Escrivim regularment sobre com els pirates informàtics sovint depenen de l'explotació per evitar la detecció. Són literalment , utilitzant eines estàndard de Windows, evitant així els antivirus i altres utilitats per detectar activitats malicioses. Nosaltres, com a defensors, ara estem obligats a fer front a les desafortunades conseqüències d'aquestes tècniques de pirateria intel·ligents: un empleat ben situat pot utilitzar el mateix enfocament per robar dades encobertes (propietat intel·lectual de l'empresa, números de targetes de crèdit). I si no s'afanya, sinó que treballa lentament i en silenci, serà extremadament difícil, però encara és possible si utilitza l'enfocament adequat i l'adequat. , — identificar aquesta activitat.
D'altra banda, no voldria demonitzar els empleats perquè ningú vol treballar en un entorn empresarial directament des del 1984 d'Orwell. Afortunadament, hi ha una sèrie de passos pràctics i hacks de vida que poden fer la vida molt més difícil per als experts. Ho tindrem en compte mètodes d'atac encoberts, utilitzat per pirates informàtics per empleats amb una mica de formació tècnica. I una mica més enllà parlarem de les opcions per reduir aquests riscos: estudiarem les opcions tècniques i organitzatives.
Què passa amb PsExec?
Edward Snowden, amb raó o no, s'ha convertit en sinònim de robatori de dades privilegiades. Per cert, no us oblideu de fer una ullada sobre altres persones privilegiades que també mereixen algun estatus de fama. Un punt important que val la pena destacar sobre els mètodes que va utilitzar Snowden és que, segons el que sabem, va no s'ha instal·lat cap programari extern maliciós!
En canvi, Snowden va utilitzar una mica d'enginyeria social i va utilitzar la seva posició com a administrador del sistema per recollir contrasenyes i crear credencials. Res complicat - cap , atacs o .
Els empleats de l'organització no sempre es troben en la posició única de Snowden, però hi ha una sèrie de lliçons que cal aprendre del concepte de "supervivència pasturant" que cal tenir en compte: no participar en cap activitat maliciosa que es pugui detectar i, especialment, compte amb l'ús de les credencials. Recordeu aquest pensament.
i el seu cosí han impressionat innombrables pentesters, pirates informàtics i blocaires de ciberseguretat. I quan es combina amb mimikatz, psexec permet als atacants moure's dins d'una xarxa sense necessitat de conèixer la contrasenya de text clar.
Mimikatz intercepta el hash NTLM del procés LSASS i després passa el testimoni o les credencials, l'anomenat. atac "passar el hash". – a psexec, permetent a un atacant iniciar sessió en un altre servidor com a d’un altre usuari. I amb cada moviment posterior a un nou servidor, l'atacant recull credencials addicionals, ampliant el ventall de les seves capacitats per cercar contingut disponible.
Quan vaig començar a treballar amb psexec em va semblar màgic, gràcies , el brillant desenvolupador de psexec, però també conec el seu sorollós components. Ell mai és secret!
El primer fet interessant sobre psexec és que utilitza extremadament complex Protocol de fitxers de xarxa SMB de Microsoft. Utilitzant SMB, psexec transferències petites binari fitxers al sistema de destinació, col·locant-los a la carpeta C:Windows.
A continuació, psexec crea un servei de Windows utilitzant el binari copiat i l'executa amb el nom extremadament "inesperat" PSEXECSVC. Al mateix temps, podeu veure tot això, com ho vaig fer jo, mirant una màquina remota (vegeu més avall).
Targeta de visita de Psexec: servei "PSEXECSVC". Executa un fitxer binari que es va col·locar mitjançant SMB a la carpeta C:Windows.
Com a pas final, s'obre el fitxer binari copiat Connexió RPC al servidor de destinació i després accepta ordres de control (a través de l'intèrpret d'ordres de Windows cmd per defecte), llançant-les i redirigint l'entrada i la sortida a la màquina domèstica de l'atacant. En aquest cas, l'atacant veu la línia d'ordres bàsica, igual que si estigués connectat directament.
Molts components i un procés molt sorollós!
Els complexos elements interns de psexec expliquen el missatge que em va desconcertar durant les meves primeres proves fa uns quants anys: "Iniciant PSEXECSVC..." seguit d'una pausa abans que aparegui l'indicador d'ordres.
El Psexec d'Impacket mostra realment el que passa sota el capó.
No és sorprenent: psexec va fer una gran quantitat de treball sota el capó. Si esteu interessats en una explicació més detallada, consulteu aquí descripció meravellosa.
Òbviament, quan s'utilitzava com a eina d'administració del sistema, que era finalitat original psexec, no hi ha res de dolent amb el "bruit" de tots aquests mecanismes de Windows. Per a un atacant, però, psexec crearia complicacions, i per a un informador prudent i astut com Snowden, psexec o una utilitat similar seria un risc excessiu.
I després ve Smbexec
SMB és una manera intel·ligent i secreta de transferir fitxers entre servidors, i els pirates informàtics s'han infiltrat directament a SMB durant segles. Crec que tothom ja sap que no val la pena Ports SMB 445 i 139 a Internet, oi?
A la Defcon 2013, Eric Millman () presentat , perquè els pentesters puguin provar la pirateria furtiva SMB. No conec tota la història, però després Impacket va perfeccionar encara més smbexec. De fet, per a les meves proves, vaig baixar els scripts d'Impacket a Python .
A diferència de psexec, smbexec evita transferir un fitxer binari potencialment detectat a la màquina de destinació. En canvi, la utilitat viu completament des de la pastura fins al llançament local Línia d'ordres de Windows.
Això és el que fa: passa una ordre de la màquina atacant mitjançant SMB a un fitxer d'entrada especial i, a continuació, crea i executa una línia d'ordres complexa (com un servei de Windows) que els semblarà familiar als usuaris de Linux. En resum: llança un intèrpret d'ordres de cmd natiu de Windows, redirigeix la sortida a un altre fitxer i després l'envia a través de SMB a la màquina de l'atacant.
La millor manera d'entendre-ho és mirar la línia d'ordres, que vaig poder agafar des del registre d'esdeveniments (vegeu més avall).
No és aquesta la millor manera de redirigir E/S? Per cert, la creació del servei té l'identificador d'esdeveniment 7045.
Igual que psexec, també crea un servei que fa tota la feina, però el servei després d'això esborrat – s'utilitza només una vegada per executar l'ordre i després desapareix! Un oficial de seguretat de la informació que controli la màquina d'una víctima no podrà detectar evident Indicadors d'atac: no s'està llançant cap fitxer maliciós, no s'està instal·lant cap servei persistent i no hi ha evidència que s'utilitzi RPC ja que SMB és l'únic mitjà de transferència de dades. Genial!
Des del costat de l'atacant, hi ha disponible una "pseudo-shell" amb retards entre l'enviament de l'ordre i la recepció de la resposta. Però amb això n'hi ha prou perquè un atacant, ja sigui un pirata informàtic intern o extern que ja té un punt de peu, comenci a buscar contingut interessant.
Per enviar dades de tornada des de la màquina objectiu a la màquina de l'atacant, s'utilitza . Sí, és el mateix Samba , però només convertit a un script Python per Impacket. De fet, smbclient us permet allotjar de manera encoberta transferències FTP a través de SMB.
Fem un pas enrere i pensem què pot fer això per a l'empleat. En el meu escenari fictici, diguem que un blogger, un analista financer o un consultor de seguretat molt ben pagat pot utilitzar un ordinador portàtil personal per treballar. Com a resultat d'algun procés màgic, s'ofensa amb l'empresa i "va tot malament". Depenent del sistema operatiu del portàtil, utilitza la versió de Python d'Impact o la versió de Windows de smbexec o smbclient com a fitxer .exe.
Com Snowden, descobreix la contrasenya d'un altre usuari mirant per sobre de la seva espatlla o té sort i es troba amb un fitxer de text amb la contrasenya. I amb l'ajuda d'aquestes credencials, comença a explorar el sistema amb un nou nivell de privilegis.
Hacking DCC: No necessitem cap Mimikatz "estúpid".
A les meves publicacions anteriors sobre pentesting, vaig utilitzar mimikatz molt sovint. Aquesta és una gran eina per interceptar credencials: hash NTLM i fins i tot contrasenyes de text clar amagades dins dels ordinadors portàtils, a l'espera de ser utilitzades.
Els temps han canviat. Les eines de monitorització han millorat per detectar i bloquejar mimikatz. Els administradors de seguretat de la informació també tenen ara més opcions per reduir els riscos associats als atacs de transmissió hash (PtH).
Aleshores, què hauria de fer un empleat intel·ligent per recollir credencials addicionals sense utilitzar mimikatz?
El kit d'Impacket inclou una utilitat anomenada , que recupera les credencials de la memòria cau de credencials de domini o DCC per abreujar-se. Entenc que si un usuari de domini inicia sessió al servidor però el controlador de domini no està disponible, DCC permet que el servidor autentiqui l'usuari. De totes maneres, secretsdump us permet bolcar tots aquests hash si estan disponibles.
Els hash DCC són no hash NTML i no es pot utilitzar per a l'atac de PtH.
Bé, podeu provar de piratejar-los per obtenir la contrasenya original. Tanmateix, Microsoft s'ha tornat més intel·ligent amb DCC i els hash DCC s'han tornat extremadament difícils de trencar. Sí, ho tinc , "l'endevinador de contrasenyes més ràpid del món", però requereix una GPU per funcionar de manera eficaç.
En canvi, intentem pensar com Snowden. Un empleat pot dur a terme enginyeria social cara a cara i possiblement trobar informació sobre la persona la contrasenya de la qual vol trencar. Per exemple, esbrineu si el compte en línia de la persona ha estat piratejat mai i examina la seva contrasenya de text clar per trobar pistes.
I aquest és l'escenari amb el qual vaig decidir anar. Suposem que una persona privilegiada va saber que el seu cap, Cruella, havia estat piratejat diverses vegades en diferents recursos web. Després d'analitzar diverses d'aquestes contrasenyes, s'adona que Cruella prefereix utilitzar el format del nom de l'equip de beisbol "Yankees" seguit de l'any en curs: "Yankees2015".
Si ara esteu intentant reproduir-ho a casa, podeu descarregar-vos una petita "C" , que implementa l'algorisme hash DCC i el compila. , per cert, va afegir suport per a DCC, de manera que també es pot utilitzar. Suposem que una persona privilegiada no vol molestar-se a aprendre John the Ripper i li agrada executar "gcc" al codi C heretat.
Fingint el paper d'una persona privilegiada, vaig provar diverses combinacions diferents i finalment vaig poder descobrir que la contrasenya de Cruella era "Yankees2019" (vegeu més avall). Missió complerta!
Una mica d'enginyeria social, una mica d'endevinació i una mica de Maltego i esteu en bon camí per trencar el hash DCC.
Suggereixo que acabem aquí. Tornarem a aquest tema en altres publicacions i veurem mètodes d'atac encara més lents i sigils, continuant basant-nos en l'excel·lent conjunt d'utilitats d'Impacket.
Font: www.habr.com