnen enkele uren toetsen waar u normaal weken of zelfs maanden op moet wachten voordat consultants handmatig scans uitvoeren en rapporten produceren

Veilig

Met behulp van de NodeZero oplossing configureert u uw scope en aanvalsparameters om een penetratietest op uw netwerk uit te voeren. U bent van begin tot eind eigenaar van uw pentest(en)

Continue

NodeZero is een SaaS-oplossing die 24×7 beschikbaar is. Wacht geen maanden voor het uitvoeren van nieuwe testen. Evalueer continue uw beveiligingsmaatregelen en identificeer- en herstel proactief aanvalsvectoren zodra deze worden ontdekt

Dekking

Met NodeZero kunt u uw hele netwerk beoordelen vanuit het standpunt van de aanvaller, niet slechts op basis van een theoretische aanname. Ons algoritme registreert uw externe, on-prem, IoT-, identiteits- en cloud aanvalsgebieden

Lage Inspanning

Geen lokale software nodig
Geen geregistreerde inloggegevens
Geen aanvalsscripts om te schrijven
U kunt binnen enkele minuten aan de slag en u ontvangt de resultaten binnen enkele uren