Questu articulu hè statu scrittu basatu annantu à un pentest assai successu chì i specialisti di u Gruppu-IB anu realizatu un paru d'anni fà: una storia hè accaduta chì puderia esse adattata per u film in Bollywood. Avà, prubabilmente, a reazione di u lettore seguitarà: "Oh, un altru articulu di PR, di novu questi sò ritratti, quantu sò boni, ùn vi scurdate di cumprà un pentest". Ebbè, da una banda, hè. Tuttavia, ci sò parechje altre ragioni per quessa chì stu articulu hè apparsu. Vuliu dimustrà ciò chì facenu esattamente i pentesters, quantu interessanti è micca triviali stu travagliu pò esse, chì circustanze divertenti ponu esse in i prughjetti, è più impurtante, mostra materiale in diretta cù esempi veri.
Per restaurà l'equilibriu di u pudore in u mondu, dopu un pocu tempu scriveremu nantu à un pentest chì ùn hè micca andatu bè. Dimustraremu cumu i prucessi ben disignati in una sucità ponu prutegge contru una larga gamma di attacchi, ancu bè preparati, solu perchè questi prucessi esistenu è funzionanu veramente.
Per u cliente in questu articulu, tuttu era ancu in generale eccellente, almenu megliu cà 95% di u mercatu in a Federazione Russa, secondu i nostri sentimenti, ma ci era una quantità di picculi sfumature chì formanu una longa catena di avvenimenti, chì prima. hà purtatu à un longu rapportu nantu à u travagliu, è dopu à stu articulu.
Allora, facemu scorta di popcorn, è benvenuti à a storia di detective. Parola - Pavel Suprunyuk, capu tecnicu di u dipartimentu "Audit and Consulting" di Group-IB.
Parte 1. Dottore Pochkin
2018 Ci hè un cliente - una sucità IT high-tech, chì stessu serve parechji clienti. Vulete avè una risposta à a quistione: hè pussibule, senza cunniscenza iniziale è accessu, travagliendu via Internet, per ottene diritti di amministratore di dominiu Active Directory? Ùn sò micca interessatu à alcuna ingegneria suciale (), ùn anu micca intesu interferiscenu cù u travagliu apposta, ma puderanu accidintali - ricaricà un servitore stranu, per esempiu. Un scopu supplementu hè di identificà quant'è altri vettori di attaccu pussibule contru u perimetru esterno. A cumpagnia cunduce regularmente tali teste, è avà hè ghjuntu u termini per una nova prova. I cundizioni sò quasi tipici, adatti, capisci. Cuminciamu.
Ci hè un nome di u cliente - chì sia "Company", cù u situ web principale . Di sicuru, u cliente hè chjamatu in modu diversu, ma in questu articulu tuttu serà impersonale.
Cunduce a ricunniscenza di a rete - scopre quale indirizzi è domini sò registrati cù u cliente, tracciate un diagramma di rete, cumu i servizii sò distribuiti à questi indirizzi. Aghju u risultatu: più di 4000 indirizzi IP in diretta. Fighjulà i duminii in queste rete: per furtuna, a grana maiuranza sò rete destinate à i clienti di u cliente, è ùn avemu micca formalmente interessatu in elli. U cliente pensa u listessu.
Ci hè una reta cù l'indirizzi 256, per quale in questu mumentu ci hè digià un capiscenu di a distribuzione di duminii è subdominii per indirizzi IP, ci hè infurmazione nantu à i porti scansati, chì significa chì pudete guardà i servizii per quelli interessanti. In parallelu, ogni tipu di scanners sò lanciati nantu à l'indirizzi IP dispunibili è separatamente in i siti web.
Ci sò assai servizii. Di solitu questu hè gioia per u pentester è l'anticipazione di una vittoria rapida, postu chì più servizii ci sò, u più grande u campu per l'attaccu è più faciule hè di truvà un artefactu. Un sguardu rapidu à i siti web hà dimustratu chì a maiò parte di elli sò interfacce web di prudutti cunnisciuti di grande cumpagnie glubale, chì da tutte l'apparenza vi dicenu chì ùn sò micca benvenuti. Ci dumandanu un nome d'utilizatore è una password, scuzzulate u campu per inserisce u sicondu fattore, dumandanu un certificatu di cliente TLS, o mandanu à Microsoft ADFS. Certi sò simpliciamente inaccessibili da Internet. Per alcuni, avete bisognu di avè un cliente pagatu speciale per trè salarii o cunnosce l'URL esatta per entre. Saltemu un'altra settimana di disprezzu graduale in u prucessu di pruvà à "sfondà" versioni di software per vulnerabilità cunnisciute, cerchendu u cuntenutu oculatu in i percorsi web è i conti filtrati da i servizii di terze parti cum'è LinkedIn, pruvendu à indovinà e password chì l'utilizanu, ancu. cum'è scavi di vulnerabilità in siti web scritti da sè - per via, secondu statistiche, questu hè u vettore più promettente di l'attaccu esternu oghje. Notaraghju subitu u fucile di filmu chì hà sparatu dopu.
Cusì, avemu trovu dui siti chì si distingue da centinaie di servizii. Questi siti avianu una cosa in cumunu: se ùn fate micca una ricunniscenza meticulosa di a rete per u duminiu, ma cercate frontalmente i porti aperti o mirate à un scanner di vulnerabilità utilizendu una gamma IP cunnisciuta, allora questi siti scapparanu di scanning è ùn saranu micca solu. visibile senza sapè u nome DNS. Forsi si sò mancati prima, almenu, è i nostri arnesi automatichi ùn anu micca trovu prublemi cun elli, ancu s'elli sò stati mandati direttamente à a risorsa.
Per via, circa ciò chì i scanners lanciati prima trovanu in generale. Lasciami ricurdà: per certi persone, "pentest" hè equivalente à "scansione automatizata". Ma i scanners nantu à stu prughjettu ùn dicenu nunda. Ebbè, u massimu hè statu dimustratu da e vulnerabilità Medium (3 fora di 5 in termini di gravità): in certi servizii un cattivu certificatu TLS o algoritmi di criptografia obsoleti, è in a maiò parte di i siti Clickjacking. Ma questu ùn vi porta micca à u vostru scopu. Forsi i scanners seranu più utili quì, ma lasciami ricurdà: u cliente stessu hè capaci di cumprà tali prugrammi è pruvà cun elli, è, à ghjudicà da i risultati disgraziati, hà digià verificatu.
Riturnemu à i siti "anormali". U primu hè qualcosa cum'è un Wiki lucale à un indirizzu micca standard, ma in questu articulu lasciate esse wiki.company[.]ru. Ella hà ancu dumandatu immediatamente un login è una password, ma attraversu NTLM in u navigatore. Per l'utilizatori, questu s'assumiglia à una finestra ascetica chì dumanda à inserisce un nome d'utilizatore è una password. È questu hè una mala pratica.
Una piccula nota. NTLM in siti web perimetrali hè male per una quantità di motivi. U primu mutivu hè chì u nome di duminiu Active Directory hè revelatu. In u nostru esempiu, hè statu ancu esse company.ru, cum'è u nome DNS "esternu". Sapendu questu, pudete preparà currettamente qualcosa malicious in modu chì hè eseguitu solu nantu à a macchina di u duminiu di l'urganizazione, è micca in qualchì sandbox. Siconda, l'autentificazione passa direttamente à traversu u cuntrollu di u duminiu via NTLM (sorpresa, nò?), cù tutte e funziunalità di e pulitiche di a rete "interna", cumpresu u bloccu di i cunti da superà u numeru di tentativi di ingressu di password. Se un attaccante scopre i logins, pruvarà password per elli. Sè site cunfiguratu per bluccà i cunti da inserisce password sbagliate, funziona è u contu serà bluccatu. Terzu, hè impussibile di aghjunghje un secondu fattore à tali autentificazione. Se qualchissia di i lettori sapi sempre cumu, fatemi sapè, hè veramente interessante. Quartu, vulnerabilità à l'attacchi pass-the-hash. ADFS hè statu inventatu, frà altre cose, per pruteggiri contru à tuttu questu.
Ci hè una cattiva pruprietà di i prudutti Microsoft: ancu s'ellu ùn hà micca publicatu specificamente tali NTLM, serà stallatu per automaticamente in OWA è Lync, almenu.
A propositu, l'autore di questu articulu hà bluccatu una volta accidintali circa 1000 cunti di l'impiegati di un grande bancu in una sola ora cù u stessu metudu è dopu pareva un pocu pallidu. I servizii di l'informatica di u bancu eranu ancu pallidi, ma tuttu hè finitu bè è bè, era ancu elogiatu per esse u primu à truvà stu prublema è pruvucà una correzione rapida è decisiva.
U sicondu situ avia l'indirizzu "ovviamente un tipu di cognome.company.ru". Truvatu attraversu Google, qualcosa cum'è questu nantu à a pagina 10. U disignu era da l'iniziu di a mità di l'anni XNUMX, è una persona rispettabile l'hà guardatu da a pagina principale, qualcosa cum'è questu:
Quì aghju pigliatu un stillu da "Heart of a Dog", ma crede mi, era vagamente simili, ancu u disignu di culore era in toni simili. Chì u situ sia chjamatu preobrazhensky.company.ru.
Era un situ web persunale... per un urologu. Mi dumandu ciò chì u situ web di l'urologu facia nantu à u subdominiu di una cumpagnia d'alta tecnulugia. Un scavà rapidu in Google hà dimustratu chì stu duttore era un cofundatore di una di e persone giuridiche di i nostri clienti è ancu cuntribuitu à circa 1000 XNUMX rubli in a capitale autorizata. U situ hè statu prubabilmente creatu parechji anni fà, è i risorse di u servitore di u cliente sò stati utilizati cum'è hosting. U situ hà longu persu a so rilevanza, ma per qualchi ragiuni hè stata lasciata à travaglià per un bellu pezzu.
In termini di vulnerabilità, u situ web stessu era sicuru. In u futuru, diceraghju chì era un inseme di infurmazione statica - pagine html simplici cù illustrazioni inserite in forma di rini è vejiche. Hè inùtule per "rompere" un tali situ.
Ma u servitore web sottu era più interessante. A ghjudicà da l'intestazione HTTP Server, avia IIS 6.0, chì significa chì hà utilizatu Windows 2003 cum'è sistema operatore. U scanner avia prima identificatu chì stu situ web urologu particulari, à u cuntrariu di altri ospiti virtuali nantu à u stessu servitore web, hà rispostu à u cumandimu PROPFIND, chì significava chì era in esecuzione WebDAV. In modu, u scanner hà tornatu sta infurmazione cù a marca Info (in a lingua di i rapporti di scanner, questu hè u periculu più bassu) - tali cose sò generalmente saltate. In cumbinazione, questu hà datu un effettu interessante, chì hè statu revelatu solu dopu à un altru scavà in Google: una vulnerabilità rara di buffer overflow assuciata à u settore Shadow Brokers, vale à dì CVE-2017-7269, chì hà digià avutu un sfruttamentu ready-made. In altri palori, ci saranu prublemi se avete Windows 2003 è WebDAV funziona in IIS. Ancu se eseguisce Windows 2003 in produzzione in 2018 hè un prublema in sè stessu.
U sfruttamentu hà finitu in Metasploit è hè statu immediatamente pruvatu cù una carica chì hà mandatu una dumanda DNS à un serviziu cuntrullatu - Burp Collaborator hè tradiziunale utilizatu per catturà e dumande DNS. À a mo sorpresa, hà travagliatu a prima volta: un knockout DNS hè statu ricevutu. Dopu, ci hè statu un tentativu di creà una backconnect via u portu 80 (vale à dì, una cunnessione di rete da u servitore à l'attaccante, cù accessu à cmd.exe nantu à l'ospitu vittima), ma dopu un fiasco hè accadutu. A cunnessione ùn hè micca ghjunta, è dopu à u terzu tentativu di utilizà u situ, cù tutti i ritratti interessanti, sparì per sempre.
Di solitu questu hè seguitu da una lettera in u stilu di "cliente, svegliate, avemu abbandunatu tuttu". Ma ci hè statu dettu chì u situ ùn hà nunda di fà cù i prucessi di l'affari è travaglia quì senza ragiuni, cum'è tuttu u servitore, è chì pudemu usà sta risorsa cum'è vulemu.
Circa un ghjornu dopu, u situ hà cuminciatu à travaglià per sè stessu. Dopu avè custruitu un bancu da WebDAV nantu à IIS 6.0, aghju trovu chì l'impostazione predeterminata hè di riavvià i prucessi di travagliu IIS ogni 30 ore. Vale à dì, quandu u cuntrollu abbandunò u shellcode, u prucessu di u travagliu di l'IIS hè finitu, dopu si riavviò un paru di volte è poi andò à riposu per 30 ore.
Siccomu a backconnect to tcp falliu a prima volta, aghju attribuitu stu prublema à un portu chjusu. Vale à dì, hà presumitu a prisenza di qualchì tipu di firewall chì ùn permettenu micca e cunnessione in uscita per passà fora. Aghju cuminciatu à eseguisce shellcodes chì cercavanu in parechji porti tcp è udp, ùn ci era micca effettu. I carichi di cunnessione inversa via http(s) da Metasploit ùn anu micca travagliatu - meterpreter/reverse_http(s). Di colpu, una cunnessione à u stessu portu 80 hè stata stabilita, ma subitu abbandunò. Aghju attribuitu questu à l'azzione di l'IPS sempre imaginariu, chì ùn piace micca u trafficu meterpreter. In vista di u fattu chì una cunnessione tcp pura à u portu 80 ùn hà micca passatu, ma una cunnessione http hà fattu, aghju cunclusu chì un proxy http era in qualchì modu cunfiguratu in u sistema.
Aghju ancu pruvatu meterpreter via DNS (grazie per i vostri sforzi, salvatu assai prughjetti), ricurdendu u primu successu, ma ùn hà mancu travagliatu nantu à u stand - u shellcode era troppu voluminosu per questa vulnerabilità.
In realtà, pareva cusì: 3-4 tentativi di attacchi in 5 minuti, dopu aspittendu 30 ore. È cusì per trè settimane in una fila. Aghju ancu stabilitu un ricordu per ùn perde u tempu. Inoltre, ci era una diffarenza in u cumpurtamentu di l'ambienti di teste è di produzzione: per questa vulnerabilità ci era dui sfruttamenti simili, unu da Metasploit, u sicondu da Internet, cunvertitu da a versione Shadow Brokers. Allora, solu Metasploit hè statu pruvatu in cumbattimentu, è solu u sicondu hè statu pruvatu à u bancu, chì hà fattu a debugging ancu più difficiuli è era brain-busting.
À a fine, un shellcode chì hà scaricatu un schedariu exe da un servitore determinatu via http è l'hà lanciatu nantu à u sistema di destinazione hà dimustratu efficace. U shellcode era abbastanza chjucu per adattà, ma almenu hà travagliatu. Siccomu u servitore ùn hà micca piace à u trafficu TCP è http (s) hè statu inspeccionatu per a presenza di meterpreter, decisu chì u modu più veloce era di scaricà un schedariu exe chì cuntene DNS-meterpreter attraversu stu shellcode.
Eccu dinò un prublema: quandu si scaricava un schedariu exe è, cum'è i tentativi dimustratu, ùn importa micca quale, a scaricamentu hè stata interrotta. À novu, qualchì dispositivu di sicurità trà u mo servitore è l'urologu ùn hà micca piaciutu u trafficu http cù un exe in l'internu. A suluzione "rapida" paria esse di cambià u shellcode in modu chì offuscate u trafficu http nantu à a mosca, cusì chì i dati binari astratti seranu trasferiti invece di exe. Infine, l'attaccu hè successu, u cuntrollu hè statu ricevutu à traversu u canali DNS magre:
Immediatamente hè diventatu chjaru chì aghju i diritti più basi di u flussu di travagliu IIS, chì mi permettenu di fà nunda. Questu hè ciò chì pareva nantu à a cunsola Metasploit:
Tutte e metodulugia pentest suggerenu fermamente chì avete bisognu di aumentà i diritti quandu avete accessu. Di solitu ùn fà micca questu in u locu, postu chì u primu accessu hè vistu solu cum'è un puntu di ingressu di a rete, è cumprumette un'altra macchina in a listessa reta hè di solitu più faciule è più veloce chè l'escalada di privilegi in un host esistente. Ma questu ùn hè micca u casu quì, postu chì u canali DNS hè assai strettu è ùn permettenu micca u trafficu di sbulicà.
Assumindu chì stu servitore Windows 2003 ùn hè micca statu riparatu per a famosa vulnerabilità MS17-010, aghju tunnellate u trafficu à u portu 445 / TCP attraversu u tunnel DNS di meterpreter à u localhost (sì, questu hè ancu pussibule) è pruvate à eseguisce l'exe telecaricatu prima. a vulnerabilità. L'attaccu travaglia, riceve una seconda cunnessione, ma cù diritti SISTEMA.
Hè interessante chì anu sempre pruvatu à prutezzione di u servitore da MS17-010 - hà avutu i servizii di rete vulnerabile disattivati in l'interfaccia esterna. Questu prutege contr'à attacchi nantu à a reta, ma l'attaccu da l'internu nantu à u localhost hà travagliatu, postu chì ùn pudete micca solu disattivà rapidamente SMB in localhost.
In seguitu, novi dettagli interessanti sò revelati:
- Avè i diritti di SISTEMA, pudete facilmente stabilisce una backconnection via TCP. Ovviamente, disattivà TCP direttu hè strettamente un prublema per l'utilizatori limitati di IIS. Spoiler: u trafficu di l'utilizatori di l'IIS era in qualchì modu imballatu in u proxy ISA locale in e duie direzzione. Cumu funziona esattamente, ùn aghju micca ripruduciutu.
- Sò in un certu "DMZ" (è questu ùn hè micca un duminiu Active Directory, ma un WORKGROUP) - pare logicu. Ma invece di l'indirizzu IP privatu previstu ("grigiu"), aghju un indirizzu IP completamente "biancu", esattamente u listessu cum'è quellu chì aghju attaccatu prima. Questu significa chì a cumpagnia hè cusì vechja in u mondu di l'indirizzu IPv4 chì pò permette di mantene una zona DMZ per 128 indirizzi "bianchi" senza NAT secondu u schema, cum'è illustratu in i manuali Cisco da 2005.
Siccomu u servitore hè vechju, Mimikatz hè garantitu per travaglià direttamente da a memoria:
Riceve a password di l'amministratore locale, u trafficu RDP di tunnel nantu à TCP è accede à un desktop accogliente. Siccomu puderia fà tuttu ciò chì vulia cù u servitore, aghju sguassatu l'antivirus è truvaru chì u servitore era accessibile da Internet solu per i porti TCP 80 è 443, è 443 ùn era micca occupatu. Aghju stallatu un servitore OpenVPN nantu à 443, aghjunghje funzioni NAT per u mo trafficu VPN è uttene accessu direttu à a reta DMZ in una forma illimitata attraversu u mo OpenVPN. Hè nutate chì ISA, avè qualchì funzione IPS non-disabled, bluccatu u mo trafficu cù scanning portu, per quale deve esse rimpiazzatu cù un RRAS più simplice è più cumpletu. Allora i pentesters qualchì volta anu sempre da amministrà ogni tipu di cose.
Un lettore attentu dumandarà: "Chì hè u sicondu situ - una wiki cù autentificazione NTLM, di quale hè statu scrittu tantu?" Più nantu à questu dopu.
Parte 2. Sempre micca criptu? Allora venemu da voi digià quì
Dunque, ci hè accessu à u segmentu di a rete DMZ. Avete bisognu à andà à l'amministratore di u duminiu. A prima cosa chì vene in mente hè di verificà automaticamente a sicurità di i servizii in u segmentu DMZ, soprattuttu chì assai più di elli sò avà aperti per a ricerca. Una stampa tipica durante una prova di penetrazione: u perimetru esternu hè megliu prutettu cà i servizii internu, è quandu uttene un accessu à una grande infrastruttura, hè assai più faciule d'ottene diritti estesi in un duminiu solu per u fattu chì stu duminiu cumencia à esse. accessìbule à l'arnesi, è in segundu, In una infrastruttura cù parechji milla ospiti, ci sarà sempre un paru di prublemi critichi.
Caricà i scanners via DMZ via un tunnel OpenVPN è aspetta. Apertu u rapportu - novu nunda di seriu, apparentemente qualchissia hà passatu u stessu metu prima di mè. U prossimu passu hè di esaminà cumu si cumunicanu l'ospiti in a reta DMZ. Per fà questu, prima lanciate u Wireshark di solitu è ascolta e dumande di trasmissione, principalmente ARP. I pacchetti ARP sò stati cullati tuttu u ghjornu. Ci hè chì parechji gateway sò usati in questu segmentu. Questu serà utile più tardi. Cumminendu e dati nantu à e risposte di a dumanda ARP è e dati di scanning di portu, aghju trovu i punti di uscita di u trafficu di l'utilizatori da l'internu di a reta lucale in più di quelli servizii chì eranu cunnisciuti prima, cum'è web è mail.
Siccomu à u mumentu ùn aghju micca accessu à altri sistemi è ùn avianu micca un cuntu unicu per i servizii corporativi, hè statu decisu di piscà almenu un contu da u trafficu cù ARP Spoofing.
Cain & Abel hè stata lanciata nantu à u servitore di l'urologu. In cunsiderà i flussi di trafficu identificati, i pariglii più promettenti per l'attaccu man-in-the-middle sò stati scelti, è dopu un pocu di trafficu di a rete hè statu ricevutu da un lanciu di cortu termine per 5-10 minuti, cù un timer per reboot u servitore. in casu di congelazione. Cum'è in u scherzu, ci era duie nutizie:
- Bonu: assai credenziali sò stati cullati è l'attaccu in tuttu hà travagliatu.
- U male: tutte e credenziali eranu da i clienti di u cliente. Mentre furnisce servizii di supportu, i spezialisti di i clienti cunnessi à i servizii di i clienti chì ùn anu micca sempre cunfiguratu a criptografia di trafficu.
In u risultatu, aghju acquistatu assai credenziali chì eranu inùtuli in u cuntestu di u prugettu, ma definitivamente interessanti cum'è una dimostrazione di u periculu di l'attaccu. Routers di cunfini di e grande cumpagnie cù telnet, i porti http di debug trasmessi à u CRM internu cù tutti i dati, accessu direttu à RDP da Windows XP nantu à a reta lucale è altri oscurantismu. Hè risultatu cusì .
Aghju trovu ancu una divertente opportunità per cullà e lettere da u trafficu, qualcosa cusì. Questu hè un esempiu di una lettera pronta chì andò da u nostru cliente à u portu SMTP di u so cliente, di novu, senza criptografia. Un certu Andrey dumanda à u so omonimu di rinvià a documentazione, è hè caricata in un discu di nuvola cù login, password è ligame in una lettera di risposta:
Questu hè un altru ricordu per criptà tutti i servizii. Ùn hè micca cunnisciutu quale è quandu leghje è aduprà i vostri dati specificamente - u fornitore, l'amministratore di u sistema di una altra cumpagnia, o un tali pentester. Sò silenziu annantu à u fattu chì parechje persone ponu solu intercepte u trafficu micca criptatu.
Malgradu u successu apparente, questu ùn ci hà micca avvicinatu à u scopu. Hè pussibule, sicuru, di pusà per un bellu pezzu è pisci infurmazione preziosa, ma ùn hè micca un fattu chì apparissi quì, è l'attaccu stessu hè assai risicatu in quantu à l'integrità di a reta.
Dopu un altru scavà in i servizii, una idea interessante hè vinuta in mente. Ci hè una tale utilità chjamata Responder (hè faciule truvà esempi di usu di stu nome), chì, per "avvelenamentu" e dumande di broadcast, pruvucanu cunnessione via una varietà di protokolli cum'è SMB, HTTP, LDAP, etc. in modu diversu, poi dumanda à tutti quelli chì si cunnetta per autentificà è a mette in modu chì l'autentificazione si faci via NTLM è in un modu trasparente à a vittima. A maiò spessu, un attaccu cullighja NetNTLMv2 handshakes in questu modu è da elli, utilizendu un dizziunariu, recupera rapidamente e password di l'utilizatori di u duminiu. Quì aghju vulsutu qualcosa di simile, ma l'utilizatori si pusonu "darrettu à un muru", o megliu, eranu siparati da un firewall, è accede à u WEB attraversu u cluster proxy Blue Coat.
Ricurdativi, aghju specificatu chì u nome di duminiu Active Directory coincide cù u duminiu "esternu", vale à dì, era company.ru? Allora, Windows, più precisamente Internet Explorer (è Edge è Chrome), permettenu à l'utilizatore per autentificà in modu trasparente in HTTP via NTLM se cunsidereghja chì u situ hè situatu in qualchì "Zona Intranet". Unu di i segni di una "Intranet" hè l'accessu à un indirizzu IP "grigiu" o un nome DNS cortu, vale à dì senza punti. Siccomu avianu un servitore cù un nome IP è DNS "biancu" preobrazhensky.company.ru, è e macchine di dominiu di solitu ricevenu u suffissu di dominiu Active Directory via DHCP per l'ingressu simplificatu di u nome, anu avutu solu à scrive l'URL in a barra di indirizzu. , cusì chì si trovanu a strada ghjustu à u servitore di l'urologu cumprumissu, senza scurdà chì questu hè issa chjamatu "Intranet". Questu hè, à u stessu tempu dendu u NTLM-handshake di l'utilizatori senza a so cunniscenza. Tuttu ciò chì resta hè di furzà i navigatori di i clienti à pensà à l'urgente bisognu di cuntattà stu servitore.
A maravigliosa utilità Intercepter-NG hè ghjunta in salvezza (grazie ). Hè permessu di cambià u trafficu nantu à a mosca è hà travagliatu bè in Windows 2003. Hè ancu avutu una funziunalità separata per mudificà solu i schedari JavaScript in u flussu di trafficu. Una sorta di Cross-Site Scripting massiva hè stata pianificata.
I proxy Blue Coat, attraversu i quali l'utilizatori accedenu à u WEB globale, cachevanu periodicamente u cuntenutu staticu. Interceptendu u trafficu, era chjaru chì travagliavanu intornu à l'ora, dumandendu incessantemente l'usu staticu spessu usatu per accelerà a visualizazione di u cuntenutu durante l'ore di punta. Inoltre, BlueCoat hà avutu un User-Agent specificu, chì distinguia chjaramente da un veru utilizatore.
Javascript hè statu preparatu, chì, utilizendu Intercepter-NG, hè statu implementatu per una ora di notte per ogni risposta cù i schedari JS per Blue Coat. U script hà fattu u seguente:
- Determinatu u navigatore attuale da User-Agent. S'ellu era Internet Explorer, Edge o Chrome, hà cuntinuatu à travaglià.
- Aghju aspittatu finu à chì u DOM di a pagina hè statu furmatu.
- Inserita una maghjina invisibile in u DOM cù un attributu src di a forma : 8080/NNNNNNN.png, induve NNN sò numeri arbitrarii per chì BlueCoat ùn cache micca.
- Stabilite una variabile di bandiera glubale per indicà chì l'iniezione hè stata cumpletata è ùn ci hè più bisognu di inserisce l'imaghjini.
U navigatore hà pruvatu à carricà sta maghjina; in u portu 8080 di u servitore cumprumissu, un tunnel TCP l'aspittava à u mo laptop, induve u stessu Responder era in esecuzione, chì esigeva chì u navigatore accede via NTLM.
A ghjudicà da i logs di Responder, a ghjente hè ghjunta à u travagliu in a matina, hà attivatu i so stazioni di travagliu, poi in massa è inosservatu hà cuminciatu à visità u servitore di l'urologu, senza scurdà di "drainà" e mani NTLM. Handshakes pioveva tuttu u ghjornu è chjaramente hà accumulatu materiale per un attaccu ovviamente successu per ricuperà e password. Eccu ciò chì i logs di Responder parevanu:
Visite segrete di massa à u servitore urologu da l'utilizatori
Probabilmente avete digià nutatu chì tutta sta storia hè custruita annantu à u principiu "tuttu era bè, ma dopu ci hè statu un bummer, dopu ci hè statu un superamentu, è dopu tuttu hè ghjuntu à successu". Dunque, ci hè statu un disprezzu quì. Di i cinquanta strette di mani uniche, micca una sola hè stata rivelata. E questu cunsiderà u fattu chì ancu in un laptop cù un processatore mortu, sti manichi NTLMv2 sò processati à una velocità di parechji centu milioni di tentativi per seconda.
Aviu avutu à armà cù tecniche di mutazione di password, una carta video, un dizziunariu più grossu è aspittà. Dopu un bellu pezzu, parechji cunti cù password di a forma "Q11111111....1111111q" sò stati revelati, chì suggerisce chì tutti l'utilizatori eranu una volta furzati à vene cun una password assai longa cù un casu diffirenti di caratteri, chì era ancu suppostu. esse cumplessu. Ma ùn pudete micca ingannà un utilizatore espertu, è questu hè cumu si facia più faciule per ellu stessu di ricurdà. In u tutale, circa 5 cunti sò stati cumprumessi, è solu unu d'elli hà avutu i diritti preziosi à i servizii.
Parte 3. Roskomnadzor colpisce
Allora, i primi cunti di duminiu sò stati ricevuti. Se ùn avete micca addormentatu à questu puntu da una longa lettura, probabilmente vi ricurdate chì aghju mintuatu un serviziu chì ùn hà micca bisognu di un secondu fattore di autentificazione: hè un wiki cù autentificazione NTLM. Di sicuru, a prima cosa da fà era entre quì. Scavà in a basa di cunniscenza interna hà purtatu rapidamente risultati:
- A cumpagnia hà una rete WiFi cù autentificazione cù cunti di duminiu cù accessu à a reta lucale. Cù u settore attuale di dati, questu hè digià un vettore di attaccu di travagliu, ma avete bisognu à andà in l'uffiziu cù i vostri pedi è esse situatu in un locu in u territoriu di l'uffiziu di u cliente.
- Aghju trovu una struzzione secondu chì ci era un serviziu chì permetteva ... di registrà indipindente un dispositivu di autentificazione "second factor" se l'utilizatore hè in una reta lucale è si ricorda cun fiducia u so login di duminiu è password. In questu casu, "dentro" è "esternu" sò stati determinati da l'accessibilità di u portu di stu serviziu à l'utilizatori. U portu ùn era micca accessibile da Internet, ma era abbastanza accessibile attraversu a DMZ.
Di sicuru, un "secunnu fattore" hè statu subitu aghjuntu à u contu cumprumissu in a forma di una applicazione nantu à u mo telefunu. Ci era un prugramma chì puderia sia invià à voce alta una dumanda di spinta à u telefunu cù i buttoni "appruvà" / "disappruvà" per l'azzione, o mostra in silenziu u codice OTP nantu à u screnu per più ingressu indipendente. Inoltre, u primu metudu era supponitu da l'istruzzioni per esse l'unicu currettu, ma ùn hà micca travagliatu, à u cuntrariu di u metudu OTP.
Cù u "second factor" rottu, aghju pussutu accede à u mail Outlook Web Access è l'accessu remoto in Citrix Netscaler Gateway. Ci hè stata una sorpresa in u mail in Outlook:
In questu colpu raru pudete vede cumu Roskomnadzor aiuta i pentesters
Questi eranu i primi mesi dopu à u famosu "fan" bluccatu di Telegram, quandu e rete intere cù millaie di indirizzi inexorably spariti da l'accessu. Hè diventatu chjaru perchè a spinta ùn hà micca travagliatu subitu è perchè a mo "vittima" ùn hà micca sonatu l'alarma perchè anu cuminciatu à aduprà u so contu durante l'ore apertu.
Qualchissia familiarizatu cù Citrix Netscaler imagina chì hè di solitu implementatu in tale manera chì solu una interfaccia di stampa pò esse trasmessa à l'utilizatore, circannu di ùn dà micca l'arnesi per lancià applicazioni di terzu è trasferimentu di dati, limitendu in ogni modu pussibuli l'azzioni. attraversu cunchiglia di cuntrollu standard. A mo "vittima", per via di a so occupazione, hà solu 1C:
Dopu avè caminatu un pocu per l'interfaccia 1C, aghju trovu chì ci sò moduli di trasfurmazioni esterni. Puderanu esse carricati da l'interfaccia, è seranu eseguiti nantu à u cliente o servitore, secondu i diritti è i paràmetri.
Aghju dumandatu à i mo amichi di programatori 1C per creà un prucessu chì accettà una stringa è eseguisce. In lingua 1C, principià un prucessu s'assumiglia à questu (pigliatu da Internet). Accettate chì a sintassi di a lingua 1C stupisce a ghjente di lingua russa cù a so spontaneità?
U trasfurmazioni hè stata eseguita perfettamenti, hè diventatu ciò chì i pentesters chjamanu "shell" - Internet Explorer hè stata lanciata attraversu.
Nanzu, l'indirizzu di un sistema chì vi permette di urdinà passe à u tarritoriu hè statu trovu in u mail. Aghju urdinatu un passu in casu chì aghju avutu aduprà un vettore di attaccu WiFi.
Ci hè parlatu in Internet chì ci era sempre diliziosu catering gratuitu à l'uffiziu di u cliente, ma aghju sempre preferitu à sviluppà l'attaccu remotamente, hè più calmu.
AppLocker hè stata attivata nantu à u servitore di l'applicazioni chì eseguisce Citrix, ma hè stata ignorata. U stessu Meterpreter hè stata caricata è lanciata via DNS, postu chì e versioni http (s) ùn vulianu micca cunnette, è ùn cunnosci micca l'indirizzu proxy internu in quellu tempu. A propositu, da questu mumentu, u pentest esternu essenzialmente diventa cumplettamente in un internu.
Part 4. I diritti di amministratore per l'utilizatori sò cattivi, va bè?
U primu compitu di un pentester quandu uttene u cuntrollu di una sessione d'utilizatori di u duminiu hè di cullà tutte l'infurmazioni nantu à i diritti in u duminiu. Ci hè una utilità BloodHound chì permette automaticamente di scaricà l'infurmazioni nantu à l'utilizatori, l'urdinatori, i gruppi di sicurezza via u protokollu LDAP da un controller di dominiu, è via SMB - infurmazione nantu à quale utilizatore hà cunnessu recentemente induve è quale hè l'amministratore lucale.
Una tecnica tipica per piglià i diritti di l'amministratore di u duminiu pare simplificatu cum'è un ciculu d'azzioni monotoni:
- Andemu à l'urdinatori di duminiu induve ci sò diritti di amministratore locale, basatu annantu à i cunti di duminiu digià catturati.
- Lancemu Mimikatz è uttene password in cache, biglietti Kerberos è hash NTLM di cunti di duminiu chì sò recentemente logati in stu sistema. O sguassemu l'imaghjini di memoria di u prucessu lsass.exe è facemu u listessu da u nostru latu. Questu funziona bè cù Windows più chjucu di 2012R2 / Windows 8.1 cù paràmetri predeterminati.
- Determinamu induve i cunti cumprumessi anu diritti di amministratore locale. Ripitemu u primu puntu. In un certu stadiu avemu i diritti di amministratore per tuttu u duminiu.
"End of the Cycle;", cum'è i programatori 1C scriveranu quì.
Dunque, u nostru utilizatore hè diventatu un amministratore lucale in un solu host cù Windows 7, u nome di quale includeva a parolla "VDI", o "Infrastruttura Virtual Desktop", macchine virtuali persunali. Probabilmente, u designer di u serviziu VDI significava chì, postu chì VDI hè u sistema operatore persunale di l'utilizatore, ancu s'ellu cambia l'ambiente di u software cum'è ellu piace, l'ospitu pò ancu esse "ricaricatu". Pensu ancu chì in generale l'idea era bona, aghju andatu à questu host VDI persunale è aghju fattu un nidu quì:
- Aghju installatu un cliente OpenVPN quì, chì hà fattu un tunnel per Internet à u mo servitore. U cliente avia da esse furzatu à passà per u listessu Blue Coat cù l'autentificazione di u duminiu, ma OpenVPN hà fattu, cum'è dicenu, "fora di scatula".
- Installatu OpenSSH nantu à VDI. Ebbè, veramente, chì hè Windows 7 senza SSH?
Questu hè ciò chì pareva in diretta. Lasciami ricurdà chì tuttu questu deve esse fattu attraversu Citrix è 1C:
Una tecnica per prumove l'accessu à l'urdinatori vicini hè di verificà e password di l'amministratore locale per un match. Quì a furtuna aspittava subitu: l'hash NTLM di l'amministratore locale predeterminatu (chì era subitu chjamatu Administrator) hè stata avvicinata per un attaccu pass-the-hash à l'ospiti VDI vicini, di quale ci era parechji centu. Di sicuru, l'attaccu li colpi subitu.
Hè quì chì l'amministratori di VDI si sò sparati in u pede duie volte:
- A prima volta era quandu e macchine VDI ùn sò micca state purtate sottu LAPS, mantenendu essenzialmente a stessa password di l'amministratore lucale da l'imaghjina chì hè stata implementata massivamente à VDI.
- L'amministratore predeterminatu hè l'unicu contu lucale chì hè vulnerabile à l'attacchi pass-the-hash. Ancu cù a listessa password, puderia evità u cumprumissu di massa creendu un secondu contu di amministratore locale cù una password aleatoria cumplessa è bluccà u predeterminatu.
Perchè ci hè un serviziu SSH in quellu Windows? Moltu simplice: avà u servitore OpenSSH ùn hè micca solu furnitu una cunchiglia di cumanda interattiva cunvene senza interferiscenu cù u travagliu di l'utilizatori, ma ancu un proxy socks5 in VDI. Attraversu questi calzini, aghju cunnessu via SMB è raccolte cunti in cache da tutti questi cintunari di machini VDI, dopu cercatu a strada per l'amministratore di u duminiu utilizendu in i gràfici BloodHound. Cù centinaie di ospiti à a mo dispusizione, aghju trovu questu modu abbastanza rapidamente. I diritti di amministratore di u duminiu sò stati ottenuti.
Eccu una foto da Internet chì mostra una ricerca simili. I cunnessione mostranu quale hè induve hè l'amministratore è quale hè logatu induve.
Per via, ricordate a cundizione da u principiu di u prugettu - "ùn aduprate micca l'ingegneria suciale". Allora, pruponu di pensà à quantu tuttu questu Bollywood cù effetti spiciali seria tagliatu s'ellu era ancu pussibule di usà u phishing banale. Ma personalmente, era assai interessante per mè di fà tuttu questu. Spergu chì avete piaciutu di leghje questu. Di sicuru, micca ogni prughjettu pare cusì intrigante, ma u travagliu in generale hè assai sfida è ùn permettenu micca stagnate.
Probabilmente qualcunu avarà una quistione: cumu si prutegge? Ancu stu articulu descrive assai tecniche, assai di quale l'amministratori di Windows ùn cunnosci micca. In ogni casu, prupongu di guardà elli da a perspettiva di i principii manichi è di e misure di sicurezza di l'infurmazioni:
- Ùn aduprate micca software obsoleti (ricurdate Windows 2003 à u principiu?)
- ùn mantene micca i sistemi innecessarii attivati (perchè ci era u situ web di un urologu?)
- verificate e password di l'utilizatori per forza stessu (altrimente i suldati... i pentesters facenu questu)
- Ùn avete micca e stesse password per cunti differenti (comprumissu VDI)
- è altri
Di sicuru, questu hè assai difficiuli di implementà, ma in u prossimu articulu vi mustraremu in pratica chì hè abbastanza pussibule.
Source: www.habr.com