Redovno pišemo o tome kako se hakeri često oslanjaju na eksploataciju kako bi se izbjeglo otkrivanje. Oni bukvalno , koristeći standardne Windows alate, čime se zaobilaze antivirusi i drugi uslužni programi za otkrivanje zlonamjerne aktivnosti. Mi, kao branioci, sada smo primorani da se nosimo sa nesrećnim posledicama tako pametnih hakerskih tehnika: dobro pozicioniran zaposlenik može koristiti isti pristup za tajnu krađu podataka (intelektualna svojina kompanije, brojevi kreditnih kartica). A ako ne žuri, već radi polako i tiho, to će biti izuzetno teško - ali ipak moguće ako koristi pravi pristup i odgovarajuće , — za identifikaciju takve aktivnosti.
Sa druge strane, ne bih želeo da demonizujem zaposlene jer niko ne želi da radi u poslovnom okruženju direktno iz Orwellove 1984. Srećom, postoji niz praktičnih koraka i životnih hakova koji insajderima mogu znatno otežati život. Razmotrićemo tajne metode napada, koju hakeri koriste od strane zaposlenih sa nekim tehničkim iskustvom. I malo dalje ćemo razgovarati o opcijama za smanjenje takvih rizika - proučit ćemo i tehničke i organizacijske opcije.
Šta fali PsExecu?
Edward Snowden, s pravom ili ne, postao je sinonim za krađu insajderskih podataka. Usput, ne zaboravite da pogledate o drugim insajderima koji takođe zaslužuju status slave. Jedna važna stvar koju je vrijedno naglasiti u vezi s metodama koje je Snowden koristio jeste da je, prema našim saznanjima, on nije instaliran nema eksternog zlonamjernog softvera!
Umjesto toga, Snowden je koristio malo društvenog inženjeringa i svoju poziciju sistemskog administratora za prikupljanje lozinki i kreiranje akreditiva. Ništa komplikovano - ništa , napadi ili .
Zaposleni u organizaciji nisu uvijek u Snowdenovoj jedinstvenoj poziciji, ali postoji niz lekcija koje treba naučiti iz koncepta „preživljavanja na ispaši“ kojih treba biti svjesni – ne upuštati se u bilo kakvu zlonamjernu aktivnost koja se može otkriti, a posebno oprezno s upotrebom vjerodajnica. Zapamtite ovu misao.
i njegov rođak impresionirali su nebrojene pentestere, hakere i blogere o sajber sigurnosti. A kada se kombinuje sa mimikatzom, psexec omogućava napadačima da se kreću unutar mreže bez potrebe da znaju lozinku otvorenog teksta.
Mimikatz presreće NTLM hash iz LSASS procesa i zatim prosljeđuje token ili vjerodajnice - tzv. "pass the hash" napad – u psexecu, omogućavajući napadaču da se prijavi na drugi server kao od drugog korisnik. I svakim sljedećim prelaskom na novi server, napadač prikuplja dodatne vjerodajnice, proširujući raspon svojih mogućnosti u potrazi za dostupnim sadržajem.
Kada sam prvi put počeo da radim sa psexecom, činilo mi se magično - hvala , briljantnog programera psexeca - ali znam i za njega bučno komponente. On nikada nije tajnovit!
Prva zanimljiva činjenica o psexecu je da koristi izuzetno složenu SMB mrežni fajl protokol od Microsofta. Koristeći SMB, psexec prenosi mali binarni datoteke na ciljni sistem, stavljajući ih u fasciklu C:Windows.
Zatim, psexec kreira Windows servis koristeći kopirani binarni fajl i pokreće ga pod izuzetno „neočekivanim“ imenom PSEXECSVC. U isto vrijeme, možete vidjeti sve ovo, kao i ja, gledajući udaljenu mašinu (vidi dolje).
Psexec-ova pozivna kartica: usluga "PSEXECSVC". Pokreće binarnu datoteku koja je postavljena preko SMB-a u C:Windows folder.
Kao posljednji korak, otvara se kopirana binarna datoteka RPC veza na ciljni server, a zatim prihvaća kontrolne komande (preko Windows cmd shell-a po defaultu), pokreće ih i preusmjerava ulaz i izlaz na napadačevu kućnu mašinu. U ovom slučaju, napadač vidi osnovnu komandnu liniju - isto kao da je direktno povezan.
Mnogo komponenti i veoma bučan proces!
Kompleksne unutrašnje komponente psexeca objašnjavaju poruku koja me je zbunila tokom mojih prvih testova pre nekoliko godina: “Pokretanje PSEXECSVC...” nakon čega sledi pauza pre nego što se pojavi komandna linija.
Imppacketov Psexec zapravo pokazuje šta se dešava ispod haube.
Nije iznenađujuće: psexec je obavio ogromnu količinu posla ispod haube. Ako vas zanima detaljnije objašnjenje, pogledajte ovdje divan opis.
Očigledno, kada se koristi kao alat za administraciju sistema, što je i bilo originalna namjena psexec, nema ništa loše u "zujanju" svih ovih Windows mehanizama. Međutim, za napadača bi psexec stvorio komplikacije, a za opreznog i lukavog insajdera kao što je Snowden, psexec ili sličan uslužni program bio bi preveliki rizik.
A onda dolazi Smbexec
SMB je pametan i tajnovit način za prijenos datoteka između servera, a hakeri se vekovima direktno infiltriraju u SMB. Mislim da već svi znaju da se ne isplati SMB portovi 445 i 139 na Internet, zar ne?
Na Defconu 2013, Eric Millman () predstavljeno , tako da pentesteri mogu isprobati stealth SMB hakovanje. Ne znam cijelu priču, ali onda je Imppacket dodatno rafinirao smbexec. U stvari, za svoje testiranje, preuzeo sam skripte sa Imppacketa u Python-u .
Za razliku od psexec, smbexec izbegava prijenos potencijalno otkrivene binarne datoteke na ciljnu mašinu. Umjesto toga, komunalno preduzeće u potpunosti živi od pašnjaka do lansiranja lokalnoj Windows komandna linija.
Evo što radi: prosljeđuje komandu sa mašine koja napada preko SMB u posebnu ulaznu datoteku, a zatim kreira i pokreće složenu komandnu liniju (poput Windows servisa) koja će izgledati poznato korisnicima Linuxa. Ukratko: pokreće izvornu Windows cmd ljusku, preusmjerava izlaz na drugu datoteku, a zatim ga šalje preko SMB nazad na mašinu napadača.
Najbolji način da ovo shvatite je da pogledate komandnu liniju, do koje sam mogao da dođem iz evidencije događaja (pogledajte ispod).
Nije li ovo najbolji način za preusmjeravanje I/O? Inače, kreiranje usluge ima ID događaja 7045.
Kao i psexec, on također kreira servis koji obavlja sav posao, ali servis nakon toga obrisano – koristi se samo jednom za pokretanje naredbe i onda nestaje! Službenik za sigurnost informacija koji nadgleda mašinu žrtve neće moći otkriti očigledno Indikatori napada: Nema pokretanja zlonamjernog fajla, nije instaliran trajni servis i nema dokaza o korištenju RPC-a jer je SMB jedini način prijenosa podataka. Sjajno!
Sa strane napadača, „pseudo-ljuska“ je dostupna sa kašnjenjima između slanja komande i primanja odgovora. Ali to je sasvim dovoljno da napadač - bilo insajder ili eksterni haker koji već ima uporište - počne tražiti zanimljiv sadržaj.
Koristi se za vraćanje podataka sa ciljne mašine na mašinu napadača . Da, to je ista Samba , ali samo konvertovan u Python skript od strane Imppacketa. U stvari, smbclient vam omogućava da tajno hostujete FTP transfere preko SMB.
Vratimo se korak unazad i razmislimo šta ovo može učiniti za zaposlenog. U mom fiktivnom scenariju, recimo blogeru, finansijskom analitičaru ili visoko plaćenom konsultantu za sigurnost je dozvoljeno da koristi lični laptop za posao. Kao rezultat nekog magičnog procesa, ona se uvrijedi na kompaniju i "pođe loše". U zavisnosti od operativnog sistema laptopa, koristi ili Python verziju sa Impact-a, ili Windows verziju smbexec ili smbclient kao .exe datoteku.
Kao i Snowden, ona saznaje šifru drugog korisnika ili gledajući preko ramena, ili joj se posreći i naiđe na tekstualni fajl sa lozinkom. I uz pomoć ovih akreditiva, ona počinje da kopa po sistemu na novom nivou privilegija.
DCC Hakovanje: Ne treba nam "glupi" Mimikatz
U mojim prethodnim postovima o pentestiranju, vrlo sam često koristio mimikatz. Ovo je odličan alat za presretanje vjerodajnica - NTLM heševa, pa čak i lozinki sa čistim tekstom skrivenih unutar prijenosnih računala, koje samo čekaju da budu iskorištene.
Vremena su se promenila. Alati za praćenje su postali bolji u otkrivanju i blokiranju mimikatza. Administratori sigurnosti informacija također sada imaju više opcija za smanjenje rizika povezanih s napadima prosljeđivanja heš (PtH).
Dakle, šta bi pametan zaposlenik trebao učiniti da prikupi dodatne vjerodajnice bez korištenja mimikatza?
Imppacketov komplet uključuje uslužni program pod nazivom , koji preuzima vjerodajnice iz keša vjerodajnica domene, ili skraćeno DCC. Koliko sam shvatio, ako se korisnik domene prijavi na server, ali kontroler domene nije dostupan, DCC dozvoljava serveru da autentifikuje korisnika. U svakom slučaju, secretsdump vam omogućava da izbacite sve ove hešove ako su dostupni.
DCC heševi su ne NTML heš i njihova ne može se koristiti za napad PtH.
Pa, možete pokušati da ih hakujete da dobijete originalnu lozinku. Međutim, Microsoft je postao pametniji sa DCC-om, a DCC heševe je postalo izuzetno teško razbiti. Da imam , "najbrži pogađač lozinki na svijetu", ali je za efikasan rad potreban GPU.
Umjesto toga, pokušajmo razmišljati kao Snowden. Zaposlenica može provoditi socijalni inženjering licem u lice i eventualno saznati neke informacije o osobi čiju lozinku želi da provali. Na primjer, saznajte da li je online račun te osobe ikada bio hakiran i provjerite njegovu lozinku za otvoreni tekst da li postoje tragovi.
I ovo je scenario za koji sam odlučio da krenem. Pretpostavimo da je insajder saznao da je njegov šef, Cruella, nekoliko puta hakovan na različitim web resursima. Nakon analize nekoliko ovih lozinki, shvata da Cruella radije koristi format imena bejzbol tima "Yankees" iza kojeg slijedi tekuća godina - "Yankees2015".
Ako sada pokušavate ovo reproducirati kod kuće, onda možete preuzeti mali, "C" , koji implementira DCC algoritam heširanja i kompajlira ga. , inače, dodala je podršku za DCC, tako da se može i koristiti. Pretpostavimo da insajder ne želi da se muči sa učenjem Johna Trbosjeka i voli da pokreće "gcc" na naslijeđenom C kodu.
Glumeći ulogu insajdera, pokušao sam nekoliko različitih kombinacija i na kraju sam uspio otkriti da je Cruellina lozinka bila "Yankees2019" (vidi dolje). Misija završena!
Malo društvenog inženjeringa, malo proricanja sudbine i prstohvat Maltega i na dobrom ste putu da razbijete DCC hash.
Predlažem da završimo ovdje. Vratit ćemo se na ovu temu u drugim objavama i pogledati još sporije i skrivenije metode napada, nastavljajući da se nadograđujemo na Imppacket-ovom odličnom skupu uslužnih programa.
izvor: www.habr.com