Biz mütəmadi olaraq hakerlərin istismara necə etibar etdikləri barədə yazırıq
Digər tərəfdən, mən işçiləri şeytanlaşdırmaq istəməzdim, çünki heç kim birbaşa Orwellin 1984-cü ildəki iş mühitində işləmək istəmir. Xoşbəxtlikdən, insayderlər üçün həyatı daha da çətinləşdirə biləcək bir sıra praktik addımlar və həyat hiylələri var. Biz nəzərdən keçirəcəyik gizli hücum üsulları, bəzi texniki bilikləri olan işçilər tərəfindən hakerlər tərəfindən istifadə olunur. Və bir az daha bu cür risklərin azaldılması variantlarını müzakirə edəcəyik - həm texniki, həm də təşkilati variantları öyrənəcəyik.
PsExec-də nə problem var?
Edvard Snouden haqlı və ya yanlış olaraq daxili məlumat oğurluğu ilə sinonimləşib. Yeri gəlmişkən, bir nəzər salmağı unutmayın
Bunun əvəzinə, Snowden bir qədər sosial mühəndislikdən istifadə etdi və sistem administratoru vəzifəsindən parol toplamaq və etimadnamələr yaratmaq üçün istifadə etdi. Mürəkkəb bir şey yoxdur - heç biri
Təşkilat işçiləri həmişə Snoudenin özünəməxsus mövqeyində deyillər, lakin "otlaqla sağ qalma" anlayışından öyrənilməli bir sıra dərslər var - aşkar edilə bilən hər hansı bir zərərli fəaliyyətlə məşğul olmamaq və xüsusilə etimadnamələrdən istifadə edərkən diqqətli olun. Bu fikri xatırlayın.
Mimikatz LSASS prosesindən NTLM hash-i kəsir və sonra token və ya etimadnamələri keçir - sözdə. "haşdan keçmək" hücumu – psexec-də, təcavüzkarın başqa serverə daxil olmasına icazə verir başqa istifadəçi. Və hər növbəti yeni serverə keçidlə təcavüzkar əlavə etimadnamələr toplayır və mövcud məzmunun axtarışında öz imkanlarının diapazonunu genişləndirir.
İlk dəfə psexec ilə işləməyə başlayanda mənə sehrli görünürdü - təşəkkür edirəm
Psexec haqqında ilk maraqlı fakt ondan ibarətdir ki, o, son dərəcə mürəkkəb istifadə edir SMB şəbəkə fayl protokolu Microsoft-dan. SMB istifadə edərək, psexec kiçik köçürmələr edir ikili faylları C:Windows qovluğuna yerləşdirərək hədəf sistemə köçürün.
Sonra, psexec kopyalanmış ikili fayldan istifadə edərək Windows xidməti yaradır və onu son dərəcə “gözlənilməz” PSEXECSVC adı altında işlədir. Eyni zamanda, mənim etdiyim kimi, uzaq bir maşına baxaraq bütün bunları həqiqətən görə bilərsiniz (aşağıya baxın).
Psexec-in danışıq kartı: "PSEXECSVC" xidməti. O, C: Windows qovluğunda SMB vasitəsilə yerləşdirilən ikili faylı idarə edir.
Son addım olaraq, kopyalanmış ikili fayl açılır RPC bağlantısı hədəf serverə və sonra idarəetmə əmrlərini qəbul edir (standart olaraq Windows cmd qabığı vasitəsilə), onları işə salır və giriş və çıxışı təcavüzkarın ev maşınına yönləndirir. Bu halda, təcavüzkar əsas komanda xəttini görür - sanki birbaşa qoşulmuş kimi.
Çoxlu komponentlər və çox səs-küylü proses!
Psexec-in mürəkkəb daxili elementləri bir neçə il əvvəl ilk sınaqlarım zamanı məni çaşdıran mesajı izah edir: “PSEXECSVC işə salınır...” və əmr sorğusu görünməzdən əvvəl fasilə.
Impacket-in Psexec-i əslində başlıq altında baş verənləri göstərir.
Təəccüblü deyil: psexec başlıq altında çoxlu iş gördü. Daha ətraflı izahatla maraqlanırsınızsa, buraya baxın
Aydındır ki, bir sistem idarəetmə vasitəsi olaraq istifadə edildiyi zaman idi orijinal məqsəd psexec, bütün bu Windows mexanizmlərinin “vızıltısı”nda səhv bir şey yoxdur. Təcavüzkar üçün psexec fəsadlar yarada bilər və Snowden kimi ehtiyatlı və hiyləgər bir insayder üçün psexec və ya oxşar yardım proqramı çox riskli olardı.
Və sonra Smbexec gəlir
SMB serverlər arasında faylları ötürmək üçün ağıllı və məxfi bir üsuldur və hakerlər əsrlər boyu birbaşa SMB-yə sızırlar. Düşünürəm ki, artıq hər kəs bunun dəyər olmadığını bilir
Defcon 2013-də Eric Millman (
Psexec-dən fərqli olaraq, smbexec çəkindirir potensial aşkar edilmiş ikili faylın hədəf maşına ötürülməsi. Bunun əvəzinə, kommunal otlaqdan işə salınana qədər tamamilə yaşayır yerli Windows əmr xətti.
Bunu edir: o, SMB vasitəsilə hücum edən maşından əmri xüsusi giriş faylına ötürür, sonra isə Linux istifadəçilərinə tanış görünəcək mürəkkəb komanda xətti (Windows xidməti kimi) yaradır və işləyir. Qısacası: o, doğma Windows cmd qabığını işə salır, çıxışı başqa fayla yönləndirir və sonra onu SMB vasitəsilə yenidən təcavüzkarın maşınına göndərir.
Bunu başa düşməyin ən yaxşı yolu, hadisə jurnalından əllərimi ala bildiyim komanda xəttinə baxmaqdır (aşağıya bax).
Bu I/O-nu yönləndirməyin ən yaxşı yolu deyilmi? Yeri gəlmişkən, xidmətin yaradılmasında hadisə ID 7045 var.
Psexec kimi, o da bütün işləri görən bir xidmət yaradır, lakin bundan sonra xidmət silindi – əmri yerinə yetirmək üçün yalnız bir dəfə istifadə olunur və sonra yox olur! Qurbanın maşınına nəzarət edən informasiya təhlükəsizliyi əməkdaşı aşkarlaya bilməyəcək aşkar Hücum göstəriciləri: Zərərli fayl işə salınmır, heç bir davamlı xidmət quraşdırılmır və SMB məlumat ötürülməsinin yeganə vasitəsi olduğundan RPC-nin istifadəsinə dair heç bir sübut yoxdur. Parlaq!
Təcavüzkar tərəfdən komandanın göndərilməsi ilə cavabın alınması arasında gecikmələr olan “psevdo-qabıq” mövcuddur. Ancaq bu, maraqlı məzmun axtarmağa başlamaq üçün bir təcavüzkar üçün - ya insayder, ya da artıq dayağı olan xarici haker üçün kifayətdir.
Hədəf maşından təcavüzkarın maşınına məlumatları geri çıxarmaq üçün istifadə olunur
Gəlin bir addım geri çəkilək və bunun işçi üçün nə edə biləcəyini düşünək. Mənim uydurma ssenarimdə, deyək ki, blogger, maliyyə analitiki və ya yüksək maaşlı təhlükəsizlik məsləhətçisinə iş üçün şəxsi noutbukdan istifadə etməyə icazə verilir. Bəzi sehrli proses nəticəsində o, şirkətdən inciyir və "hər şey pisləşir". Laptopun əməliyyat sistemindən asılı olaraq, ya Impact-ın Python versiyasını, ya da .exe faylı kimi smbexec və ya smbclient-in Windows versiyasını istifadə edir.
Snouden kimi o, ya çiyninin üstündən baxaraq başqa istifadəçinin parolunu tapır, ya da bəxti gətirib və parolun olduğu mətn faylına rast gəlir. Və bu etimadnamələrin köməyi ilə o, yeni imtiyazlar səviyyəsində sistem ətrafında qazmağa başlayır.
Hacking DCC: Bizə heç bir "axmaq" Mimikatz lazım deyil
Pentestinqlə bağlı əvvəlki yazılarımda çox tez-tez mimikatzdan istifadə edirdim. Bu, etimadnamələri ələ keçirmək üçün əla vasitədir - NTLM heşləri və hətta noutbukların içərisində gizlənmiş, sadəcə istifadə olunmağı gözləyən aydın mətn parolları.
Zaman dəyişib. Monitorinq alətləri mimikatzın aşkarlanması və bloklanmasında daha yaxşı olub. İnformasiya təhlükəsizliyi administratorlarının indi hash (PtH) hücumları ilə bağlı riskləri azaltmaq üçün daha çox seçimləri var.
Bəs ağıllı işçi mimikatzdan istifadə etmədən əlavə etimadnamələr toplamaq üçün nə etməlidir?
Impacket-in dəstinə adlanan yardım proqramı daxildir
DCC hash-ləridir NTML heshləri deyil və onların PtH hücumu üçün istifadə edilə bilməz.
Yaxşı, orijinal parolu əldə etmək üçün onları sındırmağa cəhd edə bilərsiniz. Bununla belə, Microsoft DCC ilə daha ağıllı oldu və DCC hashlarını sındırmaq olduqca çətinləşdi. Bəli, məndə var
Bunun əvəzinə Snowden kimi düşünməyə çalışaq. İşçi üzbəüz sosial mühəndislik apara bilər və ola bilsin ki, parolunu sındırmaq istədiyi şəxs haqqında bəzi məlumatları öyrənə bilər. Məsələn, şəxsin onlayn hesabının nə vaxtsa hack edilib-edilmədiyini öyrənin və onun aydın mətn parolunu hər hansı ipucu üçün yoxlayın.
Və bu ssenari ilə getməyə qərar verdim. Fərz edək ki, insayder onun müdiri Kruellanın müxtəlif internet resurslarında bir neçə dəfə haker hücumuna məruz qaldığını öyrənib. Bu parolların bir neçəsini təhlil etdikdən sonra o, başa düşür ki, Cruella beysbol komandasının adının "Yankees" formatından sonra cari ilin - "Yankees2015" formatından istifadə etməyə üstünlük verir.
Əgər indi bunu evdə çoxaltmağa çalışırsınızsa, o zaman kiçik "C" yükləyə bilərsiniz.
İnsayder rolunu düşünərək, bir neçə fərqli kombinasiyanı sınadım və nəticədə Cruellanın parolunun "Yankees2019" olduğunu öyrəndim (aşağıya bax). Missiya tamamlandı!
Bir az sosial mühəndislik, bir az falçılıq və bir çimdik Malteqo və siz DCC hash-i sındırmaq yolundasınız.
Mən burada bitirməyi təklif edirəm. Biz başqa yazılarda bu mövzuya qayıdacağıq və Impacket-in əla kommunal dəstini qurmağa davam edərək daha yavaş və gizli hücum üsullarına baxacağıq.
Mənbə: www.habr.com