Kanunay kaming nagsulat bahin sa kanunay nga pagsalig sa mga hacker sa pagpahimulos para malikayan ang detection. Sila sa literal , gamit ang standard nga mga galamiton sa Windows, sa ingon makalikay sa mga antivirus ug uban pang mga gamit para sa pag-ila sa malisyosong kalihokan. Kami, isip mga tigpanalipod, karon napugos sa pag-atubang sa dili maayo nga mga sangputanan sa ingon nga maalamon nga mga pamaagi sa pag-hack: ang usa ka maayong pagkabutang nga empleyado makagamit sa samang paagi sa tago nga pagpangawat sa datos (intelektwal nga kabtangan sa kompaniya, mga numero sa credit card). Ug kung dili siya magdali, apan molihok nga hinay ug hilom, lisud kaayo - apan posible gihapon kung mogamit siya sa husto nga pamaagi ug angay. , β sa pag-ila sa maong kalihokan.
Sa laing bahin, dili ko gusto nga dauton ang mga empleyado tungod kay walay usa nga gusto nga magtrabaho sa usa ka palibot sa negosyo gikan sa Orwell's 1984. Maayo na lang, adunay daghang mga praktikal nga mga lakang ug mga hack sa kinabuhi nga makahimo sa kinabuhi nga labi ka lisud alang sa mga insider. Atong tagdon tago nga mga pamaagi sa pag-atake, gigamit sa mga hacker sa mga empleyado nga adunay pipila ka teknikal nga background. Ug sa usa ka gamay nga dugang atong hisgutan ang mga kapilian sa pagpakunhod sa maong mga risgo - atong tun-an ang teknikal ug organisasyonal nga mga kapilian.
Unsa ang sayup sa PsExec?
Si Edward Snowden, husto man o sayop, nahimong susama sa pagpangawat sa data sa insider. By the way, ayaw kalimot ug tan-aw mahitungod sa ubang mga insider nga angayan usab sa ilang status sa kabantog. Usa ka importante nga punto nga angay hatagan og gibug-aton mahitungod sa mga pamaagi nga gigamit ni Snowden mao nga, sa labing maayo sa atong kahibalo, siya wala ma-install walay gawas nga makadaot nga software!
Hinuon, si Snowden migamit og gamay nga social engineering ug gigamit ang iyang posisyon isip administrador sa sistema sa pagkolekta og mga password ug paghimo og mga kredensyal. Walay komplikado - wala , mga pag-atake o .
Ang mga empleyado sa organisasyon dili kanunay sa talagsaon nga posisyon ni Snowden, apan adunay daghang mga leksyon nga makat-unan gikan sa konsepto sa "survival by grazing" aron mahibal-an - nga dili moapil sa bisan unsang malisyosong kalihokan nga mamatikdan, ug labi na. pag-amping sa paggamit sa mga kredensyal. Hinumdomi kini nga hunahuna.
ug iyang ig-agaw nakadayeg sa dili maihap nga mga pentester, hacker, ug cybersecurity bloggers. Ug kung gihiusa sa mimikatz, gitugotan sa psexec ang mga tig-atake nga molihok sa sulod sa usa ka network nga wala kinahanglana nga mahibal-an ang cleartext nga password.
Gipugngan ni Mimikatz ang hash sa NTLM gikan sa proseso sa LSASS ug dayon gipasa ang token o mga kredensyal - ang gitawag nga. "ipasa ang hash" nga pag-atake β sa psexec, nagtugot sa usa ka tig-atake sa pag-log in sa laing server ingon sa lain tiggamit. Ug sa matag sunod nga pagbalhin sa usa ka bag-ong server, ang tig-atake nagkolekta dugang nga mga kredensyal, nga nagpalapad sa sakup sa mga kapabilidad niini sa pagpangita alang sa magamit nga sulud.
Sa una ko nga nagsugod sa pagtrabaho kauban ang psexec ingon og katingalahan alang kanako - salamat , ang hayag nga developer sa psexec - apan nahibal-an usab nako ang bahin sa iya saba mga sangkap. Dili gyud siya sekreto!
Ang una nga makapaikag nga kamatuoran bahin sa psexec mao nga kini naggamit labi ka komplikado SMB network file protocol gikan sa Microsoft. Gamit ang SMB, gamay ra ang pagbalhin sa psexec binary file ngadto sa target nga sistema, ibutang kini sa C: Windows folder.
Sunod, ang psexec nagmugna og serbisyo sa Windows gamit ang gikopya nga binary ug gipadagan kini ubos sa hilabihan nga "wala damha" nga ngalan nga PSEXECSVC. Sa parehas nga oras, makita gyud nimo kining tanan, sama sa akong gibuhat, pinaagi sa pagtan-aw sa usa ka hilit nga makina (tan-awa sa ubos).
Ang calling card sa Psexec: "PSEXECSVC" nga serbisyo. Nagdagan kini usa ka binary file nga gibutang pinaagi sa SMB sa C: Windows folder.
Ingon sa usa ka katapusan nga lakang, ang gikopya binary file abli Koneksyon sa RPC ngadto sa target nga server ug dayon modawat ug control commands (pinaagi sa Windows cmd shell pinaagi sa default), paglansad kanila ug pag-redirect sa input ug output ngadto sa home machine sa tig-atake. Sa kini nga kaso, ang tig-atake nakakita sa sukaranan nga linya sa mando - parehas nga kung siya konektado direkta.
Daghang mga sangkap ug saba kaayo nga proseso!
Ang komplikado nga internals sa psexec nagpatin-aw sa mensahe nga nakapalibog kanako sa akong unang mga pagsulay pipila ka tuig na ang milabay: "Pagsugod sa PSEXECSVC..." gisundan sa usa ka paghunong sa dili pa makita ang command prompt.
Ang Psexec ni Impacket sa tinuud nagpakita kung unsa ang nahitabo sa ilawom sa tabon.
Dili ikatingala: ang psexec naghimo og daghang trabaho sa ilawom sa tabon. Kung interesado ka sa usa ka mas detalyado nga pagpatin-aw, tan-awa dinhi nindot nga paghulagway.
Dayag, kung gigamit ingon usa ka himan sa pagdumala sa sistema, nga orihinal nga katuyoan psexec, walay sayop sa "pagbagting" sa tanan niini nga mga mekanismo sa Windows. Alang sa usa ka tig-atake, bisan pa, ang psexec makahimo og mga komplikasyon, ug alang sa usa ka mabinantayon ug tuso nga insider sama sa Snowden, psexec o usa ka susama nga gamit mahimong labi ka peligro.
Ug unya moabut ang Smbexec
Ang SMB usa ka maalamon ug sekreto nga paagi sa pagbalhin sa mga file sa taliwala sa mga server, ug ang mga hacker direkta nga nakasulod sa SMB sulod sa mga siglo. Sa akong hunahuna nahibal-an na sa tanan nga dili kini takus Ang SMB port 445 ug 139 sa Internet, di ba?
Sa Defcon 2013, si Eric Millman () gipresentar , aron ang mga pentester makasulay sa stealth SMB hacking. Wala ko kahibalo sa tibuok nga istorya, apan ang Impacket dugang nga gipino ang smbexec. Sa tinuud, alang sa akong pagsulay, gi-download nako ang mga script gikan sa Impacket sa Python gikan sa .
Dili sama sa psexec, smbexec naglikay pagbalhin sa usa ka posibleng namatikdan nga binary file ngadto sa target nga makina. Hinuon, ang utility nagpuyo sa hingpit gikan sa sibsibanan hangtod sa paglansad lokal Windows command line.
Mao kini ang gibuhat niini: nagpasa kini og command gikan sa nag-atake nga makina pinaagi sa SMB ngadto sa usa ka espesyal nga input file, ug dayon nagmugna ug nagpadagan sa usa ka komplikadong command line (sama sa usa ka serbisyo sa Windows) nga daw pamilyar sa mga tiggamit sa Linux. Sa laktod nga pagkasulti: naglunsad kini og lumad nga Windows cmd shell, gi-redirect ang output ngadto sa laing file, ug dayon ipadala kini pinaagi sa SMB balik sa makina sa tig-atake.
Ang labing kaayo nga paagi aron masabtan kini mao ang pagtan-aw sa linya sa mando, nga nakuha nako ang akong mga kamot gikan sa log sa panghitabo (tan-awa sa ubos).
Dili ba kini ang labing kaayo nga paagi sa pag-redirect sa I/O? Pinaagi sa dalan, ang paghimo sa serbisyo adunay ID sa panghitabo 7045.
Sama sa psexec, nagmugna usab kini usa ka serbisyo nga naghimo sa tanan nga trabaho, apan ang serbisyo pagkahuman niana gikuha β kini gigamit sa makausa ra sa pagpadagan sa sugo ug dayon mawala! Ang usa ka opisyal sa seguridad sa impormasyon nga nagmonitor sa makina sa biktima dili makamatikod klaro Mga timailhan sa pag-atake: Walay malisyoso nga file nga gilunsad, walay makanunayon nga serbisyo nga gi-install, ug walay ebidensya sa RPC nga gigamit tungod kay ang SMB mao lamang ang paagi sa pagbalhin sa datos. Hayag!
Gikan sa kilid sa tig-atake, usa ka "pseudo-shell" ang magamit nga adunay mga paglangan tali sa pagpadala sa mando ug pagdawat sa tubag. Apan kini igo na alang sa usa ka tig-atake - bisan usa ka insider o usa ka eksternal nga hacker nga naa nay sukaranan - aron magsugod sa pagpangita alang sa makapaikag nga sulud.
Aron ma-output ang data balik gikan sa target nga makina ngadto sa makina sa tig-atake, gigamit kini . Oo, parehas kini nga Samba , pero gi-convert lang sa Python script ni Impacket. Sa tinuud, ang smbclient nagtugot kanimo sa tago nga pag-host sa mga pagbalhin sa FTP sa SMB.
Mobalik kita ug hunahuna kon unsa ang mahimo niini alang sa empleyado. Sa akong tinumotumo nga senaryo, ingnon ta nga ang usa ka blogger, financial analyst o taas nga bayad nga consultant sa seguridad gitugotan nga mogamit usa ka personal nga laptop alang sa trabaho. Ingon usa ka sangputanan sa usa ka mahika nga proseso, nasuko siya sa kompanya ug "nadaot ang tanan." Depende sa operating system sa laptop, kini naggamit sa Python nga bersyon gikan sa Impact, o ang Windows nga bersyon sa smbexec o smbclient isip .exe file.
Sama ni Snowden, nahibal-an niya ang password sa lain nga tiggamit pinaagi sa pagtan-aw sa iyang abaga, o swerte siya ug nakit-an ang usa ka text file nga adunay password. Ug sa tabang sa kini nga mga kredensyal, nagsugod siya sa pagkalot sa palibot sa sistema sa usa ka bag-ong lebel sa mga pribilehiyo.
Pag-hack sa DCC: Wala namo kinahanglana ang bisan unsang "tanga" nga Mimikatz
Sa akong nangaging mga post sa pentesting, mimikatz ko kanunay. Kini usa ka maayo nga himan alang sa pag-intercept sa mga kredensyal - NTLM hash ug bisan ang mga cleartext nga password nga gitago sa sulod sa mga laptop, naghulat lang nga magamit.
Ang mga panahon nausab. Ang mga himan sa pag-monitor nahimong mas maayo sa pag-ila ug pagbabag sa mimikatz. Ang mga tagdumala sa seguridad sa impormasyon aduna nay daghang mga kapilian aron makunhuran ang mga risgo nga nalangkit sa pagpasa sa mga pag-atake sa hash (PtH).
Busa unsa ang kinahanglan nga buhaton sa usa ka maalamon nga empleyado aron makolekta ang dugang nga mga kredensyal nga wala gigamit ang mimikatz?
Ang kit sa Impacket naglakip sa usa ka utility nga gitawag , nga nagkuha sa mga kredensyal gikan sa Domain Credential Cache, o DCC sa mubo. Ang akong pagsabot mao nga kon ang usa ka domain user mag-log in sa server apan ang domain controller dili magamit, DCC nagtugot sa server sa pag-authenticate sa user. Bisan pa, ang secretsdump nagtugot kanimo sa paglabay sa tanan niini nga mga hash kung kini anaa.
Ang mga hashes sa DCC mao ang dili NTML hash ug sila dili magamit sa pag-atake sa PtH.
Aw, mahimo nimong sulayan ang pag-hack kanila aron makuha ang orihinal nga password. Apan, ang Microsoft nahimong mas maalamon sa DCC ug DCC hash nahimong hilabihan ka lisud sa pag-crack. Oo, naa ko , "pinakapaspas nga tigtag-an sa password sa kalibutan," apan nagkinahanglan kini og GPU nga epektibong modagan.
Hinuon, sulayan nato nga maghunahuna sama ni Snowden. Ang usa ka empleyado makahimo sa face-to-face social engineering ug posibleng makahibalo sa pipila ka impormasyon bahin sa tawo kansang password gusto niyang liki. Pananglitan, hibal-i kung ang online nga account sa tawo na-hack ug susiha ang ilang cleartext nga password alang sa bisan unsang mga timailhan.
Ug mao ni ang scenario nga naka decide ko nga kuyogan. Ibutang ta nga nahibal-an sa usa ka insider nga ang iyang boss, si Cruella, gi-hack sa daghang mga higayon sa lainlaing mga kapanguhaan sa web. Pagkahuman sa pag-analisar sa pipila niini nga mga password, nahibal-an niya nga mas gusto ni Cruella nga gamiton ang format sa ngalan sa baseball team nga "Yankees" nga gisundan sa karon nga tuig - "Yankees2015".
Kung gisulayan nimo karon nga kopyahon kini sa balay, mahimo nimong i-download ang gamay, "C" , nga nagpatuman sa DCC hashing algorithm, ug gihugpong kini. , sa paagi, dugang nga suporta alang sa DCC, aron magamit usab kini. Ibutang ta nga ang usa ka insider dili gusto nga magsamok sa pagkat-on sa John the Ripper ug ganahan nga magpadagan sa "gcc" sa legacy C code.
Nagpakaaron-ingnon nga papel sa usa ka insider, gisulayan nako ang daghang lainlaing mga kombinasyon ug sa katapusan nahibal-an nako nga ang password ni Cruella mao ang "Yankees2019" (tan-awa sa ubos). Kompleto ang Misyon!
Usa ka gamay nga social engineering, usa ka dash of fortune telling ug usa ka kurot sa Maltego ug maayo ka nga moadto sa pag-crack sa DCC hash.
Gisugyot ko nga matapos ta dinhi. Mobalik kami sa kini nga hilisgutan sa ubang mga post ug tan-awon ang labi ka hinay ug tago nga mga pamaagi sa pag-atake, nga nagpadayon sa pagtukod sa maayo kaayo nga hugpong sa mga gamit sa Impacket.
Source: www.habr.com