🥇Smbexec በመጠቀም የተደበቀ የይለፍ ቃል መጥለፍ

ጠላፊዎች ብዙ ጊዜ በብዝበዛ ላይ እንዴት እንደሚተማመኑ በየጊዜው እንጽፋለን። ያለ ተንኮል-አዘል ኮድ የጠለፋ ዘዴዎችመለየትን ለማስወገድ. እነሱ በትክክል "በግጦሽ መትረፍ", መደበኛ የዊንዶውስ መሳሪያዎችን በመጠቀም, በዚህም ፀረ-ቫይረስ እና ሌሎች ተንኮል አዘል እንቅስቃሴዎችን ለመለየት መገልገያዎችን በማለፍ. እኛ, እንደ ተከላካዮች, አሁን እንደነዚህ ያሉ ብልህ የጠለፋ ዘዴዎችን አሳዛኝ ውጤቶችን ለመቋቋም እንገደዳለን ጥሩ ቦታ ያለው ሰራተኛ መረጃን በድብቅ ለመስረቅ (የኩባንያው የአእምሮ ንብረት, የክሬዲት ካርድ ቁጥሮች) ተመሳሳይ ዘዴን ሊጠቀም ይችላል. እና እሱ ካልቸኮለ, ነገር ግን በዝግታ እና በጸጥታ የሚሰራ ከሆነ, እጅግ በጣም አስቸጋሪ ይሆናል - ነገር ግን ትክክለኛውን አካሄድ እና ተገቢውን ከተጠቀመ አሁንም ይቻላል. መሳሪያዎቹ, - እንደዚህ አይነት እንቅስቃሴን ለመለየት.

በሌላ በኩል፣ ከኦርዌል 1984 ጀምሮ ማንም ሰው በንግድ አካባቢ ውስጥ መሥራት ስለማይፈልግ ሰራተኞችን ማሳመን አልፈልግም። እንደ እድል ሆኖ፣ ህይወትን ለውስጥ አዋቂዎች የበለጠ አስቸጋሪ የሚያደርጉ በርካታ ተግባራዊ እርምጃዎች እና የህይወት ጠለፋዎች አሉ። እንመለከታለን ስውር የጥቃት ዘዴዎችአንዳንድ ቴክኒካል ዳራ ባላቸው ሰራተኞች በጠላፊዎች ጥቅም ላይ ይውላል። እና ትንሽ ወደፊት እንደነዚህ ያሉትን አደጋዎች ለመቀነስ አማራጮችን እንነጋገራለን - ሁለቱንም ቴክኒካዊ እና ድርጅታዊ አማራጮችን እናጠናለን.

PsExec ላይ ምን ችግር አለው?

ኤድዋርድ ስኖውደን፣ ትክክልም ሆነ ስህተት፣ ከውስጥ አዋቂ መረጃ ስርቆት ጋር ተመሳሳይ ሆኗል። በነገራችን ላይ መመልከትን አትርሳ ይህ ማስታወሻ ስለ ሌሎች የውስጥ አዋቂዎች አንዳንድ ታዋቂነትም ይገባቸዋል። ስኖውደን ስለተጠቀመባቸው ዘዴዎች አጽንኦት ልንሰጥበት የሚገባ አንድ አስፈላጊ ነጥብ እስከ እውቀታችን ድረስ እሱ ነው። አልተጫነም። ምንም ውጫዊ ተንኮል አዘል ሶፍትዌር የለም!

በምትኩ፣ ስኖውደን ትንሽ የማህበራዊ ምህንድስና ተጠቅሞ እንደ ሲስተም አስተዳዳሪ ሆኖ የይለፍ ቃሎችን ለመሰብሰብ እና ምስክርነቶችን ለመፍጠር ተጠቅሞበታል። ምንም የተወሳሰበ ነገር የለም - የለም ሚሚካትዝ, ጥቃቶች በመሃል ላይ ያለ ሰው ወይም metasploit.

ድርጅታዊ ሰራተኞች በስኖውደን ልዩ ቦታ ላይ ሁልጊዜ አይደሉም, ነገር ግን "በግጦሽ መትረፍ" ከሚለው ጽንሰ-ሃሳብ ለመገንዘብ ብዙ ትምህርቶች አሉ - ሊታወቅ በሚችል ተንኮል-አዘል እንቅስቃሴ ውስጥ ላለመሳተፍ እና በተለይም መሆን አለበት. ምስክርነቶችን በመጠቀም በጥንቃቄ. ይህን ሃሳብ አስታውስ።

Psexec እና የአጎቱ ልጅ crackmapexec ስፍር ቁጥር የሌላቸው ፔንቴተሮችን፣ ሰርጎ ገቦችን እና የሳይበር ደህንነት ብሎገሮችን አስደምሟል። እና ከሚሚካትዝ ጋር ሲጣመር psexec አጥቂዎች የጠራ ጽሑፍን የይለፍ ቃል ማወቅ ሳያስፈልጋቸው በኔትወርክ ውስጥ እንዲንቀሳቀሱ ያስችላቸዋል።

ሚሚካትዝ የ NTLM hashን ከ LSASS ሂደት ያጠለፈ እና ከዚያም ማስመሰያውን ወይም ምስክርነቱን ያልፋል - የሚባሉት። "ሃሽ ማለፍ" ጥቃት - በ psexec ውስጥ ፣ አጥቂ ወደ ሌላ አገልጋይ እንዲገባ መፍቀድ ለሌላው ተጠቃሚ። እና እያንዳንዱ ተከታይ ወደ አዲስ አገልጋይ ሲሄድ አጥቂው ተጨማሪ ምስክርነቶችን ይሰበስባል፣ ይህም ያለውን ይዘት በመፈለግ የችሎታውን ክልል ያሰፋል።

መጀመሪያ ከ psexec ጋር መስራት ስጀምር አስማታዊ መስሎኝ ነበር - አመሰግናለሁ ማርክ ሩሲኖቪችየ psexec ድንቅ ገንቢ - ግን ስለሱም አውቃለሁ ጫጫታ አካላት. እሱ በጭራሽ ሚስጥራዊ አይደለም!

ስለ psexec የመጀመሪያው ትኩረት የሚስብ እውነታ እጅግ በጣም ውስብስብ መጠቀሙ ነው SMB አውታረ መረብ ፋይል ፕሮቶኮል ከ Microsoft. SMB በመጠቀም psexec ትንሽ ያስተላልፋል ሁለትዮሽ ፋይሎችን ወደ ዒላማው ስርዓት, በ C: ዊንዶውስ አቃፊ ውስጥ ያስቀምጣቸዋል.

በመቀጠል, psexec የተቀዳውን ሁለትዮሽ በመጠቀም የዊንዶውስ አገልግሎትን ይፈጥራል እና እጅግ በጣም "ያልተጠበቀ" PSEXECSVC በሚለው ስም ስር ይሰራል. በተመሳሳይ ጊዜ, ልክ እንደ እኔ, የርቀት ማሽንን በመመልከት ይህንን ሁሉ ማየት ይችላሉ (ከዚህ በታች ይመልከቱ).

የ Psexec ጥሪ ካርድ፡ "PSEXECSVC" አገልግሎት። በ C: ዊንዶውስ አቃፊ ውስጥ በ SMB በኩል የተቀመጠውን ሁለትዮሽ ፋይል ያካሂዳል.

እንደ የመጨረሻ ደረጃ, የተቀዳው ሁለትዮሽ ፋይል ይከፈታል የ RPC ግንኙነት ወደ ዒላማው አገልጋይ እና ከዚያ የቁጥጥር ትዕዛዞችን ይቀበላል (በዊንዶውስ ሴሜዲ ሼል በነባሪ) ፣ በማስጀመር እና ግብዓት እና ውፅዓት ወደ አጥቂው የቤት ማሽን በማዞር። በዚህ አጋጣሚ አጥቂው መሰረታዊ የትእዛዝ መስመርን ያያል - እሱ በቀጥታ ከተገናኘ ጋር ተመሳሳይ ነው.

ብዙ ክፍሎች እና በጣም ጫጫታ ሂደት!

ውስብስብ የ psexec ውስጣዊ አካላት ከብዙ አመታት በፊት ባደረግኳቸው የመጀመሪያ ፈተናዎች ግራ የተጋባኝን መልእክት ያብራራሉ፡- “PSEXECSVCን በመጀመር ላይ...” እና የትዕዛዝ መጠየቂያው ከመታየቱ በፊት ቆም ይበሉ።

Impacket's Psexec በትክክል ከኮፈኑ ስር ምን እየተካሄደ እንዳለ ያሳያል።

የሚያስደንቅ አይደለም: psexec በመከለያው ስር ከፍተኛ መጠን ያለው ስራ ሰርቷል. የበለጠ ዝርዝር ማብራሪያ ከፈለጉ እዚህ ይመልከቱ በዚህ ላይ ድንቅ መግለጫ.

በግልጽ እንደሚታየው እንደ የስርዓት አስተዳደር መሣሪያ ሲጠቀሙ, ይህም ነበር የመጀመሪያ ዓላማ psexec, የእነዚህ ሁሉ የዊንዶውስ ስልቶች "buzzing" ምንም ስህተት የለበትም. ለአጥቂ ግን፣ psexec ውስብስብ ነገሮችን ይፈጥራል፣ እና እንደ ስኖውደን፣ ፕሴክሴክ ወይም ተመሳሳይ መገልገያ ላሉ ጠንቃቃ እና ተንኮለኛ የውስጥ አዋቂ በጣም ብዙ አደጋ ይሆናል።

እና ከዚያ Smbexec ይመጣል

SMB ፋይሎችን በአገልጋዮች መካከል ለማስተላለፍ ብልህ እና ሚስጥራዊ መንገድ ነው፣ እና ሰርጎ ገቦች ለዘመናት በቀጥታ ወደ ኤስኤምቢ እየገቡ ነው። ሁሉም ሰው ዋጋ እንደሌለው አስቀድሞ ያውቃል ብዬ አስባለሁ ክፈት SMB ወደቦች 445 እና 139 ወደ ኢንተርኔት፣ አይደል?

በዴፍኮን 2013፣ ኤሪክ ሚልማን (እ.ኤ.አ.)brav0hax) አቅርቧል smbexecፔንቴተሮች ስውር SMB ጠለፋን እንዲሞክሩ። እኔ መላው ታሪክ አላውቅም, ነገር ግን ከዚያም Impacket ተጨማሪ የጠራ smbexec. በእውነቱ፣ ለፈተናዬ፣ ስክሪፕቶቹን ከImpacket in Python ከ አውርጃለሁ። የፊልሙ.

እንደ psexec ሳይሆን smbexec ያስወግዳል ሊገኝ የሚችል ሁለትዮሽ ፋይል ወደ ዒላማው ማሽን ማስተላለፍ። በምትኩ፣ መገልገያው ሙሉ በሙሉ ከግጦሽ እስከ ማስጀመር ድረስ ይኖራል አካባቢያዊ የዊንዶውስ ትዕዛዝ መስመር.

የሚያደርገው ይህ ነው፡ ከአጥቂው ማሽን በSMB በኩል ወደ ልዩ የግቤት ፋይል ያስተላልፋል፣ እና ለሊኑክስ ተጠቃሚዎች የተለመደ የሚመስለውን ውስብስብ የትእዛዝ መስመር (እንደ ዊንዶውስ አገልግሎት) ይፈጥራል እና ያስኬዳል። ባጭሩ፡ የዊንዶውስ ሴሜዲ ሼልን ያስነሳል፣ ውጤቱን ወደ ሌላ ፋይል ያዛውራል እና ከዚያ በSMB በኩል ወደ አጥቂው ማሽን ይልካል።

ይህንን ለመረዳት ከሁሉ የተሻለው መንገድ የትእዛዝ መስመርን መመልከት ነው, ይህም ከዝግጅቱ ምዝግብ ማስታወሻ ላይ እጄን ማግኘት የቻልኩትን (ከዚህ በታች ይመልከቱ).

I/Oን ለማዞር ይህ ትልቁ መንገድ አይደለምን? በነገራችን ላይ አገልግሎት መፍጠር የክስተት መታወቂያ 7045 አለው።

ልክ እንደ psexec, ሁሉንም ስራዎች የሚያከናውን አገልግሎትን ይፈጥራል, ግን አገልግሎቱ ከዚያ በኋላ ተወግዷል - ትዕዛዙን ለማስኬድ አንድ ጊዜ ብቻ ጥቅም ላይ ይውላል እና ከዚያ ይጠፋል! የተጎጂውን ማሽን የሚከታተል የመረጃ ደህንነት ኦፊሰር ሊያገኝ አይችልም። ግልጽ የጥቃት አመላካቾች፡ የሚጀመር ተንኮል አዘል ፋይል የለም፣ ቀጣይነት ያለው አገልግሎት እየተጫነ አይደለም፣ እና SMB ብቸኛው የውሂብ ማስተላለፊያ መንገድ ስለሆነ RPC ጥቅም ላይ እንደዋለ የሚያሳይ ምንም ማስረጃ የለም። ጎበዝ!

ከአጥቂው ወገን፣ ትዕዛዙን በመላክ እና ምላሹን በመቀበል መካከል መዘግየቶች ያሉት “pseudo-shell” አለ። ነገር ግን ይህ ለአጥቂው በቂ ነው - የውስጥ አዋቂም ሆነ የውጭ ጠላፊ ቀድሞውንም መተማመኛ ያለው - አስደሳች ይዘት መፈለግ ይጀምራል።

መረጃን ከተጠቂው ማሽን ወደ አጥቂው ማሽን መልሶ ለማውጣት ጥቅም ላይ ይውላል ብልህነት. አዎ ያው ሳምባ ነው። መገልገያ፣ ግን ወደ Python ስክሪፕት በ Impacket ብቻ ተቀይሯል። በእርግጥ፣ smbclient በSMB ላይ የኤፍቲፒ ዝውውሮችን በስውር እንዲያስተናግዱ ይፈቅድልዎታል።

እስቲ አንድ እርምጃ ወደ ኋላ እንመለስና ይህ ለሠራተኛው ምን ሊጠቅም እንደሚችል እናስብ። በእኔ ምናባዊ ሁኔታ፣ ጦማሪ፣ የፋይናንሺያል ተንታኝ ወይም ከፍተኛ ክፍያ የሚከፈልበት የደህንነት አማካሪ የግል ላፕቶፕ ለስራ እንዲጠቀም ተፈቅዶለታል እንበል። በአንዳንድ አስማታዊ ሂደቶች ምክንያት በኩባንያው ላይ ቅር ትሰኛለች እና "ሁሉም መጥፎ ነው." እንደ ላፕቶፑ ኦፕሬቲንግ ሲስተም የፓይዘንን ከኢምፓክት ወይም የዊንዶውስ የ smbexec ወይም smbclient ስሪት እንደ .exe ፋይል ይጠቀማል።

ልክ እንደ ስኖውደን፣ የሌላ ተጠቃሚ የይለፍ ቃል ወይ ትከሻዋን በማየት ታገኛለች፣ ወይም እድለኛ ሆና የይለፍ ቃል ባለው የጽሁፍ ፋይል ላይ ትሰናከላለች። እናም በእነዚህ ምስክርነቶች እርዳታ በስርዓቱ ዙሪያ በአዲስ የመብት ደረጃ መቆፈር ትጀምራለች።

DCCን መጥለፍ፡ ምንም አይነት "ሞኝ" ሚሚካትዝ አያስፈልገንም።

በቀደሙት ጽሁፎቼ በፔንቴቲንግ ላይ፣ ሚሚካትትን ብዙ ጊዜ እጠቀም ነበር። ይህ ምስክርነቶችን ለመጥለፍ በጣም ጥሩ መሳሪያ ነው - NTLM hashes እና እንዲያውም በላፕቶፖች ውስጥ የተደበቁ ግልጽ ጽሁፍ ቃሎችን ለመጠቀም ብቻ ይጠብቃሉ።
ዘመን ተለውጧል። የክትትል መሳሪያዎች ሚሚካትትን በመለየት እና በማገድ ላይ የተሻሉ ሆነዋል። የመረጃ ደህንነት አስተዳዳሪዎች ከሃሽ (PtH) ጥቃቶች ጋር ተያይዘው የሚመጡትን አደጋዎች ለመቀነስ አሁን ተጨማሪ አማራጮች አሏቸው።
ስለዚህ አንድ ብልህ ሰራተኛ ማይሚካትዝ ሳይጠቀም ተጨማሪ ምስክርነቶችን ለመሰብሰብ ምን ማድረግ አለበት?

የኢምፓኬት ኪት የሚባል መገልገያ ያካትታል ሚስጥራዊ ቆሻሻምስክርነቶችን ከዶሜይን ምስክርነት መሸጎጫ፣ ወይም ለአጭር ጊዜ ዲሲሲ የሚያወጣ። የኔ ግንዛቤ የጎራ ተጠቃሚ ወደ አገልጋዩ ከገባ ነገር ግን የጎራ መቆጣጠሪያው የማይገኝ ከሆነ DCC አገልጋዩ ተጠቃሚውን እንዲያረጋግጥ ይፈቅድለታል። ለማንኛውም, secretsdump እነዚህ ሁሉ hashes የሚገኙ ከሆነ ለመጣል ያስችልዎታል.

የዲሲ ሃሽ ናቸው። NTML hashes አይደለም እና የእነሱ ለ PtH ጥቃት መጠቀም አይቻልም.

ደህና፣ ዋናውን የይለፍ ቃል ለማግኘት እነሱን ለመጥለፍ መሞከር ትችላለህ። ሆኖም ማይክሮሶፍት በዲሲሲ ብልህ ሆኗል እና የDCC hashes ለመስነጣጠቅ በጣም አስቸጋሪ ሆነዋል። አዎ አለኝ ሃሽካት, "የአለማችን ፈጣኑ የይለፍ ቃል ገማች" ግን በብቃት ለመስራት ጂፒዩ ያስፈልገዋል።

ይልቁንስ እንደ ስኖውደን ለማሰብ እንሞክር። አንድ ሰራተኛ ፊት ለፊት የማህበራዊ ምህንድስናን ማካሄድ እና ምናልባትም የይለፍ ቃሉን ለመስበር ስለፈለገችው ሰው አንዳንድ መረጃዎችን ማግኘት ይችላል። ለምሳሌ የግለሰቡ የመስመር ላይ አካውንት ተጠልፎ መቆየቱን ይወቁ እና ለማንኛውም ፍንጭ ግልጽ ጽሑፍ የይለፍ ቃላቸውን ይፈትሹ።

እና አብሬው ለመሄድ የወሰንኩት ይህ ሁኔታ ነው። አንድ የውስጥ አዋቂ አለቃው ክሩላ በተለያዩ የድረ-ገጽ ምንጮች ላይ ብዙ ጊዜ እንደተጠለፈ ያውቅ እንደሆነ እናስብ። ከእነዚህ የይለፍ ቃሎች ውስጥ ብዙዎቹን ከመረመረ በኋላ ክሩኤላ የቤዝቦል ቡድን ስም "ያንኪስ" የአሁኑን አመት - "Yankees2015" የሚለውን ቅርጸት መጠቀም እንደሚመርጥ ይገነዘባል.

አሁን ይህንን እቤት ውስጥ ለማባዛት እየሞከሩ ከሆነ ትንሽ "C" ማውረድ ይችላሉ. ኮድየDCC hashing አልጎሪዝምን ተግባራዊ የሚያደርግ እና ያጠናቀረው። ጆን ሪፖነርበነገራችን ላይ ለዲሲሲ ተጨማሪ ድጋፍ, ስለዚህ ጥቅም ላይ ሊውል ይችላል. አንድ የውስጥ አዋቂ ጆን ዘ ሪፐርን ለመማር መቸገር እንደማይፈልግ እና "gcc" በ Legacy C ኮድ ላይ መሮጥ እንደሚወድ እናስብ።

የውስጥ አዋቂን ሚና በመምሰል፣ የተለያዩ ውህዶችን ሞከርኩ እና በመጨረሻም የCruella የይለፍ ቃል "Yankees2019" መሆኑን ለማወቅ ችያለሁ (ከዚህ በታች ይመልከቱ)። ተልዕኮ ተጠናቋል!