产品观察

WF曲速未来表示：在执行例行内部渗透测试时，通过了在分析模式下运行Responder来开始评估，以便了解通过广播发送的内容。令人惊讶的是，发现在运行它之后不久，Responder的SMB监听器捕获了一个哈希。
这个哈希属于一个名为“panagent”的帐户，然后被认为它是指PAN(PaloAltoNetworks)代理。把哈希扔进了Hashcat，不久之后就恢复了明文密码。使用CrackMapExec，将这些凭据映射到本地网络中的内部系统，并发现它们在环境中的多个主机上具有管理员访问权限。

在获得这些系统上的管理员访问权限后，然后执行了所谓的“凭据随机播放”，直到被破坏了“Domain Admins”组中帐户的凭据。所以发生了什么事？
便开始研究这个问题，只能找到的最早的文章是Rapid7的一篇文章：R7-2014-16：Palo Alto Networks用户ID凭证曝光。根本原因似乎是Palo Alto用于映射特定用户的网络流量的称为“用户ID”的功能。这一发现之后，它促使帕洛阿尔托发布咨询的错误配置的用户ID的安全影响。
为了了解User-ID的功能，便设置了一个Palo Alto防火墙，以了解如何配置它，并阅读Palo Alto提供的有关如何设置User-ID的文档。
在设置用户ID之前，首先需要做的事情之一是建立区域。文档警告读取器只能在受信任区域上启用用户ID。它还通知你，通过用户ID进行探测可能会显示服务帐户名、域名和加密密码哈希。

若要使用此功能，还必须使用它配置用户/服务帐户。PaloAlto文档建议你使用所需的最低权限；但是，什么是最低要求还不太清楚。可以假设不需要本地管理员权限。
当设置User-ID时，你必须指定User-ID应该与之通信的网络范围，否则它将默认为所有服务器。

要定义此区域，你可以通过转到“网络”选项卡，单击“区域”，修改“包含”列表和“排除”列表以及选中“启用用户标识”框来设置区域。

最后一步是迄今为止最危险的一步，Palo Alto现在建议你不要启用它。虽然文档中的警告建议你不要在“高安全性网络”上启用它，但这可以更好地解释为一种警告，即不要在安全有任何问题的网络上启用它。

使用WMI和/或NetBIOS执行客户端探测。NetBIOS是一种多播名称解析协议，在任何网络上都特别危险，并且始终建议在企业范围内禁用它。阅读Palo Alto关于客户探测的文档时，风险变得更加明显。

这意味着，对于防火墙识别的网络上的任何未知系统，它将立即尝试连接到设备，然后默认每20分钟重复一次。如果你的网络中存在恶意攻击系统，此功能将每隔20分钟将域名，用户名和加密密码哈希发送到该恶意设备。这是非常不受欢迎的。要禁用此功能或确保未启用此功能，请导航到“设备”选项卡，然后单击“用户标识”。从那里单击齿轮图标，导航到客户端探测选项卡，然后取消选中“启用探测”。

区块链安全公司WF曲速未来表示：希望这有助于那些使用Palo Alto防火墙的用户更好地了解与User-ID相关的风险以及其中特别危险的Client Probing选项。