Menu dostępności

BloodHound 4.0 – co nowego?

BloodHound to jedno z pierwszych narzędzi dla hackerów i pentesterów, które opisaliśmy szczegółowo na Kapitanie Hacku – link. Służy do analizy i wizualizacji ścieżek ataku w domenie Active Directory. Jest więc doskonałym narzędziem zarówno dla zespołów Red Team jak i Blue Team, gdyż pozwala wykryć luki w zabezpieczeniach, uprawnieniach i konfiguracji domeny Windows.
Historia BloodHound’a sięga 2016 roku, kiedy to Andy Robbins stworzył go wraz ze swoim zespołem. Od tego czasu BloodHound był używany przez atakujących i obrońców do identyfikowania i analizowania ścieżek ataków w lokalnych środowiskach Active Directory. Teraz twórcy ogłosili wydanie nowej wersji – BloodHound 4.0: The Azure Update. Jak sama nazwa mówi, zawiera ona pełną analizę Azure AD, wspomaga zrozumienie jego architektury z wyszczególnieniem konkretnych ataków opartych o błędy w konfiguracji.


Ścieżki ataku w Azure AD

W tej wersji BloodHound wprowadzono 10 nowych typów węzłów na grafie przejść. Są to obiekty z Azure Active Directory takie jak: tenants, Azure users, Azure security groups, Apps, Service Principals, Subscriptions, Resource Groups, Virtual Machines, Devices and Key Vaults. Wszystkie widoczne na obrazku poniżej:

Wprowadzono również 14 nowych krawędzi do łączenia obiektów, które obrazują konkretne słabości w połączeniach między węzłami.

Nowe węzły i krawędzie oznaczają znalezienie ścieżek ataku, które obejmują nadużycia w platformie Azure. Dzięki temu, jesteśmy w stanie wskazać ścieżkę ataku, która zaczyna się od użytkownika o niskich uprawnieniach i kończy się posiadaniem praw administratora globalnego dla tenantu lub inną ścieżkę ataku, która kończy się na maszynie wirtualnej hostowanej na platformie Azure. Wiele prawdziwych ataków, które zaobserwowaliśmy, nadużywa obiektów takich jak aplikacje oraz Service Principals.

Jedna z funkcji środowiska Azure sprawia, że ta wersja BloodHound jest jeszcze bardziej ekscytująca: Azure AD Connect. Opcja ta umożliwia organizacjom synchronizowanie podmiotów głównych z domen lokalnych z tenantem platformy Azure. Umożliwia również dodawanie użytkowników lokalnych do grup w chmurze, przypisywanie im ról administratora Azure, posiadanie aplikacji na Azure oraz kontrolowanie obiektów AzureRM, takich jak maszyny wirtualne i magazyny kluczy. Ponadto Hybrid AD Join umożliwia tworzenie ścieżek ataku zaczynających się w Azure AD, a kończących w Active Directory lokalnym. Możliwości konfiguracyjne są ogromne. Można również znaleźć ścieżki ataku, które zaczynają się w lokalnej usłudze AD, przechodzą do platformy Azure, a następnie wracają do lokalnego AD, aby uzyskać dostęp do celu.

Pełną listę nowych obiektów, krawędzi i możliwości ataków można znaleźć w zaktualizowanej dokumentacji BloodHound.


Odświeżone GUI

GUI BloodHound zostało całkowicie odświeżone, zachowując znaną funkcjonalność i podstawowy wygląd. Poniżej zaktualizowany interfejs GUI BloodHound w trybie ciemnym, pokazujący najkrótsze ścieżki ataku w celu kontrolowania dzierżawy platformy Azure.

Wprowadzono również kilka funkcjonalnych aktualizacji interfejsu GUI, wykraczających poza przesyłanie i analizę danych platformy Azure. Model postępu przesyłania został zaktualizowany, aby wyświetlić wszystkie przesłane elementy w podobny sposób do tego, jak wymiana plików w repozytoriach:


Nowy kolektor danych – AzureHound

AzureHound to nowy moduł zbierający dane dla BloodHound, który w szczególności zbiera dane z tenanta platformy Azure i subskrypcji, które ufają tej dzierżawie. AzureHound i starszy SharpHound zbierają dane z różnych źródeł (chmurowo i lokalnie), ale ich dane wyjściowe są ze sobą w pełni kompatybilne. Można więc importować dane z AD on-premises i Azure AD do tej samej bazy danych i wyświetlać je na wspólnym grafie, co jest potężnym narzędziem, nawet dla samych administratorów tych usług.

Domyślnie każdy użytkownik, który może uwierzytelnić się w tenancie platformy Azure, może zbierać informacje o rolach administratora, użytkownikach, grupach, aplikacjach, kontach automatyzacji, urządzeniach i jednostkach usługowych. Ale domyślnie użytkownicy nie mają możliwości czytania informacji o subskrypcjach ani niczym co w nich zawarte. Poniżej na schemacie przedstawiono prosty podział uprawnień dla zwykłych userów:

Korzystanie z kolektora AzureHound jest bardzo proste. Najpierw należy otworzyć nowe okno PowerShell jako administrator, zainstalować moduły Microsoft Azure i uwierzytelnić się w docelowym teanancie Azure za pomocą komendy: – Connect-AzureAD

Następnie wywołać moduł BloodHound za pomocą poleceń: – .\AzureHound.ps1 – Invoke-AzureHound

Wynik powinien wyglądać mniej więcej tak:

AzureHound zbierze dane z tenanta i wszystkie subskrypcje, które użytkownik może odczytać, a następnie zapisze plik ZIP ze wszystkimi danymi. Następnie można po prostu przeciągnąć i upuścić ten plik do GUI BloodHound, aby przesłać dane do bazy danych. Czas trwania procesu zbierania danych zależy od wielkości tenanta. Twórcy narzędzia wykonali należyte testy wydajnościowe swoich skryptów dla około 9 000, przez 105 000, do ponad 240 000 użytkowników. Wykres przedstawia, jak długo AzureHound zajęło uruchomienie w każdej z tych środowisk:


Podsumowanie i przyszłość

Cieszymy się, że narzędzia takie jak BloodHound są mocno rozwijane i wychodzą poza analizę Active Directory on-premises, gdyż w przyszłość środowiska chmurowe czekają na nas wszystkich. Podsumowując nowe funkcje – dla obrońców interfejs GUI BloodHound oferuje łatwiejszą i skuteczniejszą funkcję audytu, aby w pełni zrozumieć, którzy i ilu userów kontroluje dany obiekt – lub może przejąć kontrolę poprzez wykonanie ścieżki ataku.

Jest jeszcze kilka węzłów i krawędzi związanych z platformą Azure, które twórcy chcą wkrótce dodać, w tym konta automatyzacji i, jeśli to możliwe, zbieranie sesji użytkowników z maszyn wirtualnych.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...