نكتب بانتظام عن كيفية اعتماد المتسللين غالبًا على الاستغلال
ومن ناحية أخرى، لا أريد شيطنة الموظفين لأنه لا أحد يريد العمل في بيئة أعمال مباشرة من رواية أورويل 1984. لحسن الحظ، هناك عدد من الخطوات العملية والحيل الحياتية التي يمكن أن تجعل الحياة أكثر صعوبة بالنسبة للأشخاص المطلعين. سوف ننظر أساليب الهجوم السرية، يستخدمها المتسللون من قبل الموظفين ذوي الخلفية التقنية. وسنناقش بعد ذلك بقليل خيارات الحد من هذه المخاطر - وسندرس الخيارات الفنية والتنظيمية.
ما هو الخطأ في PsExec؟
أصبح إدوارد سنودن، سواء كان على حق أم على خطأ، مرادفًا لسرقة البيانات الداخلية. بالمناسبة، لا تنسى أن تلقي نظرة على
وبدلاً من ذلك، استخدم سنودن القليل من الهندسة الاجتماعية واستخدم منصبه كمسؤول النظام لجمع كلمات المرور وإنشاء بيانات الاعتماد. لا شيء معقد - لا شيء
لا يكون موظفو المنظمة دائمًا في وضع سنودن الفريد، ولكن هناك عددًا من الدروس التي يجب تعلمها من مفهوم "البقاء على قيد الحياة عن طريق الرعي" التي يجب أن تكون على دراية بها - عدم الانخراط في أي نشاط ضار يمكن اكتشافه، وأن تكون على وجه الخصوص حذرا مع استخدام أوراق الاعتماد. تذكر هذا الفكر.
يعترض Mimikatz تجزئة NTLM من عملية LSASS ثم يقوم بتمرير الرمز المميز أو بيانات الاعتماد - ما يسمى. هجوم "تمرير التجزئة". – في psexec، السماح للمهاجم بتسجيل الدخول إلى خادم آخر باسم آخر مستخدم. ومع كل انتقال لاحق إلى خادم جديد، يقوم المهاجم بجمع بيانات اعتماد إضافية، وتوسيع نطاق قدراته في البحث عن المحتوى المتاح.
عندما بدأت العمل مع psexec لأول مرة، بدا الأمر سحريًا بالنسبة لي - شكرًا لك
الحقيقة الأولى المثيرة للاهتمام حول psexec هي أنه يستخدم معقدة للغاية بروتوكول ملف شبكة SMB من مايكروسوفت. باستخدام SMB، ينقل psexec صغيرًا ثنائي الملفات إلى النظام الهدف، ووضعها في المجلد C:Windows.
بعد ذلك، يقوم psexec بإنشاء خدمة Windows باستخدام الملف الثنائي المنسوخ وتشغيله تحت الاسم "غير المتوقع" للغاية PSEXECSVC. وفي الوقت نفسه، يمكنك رؤية كل هذا، كما فعلت أنا، من خلال مشاهدة جهاز بعيد (انظر أدناه).
بطاقة اتصال Psexec: خدمة "PSEXECSVC". يقوم بتشغيل ملف ثنائي تم وضعه عبر SMB في المجلد C:Windows.
كخطوة أخيرة، يتم فتح الملف الثنائي المنسوخ اتصال آر بي سي إلى الخادم الهدف ثم يقبل أوامر التحكم (عبر Windows cmd Shell بشكل افتراضي)، وإطلاقها وإعادة توجيه الإدخال والإخراج إلى الجهاز الرئيسي للمهاجم. في هذه الحالة، يرى المهاجم سطر الأوامر الأساسي - كما لو كان متصلاً مباشرة.
الكثير من المكونات وعملية صاخبة للغاية!
تشرح الأجزاء الداخلية المعقدة لـ psexec الرسالة التي حيرتني أثناء اختباراتي الأولى منذ عدة سنوات: "بدء تشغيل PSEXECSVC..." متبوعة بتوقف مؤقت قبل ظهور موجه الأوامر.
يُظهر Psexec من Impacket في الواقع ما يحدث تحت الغطاء.
ليس من المستغرب أن تقوم psexec بقدر كبير من العمل تحت الغطاء. إذا كنت مهتمًا بشرح أكثر تفصيلاً، فراجع هنا
من الواضح أنه عند استخدامه كأداة لإدارة النظام، كان ذلك الغرض الأصلي psexec، فلا حرج في "طنين" جميع آليات Windows هذه. ومع ذلك، بالنسبة للمهاجم، فإن psexec من شأنه أن يخلق تعقيدات، وبالنسبة إلى شخص مطلع حذر وماكر مثل سنودن، فإن psexec أو أداة مساعدة مماثلة ستكون بمثابة مخاطرة كبيرة.
وبعد ذلك يأتي سمبيكسيك
تعد SMB طريقة ذكية وسرية لنقل الملفات بين الخوادم، وقد ظل المتسللون يتسللون إلى SMB مباشرة لعدة قرون. أعتقد أن الجميع يعلم بالفعل أن الأمر لا يستحق ذلك
في ديفكون 2013، إريك ميلمان (
على عكس psexec، smbexec يتجنب نقل ملف ثنائي يحتمل اكتشافه إلى الجهاز المستهدف. وبدلاً من ذلك، فإن المنفعة تعيش بالكامل من المراعي حتى الإطلاق محلي سطر أوامر ويندوز.
وإليك ما يفعله: فهو يمرر أمرًا من الجهاز المهاجم عبر SMB إلى ملف إدخال خاص، ثم يقوم بإنشاء وتشغيل سطر أوامر معقد (مثل خدمة Windows) سيبدو مألوفًا لمستخدمي Linux. باختصار: يقوم بتشغيل Windows cmd shell الأصلي، ويعيد توجيه الإخراج إلى ملف آخر، ثم يرسله عبر SMB مرة أخرى إلى جهاز المهاجم.
أفضل طريقة لفهم ذلك هي إلقاء نظرة على سطر الأوامر، الذي تمكنت من الحصول عليه من سجل الأحداث (انظر أدناه).
أليست هذه هي الطريقة الأفضل لإعادة توجيه الإدخال/الإخراج؟ بالمناسبة، إنشاء الخدمة له معرف الحدث 7045.
مثل psexec، يقوم أيضًا بإنشاء خدمة تقوم بكل العمل، ولكن الخدمة بعد ذلك إزالة - يستخدم مرة واحدة فقط لتشغيل الأمر ثم يختفي! لن يتمكن ضابط أمن المعلومات الذي يراقب جهاز الضحية من اكتشاف ذلك بديهي مؤشرات الهجوم: لم يتم إطلاق أي ملف ضار، ولم يتم تثبيت أي خدمة مستمرة، ولا يوجد دليل على استخدام RPC نظرًا لأن SMB هي الوسيلة الوحيدة لنقل البيانات. باهِر!
ومن جانب المهاجم، تتوفر "الصدفة الزائفة" مع تأخيرات بين إرسال الأمر وتلقي الاستجابة. ولكن هذا يكفي تمامًا للمهاجم - سواء كان من الداخل أو متسللًا خارجيًا لديه موطئ قدم بالفعل - لبدء البحث عن محتوى مثير للاهتمام.
لإخراج البيانات مرة أخرى من الجهاز المستهدف إلى جهاز المهاجم، يتم استخدامها
دعونا نرجع خطوة إلى الوراء ونفكر فيما يمكن أن يفعله هذا للموظف. في السيناريو الوهمي الخاص بي، لنفترض أنه يُسمح لمدون أو محلل مالي أو مستشار أمني مدفوع الأجر باستخدام جهاز كمبيوتر محمول شخصي للعمل. ونتيجة لبعض العمليات السحرية، فإنها تشعر بالإهانة من الشركة و"تسير الأمور بشكل سيء". اعتمادًا على نظام تشغيل الكمبيوتر المحمول، فإنه إما يستخدم إصدار Python من Impact، أو إصدار Windows من smbexec أو smbclient كملف exe.
مثل سنودن، تكتشف كلمة المرور الخاصة بمستخدم آخر إما عن طريق النظر فوق كتفها، أو أنها محظوظة وتتعثر على ملف نصي يحتوي على كلمة المرور. وبمساعدة بيانات الاعتماد هذه، تبدأ في التنقيب حول النظام للوصول إلى مستوى جديد من الامتيازات.
اختراق DCC: لسنا بحاجة إلى أي ميميكاتز "غبي".
في مشاركاتي السابقة عن pentesting، كنت أستخدم mimikatz كثيرًا. هذه أداة رائعة لاعتراض بيانات الاعتماد - تجزئات NTLM وحتى كلمات مرور النص الواضح المخفية داخل أجهزة الكمبيوتر المحمولة، في انتظار استخدامها.
لقد تغير الزمن. أصبحت أدوات المراقبة أفضل في اكتشاف وحظر mimikatz. يتوفر الآن أيضًا لمسؤولي أمن المعلومات المزيد من الخيارات لتقليل المخاطر المرتبطة بهجمات تمرير التجزئة (PtH).
إذن ما الذي يجب على الموظف الذكي فعله لجمع بيانات اعتماد إضافية دون استخدام mimikatz؟
تشتمل مجموعة Impacket على أداة مساعدة تسمى
تجزئات DCC هي وليس تجزئات NTML وعلى لا يمكن استخدامه لهجوم PtH.
حسنًا، يمكنك محاولة اختراقهم للحصول على كلمة المرور الأصلية. ومع ذلك، أصبحت Microsoft أكثر ذكاءً مع DCC، وأصبح من الصعب للغاية اختراق تجزئات DCC. نعم لدي
بدلا من ذلك، دعونا نحاول أن نفكر مثل سنودن. يمكن للموظف إجراء هندسة اجتماعية وجهًا لوجه وربما معرفة بعض المعلومات حول الشخص الذي تريد كسر كلمة المرور الخاصة به. على سبيل المثال، اكتشف ما إذا كان حساب الشخص عبر الإنترنت قد تم اختراقه من قبل وافحص كلمة المرور ذات النص الواضح بحثًا عن أي أدلة.
وهذا هو السيناريو الذي قررت أن أتبعه. لنفترض أن أحد المطلعين على بواطن الأمور علم أن رئيسه، كرويلا، قد تعرض للاختراق عدة مرات على موارد ويب مختلفة. بعد تحليل العديد من كلمات المرور هذه، أدرك أن Cruella تفضل استخدام تنسيق اسم فريق البيسبول "Yankees" متبوعًا بالعام الحالي - "Yankees2015".
إذا كنت تحاول الآن إعادة إنتاج هذا في المنزل، فيمكنك تنزيل حرف "C" صغير
تظاهرت بدور أحد المطلعين، وجربت عدة مجموعات مختلفة وتمكنت في النهاية من اكتشاف أن كلمة مرور Cruella كانت "Yankees2019" (انظر أدناه). مهمة مكتملة!
القليل من الهندسة الاجتماعية، وقليل من الكهانة، وقليل من Maltego، وستكون في طريقك لكسر تجزئة DCC.
أقترح أن ننتهي هنا. سنعود إلى هذا الموضوع في منشورات أخرى وننظر إلى أساليب الهجوم الأكثر بطئًا وخفية، ونستمر في البناء على مجموعة أدوات Impacket الممتازة.
المصدر: www.habr.com