Ons skryf gereeld oor hoe kuberkrakers dikwels op uitbuiting staatmaak om opsporing te vermy. Hulle letterlik , met behulp van standaard Windows-nutsgoed, en omseil daardeur antivirusse en ander nutsprogramme om kwaadwillige aktiwiteite op te spoor. Ons, as verdedigers, word nou gedwing om die ongelukkige gevolge van sulke slim inbraaktegnieke te hanteer: 'n goed geplaasde werknemer kan dieselfde benadering gebruik om geheime data (maatskappy se intellektuele eiendom, kredietkaartnommers) te steel. En as hy nie jaag nie, maar stadig en stil werk, sal dit uiters moeilik wees - maar steeds moontlik as hy die regte benadering en die toepaslike gebruik , — om sodanige aktiwiteit te identifiseer.
Aan die ander kant sal ek nie werknemers wil demoniseer nie, want niemand wil direk uit Orwell se 1984 in 'n besigheidsomgewing werk nie. Gelukkig is daar 'n aantal praktiese stappe en life hacks wat die lewe vir insiders baie moeiliker kan maak. Ons sal oorweeg geheime aanval metodes, wat deur kuberkrakers gebruik word deur werknemers met 'n mate van tegniese agtergrond. En 'n bietjie verder sal ons opsies bespreek om sulke risiko's te verminder - ons sal beide tegniese en organisatoriese opsies bestudeer.
Wat is fout met PsExec?
Edward Snowden, reg of verkeerd, het sinoniem geword met diefstal van binne-data. Terloops, moenie vergeet om na te kyk nie oor ander insiders wat ook 'n mate van roemstatus verdien. Een belangrike punt wat die moeite werd is om te beklemtoon oor die metodes wat Snowden gebruik het, is dat, na die beste van ons wete, hy geïnstalleer het nie geen eksterne kwaadwillige sagteware nie!
In plaas daarvan het Snowden 'n bietjie sosiale ingenieurswese gebruik en sy posisie as 'n stelseladministrateur gebruik om wagwoorde in te samel en geloofsbriewe te skep. Niks ingewikkeld nie - geen , aanvalle of .
Organisatoriese werknemers is nie altyd in Snowden se unieke posisie nie, maar daar is 'n aantal lesse te leer uit die konsep van "oorlewing deur weiding" om van bewus te wees - om nie betrokke te raak by enige kwaadwillige aktiwiteit wat opgespoor kan word nie, en om veral te wees versigtig met die gebruik van geloofsbriewe. Onthou hierdie gedagte.
en sy neef het talle pentesters, kuberkrakers en kuberveiligheidsbloggers beïndruk. En wanneer dit met mimikatz gekombineer word, laat psexec aanvallers toe om binne 'n netwerk te beweeg sonder om die duidelike tekswagwoord te weet.
Mimikatz onderskep die NTLM-hash van die LSASS-proses en gee dan die teken of geloofsbriewe - die sogenaamde. "pass the hash" aanval – in psexec, wat 'n aanvaller toelaat om by 'n ander bediener aan te meld as van 'n ander gebruiker. En met elke daaropvolgende skuif na 'n nuwe bediener, versamel die aanvaller bykomende geloofsbriewe, wat die omvang van sy vermoëns uitbrei om na beskikbare inhoud te soek.
Toe ek die eerste keer met psexec begin werk het, het dit vir my magies gelyk - dankie , die briljante ontwikkelaar van psexec - maar ek weet ook van syne raserig komponente. Hy is nooit geheimsinnig nie!
Die eerste interessante feit oor psexec is dat dit uiters kompleks gebruik SMB netwerk lêer protokol van Microsoft. Met behulp van SMB, psexec-oordragte klein binêre lêers na die teikenstelsel, plaas dit in die C:Windows-lêergids.
Vervolgens skep psexec 'n Windows-diens met behulp van die gekopieerde binêre en laat dit loop onder die uiters "onverwagte" naam PSEXECSVC. Terselfdertyd kan jy dit alles sien, soos ek gedoen het, deur na 'n afgeleë masjien te kyk (sien hieronder).
Psexec se oproepkaart: "PSEXECSVC" diens. Dit loop 'n binêre lêer wat via SMB in die C:Windows-lêergids geplaas is.
As 'n laaste stap word die gekopieerde binêre lêer oopgemaak RPC-verbinding na die teikenbediener en aanvaar dan beheeropdragte (by verstek via die Windows cmd-dop), begin dit en herlei invoer en uitvoer na die aanvaller se tuismasjien. In hierdie geval sien die aanvaller die basiese opdragreël - dieselfde asof hy direk gekoppel is.
Baie komponente en 'n baie raserige proses!
Die komplekse internals van psexec verduidelik die boodskap wat my tydens my eerste toetse 'n paar jaar gelede verwar het: "Begin PSEXECSVC ..." gevolg deur 'n pouse voor die opdragprompt verskyn.
Impacket se Psexec wys eintlik wat onder die enjinkap aangaan.
Nie verbasend nie: psexec het 'n groot hoeveelheid werk onder die enjinkap gedoen. As jy belangstel in 'n meer gedetailleerde verduideliking, kyk hier wonderlike beskrywing.
Natuurlik, wanneer dit gebruik word as 'n stelsel administrasie hulpmiddel, wat was oorspronklike doel psexec, is daar niks fout met die "gons" van al hierdie Windows-meganismes nie. Vir 'n aanvaller sal psexec egter komplikasies veroorsaak, en vir 'n versigtige en slinkse insider soos Snowden sal psexec of 'n soortgelyke nutsprogram te veel van 'n risiko inhou.
En dan kom Smbexec
SMB is 'n slim en geheimsinnige manier om lêers tussen bedieners oor te dra, en kuberkrakers infiltreer SMB al eeue lank direk. Ek dink almal weet reeds dat dit nie die moeite werd is nie SMB-poorte 445 en 139 na die internet, reg?
By Defcon 2013, Eric Millman () aangebied , sodat pentesters stealth SMB-inbraak kan probeer. Ek ken nie die hele storie nie, maar toe verfyn Impacket smbexec verder. Om die waarheid te sê, vir my toetsing het ek die skrifte van Impacket in Python afgelaai vanaf .
Anders as psexec, smbexec vermy die oordrag van 'n potensieel opgespoorde binêre lêer na die teikenmasjien. In plaas daarvan leef die nuts heeltemal van weiding tot lansering plaaslik Windows-opdragreël.
Dit is wat dit doen: dit gee 'n opdrag vanaf die aanvallende masjien via SMB na 'n spesiale invoerlêer, en skep dan 'n komplekse opdragreël (soos 'n Windows-diens) wat vir Linux-gebruikers bekend sal lyk. Kortom: dit begin 'n inheemse Windows cmd-dop, herlei die uitvoer na 'n ander lêer, en stuur dit dan via SMB terug na die aanvaller se masjien.
Die beste manier om dit te verstaan, is om na die opdragreël te kyk, wat ek van die gebeurtenislogboek in die hande kon kry (sien hieronder).
Is dit nie die beste manier om I/O te herlei nie? Terloops, diensskepping het gebeurtenis ID 7045.
Soos psexec, skep dit ook 'n diens wat al die werk doen, maar die diens daarna verwyder – dit word net een keer gebruik om die opdrag uit te voer en verdwyn dan! 'n Inligtingsekuriteitsbeampte wat 'n slagoffer se masjien monitor, sal nie kan opspoor nie voor die hand liggend Aanwysers van aanval: Daar word geen kwaadwillige lêer geloods nie, geen aanhoudende diens word geïnstalleer nie, en daar is geen bewyse dat RPC gebruik word nie, aangesien SMB die enigste manier van data-oordrag is. Briljant!
Van die aanvaller se kant af is 'n "pseudo-dop" beskikbaar met vertragings tussen die stuur van die opdrag en die ontvangs van die reaksie. Maar dit is genoeg vir 'n aanvaller - óf 'n insider óf 'n eksterne hacker wat reeds 'n vastrapplek het - om na interessante inhoud te begin soek.
Om data van die teikenmasjien na die aanvaller se masjien terug te stuur, word dit gebruik . Ja, dit is dieselfde Samba , maar slegs omgeskakel na 'n Python-skrif deur Impacket. Trouens, smbclient laat jou toe om FTP-oordragte in die geheim via SMB aan te bied.
Kom ons neem 'n tree terug en dink oor wat dit vir die werknemer kan doen. In my fiktiewe scenario, kom ons sê 'n blogger, finansiële ontleder of hoogs betaalde sekuriteitskonsultant word toegelaat om 'n persoonlike skootrekenaar vir werk te gebruik. As gevolg van een of ander magiese proses neem sy aanstoot by die maatskappy en "gaan heeltemal sleg." Afhangende van die skootrekenaarbedryfstelsel, gebruik dit óf die Python-weergawe van Impact, óf die Windows-weergawe van smbexec of smbclient as 'n .exe-lêer.
Soos Snowden, vind sy 'n ander gebruiker se wagwoord uit óf deur oor haar skouer te kyk, óf sy raak gelukkig en struikel op 'n tekslêer met die wagwoord. En met die hulp van hierdie geloofsbriewe begin sy om die stelsel op 'n nuwe vlak van voorregte te delf.
Hacking DCC: Ons het geen "dom" Mimikatz nodig
In my vorige plasings oor pentesting het ek mimikatz baie gereeld gebruik. Dit is 'n wonderlike hulpmiddel om geloofsbriewe te onderskep - NTLM-hashes en selfs duidelike tekswagwoorde wat binne skootrekenaars versteek is, wag net om gebruik te word.
Tye het verander. Moniteringsinstrumente het beter geword om mimikatz op te spoor en te blokkeer. Inligtingsekuriteitsadministrateurs het ook nou meer opsies om die risiko's wat verband hou met slaag die hash (PtH) aanvalle te verminder.
So, wat moet 'n slim werknemer doen om bykomende geloofsbriewe in te samel sonder om mimikatz te gebruik?
Impacket se kit bevat 'n hulpprogram genaamd , wat geloofsbriewe uit die Domain Credential Cache haal, of kortweg DCC. My begrip is dat as 'n domeingebruiker by die bediener aanmeld maar die domeinbeheerder nie beskikbaar is nie, DCC die bediener toelaat om die gebruiker te verifieer. In elk geval, secretsdump laat jou toe om al hierdie hashes te stort as hulle beskikbaar is.
DCC hashes is nie NTML-hashes nie en hulle kan nie vir PtH-aanval gebruik word nie.
Wel, jy kan probeer om hulle te hack om die oorspronklike wagwoord te kry. Microsoft het egter slimmer geword met DCC en DCC-hashes het uiters moeilik geword om te kraak. Ja ek het , "die wêreld se vinnigste wagwoordraaier," maar dit vereis 'n GPU om effektief te werk.
Kom ons probeer eerder soos Snowden dink. 'n Werknemer kan sosiale ingenieurswese van aangesig tot aangesig doen en moontlik inligting uitvind oor die persoon wie se wagwoord sy wil kraak. Vind byvoorbeeld uit of die persoon se aanlynrekening ooit gekap is en ondersoek hul duidelike tekswagwoord vir enige leidrade.
En dit is die scenario waarmee ek besluit het om te gaan. Kom ons neem aan dat 'n insider geleer het dat sy baas, Cruella, verskeie kere op verskillende webbronne gekap is. Nadat hy verskeie van hierdie wagwoorde ontleed het, besef hy dat Cruella verkies om die formaat van die bofbalspannaam "Yankees" te gebruik, gevolg deur die huidige jaar - "Yankees2015".
As jy nou probeer om dit by die huis weer te gee, dan kan jy 'n klein "C" aflaai , wat die DCC hashing-algoritme implementeer, en dit saamstel. , terloops, het ondersteuning vir DCC bygevoeg, sodat dit ook gebruik kan word. Kom ons neem aan dat 'n insider nie die moeite wil doen om John the Ripper te leer nie en daarvan hou om "gcc" op ou C-kode te laat loop.
Ek het die rol van 'n insider geveins en verskeie verskillende kombinasies probeer en kon uiteindelik ontdek dat Cruella se wagwoord "Yankees2019" was (sien hieronder). Doel bereik!
'n Bietjie sosiale ingenieurswese, 'n tikkie waarsêery en 'n knippie Maltego en jy is goed op pad om die DCC-hash te kraak.
Ek stel voor ons eindig hier. Ons sal in ander plasings na hierdie onderwerp terugkeer en na selfs meer stadige en sluipaanvalmetodes kyk, en voortbou op Impacket se uitstekende stel nutsprogramme.
Bron: will.com