Kini nga artikulo gisulat base sa usa ka malampuson nga pentest nga gihimo sa mga espesyalista sa Group-IB pipila ka tuig na ang milabay: usa ka istorya ang nahitabo nga mahimong ipahiangay alang sa pelikula sa Bollywood. Karon, lagmit, ang reaksyon sa magbabasa mosunod: "Oh, laing artikulo sa PR, pag-usab kini gihulagway, unsa sila ka maayo, ayaw kalimti ang pagpalit sa usa ka pentest." Aw, sa usa ka bahin, mao kini. Bisan pa, adunay daghang uban pang mga hinungdan ngano nga kini nga artikulo nagpakita. Gusto nakong ipakita kung unsa gyud ang gibuhat sa mga pentesters, kung unsa ka makapaikag ug dili hinungdanon kini nga trabaho, kung unsa nga kataw-anan nga mga kahimtang ang mahimong motumaw sa mga proyekto, ug labing hinungdanon, ipakita ang live nga materyal nga adunay tinuud nga mga pananglitan.
Aron mapasig-uli ang balanse sa kaligdong sa kalibutan, pagkahuman sa usa ka panahon magsulat kami bahin sa usa ka pentest nga dili maayo. Atong ipakita kung unsa ka maayo ang pagkadisenyo nga mga proseso sa usa ka kompanya nga makapanalipod batok sa usa ka tibuuk nga mga pag-atake, bisan ang mga maayong pagkaandam, tungod lang kay kini nga mga proseso naglungtad ug aktuwal nga nagtrabaho.
Alang sa kostumer sa kini nga artikulo, ang tanan usab sa kasagaran maayo kaayo, labing menos mas maayo kaysa 95% sa merkado sa Russian Federation, sumala sa among mga pagbati, apan adunay daghang gagmay nga mga nuances nga nagporma usa ka taas nga kadena sa mga panghitabo, nga una mitultol ngadto sa taas nga taho bahin sa buluhaton , ug dayon niini nga artikulo.
Busa, mag-stock kita sa popcorn, ug welcome sa istorya sa detective. Pulong - Pavel Suprunyuk, teknikal nga manedyer sa departamento sa "Audit and Consulting" sa Group-IB.
Bahin 1. Pochkin doktor
2018 Adunay usa ka kustomer - usa ka high-tech nga kompanya sa IT, nga mismo nagserbisyo sa daghang mga kliyente. Gusto nga makakuha og tubag sa pangutana: posible ba, nga walaβy bisan unsang pasiunang kahibalo ug pag-access, nagtrabaho pinaagi sa Internet, aron makuha ang mga katungod sa tagdumala sa domain sa Active Directory? Dili ko interesado sa bisan unsang social engineering (), wala nila tuyoa nga manghilabot sa trabaho sa katuyoan, apan sila mahimong aksidenteng - i-reload ang usa ka talagsaon nga nagtrabaho nga server, pananglitan. Ang dugang nga katuyoan mao ang pag-ila sa daghang uban pang mga vector sa pag-atake kutob sa mahimo batok sa gawas nga perimeter. Ang kompanya kanunay nga nagpahigayon sa ingon nga mga pagsulay, ug karon ang deadline alang sa usa ka bag-ong pagsulay miabot na. Ang mga kondisyon halos kasagaran, igo, masabtan. Magsugod na ta.
Adunay usa ka ngalan sa kustomer - himoa kini nga "Kompanya", nga adunay panguna nga website . Siyempre, ang kustomer gitawag nga lahi, apan sa kini nga artikulo ang tanan mahimong dili personal.
Nagpahigayon ko og network reconnaissance - hibal-i kung unsang mga adres ug domain ang narehistro sa kustomer, pagdrowing og network diagram, kung giunsa ang pag-apod-apod sa mga serbisyo sa kini nga mga adres. Nakuha nako ang resulta: labaw pa sa 4000 nga mga live IP address. Gitan-aw nako ang mga domain niini nga mga network: maayo na lang, ang kadaghanan mga network nga gituyo alang sa mga kliyente sa kustomer, ug dili kami pormal nga interesado kanila. Pareho ra ang gihunahuna sa kustomer.
Adunay nagpabilin nga usa ka network nga adunay 256 nga mga adres, diin sa pagkakaron adunay usa ka pagsabut sa pag-apod-apod sa mga domain ug mga subdomain sa mga IP address, adunay kasayuran bahin sa mga na-scan nga mga pantalan, nga nagpasabut nga mahimo nimong tan-awon ang mga serbisyo alang sa mga makapaikag. Sa parehas nga paagi, ang tanan nga mga matang sa mga scanner gilunsad sa magamit nga mga adres sa IP ug gilain sa mga website.
Adunay daghang mga serbisyo. Kasagaran kini mao ang kalipay alang sa pentester ug ang pagpaabut sa usa ka dali nga kadaugan, tungod kay ang daghang mga serbisyo adunay, mas dako ang uma alang sa pag-atake ug mas sayon ββββang pagpangita sa usa ka artifact. Ang usa ka dali nga pagtan-aw sa mga website nagpakita nga kadaghanan kanila mga web interface sa iladong mga produkto sa dagkong mga kompanya sa kalibutan, nga sa tanan nga mga pagpakita nagsulti kanimo nga dili sila welcome. Nangayo sila og username ug password, i-uyog ang field para sa pagsulod sa ikaduhang butang, mangayo og TLS client certificate, o ipadala kini sa Microsoft ADFS. Ang uban dili ma-access gikan sa Internet. Alang sa pipila, klaro nga kinahanglan nimo nga adunay usa ka espesyal nga bayad nga kliyente alang sa tulo nga sweldo o nahibal-an ang eksaktong URL nga mosulod. Atong laktawan ang usa pa ka semana sa hinay-hinay nga pagkawalay paglaum sa proseso sa pagsulay sa "paglusot" nga mga bersyon sa software alang sa nahibal-an nga mga kahuyangan, pagpangita sa tinago nga sulud sa mga agianan sa web ug mga leaked nga account gikan sa mga serbisyo sa ikatulo nga partido sama sa LinkedIn, pagsulay sa pagtag-an sa mga password nga gigamit kini, ingon man. ingon nga pagkubkob mga kahuyangan sa kaugalingon nga gisulat nga mga website - sa paagi, sumala sa estadistika, kini ang labing gisaad nga vector sa pag-atake sa gawas karon. Mamatikdan dayon nako ang pusil sa salida nga sunod nga nagpabuto.
Mao nga, nakit-an namon ang duha nga mga site nga lahi sa gatusan nga mga serbisyo. Kini nga mga site adunay usa ka butang nga managsama: kung dili ka moapil sa makuti nga pag-reconnaissance sa network pinaagi sa domain, apan tan-awa ang mga bukas nga pantalan o target ang usa ka scanner sa pagkahuyang gamit ang usa ka nahibal-an nga sakup sa IP, nan kini nga mga site makaikyas sa pag-scan ug dili gyud mahimo. makita nga wala nahibal-an ang ngalan sa DNS. Tingali sila gimingaw sa sayo pa, sa labing menos, ug ang atong awtomatikong mga himan wala makakaplag bisan unsa nga mga problema uban kanila, bisan kon sila gipadala direkta ngadto sa kapanguhaan.
Pinaagi sa dalan, bahin sa kung unsa ang kaniadto gilusad nga mga scanner nga nakit-an sa kinatibuk-an. Pahinumdumi ko nimo: alang sa pipila ka mga tawo, ang "pentest" katumbas sa "automated scan". Apan ang mga scanner sa kini nga proyekto walaβy gisulti. Aw, ang maximum gipakita sa Medium vulnerabilities (3 sa 5 sa mga termino sa kagrabe): sa pipila ka serbisyo usa ka dili maayo nga TLS certificate o outdated encryption algorithms, ug sa kadaghanan sa mga site Clickjacking. Apan dili kini magdala kanimo sa imong katuyoan. Tingali ang mga scanner mahimong mas mapuslanon dinhi, apan pahinumdoman ko ikaw: ang kustomer mismo makahimo sa pagpalit sa ingon nga mga programa ug pagsulay sa iyang kaugalingon uban kanila, ug, sa paghukom sa dili maayo nga mga resulta, nasusi na niya.
Balik ta sa βanomalousβ nga mga site. Ang una kay sama sa lokal nga Wiki sa dili standard nga adres, pero niining artikuloha himoa nga wiki.company[.]ru. Nangayo usab dayon siya og login ug password, apan pinaagi sa NTLM sa browser. Alang sa tiggamit, kini morag usa ka ascetic nga bintana nga naghangyo sa pagsulod sa usa ka username ug password. Ug kini dili maayo nga batasan.
Usa ka gamay nga nota. Ang NTLM sa mga website sa perimeter dili maayo tungod sa daghang mga hinungdan. Ang unang rason mao nga ang Active Directory domain ngalan gipadayag. Sa among pananglitan, nahimo usab kini nga company.ru, sama sa "eksternal" nga ngalan sa DNS. Nahibal-an kini, mahimo nimong maandam pag-ayo ang usa ka butang nga makadaot aron kini ipatuman lamang sa makina sa domain sa organisasyon, ug dili sa pipila ka sandbox. Ikaduha, ang pag-ila direkta pinaagi sa domain controller pinaagi sa NTLM (sorpresa, di ba?), Uban ang tanan nga mga bahin sa "internal" nga mga palisiya sa network, lakip ang pag-block sa mga account gikan sa pagsobra sa gidaghanon sa mga pagsulay sa pagsulod sa password. Kung nahibal-an sa usa ka tig-atake ang mga login, sulayan niya ang mga password alang kanila. Kung gi-configure ka nga babagan ang mga account gikan sa pagsulod sa dili husto nga mga password, kini molihok ug ang account ma-block. Ikatulo, imposible nga makadugang usa ka ikaduha nga hinungdan sa ingon nga panghimatuud. Kung adunay bisan kinsa sa mga magbabasa nga nahibal-an pa kung giunsa, palihug pahibaloa ako, kini makapaikag kaayo. Ikaupat, pagkahuyang sa mga pag-atake sa pass-the-hash. Ang ADFS giimbento, taliwala sa ubang mga butang, aron mapanalipdan batok niining tanan.
Adunay usa ka dili maayo nga kabtangan sa mga produkto sa Microsoft: bisan kung wala nimo espesipikong gipatik ang ingon nga NTLM, kini i-install nga default sa OWA ug Lync, sa labing gamay.
Pinaagi sa dalan, ang tagsulat sa kini nga artikulo sa makausa aksidente nga gibabagan ang gibana-bana nga 1000 nga mga account sa mga empleyado sa usa ka dako nga bangko sa usa lang ka oras gamit ang parehas nga pamaagi ug unya mitan-aw nga medyo luspad. Ang mga serbisyo sa IT sa bangko luspad usab, apan ang tanan natapos nga maayo ug igo, kami gidayeg pa nga kami ang una nga nakakaplag niini nga problema ug naghagit sa usa ka dali ug mahukmanon nga pag-ayo.
Ang ikaduha nga site adunay adres nga "klaro nga usa ka klase sa apelyido.company.ru." Nakit-an kini pinaagi sa Google, sama niini sa panid 10. Ang disenyo gikan sa sayong bahin sa tunga-tunga sa XNUMXs, ug usa ka respetado nga tawo ang nagtan-aw niini gikan sa main page, sama niini:
Dinhi gikuha nako ang usa ka pa gikan sa "Kasingkasing sa usa ka Iro", apan tuohi ako, kini dili klaro nga parehas, bisan ang disenyo sa kolor sa parehas nga mga tono. Patawaga ang site preobrazhensky.company.ru.
Kini usa ka personal nga website ... para sa usa ka urologist. Naghunahuna ko kung unsa ang gibuhat sa website sa usa ka urologist sa subdomain sa usa ka high-tech nga kompanya. Ang usa ka dali nga pagkalot sa Google nagpakita nga kini nga doktor usa ka co-founder sa usa sa mga legal nga entidad sa among kostumer ug nag-amot pa gani ug mga 1000 ka rubles sa awtorisadong kapital. Ang site lagmit gibuhat daghang tuig na ang milabay, ug ang mga kapanguhaan sa server sa kustomer gigamit ingon pag-host. Ang site dugay na nga nawad-an sa kalabutan niini, apan sa pipila ka mga hinungdan kini gipasagdan nga nagtrabaho sa dugay nga panahon.
Sa termino sa mga kahuyangan, ang website mismo luwas. Sa pagtan-aw sa unahan, isulti ko nga kini usa ka hugpong sa static nga kasayuran - yano nga mga panid sa html nga adunay gisulud nga mga ilustrasyon sa porma sa mga kidney ug pantog. Walaβy kapuslanan ang "pagguba" sa ingon nga site.
Apan ang web server sa ilawom mas makapaikag. Paghukom sa HTTP Server header, kini adunay IIS 6.0, nga nagpasabut nga kini gigamit Windows 2003 ingon nga operating system. Giila kaniadto sa scanner nga kining partikular nga website sa urologist, dili sama sa ubang mga virtual nga host sa parehas nga web server, mitubag sa mando sa PROPFIND, nagpasabut nga kini nagpadagan sa WebDAV. Pinaagi sa dalan, gibalik sa scanner kini nga kasayuran nga adunay marka nga Info (sa sinultian sa mga taho sa scanner, kini ang labing ubos nga peligro) - ang ingon nga mga butang sagad nga gilaktawan. Sa kombinasyon, naghatag kini usa ka makapaikag nga epekto, nga gipadayag lamang pagkahuman sa lain nga pagkalot sa Google: usa ka talagsaon nga kahuyangan sa pag-awas sa buffer nga nalangkit sa set sa Shadow Brokers, nga mao ang CVE-2017-7269, nga adunay andam na nga pagpahimulos. Sa laing pagkasulti, adunay kasamok kung ikaw adunay Windows 2003 ug ang WebDAV nagdagan sa IIS. Bisan kung ang pagpadagan sa Windows 2003 sa produksiyon sa 2018 usa ka problema sa kaugalingon.
Ang pagpahimulos natapos sa Metasploit ug gisulayan dayon sa usa ka load nga nagpadala usa ka hangyo sa DNS sa usa ka kontrolado nga serbisyo - Ang Burp Collaborator tradisyonal nga gigamit aron makuha ang mga hangyo sa DNS. Sa akong katingala, kini nagtrabaho sa unang higayon: usa ka DNS knockout ang nadawat. Sunod, adunay pagsulay sa paghimo og backconnect pinaagi sa port 80 (nga mao, usa ka koneksyon sa network gikan sa server ngadto sa tig-atake, nga adunay access sa cmd.exe sa biktima nga host), apan usa ka kapildihan ang nahitabo. Ang koneksyon wala moabut, ug pagkahuman sa ikatulo nga pagsulay sa paggamit sa site, kauban ang tanan nga makapaikag nga mga litrato, nawala hangtod sa hangtod.
Kasagaran kini gisundan sa usa ka sulat sa istilo nga "kustomer, pagmata, gihulog namon ang tanan." Apan gisultihan kami nga ang site walaβy kalabotan sa mga proseso sa negosyo ug nagtrabaho didto nga walaβy hinungdan, sama sa tibuuk nga server, ug magamit namon kini nga kapanguhaan kung gusto namon.
Mga usa ka adlaw ang milabay ang site kalit nga nagsugod sa pagtrabaho sa iyang kaugalingon. Nakatukod ug usa ka bangko gikan sa WebDAV sa IIS 6.0, akong nakita nga ang default setting mao ang pagsugod pag-usab sa mga proseso sa trabahante sa IIS matag 30 ka oras. Kana mao, sa dihang ang kontrol migawas sa shellcode, ang proseso sa trabahante sa IIS natapos, unya kini gi-restart ang kaugalingon sa pipila ka mga higayon ug dayon mipahulay sulod sa 30 ka oras.
Tungod kay ang backconnect sa tcp napakyas sa unang higayon, akong gipasangil kini nga problema sa usa ka sirado nga pantalan. Sa ato pa, iyang gihunahuna ang presensya sa usa ka matang sa firewall nga wala magtugot sa mga outgoing connections nga moagi sa gawas. Nagsugod ko sa pagpadagan sa mga shellcode nga nangita sa daghang tcp ug udp port, walay epekto. Ang reverse connection load pinaagi sa http(s) gikan sa Metasploit wala mugana - meterpreter/reverse_http(s). Sa kalit, usa ka koneksyon sa parehas nga pantalan 80 natukod, apan nahulog dayon. Gipasangil ko kini sa aksyon sa hinanduraw nga IPS, nga dili gusto sa meterpreter nga trapiko. Tungod sa kamatuoran nga ang usa ka lunsay nga tcp nga koneksyon sa port 80 wala moagi, apan usa ka http nga koneksyon, ako nakahinapos nga ang usa ka http proxy sa usa ka paagi gi-configure sa sistema.
Gisulayan pa nako ang meterpreter pinaagi sa DNS (salamat alang sa imong mga paningkamot, nakatipig daghang mga proyekto), nahinumdom sa labing una nga kalampusan, apan wala kini molihok sa baroganan - ang shellcode labi ka daghan alang sa kini nga pagkahuyang.
Sa tinuud, ingon kini: 3-4 nga pagsulay sa pag-atake sa sulod sa 5 minuto, pagkahuman naghulat sa 30 ka oras. Ug padayon sulod sa tulo ka semana nga sunodsunod. Nagbutang pa gani kog pahinumdom aron di mausik ang panahon. Dugang pa, adunay kalainan sa pamatasan sa pagsulay ug mga palibot sa produksiyon: alang sa kini nga pagkahuyang adunay duha nga parehas nga pagpahimulos, usa gikan sa Metasploit, ang ikaduha gikan sa Internet, nakabig gikan sa bersyon sa Shadow Brokers. Mao nga, ang Metasploit ra ang gisulayan sa panagsangka, ug ang ikaduha ra ang gisulayan sa bench, nga naghimo sa pag-debug nga labi ka lisud ug nakadaot sa utok.
Sa katapusan, usa ka shellcode nga nag-download sa usa ka exe file gikan sa gihatag nga server pinaagi sa http ug gilunsad kini sa target nga sistema napamatud-an nga epektibo. Ang shellcode gamay ra aron mohaum, apan labing menos kini nagtrabaho. Tungod kay ang server dili ganahan sa trapiko sa TCP ug ang (mga) http gi-inspeksyon alang sa presensya sa meterpreter, nakahukom ko nga ang pinakapaspas nga paagi mao ang pag-download sa usa ka exe file nga adunay DNS-meterpreter pinaagi niini nga shellcode.
Dinhi pag-usab mitungha ang usa ka problema: sa pag-download sa usa ka exe file ug, ingon sa gipakita sa mga pagsulay, bisan unsa pa, ang pag-download nabalda. Pag-usab, ang pipila ka aparato sa seguridad tali sa akong server ug sa urologist dili ganahan sa trapiko sa http nga adunay usa ka exe sa sulod. Ang "dali" nga solusyon daw mao ang pag-ilis sa shellcode aron kini maka-obfuscate sa http nga trapiko sa langaw, aron ang abstract binary data mabalhin imbes sa exe. Sa katapusan, malampuson ang pag-atake, nadawat ang kontrol pinaagi sa nipis nga channel sa DNS:
Diha-diha dayon nahimong tin-aw nga ako adunay labing sukaranan nga mga katungod sa workflow sa IIS, nga nagtugot kanako sa pagbuhat sa bisan unsa. Mao kini ang hitsura sa Metasploit console:
Ang tanan nga mga pamaagi sa pentest kusganong nagsugyot nga kinahanglan nimo nga dugangan ang mga katungod kung makakuha og access. Kasagaran dili nako kini buhaton sa lokal, tungod kay ang labing una nga pag-access makita nga yano nga usa ka punto sa pagsulod sa network, ug ang pagkompromiso sa lain nga makina sa parehas nga network kasagaran labi kadali ug labi ka paspas kaysa sa pagtaas sa mga pribilehiyo sa usa ka naglungtad nga host. Apan dili kini ang kahimtang dinhi, tungod kay ang channel sa DNS hiktin kaayo ug dili kini tugutan nga malimpyohan ang trapiko.
Sa pag-ingon nga kini nga Windows 2003 server wala pa giayo alang sa bantog nga MS17-010 nga kahuyang, akong tunnel ang trapiko sa port 445/TCP pinaagi sa meterpreter DNS tunnel sa localhost (oo, kini mahimo usab) ug pagsulay sa pagpadagan sa na-download kaniadto nga exe pinaagi sa ang kahuyang. Ang pag-atake nagtrabaho, nakadawat ako usa ka ikaduha nga koneksyon, apan adunay mga katungod sa SYSTEM.
Makapainteres nga gisulayan pa nila nga panalipdan ang server gikan sa MS17-010 - kini adunay mga huyang nga serbisyo sa network nga walaβy mahimo sa eksternal nga interface. Nanalipod kini batok sa mga pag-atake sa network, apan ang pag-atake gikan sa sulod sa localhost nagtrabaho, tungod kay dili nimo mahimo nga dali nga mapalong ang SMB sa localhost.
Sunod, gipadayag ang bag-ong makapaikag nga mga detalye:
- Ang pagbaton sa mga katungod sa SYSTEM, dali ka makatukod og backconnection pinaagi sa TCP. Dayag nga, ang pagpugong sa direkta nga TCP usa ka higpit nga problema alang sa limitado nga tiggamit sa IIS. Spoiler: ang trapiko sa user sa IIS sa usa ka paagi giputos sa lokal nga ISA Proxy sa duha ka direksyon. Giunsa kini pagtrabaho, wala nako gi-reproduce.
- Naa ko sa usa ka piho nga "DMZ" (ug dili kini usa ka domain sa Active Directory, apan usa ka WORKGROUP) - paminawon nga makatarunganon. Apan imbes sa gipaabot nga pribado ("gray") nga IP address, ako adunay usa ka hingpit nga "puti" nga IP address, parehas gayud sa akong giatake kaniadto. Kini nagpasabot nga ang kompanya tigulang na kaayo sa kalibutan sa IPv4 addressing nga kini makahimo sa pagpadayon sa usa ka DMZ zone alang sa 128 "puti" nga mga adres nga walay NAT sumala sa laraw, sama sa gihulagway sa mga manwal sa Cisco gikan sa 2005.
Tungod kay ang server tigulang na, ang Mimikatz gigarantiyahan nga magtrabaho direkta gikan sa memorya:
Nakuha nako ang password sa lokal nga tagdumala, tunel sa trapiko sa RDP sa TCP ug nag-log in sa usa ka komportable nga desktop. Tungod kay mahimo nako ang bisan unsa nga gusto nako sa server, akong gitangtang ang antivirus ug nakit-an nga ang server ma-access gikan sa Internet pinaagi lamang sa TCP ports 80 ug 443, ug ang 443 dili busy. Nag-set up ko og OpenVPN server sa 443, nagdugang og NAT functions para sa akong VPN traffic ug makakuha og direktang access sa DMZ network sa walay limit nga porma pinaagi sa akong OpenVPN. Mamatikdan nga ang ISA, nga adunay pipila ka mga non-disabled nga mga function sa IPS, gibabagan ang akong trapiko gamit ang pag-scan sa pantalan, diin kinahanglan kini ilisan sa usa ka labi ka yano ug labi nga pagsunod sa RRAS. Busa ang mga pentester usahay kinahanglan pa nga mangalagad sa tanang matang sa mga butang.
Ang usa ka matinagdanon nga magbabasa mangutana: "Unsa man ang bahin sa ikaduha nga site - usa ka wiki nga adunay pag-authenticate sa NTLM, diin daghan ang nasulat?" Dugang pa bahin niini sa ulahi.
Bahin 2. Wala gihapon nag-encrypt? Unya mianhi kami kanimo dinhi na
Busa, adunay access sa bahin sa network sa DMZ. Kinahanglan ka nga moadto sa tagdumala sa domain. Ang una nga butang nga naa sa hunahuna mao ang awtomatik nga pagsusi sa seguridad sa mga serbisyo sa sulod sa bahin sa DMZ, labi na nga daghan pa niini ang bukas alang sa panukiduki. Usa ka tipikal nga hulagway sa panahon sa usa ka penetration test: ang gawas nga perimeter mas maayo nga gipanalipdan kay sa internal nga mga serbisyo, ug sa diha nga ang pag-angkon sa bisan unsa nga access sa sulod sa usa ka dako nga imprastraktura, kini mao ang mas sayon ββsa pagkuha sa gipalapad nga mga katungod sa usa ka domain lamang tungod sa kamatuoran nga kini nga domain nagsugod nga mahimong. ma-access sa mga himan, ug ikaduha, Sa usa ka imprastraktura nga adunay daghang libo nga mga host, kanunay adunay usa ka magtiayon nga mga kritikal nga problema.
Gisingil nako ang mga scanner pinaagi sa DMZ pinaagi sa tunel sa OpenVPN ug maghulat. Giablihan nako ang taho - pag-usab walay seryoso, dayag nga adunay usa nga miagi sa sama nga paagi sa akong atubangan. Ang sunod nga lakang mao ang pagsusi kung giunsa ang mga host sa sulod sa DMZ network nakigsulti. Aron mahimo kini, ilunsad una ang naandan nga Wireshark ug paminawa ang mga hangyo sa broadcast, labi na ang ARP. Ang mga pakete sa ARP gikolekta sa tibuok adlaw. Kini nahimo nga daghang mga ganghaan ang gigamit sa kini nga bahin. Kini magamit sa ulahi. Pinaagi sa paghiusa sa datos sa ARP request-respons ug port scanning data, akong nakit-an ang exit point sa user traffic gikan sa sulod sa lokal nga network dugang pa niadtong mga serbisyo nga nailhan kaniadto, sama sa web ug mail.
Tungod kay sa pagkakaron wala akoy access sa ubang mga sistema ug walay usa ka account alang sa corporate services, nakahukom nga mangisda bisan gamay lang og account gikan sa trapiko gamit ang ARP Spoofing.
Ang Cain&Abel gilusad sa server sa urologist. Gikonsiderar ang nahibal-an nga mga agianan sa trapiko, ang labing gisaad nga mga pares alang sa man-in-the-middle nga pag-atake gipili, ug dayon ang pipila nga trapiko sa network nadawat pinaagi sa mubo nga paglansad sa 5-10 minuto, nga adunay usa ka timer aron ma-reboot ang server sa kaso sa pagyelo. Sama sa joke, adunay duha ka balita:
- Maayo: daghang mga kredensyal ang nakuha ug ang pag-atake sa kinatibuk-an nagtrabaho.
- Ang daotan: ang tanan nga mga kredensyal gikan sa kaugalingon nga mga kliyente sa kustomer. Samtang naghatag mga serbisyo sa suporta, ang mga espesyalista sa kostumer konektado sa mga serbisyo sa mga kliyente nga dili kanunay adunay pag-encrypt sa trapiko.
Ingon usa ka sangputanan, nakakuha ako daghang mga kredensyal nga walaβy kapuslanan sa konteksto sa proyekto, apan siguradong makapaikag ingon usa ka pagpakita sa peligro sa pag-atake. Border routers sa dagkong mga kompaniya nga adunay telnet, gipasa ang debug http nga mga pantalan ngadto sa internal nga CRM uban sa tanang datos, direktang pag-access sa RDP gikan sa Windows XP sa lokal nga network ug uban pang obscurantism. Kini nahimo nga ingon niini .
Nakakita usab ako usa ka kataw-anan nga higayon nga mangolekta mga sulat gikan sa trapiko, usa ka butang nga sama niini. Kini usa ka pananglitan sa usa ka andam nga sulat nga gikan sa among kustomer ngadto sa SMTP port sa iyang kliyente, pag-usab, nga walay encryption. Gihangyo sa usa ka Andrey ang iyang ngalan nga ipadala pag-usab ang dokumentasyon, ug gi-upload kini sa usa ka cloud disk nga adunay login, password ug link sa usa ka sulat nga tubag:
Kini usa pa ka pahinumdom nga i-encrypt ang tanan nga mga serbisyo. Wala mahibal-an kung kinsa ug kanus-a mobasa ug mogamit sa imong data espesipiko - ang provider, ang tagdumala sa sistema sa laing kompanya, o ang ingon nga pentester. Naghilom ako bahin sa kamatuoran nga daghang mga tawo ang makapugong sa wala ma-encrypt nga trapiko.
Bisan pa sa dayag nga kalampusan, kini wala magdala kanamo nga mas duol sa tumong. Posible, siyempre, nga molingkod sa dugay nga panahon ug mangisda sa bililhong impormasyon, apan dili kini usa ka kamatuoran nga kini makita didto, ug ang pag-atake mismo peligroso kaayo sa mga termino sa integridad sa network.
Human sa laing pagkalot sa mga serbisyo, usa ka makapaikag nga ideya ang misantop sa akong hunahuna. Adunay usa ka utility nga gitawag Responder (sayon ββnga makit-an ang mga pananglitan sa paggamit sa kini nga ngalan), nga, pinaagi sa "pagkahilo" nga mga hangyo sa broadcast, nagpukaw sa mga koneksyon pinaagi sa lainlaing mga protocol sama sa SMB, HTTP, LDAP, ug uban pa. sa lain-laing mga paagi, unya mangutana sa tanan nga nagkonektar sa pag-authenticate ug set up niini aron ang authentication mahitabo pinaagi sa NTLM ug sa usa ka paagi nga transparent sa biktima. Kasagaran, ang usa ka tig-atake nagkolekta sa NetNTLMv2 nga mga handshake niining paagiha ug gikan kanila, gamit ang usa ka diksyonaryo, dali nga nakabawi sa mga password sa domain sa gumagamit. Dinhi gusto nako ang usa ka butang nga susama, apan ang mga tiggamit naglingkod "luyo sa usa ka kuta", o hinoon, gibulag sila sa usa ka firewall, ug gi-access ang WEB pinaagi sa Blue Coat proxy cluster.
Hinumdumi, akong gipiho nga ang Active Directory domain name dungan sa "external" domain, nga mao, kini mao ang company.ru? Busa, ang Windows, nga mas tukma sa Internet Explorer (ug Edge ug Chrome), tugotan ang tiggamit sa dayag nga pag-authenticate sa HTTP pinaagi sa NTLM kung ilang gikonsiderar nga ang site nahimutang sa pipila ka "Intranet Zone". Usa sa mga timailhan sa usa ka "Intranet" mao ang pag-access sa usa ka "gray" nga IP address o usa ka mubo nga ngalan sa DNS, nga mao, walay mga tulbok. Tungod kay sila adunay usa ka server nga adunay "puti" nga IP ug DNS nga ngalan preobrazhensky.company.ru, ug ang mga makina sa domain kasagaran makadawat sa suffix sa domain sa Active Directory pinaagi sa DHCP alang sa gipasimple nga pagsulod sa ngalan, kinahanglan ra nila nga isulat ang URL sa address bar. , aron ilang makit-an ang husto nga dalan padulong sa nakompromiso nga server sa urologist, nga wala malimot nga kini gitawag karon nga "Intranet". Sa ato pa, dungan sa paghatag kanako sa NTLM-handshake sa user nga wala siya kahibalo. Ang nahabilin mao ang pagpugos sa mga browser sa kliyente nga maghunahuna bahin sa dinalian nga panginahanglan nga makontak kini nga server.
Ang talagsaon nga Intercepter-NG utility miabut aron sa pagluwas (salamat ). Gitugotan ka niini nga usbon ang trapiko sa langaw ug nagtrabaho nga maayo sa Windows 2003. Kini bisan adunay lahi nga gamit alang sa pagbag-o lamang sa mga file sa JavaScript sa dagan sa trapiko. Usa ka matang sa dako nga Cross-Site Scripting ang giplano.
Ang mga proxy nga Blue Coat, diin ang mga tiggamit maka-access sa global nga WEB, matag karon ug unya nag-cache sa static nga sulud. Pinaagi sa pag-intercept sa trapiko, klaro nga nagtrabaho sila sa tibuok nga orasan, nga walay katapusan nga naghangyo sa kanunay nga gigamit nga static aron mapadali ang pagpakita sa sulud sa mga oras sa peak. Dugang pa, ang BlueCoat adunay usa ka piho nga User-Agent, nga klaro nga nagpalahi niini gikan sa usa ka tinuod nga tiggamit.
Giandam ang Javascript, nga, gamit ang Intercepter-NG, gipatuman sulod sa usa ka oras sa gabii alang sa matag tubag nga adunay JS files alang sa Blue Coat. Gihimo sa script ang mosunod:
- Gitino ang kasamtangan nga browser pinaagi sa User-Agent. Kung kini ang Internet Explorer, Edge o Chrome, nagpadayon kini sa pagtrabaho.
- Naghulat ko hangtod naporma ang DOM sa panid.
- Gisal-ot ang usa ka dili makita nga imahe sa DOM nga adunay src attribute sa porma :8080/NNNNNNN.png, diin ang NNN kay arbitraryong mga numero aron dili kini ma-cache sa BlueCoat.
- Pagbutang usa ka global nga variable sa bandila aron ipakita nga ang pag-injection nahuman na ug dili na kinahanglan nga magsal-ot sa mga imahe.
Gisulayan sa browser nga i-load kini nga imahe; sa port 8080 sa nakompromiso nga server, usa ka TCP tunnel ang naghulat niini sa akong laptop, diin ang parehas nga Responder nagdagan, nga kinahanglan ang browser nga mag-log in pinaagi sa NTLM.
Paghukom sa Responder logs, ang mga tawo miadto sa pagtrabaho sa buntag, mibalik sa ilang mga workstation, unya en masse ug wala mamatikdi nagsugod sa pagbisita sa server sa urologist, nga wala malimot sa "pag-awas" NTLM handshakes. Ang mga paglamano miulan sa tibuok adlaw ug tin-aw nga natipon nga materyal alang sa usa ka klaro nga malampuson nga pag-atake aron mabawi ang mga password. Mao kini ang hitsura sa mga Responder logs:
Mga tinago nga pagbisita sa masa sa server sa urologist sa mga tiggamit
Tingali namatikdan na nimo nga kini nga tibuuk nga istorya gitukod sa prinsipyo nga "maayo ra ang tanan, apan pagkahuman adunay kasamok, dayon adunay pagbuntog, ug dayon ang tanan nagmalampuson." Busa, adunay kasamok dinhi. Sa kalim-an nga talagsaon nga paglamano, walay usa nga gipadayag. Ug gikonsiderar niini ang kamatuoran nga bisan sa usa ka laptop nga adunay usa ka patay nga processor, kini nga mga handshake sa NTLMv2 giproseso sa katulin nga pila ka gatos ka milyon nga pagsulay matag segundo.
Kinahanglan nako nga armasan ang akong kaugalingon sa mga teknik sa mutation sa password, usa ka video card, usa ka mas baga nga diksyonaryo ug maghulat. Pagkahuman sa dugay nga panahon, daghang mga account nga adunay mga password sa porma nga "Q11111111... mahimong komplikado. Apan dili nimo malimbongan ang usa ka batid nga tiggamit, ug kini ang paagi nga gipadali niya ang iyang kaugalingon nga mahinumdom. Sa kinatibuk-an, mga 1111111 nga mga account ang nakompromiso, ug usa lamang kanila ang adunay bisan unsang bililhon nga mga katungod sa mga serbisyo.
Bahin 3. Ang Roskomnadzor misulong
Busa, ang unang domain account nadawat. Kung wala ka pa makatulog sa kini nga punto gikan sa usa ka taas nga pagbasa, lagmit mahinumduman nimo nga naghisgot ako usa ka serbisyo nga wala magkinahanglan usa ka ikaduha nga hinungdan sa pag-authenticate: kini usa ka wiki nga adunay NTLM nga panghimatuud. Siyempre, ang unang butang nga buhaton mao ang pagsulod didto. Ang pagkalot sa internal nga base sa kahibalo dali nga nagdala mga sangputanan:
- Ang kompanya adunay WiFi network nga adunay panghimatuud gamit ang mga domain account nga adunay access sa lokal nga network. Uban sa kasamtangan nga set sa datos, kini usa na ka working attack vector, apan kinahanglan ka nga moadto sa opisina gamit ang imong mga tiil ug mahimutang sa usa ka dapit sa teritoryo sa opisina sa kustomer.
- Nakakita ko og instruksyon sumala sa diin adunay usa ka serbisyo nga nagtugot ... nga independente nga magparehistro sa usa ka "ikaduha nga hinungdan" nga panghimatuud nga aparato kung ang user naa sa sulod sa usa ka lokal nga network ug masaligon nga nahinumdom sa iyang domain login ug password. Sa kini nga kaso, ang "sa sulod" ug "sa gawas" gitino pinaagi sa pagka-access sa pantalan sa kini nga serbisyo sa tiggamit. Ang pantalan dili ma-access gikan sa Internet, apan dali nga ma-access pinaagi sa DMZ.
Siyempre, ang usa ka "ikaduha nga hinungdan" gidugang dayon sa nakompromiso nga account sa porma sa usa ka aplikasyon sa akong telepono. Adunay usa ka programa nga mahimoβg kusog nga magpadala usa ka hangyo sa pagduso sa telepono nga adunay mga buton nga "aprobahan" / "dili aprubahan" alang sa aksyon, o hilom nga ipakita ang OTP code sa screen alang sa dugang nga independente nga pagsulod. Dugang pa, ang una nga pamaagi gituohan nga ang mga panudlo mao ra ang tama, apan wala kini molihok, dili sama sa pamaagi sa OTP.
Sa pagkaguba sa "ikaduha nga hinungdan", naka-access ako sa Outlook Web Access mail ug layo nga pag-access sa Citrix Netscaler Gateway. Adunay usa ka sorpresa sa mail sa Outlook:
Niining talagsaon nga shot imong makita kung giunsa pagtabang sa Roskomnadzor ang mga pentesters
Kini ang una nga mga bulan pagkahuman sa bantog nga "fan" nga pag-block sa Telegram, kung ang tibuuk nga mga network nga adunay libu-libo nga mga adres walaβy mahimo nga nawala gikan sa pag-access. Kini nahimong tin-aw nganong ang pagduso wala diha-diha dayon ug nganong ang akong "biktima" wala magpatingog sa alarma tungod kay sila nagsugod sa paggamit sa iyang account sa panahon sa open hours.
Bisan kinsa nga pamilyar sa Citrix Netscaler naghanduraw nga kini kasagarang gipatuman sa paagi nga ang usa lamang ka interface sa hulagway ang madala ngadto sa user, naningkamot nga dili ihatag kaniya ang mga himan sa paglansad sa mga aplikasyon sa ikatulo nga partido ug pagbalhin sa datos, nga naglimite sa tanang posible nga mga aksyon nga paagi. pinaagi sa standard control shells. Ang akong "biktima", tungod sa iyang trabaho, nakuha ra ang 1C:
Human sa paglakaw libot sa 1C interface sa usa ka gamay, akong nakita nga adunay mga eksternal nga pagproseso modules didto. Mahimo silang ma-load gikan sa interface, ug kini ipatuman sa kliyente o server, depende sa mga katungod ug mga setting.
Gihangyo nako ang akong mga higala sa 1C programmer nga maghimo usa ka pagproseso nga modawat sa usa ka hilo ug ipatuman kini. Sa 1C nga pinulongan, ang pagsugod sa usa ka proseso ingon niini (gikuha gikan sa Internet). Mouyon ka ba nga ang syntax sa 1C nga lengguwahe nakapahingangha sa mga tawo nga nagsultig Ruso sa pagka-spontane niini?
Ang pagproseso hingpit nga gipatuman; kini nahimo nga gitawag sa mga pentester nga usa ka "shell" - gilusad ang Internet Explorer pinaagi niini.
Sa sayo pa, ang adres sa usa ka sistema nga nagtugot kanimo sa pag-order sa mga pass sa teritoryo nakit-an sa koreo. Nag-order ko og pass kung kinahanglan nako nga mogamit usa ka vector sa pag-atake sa WiFi.
Adunay mga pakigpulong sa Internet nga adunay usa ka lamian nga libre nga pag-catering sa opisina sa kostumer, apan gipalabi pa nako ang pag-develop sa pag-atake sa layo, kini mas kalmado.
Gi-aktibo ang AppLocker sa server sa aplikasyon nga nagpadagan sa Citrix, apan na-bypass kini. Ang parehas nga Meterpreter gikarga ug gilunsad pinaagi sa DNS, tungod kay ang (mga) bersyon sa http dili gusto nga magkonektar, ug wala ako nahibal-an ang internal nga proxy nga adres niadtong panahona. Pinaagi sa dalan, gikan niining higayona, ang eksternal nga pentest hingpit nga nahimo nga usa ka internal.
Part 4. Ang mga katungod sa admin alang sa mga tiggamit dili maayo, okay?
Ang una nga tahas sa usa ka pentester kung makuha ang kontrol sa sesyon sa tiggamit sa domain mao ang pagkolekta sa tanan nga kasayuran bahin sa mga katungod sa domain. Adunay usa ka BloodHound utility nga awtomatik nga nagtugot kanimo sa pag-download sa impormasyon mahitungod sa mga tiggamit, kompyuter, mga grupo sa seguridad pinaagi sa LDAP protocol gikan sa usa ka domain controller, ug pinaagi sa SMB - impormasyon mahitungod sa kung kinsa nga user bag-o lang naka-log in diin ug kinsa ang lokal nga tigdumala.
Usa ka tipikal nga teknik sa pag-ilog sa mga katungod sa tagdumala sa domain kay gipasimple ingon usa ka siklo sa monotonous nga mga aksyon:
- Moadto kami sa mga kompyuter sa domain diin adunay mga katungod sa lokal nga tagdumala, base sa nakuha na nga mga account sa domain.
- Among gilusad ang Mimikatz ug nagkuha ug mga password nga naka-cache, mga tiket sa Kerberos ug mga hash sa NTLM sa mga domain account nga bag-o lang naka-log in niini nga sistema. O atong tangtangon ang panumduman nga imahe sa proseso sa lsass.exe ug buhaton ang parehas sa among kilid. Maayo kini nga magamit sa Windows nga mas bata sa 2012R2/Windows 8.1 nga adunay default nga mga setting.
- Among gitino kung asa ang nakompromiso nga mga account adunay mga katungod sa lokal nga tigdumala. Atong balikon ang unang punto. Sa pila ka yugto nakakuha kami mga katungod sa tagdumala alang sa tibuuk nga domain.
"Katapusan sa Siklo;", ingon sa isulat sa mga programmer sa 1C dinhi.
Mao nga, ang among tiggamit nahimo nga usa ka lokal nga administrador sa usa lang ka host nga adunay Windows 7, ang ngalan nga naglakip sa pulong nga "VDI", o "Virtual Desktop Infrastructure", personal nga virtual machine. Tingali, ang tigdesinyo sa serbisyo sa VDI nagpasabut nga tungod kay ang VDI mao ang personal nga operating system sa tiggamit, bisan kung gibag-o sa tiggamit ang software environment sumala sa iyang gusto, ang host mahimo gihapon nga "i-reload". Naghunahuna usab ako nga sa kinatibuk-an maayo ang ideya, miadto ako niining personal nga host sa VDI ug naghimo usa ka salag didto:
- Nag-install ako usa ka kliyente sa OpenVPN didto, nga naghimo usa ka tunel pinaagi sa Internet sa akong server. Kinahanglang pugson ang kliyente nga moagi sa samang Blue Coat nga adunay domain authentication, apan gihimo kini sa OpenVPN, ingon sa ilang giingon, "gikan sa kahon."
- Gi-install ang OpenSSH sa VDI. Aw, tinuod, unsa ang Windows 7 nga walay SSH?
Mao kini ang hitsura sa live. Pahinumdumon ko ikaw nga kining tanan kinahanglan buhaton pinaagi sa Citrix ug 1C:
Usa ka teknik sa pagpasiugda sa pag-access sa silingang mga kompyuter mao ang pagsusi sa mga password sa lokal nga tagdumala alang sa usa ka posporo. Dinhi naghulat dayon ang swerte: ang NTLM hash sa default nga lokal nga tagdumala (nga kalit nga gitawag nga Administrator) giduol pinaagi sa usa ka pass-the-hash nga pag-atake sa silingan nga mga host sa VDI, diin adunay daghang gatos. Siyempre, ang pag-atake diha-diha dayon miigo kanila.
Dinhi diin ang mga tigdumala sa VDI mipusil sa ilang kaugalingon sa tiil kaduha:
- Ang una nga higayon mao ang kung ang mga makina sa VDI wala gidala sa ilawom sa LAPS, hinungdanon nga nagpabilin ang parehas nga password sa lokal nga tagdumala gikan sa imahe nga kaylap nga gipakatap sa VDI.
- Ang default nga tagdumala mao lamang ang lokal nga account nga huyang sa mga pag-atake sa pass-the-hash. Bisan sa parehas nga password, posible nga malikayan ang pagkompromiso sa masa pinaagi sa paghimo sa usa ka ikaduha nga account sa lokal nga tagdumala nga adunay komplikado nga random nga password ug gibabagan ang default.
Ngano nga adunay usa ka serbisyo sa SSH sa kana nga Windows? Yano kaayo: karon ang OpenSSH server wala lamang naghatag usa ka kombenyente nga interactive command shell nga wala makabalda sa trabaho sa user, apan usa usab ka socks5 proxy sa VDI. Pinaagi niini nga mga medyas, nagkonektar ko pinaagi sa SMB ug nangolekta og mga naka-cache nga mga account gikan sa tanan niining gatusan ka mga VDI nga makina, dayon nangita sa agianan ngadto sa domain administrator nga naggamit niini sa mga graph sa BloodHound. Uban sa gatusan nga mga host nga akong magamit, nakit-an nako kini nga paagi nga dali. Nakuha ang mga katungod sa tagdumala sa domain.
Ania ang usa ka hulagway gikan sa Internet nga nagpakita sa susama nga pagpangita. Gipakita sa mga koneksyon kung kinsa ang tagdumala ug kung diin naka-log in.
Pinaagi sa dalan, hinumdomi ang kahimtang gikan sa pagsugod sa proyekto - "ayaw paggamit sa social engineering." Mao nga, gisugyot ko nga hunahunaon kung pila ang tanan nga kini nga Bollywood nga adunay mga espesyal nga epekto maputol kung posible pa nga magamit ang banal nga phishing. Apan sa personal, makapaikag kaayo alang kanako ang pagbuhat niining tanan. Hinaot nalingaw ka sa pagbasa ani. Siyempre, dili tanan nga proyekto tan-awon nga makaiikag kaayo, apan ang trabaho sa kinatibuk-an mahagiton kaayo ug dili motugot niini nga mo-stagnate.
Tingali adunay usa nga adunay pangutana: unsaon pagpanalipod sa imong kaugalingon? Bisan kini nga artikulo naghulagway sa daghang mga teknik, kadaghanan niini wala mahibal-an sa mga administrador sa Windows. Bisan pa, gisugyot nako nga tan-awon sila gikan sa panan-aw sa mga hackneyed nga mga prinsipyo ug mga lakang sa seguridad sa kasayuran:
- ayaw gamita ang karaan nga software (hinumdomi ang Windows 2003 sa sinugdanan?)
- ayaw ipadayon ang dili kinahanglan nga mga sistema nga i-on (nganong adunay website sa urologist?)
- susiha ang mga password sa user alang sa kusog sa imong kaugalingon (kung dili mga sundalo... ang mga pentester ang mobuhat niini)
- walay parehas nga mga password alang sa lainlaing mga account (kompromiso sa VDI)
- ug uban pa
Siyempre, kini lisud kaayo nga ipatuman, apan sa sunod nga artikulo atong ipakita sa praktis nga kini posible.
Source: www.habr.com