نكتب بانتظام عن كيفية اعتماد المتسللين غالبًا على الاستغلال لتجنب الكشف. هم حرفيا باستخدام الوسائل القياسية Windowsوبذلك، يتم تجاوز برامج مكافحة الفيروسات وأدوات الكشف عن البرامج الضارة الأخرى. وبصفتنا مدافعين، فإننا مضطرون الآن للتعامل مع العواقب الوخيمة لمثل هذه الأساليب الذكية للاختراق: إذ يمكن لموظف ذي نفوذ استخدام الأسلوب نفسه لسرقة البيانات سرًا (الملكية الفكرية للشركة، وأرقام بطاقات الائتمان). وإذا تريثوا، وعملوا ببطء وتخفٍّ، فسيكون الأمر في غاية الصعوبة، ولكنه سيظل ممكنًا إذا تم اتباع النهج الصحيح والتكتيكات المناسبة. , - لتحديد مثل هذا النشاط.
ومن ناحية أخرى، لا أريد شيطنة الموظفين لأنه لا أحد يريد العمل في بيئة أعمال مباشرة من رواية أورويل 1984. لحسن الحظ، هناك عدد من الخطوات العملية والحيل الحياتية التي يمكن أن تجعل الحياة أكثر صعوبة بالنسبة للأشخاص المطلعين. سوف ننظر أساليب الهجوم السرية، يستخدمها المتسللون من قبل الموظفين ذوي الخلفية التقنية. وسنناقش بعد ذلك بقليل خيارات الحد من هذه المخاطر - وسندرس الخيارات الفنية والتنظيمية.
ما هو الخطأ في PsExec؟
أصبح إدوارد سنودن، سواء كان على حق أم على خطأ، مرادفًا لسرقة البيانات الداخلية. بالمناسبة، لا تنسى أن تلقي نظرة على عن المطلعين الآخرين الذين يستحقون أيضًا بعض الشهرة. إحدى النقاط المهمة التي تستحق التأكيد عليها حول الأساليب التي استخدمها سنودن هي أنه، على حد علمنا، قام بذلك لم يتم التثبيت لا توجد برامج ضارة خارجية!
وبدلاً من ذلك، استخدم سنودن القليل من الهندسة الاجتماعية واستخدم منصبه كمسؤول النظام لجمع كلمات المرور وإنشاء بيانات الاعتماد. لا شيء معقد - لا شيء الهجمات أو .
لا يكون موظفو المنظمة دائمًا في وضع سنودن الفريد، ولكن هناك عددًا من الدروس التي يجب تعلمها من مفهوم "البقاء على قيد الحياة عن طريق الرعي" التي يجب أن تكون على دراية بها - عدم الانخراط في أي نشاط ضار يمكن اكتشافه، وأن تكون على وجه الخصوص حذرا مع استخدام أوراق الاعتماد. تذكر هذا الفكر.
وابن عمه لقد أثارت إعجاب عدد لا يحصى من المخترقين والمتسللين والمدونين في مجال الأمن السيبراني. وعند دمجه مع mimikatz، يسمح psexec للمهاجمين بالتحرك داخل الشبكة دون الحاجة إلى معرفة كلمة مرور النص الواضح.
يعترض Mimikatz تجزئة NTLM من عملية LSASS ثم يقوم بتمرير الرمز المميز أو بيانات الاعتماد - ما يسمى. هجوم "تمرير التجزئة". – في psexec، السماح للمهاجم بتسجيل الدخول إلى خادم آخر باسم آخر مستخدم. ومع كل انتقال لاحق إلى خادم جديد، يقوم المهاجم بجمع بيانات اعتماد إضافية، وتوسيع نطاق قدراته في البحث عن المحتوى المتاح.
عندما بدأت العمل مع psexec لأول مرة، بدا الأمر سحريًا بالنسبة لي - شكرًا لك ، المطور الرائع لـ psexec - لكني أعرف عنه أيضًا مزعج عناصر. فهو ليس سريا أبدا!
الحقيقة الأولى المثيرة للاهتمام حول psexec هي أنه يستخدم معقدة للغاية بروتوكول ملف شبكة SMB من مايكروسوفت. باستخدام SMB، ينقل psexec صغيرًا ثنائي نقل الملفات إلى النظام المستهدف، ووضعها في المجلد C:.Windows.
يقوم psexec التالي بإنشاء Windowsيستخدم البرنامج الملف الثنائي المنسوخ ويشغله تحت اسم "غير متوقع" للغاية PSEXECSVC. يمكنك رؤية كل هذا، كما رأيته أنا، من خلال مراقبة الجهاز البعيد (انظر أدناه).
تُعرف خدمة "PSEXECSVC" بأنها بطاقة تعريف برنامج Psexec. وهي تقوم بتشغيل ملف ثنائي موجود عبر بروتوكول SMB في المجلد C:.Windows.
كخطوة أخيرة، يتم فتح الملف الثنائي المنسوخ اتصال آر بي سي إلى الخادم المستهدف، ثم يقبل أوامر التحكم (افتراضيًا - عبر موجه الأوامر). Windowsثم يقوم المهاجم بتشغيلها وإعادة توجيه المدخلات والمخرجات إلى جهازه المنزلي. ويرى المهاجم موجه أوامر أساسيًا - كما لو كان متصلاً مباشرةً.
الكثير من المكونات وعملية صاخبة للغاية!
تشرح الأجزاء الداخلية المعقدة لـ psexec الرسالة التي حيرتني أثناء اختباراتي الأولى منذ عدة سنوات: "بدء تشغيل PSEXECSVC..." متبوعة بتوقف مؤقت قبل ظهور موجه الأوامر.
يُظهر Psexec من Impacket في الواقع ما يحدث تحت الغطاء.
ليس من المستغرب أن تقوم psexec بقدر كبير من العمل تحت الغطاء. إذا كنت مهتمًا بشرح أكثر تفصيلاً، فراجع هنا وصف رائع.
من الواضح أنه عند استخدامه كأداة لإدارة النظام، كان ذلك الغرض الأصلي psexec، لا يوجد خطأ في "طنين" كل هذه الآليات Windows لا. ومع ذلك، بالنسبة للمهاجم، فإن psexec سيخلق تعقيدات، وبالنسبة لشخص حذر وماكر مثل سنودن، فإن psexec أو أداة مماثلة ستكون مخاطرة كبيرة للغاية.
وبعد ذلك يأتي سمبيكسيك
تعد SMB طريقة ذكية وسرية لنقل الملفات بين الخوادم، وقد ظل المتسللون يتسللون إلى SMB مباشرة لعدة قرون. أعتقد أن الجميع يعلم بالفعل أن الأمر لا يستحق ذلك منافذ SMB 445 و139 إلى الإنترنت، أليس كذلك؟
في ديفكون 2013، إريك ميلمان () قدم ، حتى يتمكن المخترقون من تجربة القرصنة الخفية للشركات الصغيرة والمتوسطة. لا أعرف القصة بأكملها، ولكن بعد ذلك قام Impacket بتحسين smbexec بشكل أكبر. في الواقع، من أجل الاختبار، قمت بتنزيل البرامج النصية من Impacket في Python من .
على عكس psexec، smbexec يتجنب نقل ملف ثنائي يحتمل اكتشافه إلى الجهاز المستهدف. وبدلاً من ذلك، فإن المنفعة تعيش بالكامل من المراعي حتى الإطلاق محلي سطر الأوامر Windows.
ما يفعله هو أنه يمرر الأمر من الجهاز المهاجم عبر SMB إلى ملف إدخال خاص، ثم يقوم بإنشاء وتشغيل سطر أوامر معقد (كخدمة). Windows)، وهو ما سيبدو مألوفًا لمستخدمي لينكس. باختصار: إنه يشغل النظام الأصلي Windowsيقوم الأمر -cmd shell بإعادة توجيه الإخراج إلى ملف آخر ثم يرسله عبر SMB إلى جهاز المهاجم.
أفضل طريقة لفهم ذلك هي إلقاء نظرة على سطر الأوامر، الذي تمكنت من الحصول عليه من سجل الأحداث (انظر أدناه).
أليست هذه هي الطريقة الأفضل لإعادة توجيه الإدخال/الإخراج؟ بالمناسبة، إنشاء الخدمة له معرف الحدث 7045.
مثل psexec، يقوم أيضًا بإنشاء خدمة تقوم بكل العمل، ولكن الخدمة بعد ذلك إزالة - يستخدم مرة واحدة فقط لتشغيل الأمر ثم يختفي! لن يتمكن ضابط أمن المعلومات الذي يراقب جهاز الضحية من اكتشاف ذلك بديهي مؤشرات الهجوم: لم يتم إطلاق أي ملف ضار، ولم يتم تثبيت أي خدمة مستمرة، ولا يوجد دليل على استخدام RPC نظرًا لأن SMB هي الوسيلة الوحيدة لنقل البيانات. باهِر!
ومن جانب المهاجم، تتوفر "الصدفة الزائفة" مع تأخيرات بين إرسال الأمر وتلقي الاستجابة. ولكن هذا يكفي تمامًا للمهاجم - سواء كان من الداخل أو متسللًا خارجيًا لديه موطئ قدم بالفعل - لبدء البحث عن محتوى مثير للاهتمام.
لإخراج البيانات مرة أخرى من الجهاز المستهدف إلى جهاز المهاجم، يتم استخدامها . نعم، إنه نفس السامبا ، ولكن تم تحويله إلى برنامج نصي Python فقط بواسطة Impacket. في الواقع، يسمح لك smbclient باستضافة عمليات نقل FTP عبر الشركات الصغيرة والمتوسطة بشكل سري.
دعونا نعود خطوة إلى الوراء ونتأمل ما قد يعنيه هذا بالنسبة للموظف. في سيناريو افتراضي، لنفترض أن مدونة أو محللة مالية أو مستشارة أمنية ذات أجر مرتفع يُسمح لها باستخدام حاسوبها المحمول الشخصي للعمل. ومن خلال عملية غامضة، تشعر بالاستياء من الشركة وتثور غضبًا. وبحسب نظام تشغيل الحاسوب، إما أنها تستخدم نسخة Impact من لغة بايثون أو Windows إصدار من smbexec أو smbclient كملف .exe.
مثل سنودن، تكتشف كلمة المرور الخاصة بمستخدم آخر إما عن طريق النظر فوق كتفها، أو أنها محظوظة وتتعثر على ملف نصي يحتوي على كلمة المرور. وبمساعدة بيانات الاعتماد هذه، تبدأ في التنقيب حول النظام للوصول إلى مستوى جديد من الامتيازات.
اختراق DCC: لسنا بحاجة إلى أي ميميكاتز "غبي".
في مشاركاتي السابقة عن pentesting، كنت أستخدم mimikatz كثيرًا. هذه أداة رائعة لاعتراض بيانات الاعتماد - تجزئات NTLM وحتى كلمات مرور النص الواضح المخفية داخل أجهزة الكمبيوتر المحمولة، في انتظار استخدامها.
لقد تغير الزمن. أصبحت أدوات المراقبة أفضل في اكتشاف وحظر mimikatz. يتوفر الآن أيضًا لمسؤولي أمن المعلومات المزيد من الخيارات لتقليل المخاطر المرتبطة بهجمات تمرير التجزئة (PtH).
إذن ما الذي يجب على الموظف الذكي فعله لجمع بيانات اعتماد إضافية دون استخدام mimikatz؟
تشتمل مجموعة Impacket على أداة مساعدة تسمى ، الذي يسترد بيانات الاعتماد من ذاكرة التخزين المؤقت لبيانات اعتماد المجال، أو DCC للاختصار. ما أفهمه هو أنه إذا قام مستخدم المجال بتسجيل الدخول إلى الخادم ولكن وحدة تحكم المجال غير متوفرة، فإن DCC يسمح للخادم بمصادقة المستخدم. على أية حال، فإن Secretsdump يسمح لك بتفريغ كل هذه التجزئات إذا كانت متوفرة.
تجزئات DCC هي وليس تجزئات NTML وعلى لا يمكن استخدامه لهجوم PtH.
حسنًا، يمكنك محاولة اختراقهم للحصول على كلمة المرور الأصلية. ومع ذلك، أصبحت Microsoft أكثر ذكاءً مع DCC، وأصبح من الصعب للغاية اختراق تجزئات DCC. نعم لدي ، "أسرع أداة لتخمين كلمات المرور في العالم"، ولكنها تتطلب وحدة معالجة رسومات (GPU) لتعمل بفعالية.
بدلا من ذلك، دعونا نحاول أن نفكر مثل سنودن. يمكن للموظف إجراء هندسة اجتماعية وجهًا لوجه وربما معرفة بعض المعلومات حول الشخص الذي تريد كسر كلمة المرور الخاصة به. على سبيل المثال، اكتشف ما إذا كان حساب الشخص عبر الإنترنت قد تم اختراقه من قبل وافحص كلمة المرور ذات النص الواضح بحثًا عن أي أدلة.
وهذا هو السيناريو الذي قررت أن أتبعه. لنفترض أن أحد المطلعين على بواطن الأمور علم أن رئيسه، كرويلا، قد تعرض للاختراق عدة مرات على موارد ويب مختلفة. بعد تحليل العديد من كلمات المرور هذه، أدرك أن Cruella تفضل استخدام تنسيق اسم فريق البيسبول "Yankees" متبوعًا بالعام الحالي - "Yankees2015".
إذا كنت تحاول الآن إعادة إنتاج هذا في المنزل، فيمكنك تنزيل حرف "C" صغير ، الذي ينفذ خوارزمية التجزئة DCC، ويجمعها. بالمناسبة، تمت إضافة دعم لـ DCC، لذلك يمكن استخدامه أيضًا. لنفترض أن أحد المطلعين على بواطن الأمور لا يريد أن يكلف نفسه عناء تعلم John the Ripper ويحب تشغيل "gcc" على كود C القديم.
تظاهرت بدور أحد المطلعين، وجربت عدة مجموعات مختلفة وتمكنت في النهاية من اكتشاف أن كلمة مرور Cruella كانت "Yankees2019" (انظر أدناه). مهمة مكتملة!
القليل من الهندسة الاجتماعية، وقليل من الكهانة، وقليل من Maltego، وستكون في طريقك لكسر تجزئة DCC.
أقترح أن ننتهي هنا. سنعود إلى هذا الموضوع في منشورات أخرى وننظر إلى أساليب الهجوم الأكثر بطئًا وخفية، ونستمر في البناء على مجموعة أدوات Impacket الممتازة.
المصدر: www.habr.com
