Grouper es un módulo PowerShell ligeramente inestable diseñado para pentesters y redteamers que filtra el resultado XML del cmdlet Get-GPOReport (parte del módulo de política de grupo de Microsoft) e identifica todas las configuraciones definidas en los objetos de directiva de grupo (GPO) que pueden ser útiles para alguien que intenta hacer algo divertido / malo, explica un experto en seguridad informática.
Ejemplos de los tipos de cosas que encuentra en los GPO:
- GPO que conceden permisos de modificación en el GPO mismo a usuarios no predeterminados.
- Guiones de inicio y cierre
- los argumentos y las secuencias de comandos a menudo incluyen creds.
- Los scripts a menudo se almacenan con permisos que le permiten modificarlos.
- Instaladores de MSI que se implementan automáticamente
- de nuevo, a menudo almacenado en algún lugar que le otorgará modificar permisos.
- Buenas contraseñas de Preferencias de política de grupo anticuadas.
- Entradas de registro de Autologon que contienen credenciales.
- Otros creds se almacenan en el registro para cosas divertidas como VNC.
- Tareas programadas con credenciales almacenadas.
- También suele ejecutar cosas desde archivos compartidos poco seguros.
- Derechos de los usuarios
- Es útil para detectar dónde los administradores otorgaron accidentalmente acceso RDP a los “Usuarios del dominio” o esos derechos divertidos que le permiten ejecutar mimikatz incluso sin privilegios de administrador.
- Ajustes a los permisos de archivos locales
- Es bueno para encontrar esas máquinas donde los administradores acaban de marcar “Control total” para “Todos” en “C: \ Archivos de programa”.
- Archivos compartidos
- Archivos INI
- Variables de entorno
- Y más
Mientras que algunos nombres de funciones pueden incluir la palabra auditoría, Groper explícitamente NO pretende ser una auditoría exhaustiva para las mejores prácticas de configuraciones, etc. Si quieres eso, debes usar Microsoft SCT y LGPO.exe o algo así, dijeron profesionales de seguridad informática.
Uso
Genere un informe de GPO en una máquina con Windows con los cmdlets de Directiva de grupo instalados. Estos se instalan en Controladores de dominio de manera predeterminada, se pueden instalar en clientes de Windows que utilizan RSAT o se pueden habilitar a través del asistente “Agregar funciones” en los servidores de Windows.
Get-GPOReport -Todos -ReportType xml -Path C: \ temp \ gporeport.xml
Importar el módulo de Grouper.
Import-Module grouper.ps1
Ejecutar Grouper.
Invoke-AuditGPOReport -Path C: \ temp \ gporeport.xml
Parámetros
Los investigadores de seguridad informática dijeron que también hay un par de parámetros con los que puede meterse y que alteran las configuraciones de políticas que Grouper le mostrará:
-showDisabled
De forma predeterminada, Grouper solo le mostrará los GPO que están actualmente habilitados y vinculados a una unidad organizativa en AD. Esto alterna ese comportamiento.
-Nivel
Grouper tiene 3 niveles de filtrado que puede aplicar a su salida.
- Muéstrame todos los ajustes que puedas.
- (Predeterminado) Muéstreme solo las configuraciones que parecen ‘interesantes’ pero pueden ser o no vulnerables.
- Muéstreme solo las configuraciones que definitivamente son una mala idea y probablemente tengan certificaciones en ellas o de lo contrario me otorgarán la administración de un host.
El uso es directo. -Nivel 3, -Nivel 2, etc.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
