Pravidelně píšeme o tom, jak hackeři často spoléhají na vykořisťování aby se zabránilo odhalení. Oni doslova , pomocí standardních nástrojů Windows, čímž obchází antiviry a další nástroje pro detekci škodlivé činnosti. My jako obránci jsme nyní nuceni vypořádat se s neblahými důsledky takových chytrých hackerských technik: dobře situovaný zaměstnanec může stejným přístupem skrytě ukrást data (firemní duševní vlastnictví, čísla kreditních karet). A pokud nebude spěchat, ale bude pracovat pomalu a tiše, bude to nesmírně obtížné - ale stále možné, pokud použije správný přístup a odpovídající — identifikovat takovou činnost.
Na druhou stranu bych nechtěl démonizovat zaměstnance, protože nikdo nechce pracovat v obchodním prostředí přímo z Orwellova roku 1984. Naštěstí existuje řada praktických kroků a life hacků, které mohou zasvěceným značně zkomplikovat život. zvážíme to metody skrytého útoku, kterou používají hackeři zaměstnanci s určitým technickým zázemím. A o něco dále si probereme možnosti, jak taková rizika snížit – prostudujeme jak technické, tak organizační možnosti.
Co je špatného na PsExec?
Edward Snowden, ať už správně nebo ne, se stal synonymem pro krádeže zasvěcených dat. Mimochodem, nezapomeňte se podívat o dalších zasvěcených, kteří si také zaslouží nějaký status slávy. Jeden důležitý bod, který stojí za zdůraznění metod, které Snowden použil, je ten, že podle našich nejlepších znalostí je to on nenainstaloval žádný externí škodlivý software!
Místo toho Snowden použil trochu sociálního inženýrství a využil svou pozici správce systému ke shromažďování hesel a vytváření přihlašovacích údajů. Nic složitého – žádné , útoky nebo .
Organizační zaměstnanci nejsou vždy ve Snowdenově jedinečném postavení, ale z konceptu „přežití pastvou“ je třeba si vzít řadu ponaučení – nepouštět se do žádné škodlivé činnosti, kterou lze odhalit, a především být opatrně s používáním přihlašovacích údajů. Pamatujte si tuto myšlenku.
a jeho bratranec zapůsobily na nespočet pentesterů, hackerů a bloggerů zabývajících se kybernetickou bezpečností. A v kombinaci s mimikatz umožňuje psexec útočníkům pohybovat se v rámci sítě, aniž by museli znát heslo pro prostý text.
Mimikatz zachytí NTLM hash z procesu LSASS a poté předá token nebo pověření – tzv. "pass the hash" útok – v psexec, umožňující útočníkovi přihlásit se na jiný server jako jiného uživatel. A s každým dalším přesunem na nový server útočník shromažďuje další přihlašovací údaje, čímž rozšiřuje rozsah svých schopností při vyhledávání dostupného obsahu.
Když jsem poprvé začal pracovat s psexecem, zdálo se mi to kouzelné - děkuji , geniální vývojář psexec - ale také o něm vím hlučný komponenty. Nikdy není tajný!
První zajímavý fakt o psexec je, že používá extrémně komplexní Síťový souborový protokol SMB od společnosti Microsoft. Při použití SMB je přenos psexec malý dvojitý soubory do cílového systému a umístíte je do složky C:Windows.
Dále psexec vytvoří službu Windows pomocí zkopírovaného binárního souboru a spustí ji pod extrémně „neočekávaným“ názvem PSEXECSVC. Přitom to všechno vlastně můžete vidět, stejně jako já, sledováním vzdáleného stroje (viz níže).
Vizitka Psexecu: služba "PSEXECSVC". Spouští binární soubor, který byl umístěn přes SMB do složky C:Windows.
Jako poslední krok se otevře zkopírovaný binární soubor RPC připojení na cílový server a poté přijímá ovládací příkazy (ve výchozím nastavení přes Windows cmd shell), spouští je a přesměrovává vstup a výstup na domácí počítač útočníka. V tomto případě útočník vidí základní příkazový řádek – stejný, jako by byl připojen přímo.
Spousta komponent a velmi hlučný proces!
Složité vnitřnosti psexec vysvětlují zprávu, která mě mátla během mých prvních testů před několika lety: „Spouštění PSEXECSVC...“ následované pauzou, než se objeví příkazový řádek.
Psexec společnosti Impacket ve skutečnosti ukazuje, co se děje pod kapotou.
Není divu: psexec odvedl pod kapotou obrovský kus práce. Pokud máte zájem o podrobnější vysvětlení, podívejte se sem úžasný popis.
Je zřejmé, že při použití jako nástroj pro správu systému, který byl původní účel psexec, na „bzučení“ všech těchto mechanismů Windows není nic špatného. Pro útočníka by však psexec znamenal komplikace a pro opatrného a mazaného insidera jako Snowden by byl psexec nebo podobná utilita příliš velkým rizikem.
A pak přijde Smbexec
SMB je chytrý a tajný způsob přenosu souborů mezi servery a hackeři infiltrují SMB přímo po staletí. Myslím, že každý už ví, že to nemá cenu SMB porty 445 a 139 do internetu, ne?
Na Defcon 2013, Eric Millman () prezentovány , aby si pentesterové mohli vyzkoušet stealth SMB hacking. Neznám celý příběh, ale pak Impacket dále vylepšil smbexec. Ve skutečnosti jsem si pro své testování stáhl skripty z Impacket v Pythonu .
Na rozdíl od psexec, smbexec vyhýbá se přenos potenciálně detekovaného binárního souboru do cílového počítače. Místo toho nástroj žije výhradně od pastvy až po spuštění místní Příkazový řádek Windows.
Dělá to takto: předá příkaz z útočícího stroje přes SMB do speciálního vstupního souboru a poté vytvoří a spustí složitý příkazový řádek (jako služba Windows), který bude uživatelům Linuxu připadat známý. Stručně řečeno: spustí nativní Windows cmd shell, přesměruje výstup do jiného souboru a poté jej pošle přes SMB zpět do počítače útočníka.
Nejlepší způsob, jak tomu porozumět, je podívat se na příkazový řádek, ke kterému jsem se dostal z protokolu událostí (viz níže).
Není to nejlepší způsob, jak přesměrovat I/O? Mimochodem, vytvoření služby má ID události 7045.
Stejně jako psexec také vytváří službu, která dělá veškerou práci, ale službu až poté odstraněny – použije se pouze jednou ke spuštění příkazu a poté zmizí! Důstojník pro bezpečnost informací monitorující stroj oběti nebude schopen detekovat zřejmé Indikátory útoku: Nespouští se žádný škodlivý soubor, neinstaluje se žádná trvalá služba a neexistuje žádný důkaz o použití RPC, protože SMB je jediným prostředkem přenosu dat. Brilantní!
Ze strany útočníka je k dispozici „pseudoshell“ se zpožděním mezi odesláním příkazu a přijetím odpovědi. To je ale docela dost na to, aby útočník – ať už zasvěcený nebo externí hacker, který už má našlápnuto – začal hledat zajímavý obsah.
Používá se k výstupu dat z cílového počítače zpět na počítač útočníka . Ano, je to stejná Samba , ale pouze převedeny na skript Python pomocí Imppacket. Ve skutečnosti vám smbclient umožňuje skrytě hostovat přenosy FTP přes SMB.
Udělejme krok zpět a zamysleme se nad tím, co to může udělat pro zaměstnance. V mém fiktivním scénáři, řekněme, blogger, finanční analytik nebo vysoce placený bezpečnostní poradce smí k práci používat osobní notebook. V důsledku nějakého magického procesu se na společnost urazí a „zkazí se“. V závislosti na operačním systému notebooku používá buď verzi Python od Impact, nebo verzi smbexec nebo smbclient pro Windows jako soubor .exe.
Stejně jako Snowden zjistí heslo jiného uživatele buď pohledem přes rameno, nebo má štěstí a narazí na textový soubor s heslem. A s pomocí těchto přihlašovacích údajů se začne prohrabovat systémem na nové úrovni oprávnění.
Hacking DCC: Nepotřebujeme žádné "hloupé" Mimikatze
Ve svých předchozích příspěvcích o pentestingu jsem mimikatz používal velmi často. Jedná se o skvělý nástroj pro zachycení přihlašovacích údajů – NTLM hashe a dokonce i čistých textových hesel skrytých uvnitř notebooků, které čekají na použití.
Časy se změnily. Monitorovací nástroje se zlepšily v detekci a blokování mimikatz. Správci informační bezpečnosti mají nyní také více možností, jak snížit rizika spojená s útoky pass the hash (PtH).
Co by tedy měl chytrý zaměstnanec udělat, aby získal další přihlašovací údaje bez použití mimikatz?
Sada Impacket obsahuje nástroj nazvaný , který načítá přihlašovací údaje z mezipaměti pověření domény nebo zkráceně DCC. Chápu to tak, že pokud se uživatel domény přihlásí na server, ale řadič domény není k dispozici, DCC umožňuje serveru ověřit uživatele. Secretsdump vám každopádně umožňuje vypsat všechny tyto hashe, pokud jsou k dispozici.
DCC hashe jsou ne NTML hashe a jejich nelze použít pro útok PtH.
Můžete je zkusit hacknout, abyste získali původní heslo. Microsoft se však s DCC stal chytřejším a DCC hashe je extrémně obtížné prolomit. Ano mám , „nejrychlejší hádač hesel na světě“, ale k efektivnímu fungování vyžaduje GPU.
Místo toho zkusme myslet jako Snowden. Zaměstnanec může provádět sociální inženýrství tváří v tvář a případně zjistit nějaké informace o osobě, jejíž heslo chce prolomit. Zjistěte například, zda byl online účet dané osoby někdy napaden hackery, a prozkoumejte její heslo s čistým textem, abyste našli nějaké stopy.
A to je scénář, do kterého jsem se rozhodl jít. Předpokládejme, že se někdo ze zasvěcených dozvěděl, že jeho šéf Cruella byl několikrát napaden na různých webových zdrojích. Po analýze několika těchto hesel si uvědomí, že Cruella upřednostňuje použití formátu názvu baseballového týmu „Yankees“, za kterým následuje aktuální rok – „Yankees2015“.
Pokud se to nyní pokoušíte reprodukovat doma, můžete si stáhnout malý "C" , který implementuje algoritmus hash DCC, a zkompilujte jej. , mimochodem přidána podpora pro DCC, takže se dá také použít. Předpokládejme, že zasvěcenec se nechce obtěžovat učením Johna Rozparovače a rád spouští „gcc“ na starším kódu C.
Předstíral roli zasvěcence a vyzkoušel jsem několik různých kombinací a nakonec se mi podařilo zjistit, že heslo Cruelly bylo „Yankees2019“ (viz níže). Mise splněna!
Trochu sociálního inženýrství, špetka věštění a špetka Maltega a jste na dobré cestě k prolomení hashe DCC.
Navrhuji, abychom tady skončili. K tomuto tématu se vrátíme v dalších příspěvcích a podíváme se na ještě pomalejší a nenápadnější metody útoku a budeme nadále stavět na vynikající sadě nástrojů Impacket.
Zdroj: www.habr.com