Scrivemu regularmente nantu à cumu i pirate si basanu spessu à sfruttà per evità a rilevazione. Iddi littiralmenti , aduprendu strumenti standard di Windows, sguassendu cusì antivirus è altre utilità per a rilevazione di attività maliciosa. Noi, cum'è difensori, sò oghji ubligati à trattà cù e cunsequenze disgraziate di tali tecniche di pirate intelligenti: un impiigatu bè pusatu pò aduprà u listessu approcciu per arrubbatu di dati (proprietà intellettuale di a cumpagnia, numeri di carte di creditu). È s'ellu ùn si precipiteghja, ma travaglia lentamente è in silenziu, serà estremamente difficiule - ma ancu pussibule s'ellu usa l'approcciu ghjustu è l'approcciu adattatu. , - per identificà tali attività.
Per d 'altra banda, ùn vogliu micca demonizà l'impiegati perchè nimu ùn vole travaglià in un ambiente cummerciale direttamente da u 1984 di Orwell. Fortunatamente, ci sò una quantità di passi pratichi è pirate di vita chì ponu fà a vita assai più difficiule per l'internu. Avemu da cunsiderà metudi d'attaccu segreti, utilizatu da i pirate di l'impiegati cù qualchì fondu tecnicu. È un pocu più avanti discutemu l'opzioni per riduce tali risichi - studieremu l'opzioni tecniche è urganisazione.
Chì ci hè sbagliatu cù PsExec?
Edward Snowden, giustu o sbagliatu, hè diventatu sinonimu di furtu di dati insider. Per via, ùn vi scurdate di piglià un ochju nantu à altri insiders chì meritanu ancu un statutu di fama. Un puntu impurtante chì vale a pena enfatizà nantu à i metudi chì Snowden hà utilizatu hè chì, à a nostra cunniscenza, ellu ùn hà micca stallatu nisun software maliziusu esternu!
Invece, Snowden hà utilizatu un pocu di ingegneria suciale è hà utilizatu a so pusizioni cum'è amministratore di sistema per cullà password è creà credenziali. Nunda cumplicatu - nimu , attacchi o .
L'impiegati di l'urganisazione ùn sò micca sempre in a pusizioni unica di Snowden, ma ci sò parechje lezioni per esse amparate da u cuncettu di "survival by pastura" per esse cuscenti - per ùn impegnà micca in ogni attività maliciosa chì pò esse rilevata, è per esse soprattuttu. attenti à l'usu di e credenziali. Ricurdativi di stu pensamentu.
è u so cuginu anu impressuatu innumerevoli pentesters, pirate è bloggers di cybersecurity. È quandu hè cumminatu cù mimikatz, psexec permette à l'attaccanti di trasfurmà in una rete senza avè bisognu di cunnosce a password di testu in claru.
Mimikatz intercepts the NTLM hash from the LSASS process and then pass the token or credentials - the so-called. "passa l'hash" attaccu - in psexec, chì permette à un attaccu di accede à un altru servitore cum'è d’un altru utilizatore. È cù ogni mossa sussegwente à un novu servitore, l'attaccante recullà credenziali supplementari, espansione a gamma di e so capacità in a ricerca di cuntenutu dispunibule.
Quandu aghju cuminciatu à travaglià cù psexec mi pareva magicu - grazie , u brillanti sviluppatore di psexec - ma cunnosci ancu di u so rumoroso cumpunenti. Ùn hè mai sicretu!
U primu fattu interessante di psexec hè chì usa assai cumplessu Protokollu di file di rete SMB da Microsoft. Utilizendu SMB, psexec trasferisce picculi binariu i schedari à u sistema di destinazione, mettenduli in u cartulare C: Windows.
In seguitu, psexec crea un serviziu Windows utilizendu u binariu copiatu è u corre sottu u nome estremamente "inaspettatu" PSEXECSVC. À u listessu tempu, pudete vede tuttu questu, cum'è aghju fattu, fighjendu una macchina remota (vede sottu).
A carta telefonica di Psexec: serviziu "PSEXECSVC". Esegue un schedariu binariu chì hè statu piazzatu via SMB in u cartulare C: Windows.
Cum'è un passu finali, si apre u schedariu binariu copiatu cunnessione RPC à u servitore di destinazione è poi accetta cumandamenti di cuntrollu (via u Windows cmd shell per difettu), lancianduli è redirigendu input è output à a macchina di casa di l'attaccante. In questu casu, l'attaccante vede a linea di cumanda basica - u listessu cum'è s'ellu era cunnessu direttamente.
Un saccu di cumpunenti è un prucessu assai rumoroso!
L'internu cumplessu di psexec spiegà u missaghju chì m'hà perplessu durante i mo primi testi parechji anni fà: "Starting PSEXECSVC..." seguita da una pausa prima di l'apparizione di l'urdinamentu di cumanda.
Psexec di Impacket mostra in realtà ciò chì succede sottu u cappucciu.
Ùn hè micca surprisante: psexec hà fattu una quantità enorme di travagliu sottu u cappucciu. Sè site interessatu in una spiegazione più dettagliata, verificate quì descrizzione maravigliosa.
Ovviamente, quandu s'utilice cum'è strumentu di amministrazione di u sistema, chì era scopu originale psexec, ùn ci hè nunda di male cù u "buzzing" di tutti sti miccanismi Windows. Per un attaccante, però, psexec crea cumplicazioni, è per un insider prudente è astutu cum'è Snowden, psexec o una utilità simile seria troppu risicu.
È dopu vene Smbexec
SMB hè un modu intelligente è secretu per trasfiriri fugliali trà i servitori, è i pirate sò stati infiltrati in SMB direttamente dapoi seculi. Pensu chì ognunu sapi digià chì ùn vale a pena I porti SMB 445 è 139 à Internet, nò?
À Defcon 2013, Eric Millman () presentatu , cusì chì i pentesters ponu pruvà stealth SMB pirate. Ùn cunnosci micca tutta a storia, ma poi Impacket hà ancu raffinatu smbexec. In fattu, per a mo prova, aghju scaricatu i script da Impacket in Python da .
A cuntrariu di psexec, smbexec evita trasferendu un schedariu binariu potenzialmente rilevatu à a macchina di destinazione. Invece, l'utilità vive interamente da pasture à u lanciu lucale Linea di cummanda di Windows.
Eccu ciò chì face: passa un cumandamentu da a macchina attaccante via SMB à un schedariu di input speciale, è poi crea è eseguisce una linea di cumanda cumplessa (cum'è un serviziu Windows) chì parerà familiar à l'utilizatori di Linux. In corta: lancia una cunchiglia cmd nativa di Windows, redirige l'output à un altru schedariu, è poi u manda via SMB à a macchina di l'attaccante.
U megliu modu per capiscenu questu hè di guardà a linea di cummanda, chì aghju pussutu piglià e mo mani da u logu di l'eventi (vede quì sottu).
Ùn hè micca questu u più grande modu per reindirizzà I / O? Per via, a creazione di serviziu hà l'ID d'avvenimentu 7045.
Cum'è psexec, crea ancu un serviziu chì faci tuttu u travagliu, ma u serviziu dopu sguassatu - hè adupratu solu una volta per eseguisce u cumandamentu è poi sparisce! Un ufficiale di sicurità di l'infurmazioni chì monitoreghja a macchina di a vittima ùn serà micca capaci di detectà evidenti Indicatori di attaccu: Ùn ci hè micca un schedariu maliziusu chì hè lanciatu, ùn hè micca stallatu un serviziu persistente, è ùn ci hè micca evidenza di RPC utilizatu postu chì SMB hè l'unicu modu di trasferimentu di dati. Brillante!
Da u latu di l'attaccante, un "pseudo-shell" hè dispunibule cù ritardi trà l'invià u cumandamentu è a ricivuta di a risposta. Ma questu hè abbastanza per un attaccante - o un insider o un pirate esternu chì hà digià un postu - per cumincià à circà un cuntenutu interessante.
Per rinvià i dati da a macchina di destinazione à a macchina di l'attaccante, hè utilizatu . Iè, hè a stessa Samba , ma solu cunvertitu in un script Python da Impacket. In fatti, smbclient vi permette di accolta trasferimenti FTP per SMB.
Facemu un passu in daretu è pensemu ciò chì questu pò fà per l'impiigatu. In u mo scenariu fittiziu, dicemu chì un blogger, un analista finanziariu o un cunsultore di sicurità assai pagatu hè permessu di utilizà un laptop persunale per u travagliu. In u risultatu di qualchì prucessu magicu, ella si offende à a cumpagnia è "va tuttu male". Sicondu u sistema operatore di u laptop, o usa a versione Python da Impact, o a versione Windows di smbexec o smbclient cum'è un schedariu .exe.
Cum'è Snowden, scopre a password di un altru utilizatore sia fighjendu nantu à a so spalla, o hà furtunatu è si trova in un schedariu di testu cù a password. È cù l'aiutu di sti credenziali, ella principia à scavà intornu à u sistema à un novu livellu di privilegi.
Hacking DCC: Ùn avemu micca bisognu di "Stupid" Mimikatz
In i mo posti precedenti nantu à pentesting, aghju usatu mimikatz assai spessu. Questu hè un grande strumentu per intercepte credenziali - NTLM hashes è ancu e password di testu chjaru nascosti in i laptops, aspittendu solu per esse utilizati.
I tempi sò cambiati. I strumenti di monitoraghju sò megliu per a rilevazione è u bloccu di mimikatz. L'amministratori di a sicurità di l'infurmazioni anu avà ancu più opzioni per riduce i risichi assuciati cù l'attacchi di l'hash (PtH).
Allora chì deve fà un impiigatu intelligente per cullà credenziali supplementari senza aduprà mimikatz?
U kit di Impacket include una utilità chjamata , chì recupera credenziali da u Domain Credential Cache, o DCC per cortu. A mo capiscitura hè chì se un utilizatore di u duminiu accede à u servitore ma u cuntrollu di u duminiu ùn hè micca dispunibule, DCC permette à u servitore autentificà l'utilizatore. In ogni casu, secretsdump permette di dump tutti questi hashes si sò dispunibili.
L'hash DCC sò micca hash NTML è i so ùn pò esse usatu per l'attaccu PtH.
Ebbè, pudete pruvà à marcianise li pè ottene u password uriginale. Tuttavia, Microsoft hè diventatu più intelligente cù DCC è i hashes DCC sò diventati estremamente difficiuli di crack. Iè, aghju , "u guesser di password più veloce di u mondu", ma hè bisognu di una GPU per eseguisce in modu efficace.
Invece, pruvemu à pensà cum'è Snowden. Un impiigatu pò fà ingegneria suciale faccia à faccia è possibbilmente truvà qualchì infurmazione nantu à a persona chì a password vole cracke. Per esempiu, scopre se u contu in linea di a persona hè mai statu piratatu è esaminà a so password di testu chjaru per ogni indizia.
È questu hè u scenariu chì aghju decisu di andà. Assumimu chì un insider hà sappiutu chì u so capu, Cruella, era statu pirateatu parechje volte in diverse risorse web. Dopu avè analizatu parechji di sti password, capisce chì Cruella preferisce aduprà u formatu di u nome di a squadra di baseball "Yankees" seguita da l'annu currentu - "Yankees2015".
Sè vo site avà pruvatu à ripruduce questu in casa, pudete scaricà un picculu "C" , chì implementa l'algoritmu di hashing DCC, è compilà. , per via, aghjustatu supportu per DCC, perchè pò ancu esse usatu. Assumimu chì un insider ùn vole micca disturbà à amparà Ghjuvanni l'Squartatore è li piace à eseguisce "gcc" nantu à u codice C legacy.
Fingendu u rolu di un insider, aghju pruvatu parechje cumminazzioni diffirenti è hè stata eventualmente capace di scopre chì a password di Cruella era "Yankees2019" (vede sottu). Mission cumpleta!
Un pocu di ingegneria suciale, un pizzicu di furtuna è un pizzicu di Maltego è site bè nantu à a strada di cracke l'hash DCC.
Suggeriu chì finiscemu quì. Riturneremu à stu tema in altri posti è fighjemu i metudi d'attaccu ancu più lenti è furtivi, cuntinuendu à custruisce nantu à l'eccellente set di utilità di Impacket.
Source: www.habr.com