Biz mütəmadi olaraq hakerlərin istismara necə etibar etdikləri barədə yazırıq aşkarlanmamaq üçün. Onlar sözün əsl mənasında , standart Windows alətlərindən istifadə edərək, bununla da zərərli fəaliyyəti aşkar etmək üçün antivirusları və digər yardım proqramlarını keçərək. Biz müdafiəçilər olaraq indi bu cür ağıllı hakerlik üsullarının bədbəxt nəticələrinin öhdəsindən gəlmək məcburiyyətindəyik: yaxşı yerləşdirilən işçi məlumatları (şirkətin əqli mülkiyyəti, kredit kartı nömrələri) gizli şəkildə oğurlamaq üçün eyni yanaşmadan istifadə edə bilər. Əgər o, tələsmirsə, yavaş-yavaş və sakit işləyirsə, bu, son dərəcə çətin olacaq - lakin düzgün yanaşma və uyğun üsuldan istifadə etsə, yenə də mümkündür. , — belə fəaliyyəti müəyyən etmək.
Digər tərəfdən, mən işçiləri şeytanlaşdırmaq istəməzdim, çünki heç kim birbaşa Orwellin 1984-cü ildəki iş mühitində işləmək istəmir. Xoşbəxtlikdən, insayderlər üçün həyatı daha da çətinləşdirə biləcək bir sıra praktik addımlar və həyat hiylələri var. Biz nəzərdən keçirəcəyik gizli hücum üsulları, bəzi texniki bilikləri olan işçilər tərəfindən hakerlər tərəfindən istifadə olunur. Və bir az daha bu cür risklərin azaldılması variantlarını müzakirə edəcəyik - həm texniki, həm də təşkilati variantları öyrənəcəyik.
PsExec-də nə problem var?
Edvard Snouden haqlı və ya yanlış olaraq daxili məlumat oğurluğu ilə sinonimləşib. Yeri gəlmişkən, bir nəzər salmağı unutmayın bəzi şöhrət statusuna layiq olan digər insayderlər haqqında. Snoudenin istifadə etdiyi üsullarla bağlı vurğulamağa dəyər bir mühüm məqam odur ki, bildiyimiz qədər, quraşdırmadı xarici zərərli proqram yoxdur!
Bunun əvəzinə, Snowden bir qədər sosial mühəndislikdən istifadə etdi və sistem administratoru vəzifəsindən parol toplamaq və etimadnamələr yaratmaq üçün istifadə etdi. Mürəkkəb bir şey yoxdur - heç biri , hücumlar və ya .
Təşkilat işçiləri həmişə Snoudenin özünəməxsus mövqeyində deyillər, lakin "otlaqla sağ qalma" anlayışından öyrənilməli bir sıra dərslər var - aşkar edilə bilən hər hansı bir zərərli fəaliyyətlə məşğul olmamaq və xüsusilə etimadnamələrdən istifadə edərkən diqqətli olun. Bu fikri xatırlayın.
və əmisi oğlu saysız-hesabsız pentesters, hakerlər və kibertəhlükəsizlik bloqçularını heyran etdi. Mimikatz ilə birləşdirildikdə, psexec təcavüzkarlara aydın mətn parolunu bilmədən şəbəkə daxilində hərəkət etməyə imkan verir.
Mimikatz LSASS prosesindən NTLM hash-i kəsir və sonra token və ya etimadnamələri keçir - sözdə. "haşdan keçmək" hücumu – psexec-də, təcavüzkarın başqa serverə daxil olmasına icazə verir başqa istifadəçi. Və hər növbəti yeni serverə keçidlə təcavüzkar əlavə etimadnamələr toplayır və mövcud məzmunun axtarışında öz imkanlarının diapazonunu genişləndirir.
İlk dəfə psexec ilə işləməyə başlayanda mənə sehrli görünürdü - təşəkkür edirəm , psexec-in parlaq tərtibatçısı - amma onun haqqında da bilirəm səs-küylü komponentlər. O, heç vaxt gizli deyil!
Psexec haqqında ilk maraqlı fakt ondan ibarətdir ki, o, son dərəcə mürəkkəb istifadə edir SMB şəbəkə fayl protokolu Microsoft-dan. SMB istifadə edərək, psexec kiçik köçürmələr edir ikili faylları C:Windows qovluğuna yerləşdirərək hədəf sistemə köçürün.
Sonra, psexec kopyalanmış ikili fayldan istifadə edərək Windows xidməti yaradır və onu son dərəcə “gözlənilməz” PSEXECSVC adı altında işlədir. Eyni zamanda, mənim etdiyim kimi, uzaq bir maşına baxaraq bütün bunları həqiqətən görə bilərsiniz (aşağıya baxın).
Psexec-in danışıq kartı: "PSEXECSVC" xidməti. O, C: Windows qovluğunda SMB vasitəsilə yerləşdirilən ikili faylı idarə edir.
Son addım olaraq, kopyalanmış ikili fayl açılır RPC bağlantısı hədəf serverə və sonra idarəetmə əmrlərini qəbul edir (standart olaraq Windows cmd qabığı vasitəsilə), onları işə salır və giriş və çıxışı təcavüzkarın ev maşınına yönləndirir. Bu halda, təcavüzkar əsas komanda xəttini görür - sanki birbaşa qoşulmuş kimi.
Çoxlu komponentlər və çox səs-küylü proses!
Psexec-in mürəkkəb daxili elementləri bir neçə il əvvəl ilk sınaqlarım zamanı məni çaşdıran mesajı izah edir: “PSEXECSVC işə salınır...” və əmr sorğusu görünməzdən əvvəl fasilə.
Impacket-in Psexec-i əslində başlıq altında baş verənləri göstərir.
Təəccüblü deyil: psexec başlıq altında çoxlu iş gördü. Daha ətraflı izahatla maraqlanırsınızsa, buraya baxın gözəl təsvir.
Aydındır ki, bir sistem idarəetmə vasitəsi olaraq istifadə edildiyi zaman idi orijinal məqsəd psexec, bütün bu Windows mexanizmlərinin “vızıltısı”nda səhv bir şey yoxdur. Təcavüzkar üçün psexec fəsadlar yarada bilər və Snowden kimi ehtiyatlı və hiyləgər bir insayder üçün psexec və ya oxşar yardım proqramı çox riskli olardı.
Və sonra Smbexec gəlir
SMB serverlər arasında faylları ötürmək üçün ağıllı və məxfi bir üsuldur və hakerlər əsrlər boyu birbaşa SMB-yə sızırlar. Düşünürəm ki, artıq hər kəs bunun dəyər olmadığını bilir SMB portları 445 və 139 İnternetə, elə deyilmi?
Defcon 2013-də Eric Millman () təqdim etdi , belə ki, pentesters gizli SMB hackini sınaya bilsin. Mən bütün hekayəni bilmirəm, amma sonra Impacket smbexec-i daha da təkmilləşdirdi. Əslində, testim üçün Python-da Impacket-dən skriptləri yüklədim .
Psexec-dən fərqli olaraq, smbexec çəkindirir potensial aşkar edilmiş ikili faylın hədəf maşına ötürülməsi. Bunun əvəzinə, kommunal otlaqdan işə salınana qədər tamamilə yaşayır yerli Windows əmr xətti.
Bunu edir: o, SMB vasitəsilə hücum edən maşından əmri xüsusi giriş faylına ötürür, sonra isə Linux istifadəçilərinə tanış görünəcək mürəkkəb komanda xətti (Windows xidməti kimi) yaradır və işləyir. Qısacası: o, doğma Windows cmd qabığını işə salır, çıxışı başqa fayla yönləndirir və sonra onu SMB vasitəsilə yenidən təcavüzkarın maşınına göndərir.
Bunu başa düşməyin ən yaxşı yolu, hadisə jurnalından əllərimi ala bildiyim komanda xəttinə baxmaqdır (aşağıya bax).
Bu I/O-nu yönləndirməyin ən yaxşı yolu deyilmi? Yeri gəlmişkən, xidmətin yaradılmasında hadisə ID 7045 var.
Psexec kimi, o da bütün işləri görən bir xidmət yaradır, lakin bundan sonra xidmət silindi – əmri yerinə yetirmək üçün yalnız bir dəfə istifadə olunur və sonra yox olur! Qurbanın maşınına nəzarət edən informasiya təhlükəsizliyi əməkdaşı aşkarlaya bilməyəcək aşkar Hücum göstəriciləri: Zərərli fayl işə salınmır, heç bir davamlı xidmət quraşdırılmır və SMB məlumat ötürülməsinin yeganə vasitəsi olduğundan RPC-nin istifadəsinə dair heç bir sübut yoxdur. Parlaq!
Təcavüzkar tərəfdən komandanın göndərilməsi ilə cavabın alınması arasında gecikmələr olan “psevdo-qabıq” mövcuddur. Ancaq bu, maraqlı məzmun axtarmağa başlamaq üçün bir təcavüzkar üçün - ya insayder, ya da artıq dayağı olan xarici haker üçün kifayətdir.
Hədəf maşından təcavüzkarın maşınına məlumatları geri çıxarmaq üçün istifadə olunur . Bəli, eyni Sambadır , lakin yalnız Impacket tərəfindən Python skriptinə çevrildi. Əslində, smbclient sizə gizli şəkildə SMB üzərindən FTP köçürmələrini keçirməyə imkan verir.
Gəlin bir addım geri çəkilək və bunun işçi üçün nə edə biləcəyini düşünək. Mənim uydurma ssenarimdə, deyək ki, blogger, maliyyə analitiki və ya yüksək maaşlı təhlükəsizlik məsləhətçisinə iş üçün şəxsi noutbukdan istifadə etməyə icazə verilir. Bəzi sehrli proses nəticəsində o, şirkətdən inciyir və "hər şey pisləşir". Laptopun əməliyyat sistemindən asılı olaraq, ya Impact-ın Python versiyasını, ya da .exe faylı kimi smbexec və ya smbclient-in Windows versiyasını istifadə edir.
Snouden kimi o, ya çiyninin üstündən baxaraq başqa istifadəçinin parolunu tapır, ya da bəxti gətirib və parolun olduğu mətn faylına rast gəlir. Və bu etimadnamələrin köməyi ilə o, yeni imtiyazlar səviyyəsində sistem ətrafında qazmağa başlayır.
Hacking DCC: Bizə heç bir "axmaq" Mimikatz lazım deyil
Pentestinqlə bağlı əvvəlki yazılarımda çox tez-tez mimikatzdan istifadə edirdim. Bu, etimadnamələri ələ keçirmək üçün əla vasitədir - NTLM heşləri və hətta noutbukların içərisində gizlənmiş, sadəcə istifadə olunmağı gözləyən aydın mətn parolları.
Zaman dəyişib. Monitorinq alətləri mimikatzın aşkarlanması və bloklanmasında daha yaxşı olub. İnformasiya təhlükəsizliyi administratorlarının indi hash (PtH) hücumları ilə bağlı riskləri azaltmaq üçün daha çox seçimləri var.
Bəs ağıllı işçi mimikatzdan istifadə etmədən əlavə etimadnamələr toplamaq üçün nə etməlidir?
Impacket-in dəstinə adlanan yardım proqramı daxildir , etimadnamələri Domain Credential Cache-dən və ya qısaca DCC-dən alır. Anladığım odur ki, əgər domen istifadəçisi serverə daxil olarsa, lakin domen nəzarətçisi mövcud deyilsə, DCC serverə istifadəçinin autentifikasiyasına icazə verir. Hər halda, secretsdump, əgər varsa, bütün bu hashləri atmağa imkan verir.
DCC hash-ləridir NTML heshləri deyil və onların PtH hücumu üçün istifadə edilə bilməz.
Yaxşı, orijinal parolu əldə etmək üçün onları sındırmağa cəhd edə bilərsiniz. Bununla belə, Microsoft DCC ilə daha ağıllı oldu və DCC hashlarını sındırmaq olduqca çətinləşdi. Bəli, məndə var , "dünyanın ən sürətli parol təxminçisi", lakin onun effektiv işləməsi üçün GPU tələb olunur.
Bunun əvəzinə Snowden kimi düşünməyə çalışaq. İşçi üzbəüz sosial mühəndislik apara bilər və ola bilsin ki, parolunu sındırmaq istədiyi şəxs haqqında bəzi məlumatları öyrənə bilər. Məsələn, şəxsin onlayn hesabının nə vaxtsa hack edilib-edilmədiyini öyrənin və onun aydın mətn parolunu hər hansı ipucu üçün yoxlayın.
Və bu ssenari ilə getməyə qərar verdim. Fərz edək ki, insayder onun müdiri Kruellanın müxtəlif internet resurslarında bir neçə dəfə haker hücumuna məruz qaldığını öyrənib. Bu parolların bir neçəsini təhlil etdikdən sonra o, başa düşür ki, Cruella beysbol komandasının adının "Yankees" formatından sonra cari ilin - "Yankees2015" formatından istifadə etməyə üstünlük verir.
Əgər indi bunu evdə çoxaltmağa çalışırsınızsa, o zaman kiçik "C" yükləyə bilərsiniz. , DCC hashing alqoritmini həyata keçirir və onu tərtib edir. , yeri gəlmişkən, DCC üçün əlavə dəstək, ona görə də istifadə edilə bilər. Fərz edək ki, insayder Con Ripper-ı öyrənməklə narahat olmaq istəmir və köhnə C kodunda "gcc" işlətməyi sevir.
İnsayder rolunu düşünərək, bir neçə fərqli kombinasiyanı sınadım və nəticədə Cruellanın parolunun "Yankees2019" olduğunu öyrəndim (aşağıya bax). Missiya tamamlandı!
Bir az sosial mühəndislik, bir az falçılıq və bir çimdik Malteqo və siz DCC hash-i sındırmaq yolundasınız.
Mən burada bitirməyi təklif edirəm. Biz başqa yazılarda bu mövzuya qayıdacağıq və Impacket-in əla kommunal dəstini qurmağa davam edərək daha yavaş və gizli hücum üsullarına baxacağıq.
Mənbə: www.habr.com