አንድ ጊዜ በፔንታስት ላይ, ወይም ሁሉንም ነገር በዩሮሎጂስት እና በ Roskomnadzor እርዳታ እንዴት እንደሚሰብሩ

ይህ መጣጥፍ የተጻፈው የቡድን-IB ስፔሻሊስቶች ከጥቂት አመታት በፊት ባደረጉት በጣም ስኬታማ ፔንስት ላይ ነው፡ በቦሊውድ ውስጥ ለፊልም ሊስተካከል የሚችል ታሪክ ተከስቷል። አሁን፣ ምናልባት፣ የአንባቢው ምላሽ የሚከተለው ይሆናል፡- “ኦህ፣ ሌላ የPR ጽሁፍ፣ እንደገና እነዚህ እየተገለጡ ነው፣ ምን ያህል ጥሩ ናቸው፣ ፔንስተስት መግዛትን አትርሳ። ደህና, በአንድ በኩል, እሱ ነው. ሆኖም, ይህ ጽሑፍ የታየባቸው ሌሎች በርካታ ምክንያቶች አሉ. በትክክል ፔንቴተሮች ምን እንደሚሠሩ ፣ ይህ ሥራ ምን ያህል አስደሳች እና ቀላል ያልሆነ ሊሆን እንደሚችል ፣ በፕሮጀክቶች ውስጥ ምን አስቂኝ ሁኔታዎች ሊፈጠሩ እንደሚችሉ ለማሳየት ፈልጌ ነበር ፣ እና ከሁሉም በላይ ፣ የቀጥታ ቁሳቁሶችን ከእውነተኛ ምሳሌዎች ጋር አሳይ።

በዓለም ላይ ያለውን የልከኝነት ሚዛን ለመመለስ ከጥቂት ጊዜ በኋላ ጥሩ ስላልሆነ ስለ ፔንቲስት እንጽፋለን። በኩባንያው ውስጥ በጥሩ ሁኔታ የተነደፉ ሂደቶች እነዚህ ሂደቶች ስላሉ እና በትክክል የሚሰሩ በመሆናቸው ብቻ ከተለያዩ ጥቃቶች አልፎ ተርፎም በደንብ ከተዘጋጁት ጥቃቶች እንዴት እንደሚከላከሉ እናሳያለን።

በዚህ ጽሑፍ ውስጥ ለደንበኛው ፣ ሁሉም ነገር በአጠቃላይ ጥሩ ነበር ፣ በሩሲያ ፌዴሬሽን ውስጥ ካለው ገበያ ቢያንስ ከ 95% የተሻለ ነው ፣ እንደ ስሜታችን ፣ ግን ረጅም ተከታታይ ክስተቶችን የፈጠሩ በርካታ ትናንሽ ልዩነቶች ነበሩ ፣ ይህም በመጀመሪያ ስለ ሥራው ረጅም ሪፖርት አቅርቧል, ከዚያም ወደዚህ ጽሑፍ.

እንግዲያው፣ ፋንዲሻ እናከማች፣ እና ወደ መርማሪው ታሪክ እንኳን በደህና መጡ። ቃል - Pavel Suprunyuk, የቡድን-IB የ "ኦዲት እና አማካሪ" ክፍል ቴክኒካል ሥራ አስኪያጅ.

ክፍል 1. ፖቸኪን ሐኪም

2018 ደንበኛ አለ - ከፍተኛ የቴክኖሎጂ IT ኩባንያ, እሱም ራሱ ብዙ ደንበኞችን ያገለግላል. ለጥያቄው መልስ ማግኘት ይፈልጋል፡ ያለ ምንም የመጀመሪያ እውቀት እና መዳረሻ በበየነመረብ በኩል በመስራት አክቲቭ ዳይሬክተሪ ጎራ አስተዳዳሪ መብቶችን ማግኘት ይቻል ይሆን? ለማንኛውም የማህበራዊ ምህንድስና ፍላጎት የለኝም (ኦህ ፣ ግን በከንቱ), ሆን ብለው ሥራውን ለማደናቀፍ አላሰቡም, ነገር ግን በአጋጣሚ ሊሆኑ ይችላሉ - ለምሳሌ እንግዳ የሆነ አገልጋይ እንደገና ይጫኑ. ተጨማሪ ግብ በተቻለ መጠን በውጫዊው ፔሪሜትር ላይ ሌሎች የጥቃት ቫይረሶችን መለየት ነው። ኩባንያው በመደበኛነት እንዲህ አይነት ሙከራዎችን ያካሂዳል, እና አሁን ለአዲስ ፈተና የመጨረሻው ቀን ደርሷል. ሁኔታዎቹ ከሞላ ጎደል የተለመዱ፣ በቂ፣ ሊረዱ የሚችሉ ናቸው። እንጀምር.

የደንበኛው ስም አለ - ከዋናው ድር ጣቢያ ጋር “ኩባንያ” ይሁን www.company.ru. እርግጥ ነው, ደንበኛው በተለየ መንገድ ይጠራል, ነገር ግን በዚህ ጽሑፍ ውስጥ ሁሉም ነገር ግላዊ ያልሆነ ይሆናል.
የአውታረ መረብ ማሰስን አከናውናለሁ - የትኞቹ አድራሻዎች እና ጎራዎች ከደንበኛው ጋር እንደተመዘገቡ ይወቁ, የአውታረ መረብ ንድፍ ይሳሉ, አገልግሎቶች ለእነዚህ አድራሻዎች እንዴት እንደሚከፋፈሉ. ውጤቱን አገኛለሁ: ከ 4000 የቀጥታ አይፒ አድራሻዎች. በእነዚህ አውታረ መረቦች ውስጥ ያሉትን ጎራዎች እመለከታለሁ: እንደ እድል ሆኖ, አብዛኛዎቹ ለደንበኛ ደንበኞች የታቀዱ አውታረ መረቦች ናቸው, እና እኛ ለእነሱ መደበኛ ፍላጎት የለንም. ደንበኛውም እንዲሁ ያስባል.

ከ 256 አድራሻዎች ጋር አንድ አውታረ መረብ ይቀራል ፣ ለዚህም አሁን በአይፒ አድራሻዎች የጎራዎች እና ንዑስ ጎራዎች ስርጭት ግንዛቤ አለ ፣ ስለተቃኙ ወደቦች መረጃ አለ ፣ ይህ ማለት አገልግሎቶቹን ለአስደሳች ማየት ይችላሉ ። በትይዩ፣ ሁሉም አይነት ስካነሮች በሚገኙ አይፒ አድራሻዎች እና በተናጠል በድረ-ገጾች ላይ ይጀመራሉ።

ብዙ አገልግሎቶች አሉ። ብዙውን ጊዜ ይህ ለፔንቴስተር ደስታ እና ፈጣን ድልን መጠበቅ ነው ፣ ምክንያቱም ብዙ አገልግሎቶች ሲኖሩ ፣ የጥቃት ሜዳው ትልቅ እና ቅርስ ለማግኘት ቀላል ነው። ድረ-ገጾቹን በፈጣን ሁኔታ ስናይ አብዛኞቹ ትልልቅ የአለም አቀፍ ኩባንያዎች የታወቁ ምርቶች ድረ-ገጽ መሆናቸውን ያሳያል። የተጠቃሚ ስም እና የይለፍ ቃል ይጠይቃሉ፣ ሁለተኛውን ሁኔታ ለማስገባት መስኩን ያናውጣሉ፣ የTLS ደንበኛ ሰርተፍኬት ይጠይቁ ወይም ወደ Microsoft ADFS ይላኩት። አንዳንዶቹ ከበይነመረቡ በቀላሉ ማግኘት አይችሉም። ለአንዳንዶች በግልጽ ለሶስት ደሞዝ ልዩ የሚከፈልበት ደንበኛ ሊኖርዎት ይገባል ወይም ለመግባት ትክክለኛውን ዩአርኤል ማወቅ ያስፈልግዎታል። ለታወቁ ተጋላጭነቶች የሶፍትዌር ስሪቶችን “ለማለፍ” በመሞከር ሂደት ውስጥ ሌላ ሳምንት ቀስ በቀስ የተስፋ መቁረጥን እንዝለል ፣ በድር ዱካዎች ውስጥ የተደበቁ ይዘቶችን መፈለግ እና እንደ LinkedIn ካሉ የሶስተኛ ወገን አገልግሎቶች የወጡ መለያዎችን ፣ እነሱን ተጠቅመው የይለፍ ቃሎችን ለመገመት መሞከር እና እንዲሁም እንደ እራስ በተፃፉ ድረ-ገጾች ውስጥ ያሉ ተጋላጭነቶችን እንደ መቆፈር - በነገራችን ላይ በስታቲስቲክስ መሰረት, ይህ ዛሬ በጣም ተስፋ ሰጭ የውጭ ጥቃት ቬክተር ነው. ከዚያ በኋላ የተተኮሰውን የፊልም ሽጉጥ ወዲያውኑ አስተውያለሁ።

ስለዚህ፣ በመቶዎች ከሚቆጠሩ አገልግሎቶች ጎልተው የወጡ ሁለት ጣቢያዎችን አግኝተናል። እነዚህ ድረ-ገጾች አንድ የሚያመሳስላቸው ነገር ነበራቸው፡ በጎራ በትልቁ የአውታረ መረብ አሰሳ ላይ ካልተሳተፉ፣ ነገር ግን ክፍት ወደቦችን ፈልጉ ወይም የሚታወቅ የአይፒ ክልልን በመጠቀም የተጋላጭነት ስካነርን ዒላማ ካደረጉ፣ እነዚህ ጣቢያዎች ከመቃኘት ያመልጣሉ እና በቀላሉ አይገኙም። የዲ ኤን ኤስ ስም ሳያውቅ ይታያል. ምናልባት እነሱ ቀደም ብለው ያመለጡ ናቸው, ቢያንስ, እና የእኛ አውቶማቲክ መሳሪያዎች በቀጥታ ወደ ሃብቱ ቢላኩም ምንም አይነት ችግር አላገኙም.

በነገራችን ላይ ቀደም ሲል ስለተጀመሩት ስካነሮች በአጠቃላይ ተገኝተዋል. ላስታውስህ፡ ለአንዳንድ ሰዎች "pentest" ከ "አውቶሜትድ ፍተሻ" ጋር እኩል ነው። ነገር ግን በዚህ ፕሮጀክት ላይ ያሉት ስካነሮች ምንም አልተናገሩም. ደህና፣ ከፍተኛው በመካከለኛ ተጋላጭነቶች (ከ3ቱ 5 ከክብደት አንፃር) ታይቷል፡ በአንዳንድ አገልግሎት መጥፎ TLS ሰርተፍኬት ወይም ጊዜው ያለፈበት የኢንክሪፕሽን ስልተ ቀመሮች እና በአብዛኛዎቹ ጣቢያዎች Clickjacking። ግን ይህ ወደ ግብዎ አያደርስዎትም። ምናልባት ስካነሮች እዚህ የበለጠ ጠቃሚ ሊሆኑ ይችላሉ ፣ ግን ላስታውስዎት-ደንበኛው ራሱ እንደዚህ ያሉ ፕሮግራሞችን መግዛት እና ከእነሱ ጋር መፈተሽ ይችላል ፣ እና በአስከፊው ውጤት በመገምገም ፣ እሱ ቀድሞውኑ አረጋግጧል።

ወደ “ያልተለመዱ” ጣቢያዎች እንመለስ። የመጀመሪያው መደበኛ ባልሆነ አድራሻ እንደ አካባቢያዊ ዊኪ ያለ ነገር ነው፣ ነገር ግን በዚህ ጽሑፍ ውስጥ wiki.company[.] ru ይሁን። እሷም ወዲያውኑ መግቢያ እና የይለፍ ቃል ጠየቀች ፣ ግን በ NTLM በአሳሹ። ለተጠቃሚው፣ ይህ የተጠቃሚ ስም እና የይለፍ ቃል ለማስገባት የሚጠይቅ አሴቲክ መስኮት ይመስላል። እና ይሄ መጥፎ ልምምድ ነው.

ትንሽ ማስታወሻ. NTLM በፔሪሜትር ድረ-ገጾች ላይ ለብዙ ምክንያቶች መጥፎ ነው። የመጀመሪያው ምክንያት የActive Directory ጎራ ስም በመገለጡ ነው። በእኛ ምሳሌ ውስጥ ፣ ልክ እንደ “ውጫዊ” የዲ ኤን ኤስ ስም ኩባንያ.ru ሆነ። ይህንን በማወቅ, በአንዳንድ የአሸዋ ሳጥን ውስጥ ሳይሆን በድርጅቱ የጎራ ማሽን ላይ ብቻ እንዲፈፀም ተንኮል አዘል ነገርን በጥንቃቄ ማዘጋጀት ይችላሉ. በሁለተኛ ደረጃ ፣ ማረጋገጫ በቀጥታ በ NTLM በኩል በጎራ መቆጣጠሪያ በኩል ይሄዳል (አስገራሚ ፣ ትክክል?) ፣ በሁሉም የ “ውስጣዊ” አውታረ መረብ ፖሊሲዎች ባህሪዎች ፣ መለያዎች የይለፍ ቃል የመግባት ሙከራዎችን ቁጥር ከመጠን በላይ ማገድን ጨምሮ። አጥቂው መግቢያዎቹን ካወቀ የይለፍ ቃሎችን ይሞክራል። መለያዎች የተሳሳቱ የይለፍ ቃሎችን እንዳያስገቡ ለማገድ ከተዋቀሩ ይሰራል እና መለያው ይታገዳል። በሶስተኛ ደረጃ, በእንደዚህ አይነት ማረጋገጫ ላይ ሁለተኛ ደረጃ መጨመር የማይቻል ነው. አንባቢዎች አሁንም እንዴት እንደሚያውቁ ካወቁ እባክዎን ያሳውቁኝ ፣ በጣም አስደሳች ነው። አራተኛ፣ ለማለፍ-the-hash ጥቃቶች ተጋላጭነት። ADFS የተፈለሰፈው ከሌሎች ነገሮች በተጨማሪ ይህን ሁሉ ለመከላከል ነው።

የማይክሮሶፍት ምርቶች አንድ መጥፎ ንብረት አለ፡ እንደዚህ አይነት NTLMን ለይተህ ባታተምም እንኳን ቢያንስ በነባሪ በ OWA እና Lync ይጫናል።

በነገራችን ላይ የዚህ ጽሁፍ አቅራቢ በአንድ ወቅት በተመሳሳይ ዘዴ በአንድ ሰአት ውስጥ ብቻ ወደ 1000 የሚጠጉ የአንድ ትልቅ ባንክ ሰራተኞችን አካውንት ከዘጋው በኋላ ትንሽ የገረጣ ይመስላል። የባንኩ የአይቲ አገልግሎትም ገርጥቶ ነበር፣ነገር ግን ሁሉም ነገር በጥሩ ሁኔታ እና በበቂ ሁኔታ ተጠናቀቀ፣እንዲያውም ይህን ችግር ፈልጎ ፈጣን እና ቆራጥ መፍትሄ በማስነሳት የመጀመሪያው በመሆናችን ተወድሰናል።

ሁለተኛው ጣቢያ “በግልጽ የሆነ የአያት ስም.company.ru ዓይነት” የሚል አድራሻ ነበረው። በገጽ 10 ላይ እንደዚህ ያለ ነገር በጎግል በኩል አገኘሁት። ዲዛይኑ በXNUMXዎቹ አጋማሽ ላይ ነበር፣ እና አንድ የተከበረ ሰው ከዋናው ገፅ ይመለከተው ነበር፣ እንደዚህ ያለ ነገር፡-

እዚህ ከ "የውሻ ልብ" ትንሽ ወስጄ ነበር, ነገር ግን እመኑኝ, በጣም ተመሳሳይ ነበር, የቀለም ዲዛይኑ እንኳን ተመሳሳይ ድምጽ ነበረው. ጣቢያው ይጠራ preobrazhensky.company.ru.

የግል ድህረ ገጽ ነበር... ለኡሮሎጂስት። በከፍተኛ የቴክኖሎጂ ኩባንያ ንዑስ ጎራ ላይ የኡሮሎጂስት ድረ-ገጽ ምን እየሰራ እንደሆነ አስብ ነበር። በ Google ውስጥ ፈጣን ቁፋሮ እንደሚያሳየው ይህ ዶክተር የደንበኞቻችን ህጋዊ አካላት ተባባሪ መስራች እና እንዲያውም በተፈቀደው ካፒታል ውስጥ ወደ 1000 ሩብሎች አበርክተዋል. ጣቢያው ከበርካታ አመታት በፊት የተፈጠረ ሊሆን ይችላል፣ እና የደንበኛው አገልጋይ ሀብቶች እንደ ማስተናገጃነት ያገለግሉ ነበር። ጣቢያው ከረዥም ጊዜ ጀምሮ ጠቀሜታውን አጥቷል, ነገር ግን በሆነ ምክንያት ለረጅም ጊዜ ሲሰራ ቆይቷል.

ከተጋላጭነት አንፃር ድህረ ገጹ ራሱ ደህንነቱ የተጠበቀ ነበር። ወደ ፊት ስመለከት የማይንቀሳቀስ መረጃ ስብስብ ነበር እላለሁ - ቀላል የኤችቲኤምኤል ገጾች በኩላሊት እና ፊኛ መልክ የገቡ ምሳሌዎች። እንዲህ ያለውን ጣቢያ "ማፍረስ" ምንም ፋይዳ የለውም.

ነገር ግን ከስር ያለው የድር አገልጋይ የበለጠ አስደሳች ነበር። በኤችቲቲፒ አገልጋይ ራስጌ ሲገመገም IIS 6.0 ነበረው ይህ ማለት ዊንዶውስ 2003ን እንደ ኦፕሬቲንግ ሲስተም ተጠቅሟል። ስካነሩ ቀደም ሲል ይህ ልዩ የኡሮሎጂስት ድረ-ገጽ፣ በተመሳሳይ የድር አገልጋይ ላይ ካሉ ሌሎች ምናባዊ አስተናጋጆች በተለየ ለPROPFIND ትዕዛዝ ምላሽ እንደሰጠ፣ ይህም ማለት WebDAVን እያሄደ መሆኑን ለይቷል። በነገራችን ላይ ስካነሩ ይህንን መረጃ በመረጃ ምልክት መለሰ (በስካነር ዘገባዎች ቋንቋ ይህ በጣም ዝቅተኛው አደጋ ነው) - እንደዚህ ያሉ ነገሮች ብዙውን ጊዜ በቀላሉ ይዘለላሉ። በማጣመር, ይህ ብቻ በ Google ላይ ሌላ ቁፋሮ በኋላ ተገለጠ ይህም አስደሳች ውጤት, ሰጥቷል: አስቀድሞ ዝግጁ ብዝበዛ ነበረው ይህም CVE-2017-7269, Shadow ደላሎች ስብስብ, ማለትም CVE-2003-2003 ጋር የተያያዘ አንድ ብርቅ ቋት የትርፍ ተጋላጭነት. በሌላ አነጋገር ዊንዶውስ 2018 ካለህ እና WebDAV በ IIS ላይ እየሰራ ከሆነ ችግር ይኖራል። ምንም እንኳን በ XNUMX ዊንዶውስ XNUMXን በምርት ውስጥ ማስኬድ በራሱ ችግር ነው።

ብዝበዛው በሜታስፕሎይት ተጠናቀቀ እና ወዲያውኑ የዲ ኤን ኤስ ጥያቄ ወደ ቁጥጥር አገልግሎት በላከ ጭነት ተፈትኗል - Burp Collaborator በተለምዶ የዲ ኤን ኤስ ጥያቄዎችን ለመያዝ ይጠቅማል። የሚገርመኝ፣ ለመጀመሪያ ጊዜ ሰርቷል፡ የዲ ኤን ኤስ ማንኳኳት ደረሰ። በመቀጠል በፖርት 80 በኩል የኋላ ግንኙነት ለመፍጠር ሙከራ ነበር (ይህም ከአገልጋዩ ከአጥቂው ጋር ያለው የአውታረ መረብ ግንኙነት ፣ በተጠቂው አስተናጋጅ ላይ የ cmd.exe መዳረሻ ያለው) ፣ ግን ከዚያ በኋላ ፍያስኮ ተፈጠረ። ግንኙነቱ አልመጣም, እና ጣቢያውን ለመጠቀም ከሦስተኛው ሙከራ በኋላ, ከሁሉም አስደሳች ስዕሎች ጋር, ለዘለዓለም ጠፋ.

ብዙውን ጊዜ ይህ “ደንበኛ ፣ ንቃ ፣ ሁሉንም ነገር ጥለናል” የሚል ደብዳቤ ይከተላል። ነገር ግን ድረ-ገጹ ከንግድ ሂደቶች ጋር ምንም ግንኙነት እንደሌለው እና እንደ ሙሉው ሰርቨር ያለ ምንም ምክንያት እንደሚሰራ እና ይህንን ግብአት እንደፈለግን ልንጠቀምበት እንደምንችል ተነግሮናል።
ከአንድ ቀን ገደማ በኋላ ጣቢያው በድንገት በራሱ መሥራት ጀመረ. በ IIS 6.0 ላይ ከWebDAV አግዳሚ ወንበር ከገነባሁ በኋላ፣ ነባሪው መቼት የIIS ሰራተኛ ሂደቶችን በየ30 ሰዓቱ እንደገና ማስጀመር እንደሆነ ተረድቻለሁ። ማለትም፣ መቆጣጠሪያው ከሼልኮዱ ሲወጣ፣ የአይአይኤስ ሰራተኛው ሂደት አብቅቷል፣ ከዚያ እራሱን ሁለት ጊዜ እንደገና አስጀምሯል እና ከዚያ ለ30 ሰአታት አረፈ።

ከ tcp ጋር ያለው የኋላ ግንኙነት ለመጀመሪያ ጊዜ ስላልተሳካ፣ ይህንን ችግር ለተዘጋ ወደብ አድርጌዋለሁ። ማለትም ፣ የወጪ ግንኙነቶችን ወደ ውጭ ለማለፍ የማይፈቅድ አንድ ዓይነት ፋየርዎል እንዳለ አስቧል። በብዙ tcp እና udp ወደቦች ውስጥ የሚፈለጉ ሼልኮዶችን ማስኬድ ጀመርኩ፣ ምንም ውጤት የለም። ከMetasploit በ http(ዎች) በኩል የተገላቢጦሽ ግንኙነት አልሰራም - meterpreter/reverse_http(ዎች)። በድንገት, ከተመሳሳይ ወደብ 80 ጋር ግንኙነት ተፈጠረ, ነገር ግን ወዲያውኑ ወድቋል. ይህንን ያደረኩት አሁንም ምናባዊው አይፒኤስ በወሰደው እርምጃ፣ የመለኪያ ትራፊክን የማይወደው ነው። ከወደብ 80 ጋር ያለው ንጹህ tcp ግንኙነት አላለፈም ነገር ግን የ http ግንኙነት ስላደረገው የ http ፕሮክሲ በሆነ መንገድ በስርዓቱ ውስጥ ተዋቅሯል ብዬ ደመደምኩ።

በዲኤንኤስ (አመሰግናለሁ) ሜትፕርተርን እንኳን ሞክሬ ነበር። d00kie ለእርስዎ ጥረት ብዙ ፕሮጀክቶችን አድኗል) የመጀመሪያውን ስኬት በማስታወስ ፣ ግን በቆመበት ላይ እንኳን አልሰራም - የሼልኮድ ኮድ ለዚህ ተጋላጭነት በጣም ብዙ ነበር።

እንደ እውነቱ ከሆነ, እንደዚህ ይመስላል: በ 3 ደቂቃዎች ውስጥ 4-5 ጥቃቶች ሙከራዎች, ከዚያም ለ 30 ሰአታት ይጠብቁ. እና ለሦስት ሳምንታት በተከታታይ. ጊዜ እንዳላጠፋ አስታዋሽ አዘጋጅቻለሁ። በተጨማሪም፣ በሙከራው እና በአምራች አካባቢዎች ባህሪ ላይ ልዩነት ነበረ፡ ለዚህ ተጋላጭነት ሁለት ተመሳሳይ ብዝበዛዎች ነበሩ፣ አንደኛው ከ Metasploit፣ ሁለተኛው ከኢንተርኔት፣ ከ Shadow Brokers ስሪት የተቀየረ። ስለዚህ፣ Metasploit ብቻ በውጊያ የተፈተነ፣ እና ሁለተኛው ብቻ ወንበሩ ላይ ተፈትኗል፣ ይህም ማረም የበለጠ አስቸጋሪ እና አእምሮን የሚሰብር ነበር።

በመጨረሻም የ exe ፋይልን ከአገልጋዩ በ http በኩል አውርዶ በታለመው ሲስተም ላይ የጀመረው ሼልኮድ ውጤታማ ሆኖ ተገኝቷል። የሼልኮድ ኮድ ለመግጠም ትንሽ ነበር, ግን ቢያንስ ሠርቷል. አገልጋዩ የTCP ትራፊክን ጨርሶ ስላልወደደው እና http(ዎች) ሜትፕሪተር መኖሩን ስለተመረመረ በጣም ፈጣኑ መንገድ ዲ ኤን ኤስ-ሜትር ፕሪተርን የያዘ የ exe ፋይል በዚህ ሼል ኮድ ማውረድ እንደሆነ ወሰንኩ ።

እዚህ እንደገና አንድ ችግር ተከሰተ: የ exe ፋይልን ሲያወርድ እና እንደ ሙከራዎች, የትኛውም ቢሆን, ማውረዱ ተቋርጧል. በድጋሚ፣ በአገልጋዬ እና በኡሮሎጂስት መካከል ያለው አንዳንድ የደህንነት መሳሪያ የ http ትራፊክን ከውስጥ exe አልወደደም። “ፈጣን” መፍትሔው የሼልኮድ ኮድን በመቀየር በመብረር ላይ ያለውን የ http ትራፊክን እንዲደበዝዝ ለማድረግ ይመስላል፣ ስለዚህም abstrat binary data ከ exe ይልቅ ይተላለፋል። በመጨረሻም ጥቃቱ የተሳካ ነበር፣ ቁጥጥር በቀጭኑ የዲ ኤን ኤስ ቻናል ደረሰ።

ምንም እንዳላደርግ የሚፈቅደኝ በጣም መሠረታዊ የ IIS የስራ ፍሰት መብቶች እንዳለኝ ወዲያውኑ ግልጽ ሆነ። በMetasploit ኮንሶል ላይ የሚታየው ይህ ነው፡-

ሁሉም የፔንታስት ዘዴዎች መዳረሻን በሚያገኙበት ጊዜ መብቶችን መጨመር እንደሚያስፈልግ በጥብቅ ይጠቁማሉ። እኔ ብዙውን ጊዜ ይህንን በአገር ውስጥ አላደርገውም ፣ ምክንያቱም የመጀመሪያው መዳረሻ በቀላሉ እንደ አውታረ መረብ መግቢያ ነጥብ ነው ፣ እና በተመሳሳይ አውታረ መረብ ላይ ሌላ ማሽንን ማበላሸት በነባር አስተናጋጅ ላይ መብቶችን ከማባባስ የበለጠ ቀላል እና ፈጣን ነው። ነገር ግን የዲ ኤን ኤስ ቻናል በጣም ጠባብ ስለሆነ ትራፊክ እንዲጸዳ ስለማይፈቅድ እዚህ ላይ አይደለም.

ይህ የዊንዶውስ 2003 አገልጋይ ለታዋቂው MS17-010 ተጋላጭነት እንዳልተጠገነ በመገመት ትራፊክ ወደብ 445/TCP በሜትሮ ፕሪተር ዲ ኤን ኤስ መሿለኪያ በ localhost (አዎ፣ ይህ ደግሞ ይቻላል) እና ቀደም ሲል የወረደውን exe ለማስኬድ እሞክራለሁ። ተጋላጭነቱን. ጥቃቱ ይሰራል, ሁለተኛ ግንኙነት እቀበላለሁ, ነገር ግን በ SYSTEM መብቶች.

አሁንም አገልጋዩን ከ MS17-010 ለመጠበቅ መሞከራቸው ትኩረት የሚስብ ነው - በውጫዊ በይነገጽ ላይ ተጋላጭ የሆኑ የአውታረ መረብ አገልግሎቶች ተሰናክለዋል። ይህ በአውታረ መረቡ ላይ ከሚሰነዘሩ ጥቃቶች ይጠብቃል፣ ነገር ግን በአካባቢው አስተናጋጅ ላይ ከውስጥ የመጣው ጥቃት ሰርቷል፣ ምክንያቱም SMB በ localhost ላይ በፍጥነት ማጥፋት አይችሉም።

በመቀጠል ፣ አዳዲስ አስደሳች ዝርዝሮች ይገለጣሉ-

1. የስርዓት መብቶች ካሉዎት፣ በTCP በኩል የኋላ ግንኙነት በቀላሉ መመስረት ይችላሉ። ቀጥተኛ TCPን ማሰናከል ለተገደበው አይአይኤስ ተጠቃሚ ችግር እንደሆነ ግልጽ ነው። አበላሽ፡ የአይአይኤስ ተጠቃሚ ትራፊክ በሆነ መንገድ በሁለቱም አቅጣጫዎች በአካባቢው ISA ፕሮክሲ ተጠቅልሎ ነበር። በትክክል እንዴት እንደሚሰራ, እኔ እንደገና አልተባዛም.
2. እኔ በተወሰነ “DMZ” ውስጥ ነኝ (እና ይህ ንቁ ማውጫ ጎራ አይደለም፣ ግን WORKGROUP) - ምክንያታዊ ይመስላል። ነገር ግን ከሚጠበቀው የግል ("ግራጫ") አይፒ አድራሻ ይልቅ ሙሉ በሙሉ "ነጭ" አይፒ አድራሻ አለኝ, ልክ ቀደም ሲል ካጠቃሁት ጋር ተመሳሳይ ነው. ይህ ማለት ኩባንያው በ IPv4 አድራሻ ውስጥ በጣም ያረጀ በመሆኑ ከ 128 ጀምሮ በሲስኮ ማኑዋሎች ላይ እንደሚታየው ለ 2005 "ነጭ" አድራሻዎች የዲኤምኤስ ዞንን ያለ NAT ማቆየት ይችላል.

አገልጋዩ ያረጀ ስለሆነ ሚሚካትዝ በቀጥታ ከማህደረ ትውስታ እንደሚሰራ ዋስትና ተሰጥቶታል።

የአካባቢ አስተዳዳሪ የይለፍ ቃል፣ የዋሻ RDP ትራፊክ በTCP ላይ አገኛለሁ እና ወደ ምቹ ዴስክቶፕ ግባ። በአገልጋዩ የፈለኩትን ማድረግ ስለምችል ጸረ ቫይረስን አስወግጄ አገልጋዩ ከኢንተርኔት በቲሲፒ ወደቦች 80 እና 443 ብቻ ተደራሽ ሆኖ አግኝቼዋለሁ እና 443 ስራ የበዛበት አልነበረም። በ 443 ላይ የOpenVPN አገልጋይ አዘጋጀሁ፣ NAT ተግባራትን ለቪፒኤን ትራፊክ ጨምሬ ወደ DMZ አውታረመረብ ያለገደብ በ OpenVPN በኩል አገኛለሁ። ISA አንዳንድ የአካል ጉዳተኛ ያልሆኑ የአይፒኤስ ተግባራት ስላሉት ትራፊክዬን በወደብ መቃኘት ከለከለው ለዚህም በቀላል እና በይበልጥ በሚያከብር RRAS መተካት ነበረበት። ስለዚህ ፔንቴተሮች አንዳንድ ጊዜ አሁንም ሁሉንም ዓይነት ነገሮችን ማስተዳደር አለባቸው.

በትኩረት የሚከታተል አንባቢ “ስለ ሁለተኛው ጣቢያስ - የ NTLM ማረጋገጫ ያለው ዊኪ፣ ስለ እሱ ብዙ የተፃፈበትስ?” ብሎ ይጠይቃል። በዚህ ላይ ተጨማሪ።

ክፍል 2. አሁንም አልተመሰጠረም? ከዚያ እኛ ቀድሞውኑ ወደ እርስዎ እየመጣን ነው።

ስለዚህ፣ ወደ DMZ አውታረመረብ ክፍል መዳረሻ አለ። ወደ ጎራ አስተዳዳሪ መሄድ አለብህ። ወደ አእምሯችን የሚመጣው የመጀመሪያው ነገር በዲኤምዜድ ክፍል ውስጥ ያሉትን የአገልግሎቶች ደህንነት በራስ-ሰር ማረጋገጥ ነው፣ በተለይም ብዙዎቹ አሁን ለምርምር ክፍት ስለሆኑ። በመግቢያ ሙከራ ወቅት የተለመደ ሥዕል፡- ውጫዊው ፔሪሜትር ከውስጥ አገልግሎቶች በተሻለ ሁኔታ የተጠበቀ ነው፣ እና በትልቅ መሠረተ ልማት ውስጥ ማንኛውንም መዳረሻ ሲያገኙ፣ ይህ ጎራ መሆን ስለጀመረ ብቻ በአንድ ጎራ ውስጥ የተራዘመ መብቶችን ማግኘት በጣም ቀላል ነው። ለመሳሪያዎች ተደራሽ እና ሁለተኛ፣ በብዙ ሺህ የሚቆጠሩ አስተናጋጆች ባሉበት መሠረተ ልማት ውስጥ ሁል ጊዜ ሁለት ወሳኝ ችግሮች ይኖራሉ።

ስካነሮችን በDMZ በOpenVPN ዋሻ በኩል አስከፍላቸዋለሁ እና እጠብቃለሁ። ሪፖርቱን እከፍታለሁ - እንደገና ምንም ከባድ ነገር የለም ፣ ምናልባት አንድ ሰው ከእኔ በፊት ተመሳሳይ ዘዴ አልፏል። ቀጣዩ እርምጃ በDMZ አውታረመረብ ውስጥ ያሉ አስተናጋጆች እንዴት እንደሚገናኙ መመርመር ነው። ይህንን ለማድረግ በመጀመሪያ የተለመደውን Wireshark ያስጀምሩ እና የስርጭት ጥያቄዎችን ያዳምጡ፣ በዋናነት ARP። የኤአርፒ ፓኬጆች ቀኑን ሙሉ ተሰብስበዋል። በዚህ ክፍል ውስጥ በርካታ መግቢያዎች ጥቅም ላይ ይውላሉ. ይህ በኋላ ጠቃሚ ይሆናል. በኤአርፒ ጥያቄዎች እና ምላሾች እና የወደብ መቃኛ ውሂብ ላይ መረጃን በማጣመር የተጠቃሚ ትራፊክ መውጫ ነጥቦችን ከአካባቢያዊ አውታረመረብ ውስጥ ቀደም ሲል ከሚታወቁት እንደ ድር እና ደብዳቤ ካሉ አገልግሎቶች በተጨማሪ አገኘሁ።

በአሁኑ ጊዜ ወደ ሌሎች ስርዓቶች ምንም አይነት መዳረሻ ስለሌለኝ እና ለድርጅት አገልግሎቶች አንድ መለያ ስለሌለኝ፣ ARP Spoofingን በመጠቀም ቢያንስ የተወሰነ መለያ ከትራፊክ ለማስወጣት ተወስኗል።

ቃየን እና አቤል በኡሮሎጂስት አገልጋይ ላይ ተጀመረ። ተለይተው የታወቁትን የትራፊክ ፍሰቶች ከግምት ውስጥ በማስገባት በመሃል ላይ ለሚሰነዘረው ጥቃት በጣም ተስፋ ሰጭ ጥንዶች ተመርጠዋል እና አንዳንድ የአውታረ መረብ ትራፊክ በአጭር ጊዜ ጅምር ለ 5-10 ደቂቃዎች ተቀበለ ፣ አገልጋዩን እንደገና ለማስጀመር ጊዜ ቆጣሪ አለው። በብርድ ጊዜ. እንደ ቀልዱ ሁለት ዜናዎች ነበሩ፡-

1. ጥሩ: ብዙ ምስክርነቶች ተይዘዋል እና ጥቃቱ በአጠቃላይ ሠርቷል.
2. መጥፎው: ሁሉም ምስክርነቶች ከደንበኛው ደንበኞች ነበሩ. የድጋፍ አገልግሎቶችን በሚሰጡበት ጊዜ የደንበኛ ስፔሻሊስቶች ሁልጊዜ የትራፊክ ምስጠራ ያልተዋቀረ ከደንበኞች አገልግሎት ጋር የተገናኙ ናቸው።

በውጤቱም, በፕሮጀክቱ አውድ ውስጥ ምንም ጥቅም የሌላቸው ብዙ ምስክርነቶችን አግኝቻለሁ, ነገር ግን በእርግጠኝነት የጥቃቱ አደጋ ማሳያ እንደ አስደሳች ነው. የትላልቅ ኩባንያዎች የድንበር ራውተሮች በቴሌኔት ፣ የተላለፉ ማረም http ወደቦች ከሁሉም መረጃዎች ጋር ወደ ውስጣዊ CRM ፣ በአከባቢው አውታረመረብ ላይ ከዊንዶውስ ኤክስፒ ወደ RDP በቀጥታ መድረስ እና ሌሎች ድብቅነት። እንዲህ ሆነ በ MITER ማትሪክስ መሠረት የአቅርቦት ሰንሰለት ስምምነት.

እንዲሁም ከትራፊክ ደብዳቤዎችን ለመሰብሰብ አስቂኝ እድል አግኝቻለሁ, እንደዚህ ያለ ነገር. ይህ ከደንበኛችን ወደ ደንበኛው SMTP ወደብ ያለ ምስጠራ እንደገና የሄደ ዝግጁ የሆነ ደብዳቤ ምሳሌ ነው። አንድ አንድሬ ሰነዶቹን እንደገና እንዲልክለት ስሙን ጠየቀ እና በአንድ የምላሽ ደብዳቤ ውስጥ በመግቢያ ፣ በይለፍ ቃል እና በአገናኝ ወደ ደመና ዲስክ ይሰቀላል።

ይህ ሁሉንም አገልግሎቶች ለማመስጠር ሌላ ማሳሰቢያ ነው። ማን እና መቼ የእርስዎን ውሂብ እንደሚያነብ እና እንደሚጠቀም አይታወቅም - አቅራቢው ፣ የሌላ ኩባንያ የስርዓት አስተዳዳሪ ፣ ወይም እንደዚህ ያለ ፔንቴስተር። ብዙ ሰዎች ያልተመሰጠረ ትራፊክ በቀላሉ መጥለፍ እንደሚችሉ ዝም አልኩ።

ምንም እንኳን ስኬት ቢታይም, ይህ ወደ ግቡ ቅርብ አላደረገንም. በእርግጥ ለረጅም ጊዜ መቀመጥ እና ጠቃሚ መረጃን ማጥመድ ይቻል ነበር ፣ ግን እዚያ እንደሚታይ እውነታ አይደለም ፣ እና ጥቃቱ ራሱ ከአውታረ መረቡ ታማኝነት አንፃር በጣም አደገኛ ነው።

ወደ አገልግሎቶቹ ከተቆፈረ በኋላ አንድ አስደሳች ሀሳብ ወደ አእምሮው መጣ። ምላሽ ሰጪ የሚባል እንዲህ ያለ አገልግሎት አለ (በዚህ ስም የአጠቃቀም ምሳሌዎችን ማግኘት ቀላል ነው) ይህም የስርጭት ጥያቄዎችን "በመርዛማነት" በተለያዩ ፕሮቶኮሎች ማለትም SMB፣ HTTP፣ LDAP፣ ወዘተ. በተለያዩ መንገዶች፣ ከዚያም የሚያገናኘውን ሁሉ እንዲያረጋግጡ ይጠይቃል እና ያዋቅሩት ስለዚህ ማረጋገጥ በኤንቲኤልኤም እና ለተጎጂው ግልጽ በሆነ ሁነታ ይከናወናል። ብዙ ጊዜ አጥቂ NetNTLMv2 መጨባበጥን በዚህ መንገድ ይሰበስባል እና ከእነሱ መዝገበ ቃላት በመጠቀም የጎራ ተጠቃሚ የይለፍ ቃሎችን በፍጥነት ይመልሳል። እዚህ ተመሳሳይ ነገር ፈልጌ ነበር፣ ነገር ግን ተጠቃሚዎቹ “ከግድግዳ ጀርባ” ተቀምጠዋል፣ ወይም ይልቁንስ በፋየርዎል ተለያይተው WEBን በብሉ ኮት ፕሮክሲ ክላስተር በኩል ደረሱ።

አስታውስ፣ የActive Directory ጎራ ስም ከ"ውጫዊ" ጎራ ጋር መገናኘቱን ገልጫለሁ፣ ማለትም company.ru ነበር? ስለዚህ ዊንዶውስ ፣ የበለጠ በትክክል ኢንተርኔት ኤክስፕሎረር (እና ኤጅ እና ክሮም) ፣ ጣቢያው በአንዳንድ “ኢንተርኔት ዞን” ውስጥ እንደሚገኝ ካሰቡ ተጠቃሚው በ NTLM በኩል በኤችቲቲፒ ውስጥ በግልፅ እንዲያረጋግጥ ይፍቀዱለት። የ "ኢንተርኔት" ምልክቶች አንዱ "ግራጫ" አይፒ አድራሻ ወይም አጭር የዲ ኤን ኤስ ስም መድረስ ነው, ማለትም, ያለ ነጥቦች. "ነጭ" IP እና ዲ ኤን ኤስ ስም preobrazhensky.company.ru ያለው አገልጋይ ስለነበራቸው እና የጎራ ማሽኖች አብዛኛውን ጊዜ ለቀላል የስም ግቤት በ DHCP በኩል አክቲቭ ዳይሬክተሪ ጎራ ቅጥያ ይቀበላሉ, በአድራሻ አሞሌው ላይ ዩአርኤሉን ብቻ መጻፍ ነበረባቸው. preobrazhensky, ይህ አሁን "ኢንተርኔት" ተብሎ መጠራቱን ሳይዘነጋ ወደ ተጎጂው የ urologist አገልጋይ ትክክለኛውን መንገድ እንዲያገኙ. ያም ማለት በተመሳሳይ ጊዜ የተጠቃሚውን NTLM-እጅ መጨባበጥ ያለ እሱ እውቀት ይሰጠኛል. የቀረው ሁሉ ደንበኛ አሳሾች ይህን አገልጋይ ማግኘት ስላለበት አስቸኳይ ፍላጎት እንዲያስቡ ማስገደድ ነው።

አስደናቂው Intercepter-NG መገልገያ ለማዳን መጣ (እናመሰግናለን። አቋርጥ). በራሪ ላይ ትራፊክ እንዲቀይሩ አስችሎታል እና በዊንዶውስ 2003 ላይ ጥሩ ስራ ሰርቷል. በትራፊክ ፍሰት ውስጥ የጃቫ ስክሪፕት ፋይሎችን ብቻ ለማሻሻል የተለየ ተግባር ነበረው. አንድ ዓይነት ግዙፍ የጣቢያ አቋራጭ ስክሪፕት ታቅዶ ነበር።

ተጠቃሚዎች ዓለም አቀፉን WEB የደረሱበት የብሉ ኮት ፕሮክሲዎች በየጊዜው የማይንቀሳቀስ ይዘትን ይሸፍናሉ። ትራፊክን በመጥለፍ ፣በከፍተኛ ሰአት የይዘት ማሳያን ለማፋጠን ተደጋጋሚ ጥቅም ላይ የሚውል ስታቲክ በመጠየቅ ሌት ተቀን እየሰሩ እንደነበር ግልፅ ነበር። በተጨማሪም ብሉኮት አንድ የተወሰነ ተጠቃሚ-ወኪል ነበረው, እሱም ከእውነተኛ ተጠቃሚ በግልጽ ይለየዋል.

ጃቫ ስክሪፕት ተዘጋጅቷል፣ እሱም Intercepter-NGን በመጠቀም ለእያንዳንዱ ምላሽ ከJS ፋይሎች ጋር ለሰማያዊ ኮት ለአንድ ሰዓት ያህል ተተግብሯል። ስክሪፕቱ የሚከተለውን አድርጓል።

• የአሁኑን አሳሽ በተጠቃሚ-ወኪል ወስኗል። ኢንተርኔት ኤክስፕሎረር፣ Edge ወይም Chrome ከሆነ መስራቱን ቀጥሏል።
• የገጹ DOM እስኪፈጠር ድረስ ጠብቄአለሁ።
• ከቅጹ src ባህሪ ጋር የማይታይ ምስል ወደ DOM አስገብቷል። preobrazhensky:8080/NNNNNNN.png፣ ብሉኮት እንዳይሸጎጠው NNN የዘፈቀደ ቁጥሮች ናቸው።
• መርፌው መጠናቀቁን እና ምስሎችን ማስገባት እንደማያስፈልግ ለማመልከት የአለም አቀፍ ባንዲራ ተለዋዋጭ ያዘጋጁ።

አሳሹ ይህን ምስል ለመጫን ሞክሯል፤ በተጠቂው አገልጋይ ወደብ 8080፣ የTCP ዋሻ ወደ ላፕቶፕዬ እየጠበቀው ነበር፣ ያው ምላሽ ሰጪ ወደ ሚሰራበት፣ አሳሹ በኤንቲኤልኤም በኩል እንዲገባ ይፈልጋል።

በምላሽ ምዝግብ ማስታወሻዎች መሰረት ሰዎች በጠዋት ወደ ሥራ መጡ, የሥራ ቦታዎቻቸውን አበሩ, ከዚያም በጅምላ እና ሳይስተዋል የ NTLM መጨባበጥ "ማፍሰስ" ሳይረሱ የዩሮሎጂስት አገልጋይን መጎብኘት ጀመሩ. የእጅ መጨባበጥ ቀኑን ሙሉ ዘነበ እና በግልጽ የተከማቸ ቁሳቁስ የይለፍ ቃሎችን መልሶ ለማግኘት ለተሳካ ጥቃት። የምላሽ ምዝግብ ማስታወሻዎች ይህን ይመስላሉ፡-

በተጠቃሚዎች ወደ ዩሮሎጂስት አገልጋይ ብዙ ሚስጥራዊ ጉብኝቶች

ይህ አጠቃላይ ታሪክ “ሁሉም ነገር ጥሩ ነበር፣ ነገር ግን መጥፎ ነገር ነበር፣ ከዚያም መሸነፍ እና ከዚያም ሁሉም ነገር ወደ ስኬት መጣ” በሚለው መርህ ላይ እንደተገነባ አስቀድመህ አስተውለህ ይሆናል። ስለዚህ፣ እዚህ ግርግር ነበር። ከሃምሳዎቹ ልዩ የእጅ መጨባበጥ አንድም እንኳ አልተገለጸም። ይህ ደግሞ የሞተ ፕሮሰሰር ባለው ላፕቶፕ ላይ እንኳን እነዚህ NTLMv2 መጨባበጦች በሰከንድ መቶ ሚሊዮን በሚደርስ ፍጥነት የሚከናወኑ የመሆኑን እውነታ ግምት ውስጥ ያስገባል።

በይለፍ ቃል ሚውቴሽን ቴክኒኮች፣ በቪዲዮ ካርድ፣ በወፍራም መዝገበ ቃላት እራሴን አስታጥቄ መጠበቅ ነበረብኝ። ከረዥም ጊዜ በኋላ ብዙ መለያዎች የ “Q11111111….1111111q” የሚል የይለፍ ቃል ያላቸው መለያዎች ተገለጡ ይህ የሚያሳየው ሁሉም ተጠቃሚዎች በአንድ ወቅት በጣም ረጅም የይለፍ ቃል ከተለያዩ የቁምፊዎች መያዣ ጋር እንዲያወጡ ተገድደው ነበር ፣ ይህ ደግሞ አስፈላጊ ነበር ። ውስብስብ መሆን. ነገር ግን ልምድ ያለው ተጠቃሚን ማታለል አይችሉም, እና በዚህ መንገድ እራሱን ለማስታወስ ቀላል አድርጎታል. በጠቅላላው ወደ 5 የሚጠጉ መለያዎች ተጥሰዋል፣ እና ከመካከላቸው አንዱ ብቻ ለአገልግሎቶቹ ምንም ጠቃሚ መብት ነበረው።

ክፍል 3. Roskomnadzor ወደ ኋላ ይመታል

ስለዚህ, የመጀመሪያዎቹ የጎራ መለያዎች ተቀብለዋል. ከረዥም ንባብ ጀምሮ እስከዚህ ነጥብ ድረስ እንቅልፍ ካልተኛዎት፣ ሁለተኛ የማረጋገጫ ሁኔታ የማይፈልግ አገልግሎት እንደጠቀስኩ ታስታውሳለህ፡ የNTLM ማረጋገጫ ያለው ዊኪ ነው። እርግጥ ነው, መጀመሪያ ማድረግ የሚገባው ነገር እዚያ መግባት ነበር. ወደ ውስጣዊ የእውቀት መሠረት መቆፈር በፍጥነት ውጤቶችን አምጥቷል-

• ኩባንያው የአካባቢያዊ አውታረ መረብ መዳረሻ ያላቸውን የጎራ መለያዎች በመጠቀም የWiFi አውታረ መረብ አለው። አሁን ባለው የውሂብ ስብስብ, ይህ ቀድሞውኑ የሚሰራ የጥቃት ቬክተር ነው, ነገር ግን በእግሮችዎ ወደ ቢሮው መሄድ እና በደንበኛው ቢሮ ግዛት ውስጥ የሆነ ቦታ ማግኘት ያስፈልግዎታል.
• ተጠቃሚው በአካባቢያዊ አውታረመረብ ውስጥ ከሆነ እና የእሱን ጎራ መግቢያ እና የይለፍ ቃል በእርግጠኝነት የሚያስታውስ ከሆነ “ሁለተኛ ደረጃ” የማረጋገጫ መሣሪያን በግል ለመመዝገብ የሚያስችለውን አገልግሎት በሚሰጥበት መሠረት መመሪያ አገኘሁ። በዚህ ጉዳይ ላይ "ውስጥ" እና "ውጭ" የሚወሰነው በዚህ አገልግሎት ወደብ ለተጠቃሚው ተደራሽነት ነው. ወደቡ ከበይነመረቡ ተደራሽ አልነበረም፣ ነገር ግን በዲኤምኤስ በኩል በጣም ተደራሽ ነበር።

እርግጥ ነው፣ በስልኬ ላይ በማመልከቻ መልክ “ሁለተኛ ደረጃ” ወዲያውኑ ወደ ተጠቂው መለያ ተጨምሯል። ለድርጊቱ "አጽድቅ"/"አለመጸድቅ" የሚለውን ቁልፍ ወደ ስልኩ ጮክ ብሎ የሚልክ ወይም ለበለጠ ገለልተኛ ግቤት የ OTP ኮድን በፀጥታ ለማሳየት የሚያስችል ፕሮግራም ነበር። ከዚህም በላይ የመጀመሪያው ዘዴ በመመሪያው ብቻ ትክክለኛ ነው ተብሎ ይታሰባል, ነገር ግን ከኦቲፒ ዘዴ በተለየ መልኩ አልሰራም.

በ"ሁለተኛው ምክንያት" በተሰበረ፣ በCitrix Netscaler Gateway ውስጥ የ Outlook Web Access ሜይል እና የርቀት መዳረሻን ማግኘት ችያለሁ። በ Outlook ውስጥ በፖስታ ውስጥ አንድ አስገራሚ ነገር ነበር፡-

በዚህ ብርቅዬ ምት ውስጥ Roskomnadzor pentesters እንዴት እንደሚረዳ ማየት ይችላሉ

እነዚህ ከታዋቂው የቴሌግራም “ደጋፊ” እገዳ በኋላ የመጀመሪያዎቹ ወራት ነበሩ፣ በሺዎች የሚቆጠሩ አድራሻዎች ያላቸው ሙሉ አውታረ መረቦች በማይደረስበት ሁኔታ ከመድረስ ጠፍተዋል። ግፋው ወዲያውኑ ለምን እንዳልሰራ እና ለምን የእኔ "ተጎጂ" ማንቂያውን እንዳልጮኸ ግልጽ ሆነ ምክንያቱም በክፍት ሰዓቶች ውስጥ የእሷን መለያ መጠቀም ስለጀመሩ.

ሲትሪክስ ኔትስካለርን የሚያውቅ ማንኛውም ሰው የሶስተኛ ወገን አፕሊኬሽኖችን ለማስጀመር እና መረጃን ለማስተላለፍ የሚረዱ መሳሪያዎችን ላለመስጠት በመሞከር ለተጠቃሚው የምስል በይነገጽ ብቻ እንዲተላለፍ በሚያስችል መንገድ እንደሚተገበር ያስባል ፣ በሁሉም መንገዶች እርምጃዎችን ይገድባል ። በመደበኛ መቆጣጠሪያ ዛጎሎች በኩል. የእኔ “ተጎጂ”፣ በሙያው ምክንያት፣ 1C ብቻ አግኝቷል፡-

በ 1C በይነገጽ ዙሪያ ትንሽ ከተጓዝኩ በኋላ ፣ እዚያ ውጫዊ ማቀነባበሪያ ሞጁሎች እንዳሉ አገኘሁ። ከመገናኛው ላይ ሊጫኑ ይችላሉ, እና እንደ መብቶች እና መቼቶች በደንበኛው ወይም በአገልጋዩ ላይ ይገደላሉ.

የ1C ፕሮግራመር ጓደኞቼ ሕብረቁምፊን የሚቀበል እና የሚያስፈጽም ሂደት እንዲፈጥሩ ጠየኳቸው። በ 1C ቋንቋ አንድ ሂደት መጀመር ይህን ይመስላል (ከኢንተርኔት የተወሰደ)። የ1C ቋንቋ አገባብ ራሽያኛ ተናጋሪዎችን በራሱ ድንገተኛነት እንደሚያስደንቅ ተስማምተሃል?

አሰራሩ በትክክል ተፈጽሟል፤ ወንጀለኞች “ሼል” ብለው የሚጠሩት ሆኖ ተገኝቷል - ኢንተርኔት ኤክስፕሎረር በእሱ ተጀመረ።

ቀደም ሲል ወደ ግዛቱ ማለፊያዎችን ለማዘዝ የሚያስችል የስርዓት አድራሻ በፖስታ ውስጥ ተገኝቷል። የዋይፋይ ጥቃት ቬክተር መጠቀም ካለብኝ ማለፊያ አዝዣለሁ።

በይነመረብ ላይ አሁንም በደንበኛው ቢሮ ውስጥ ጣፋጭ ነፃ የምግብ አቅርቦት እንደነበረ ይነገራል ፣ ግን አሁንም ጥቃቱን በርቀት ማዳበርን እመርጣለሁ ፣ የበለጠ የተረጋጋ ነው።

AppLocker Citrix በሚያሄደው የመተግበሪያ አገልጋይ ላይ ነቅቷል፣ ነገር ግን ተላልፏል። የ http(ዎች) ስሪቶች መገናኘት ስላልፈለጉ እና በዚያን ጊዜ የውስጥ ተኪ አድራሻውን አላውቅም ስለነበር ያው ሜተርተር በዲ ኤን ኤስ ተጭኖ ተጀመረ። በነገራችን ላይ፣ ከዚህ ቅጽበት ጀምሮ፣ ውጫዊው ፔንቴስት በመሠረቱ ሙሉ በሙሉ ወደ ውስጣዊ ተለወጠ።

ክፍል 4. ለተጠቃሚዎች የአስተዳዳሪ መብቶች መጥፎ ናቸው፣ እሺ?

የጎራ ተጠቃሚ ክፍለ ጊዜን ሲቆጣጠር የፔንቴስተር የመጀመሪያ ተግባር በጎራው ውስጥ ስላሉ መብቶች ሁሉንም መረጃዎች መሰብሰብ ነው። ስለተጠቃሚዎች ፣ኮምፒተሮች ፣የደህንነት ቡድኖች በኤልዲኤፒ ፕሮቶኮል ከጎራ ተቆጣጣሪ እና በSMB በኩል መረጃን በቀጥታ እንዲያወርዱ የሚያስችል የBloodHound መገልገያ አለ - የትኛው ተጠቃሚ በቅርቡ እንደገባ እና ማን የአካባቢ አስተዳዳሪ እንደሆነ።

የጎራ አስተዳዳሪ መብቶችን ለመቀማት የተለመደ ቴክኒክ እንደ ተራ ድርጊቶች ዑደት ቀላል ይመስላል።

• ቀደም ሲል በተያዙ የጎራ መለያዎች ላይ በመመስረት የአካባቢ አስተዳዳሪ መብቶች ባሉበት ወደ ጎራ ኮምፒተሮች እንሄዳለን።
• Mimikatz ን አስጀምረናል እና የተሸጎጡ የይለፍ ቃሎችን፣ የከርቤሮስ ቲኬቶችን እና በቅርቡ ወደዚህ ስርዓት የገቡ የ NTLM ጎራ መለያዎች hashes አግኝተናል። ወይም የ lsass.exe ሂደትን የማስታወሻ ምስል እናስወግዳለን እና በተመሳሳይ መልኩ በጎናችን እናደርጋለን. ይህ ከ2012R2/Windows 8.1 በታች ለሆኑ ዊንዶውስ ከነባሪ ቅንጅቶች ጋር በደንብ ይሰራል።
• የተጠለፉ መለያዎች የአካባቢ አስተዳዳሪ መብቶች የት እንዳሉ እንወስናለን። የመጀመሪያውን ነጥብ እንደግመዋለን. በተወሰነ ደረጃ ለጠቅላላው ጎራ የአስተዳዳሪ መብቶችን እናገኛለን።

የ1C ፕሮግራም አውጪዎች እዚህ እንደሚጽፉት “የዑደቱ መጨረሻ”።

ስለዚህ የእኛ ተጠቃሚ በዊንዶውስ 7 በአንድ አስተናጋጅ ላይ ብቻ የአካባቢ አስተዳዳሪ ሆኖ ተገኝቷል፣ ስማቸውም “VDI”፣ ወይም “Virtual Desktop Infrastructure”፣ የግል ምናባዊ ማሽኖችን ያካትታል። ምናልባት የቪዲአይ አገልግሎት ዲዛይነር ቪዲአይ የተጠቃሚው የግል ኦፕሬቲንግ ሲስተም ስለሆነ ምንም እንኳን ተጠቃሚው የሶፍትዌር አካባቢን እንደፈለገው ቢለውጥም አስተናጋጁ አሁንም "እንደገና ሊጫን" ይችላል ማለት ነው። እንዲሁም በአጠቃላይ ሀሳቡ ጥሩ ነው ብዬ አስቤ ነበር፣ ወደዚህ የግል ቪዲአይ አስተናጋጅ ሄጄ እዚያ ጎጆ ሰራሁ፡-

• እዚያ የOpenVPN ደንበኛን ጫንኩ፣ ይህም በበይነመረቡ በኩል ወደ አገልጋዬ መሿለኪያ አደረገ። ደንበኛው ከጎራ ማረጋገጫ ጋር በተመሳሳይ ሰማያዊ ኮት ውስጥ እንዲያልፍ መገደድ ነበረበት፣ ነገር ግን OpenVPN ያደረገው “ከሳጥን ውጭ” እንደሚሉት ነው።
• በVDI ላይ OpenSSH ተጭኗል። ደህና ፣ በእውነቱ ፣ ዊንዶውስ 7 ያለ SSH ምንድነው?

በቀጥታ ስርጭት ይህን ይመስላል። ይህ ሁሉ በሲትሪክስ እና በ1C በኩል መከናወን እንዳለበት ላስታውስዎ፡-

የአጎራባች ኮምፒውተሮችን ተደራሽነት ለማስተዋወቅ አንዱ ዘዴ የአካባቢ አስተዳዳሪ የይለፍ ቃሎችን ለአንድ ግጥሚያ ማረጋገጥ ነው። እዚህ ዕድል ወዲያውኑ ይጠብቃል፡ የነባሪው የአካባቢ አስተዳዳሪ (በድንገት አስተዳዳሪ ተብሎ የሚጠራው) የ NTLM hash ወደ ጎረቤት የVDI አስተናጋጆች በማለፍ-the-hash ጥቃት ቀረበ። እርግጥ ነው ጥቃቱ ወዲያው ተመታቸው።

የቪዲአይ አስተዳዳሪዎች ሁለት ጊዜ እግራቸውን በጥይት የተኮሱበት ቦታ ነው።

• ለመጀመሪያ ጊዜ የቪዲአይ ማሽኖች በLAPS ስር ያልመጡ ሲሆን ይህም በመሠረቱ ተመሳሳይ የአካባቢ አስተዳዳሪ ይለፍ ቃል ወደ ቪዲአይ በስፋት ከተሰራጨው ምስል ይዞ ነበር።
• ነባሪው አስተዳዳሪ ለፓስ-ዘ-ሃሽ ጥቃቶች የተጋለጠ ብቸኛው የአካባቢ መለያ ነው። በተመሳሳዩ የይለፍ ቃል እንኳን ፣ ውስብስብ የዘፈቀደ የይለፍ ቃል ያለው ሁለተኛ የአካባቢ አስተዳዳሪ መለያ በመፍጠር እና ነባሪውን በማገድ የጅምላ ስምምነትን ማስቀረት ይቻላል ።

ለምን በዚያ ዊንዶውስ ላይ የኤስኤስኤች አገልግሎት አለ? በጣም ቀላል፡ አሁን የOpenSSH አገልጋይ የተጠቃሚውን ስራ ሳያስተጓጉል ምቹ የሆነ በይነተገናኝ ትዕዛዝ ሼል ብቻ ሳይሆን socks5 proxy በVDI ላይ አቅርቧል። በዚህ ካልሲ፣ በSMB በኩል አገናኘሁ እና የተሸጎጡ መለያዎችን ከእነዚህ ሁሉ በመቶዎች ከሚቆጠሩ የቪዲአይ ማሽኖች ሰበሰብኩ፣ ከዚያም በBloodHound ግራፎች ውስጥ ወደ ጎራ አስተዳዳሪ የሚወስደውን መንገድ ፈለግኩ። በእኔ እጅ በመቶዎች የሚቆጠሩ አስተናጋጆች ይህን መንገድ በፍጥነት አገኘሁት። የጎራ አስተዳዳሪ መብቶች ተገኝተዋል።

ተመሳሳይ ፍለጋን የሚያሳይ ከበይነመረቡ ምስል ይኸውና. ግንኙነቶች አስተዳዳሪው የት እንዳለ እና ማን የት እንደገባ ያሳያል።

በነገራችን ላይ ከፕሮጀክቱ መጀመሪያ ጀምሮ ያለውን ሁኔታ አስታውሱ - "ማህበራዊ ምህንድስና አይጠቀሙ." ስለዚህ፣ ባናል ማስገርን መጠቀም ቢቻል ይህ ሁሉ ልዩ ውጤት ያለው ቦሊውድ ምን ያህል እንደሚቆረጥ ለማሰብ ሀሳብ አቀርባለሁ። ግን በግሌ ይህንን ሁሉ ማድረግ ለእኔ በጣም አስደሳች ነበር። ይህን ማንበብ እንደተደሰቱ ተስፋ አደርጋለሁ። እርግጥ ነው, እያንዳንዱ ፕሮጀክት በጣም የሚስብ አይመስልም, ነገር ግን በአጠቃላይ ስራው በጣም ፈታኝ እና እንዲዘገይ አይፈቅድም.

ምናልባት አንድ ሰው ጥያቄ ይኖረዋል: እራስዎን እንዴት መጠበቅ እንደሚችሉ? ይህ ጽሑፍ እንኳን ብዙ ቴክኒኮችን ይገልፃል, ብዙዎቹ የዊንዶውስ አስተዳዳሪዎች እንኳን አያውቁም. ሆኖም፣ ከተጠለፉ መርሆዎች እና የመረጃ ደህንነት እርምጃዎች አንፃር እንዲመለከቷቸው ሀሳብ አቀርባለሁ።

• ጊዜው ያለፈበት ሶፍትዌር አይጠቀሙ (ዊንዶውስ 2003 መጀመሪያ ላይ ያስታውሱ?)
• አላስፈላጊ ስርዓቶችን እንዳትከፍቱ (የዩሮሎጂስት ድር ጣቢያ ለምን ነበር?)
• ለጥንካሬ የተጠቃሚ የይለፍ ቃሎችን ፈትሽ (አለበለዚያ ወታደሮች... ወንጀለኞች ይህን ያደርጋሉ)
• ለተለያዩ መለያዎች ተመሳሳይ የይለፍ ቃሎች የሉትም (VDI compromise)
• እና ሌሎችም።

በእርግጥ ይህ ለመተግበር በጣም ከባድ ነው, ነገር ግን በሚቀጥለው ርዕስ ውስጥ በጣም የሚቻል መሆኑን በተግባር እናሳያለን.

ምንጭ: hab.com