Vi skriver jævnligt om, hvordan hackere ofte er afhængige af at udnytte
På den anden side ville jeg ikke ønske at dæmonisere medarbejdere, fordi ingen ønsker at arbejde i et forretningsmiljø lige fra Orwells 1984. Heldigvis er der en række praktiske trin og life hacks, der kan gøre livet meget sværere for insidere. Vi vil overveje hemmelige angrebsmetoder, brugt af hackere af medarbejdere med en vis teknisk baggrund. Og lidt længere vil vi diskutere muligheder for at reducere sådanne risici - vi vil studere både tekniske og organisatoriske muligheder.
Hvad er der galt med PsExec?
Edward Snowden, med rette eller urette, er blevet synonymt med insider-datatyveri. Glem forresten ikke at tage et kig på
I stedet brugte Snowden en smule social engineering og brugte sin stilling som systemadministrator til at indsamle adgangskoder og oprette legitimationsoplysninger. Intet kompliceret - ingen
Organisatoriske medarbejdere er ikke altid i Snowdens unikke position, men der er en række erfaringer at lære af begrebet "survival by grazing" at være opmærksomme på - ikke at engagere sig i nogen ondsindet aktivitet, der kan opdages, og at være særligt forsigtig med brugen af legitimationsoplysninger. Husk denne tanke.
Mimikatz opsnapper NTLM-hashen fra LSASS-processen og videregiver derefter tokenet eller legitimationsoplysningerne - den såkaldte. "pass the hash" angreb – i psexec, der tillader en angriber at logge ind på en anden server som en anden bruger. Og med hver efterfølgende flytning til en ny server, indsamler angriberen yderligere legitimationsoplysninger, hvilket udvider rækken af sine muligheder for at søge efter tilgængeligt indhold.
Da jeg først begyndte at arbejde med psexec, virkede det magisk for mig - tak
Den første interessante kendsgerning om psexec er, at den bruger ekstremt kompleks SMB-netværksfilprotokol fra Microsoft. Ved hjælp af SMB bliver psexec-overførsler små binær filer til målsystemet ved at placere dem i mappen C:Windows.
Dernæst opretter psexec en Windows-tjeneste ved hjælp af den kopierede binære fil og kører den under det ekstremt "uventede" navn PSEXECSVC. Samtidig kan du faktisk se alt dette, ligesom jeg gjorde, ved at se en fjernmaskine (se nedenfor).
Psexecs telefonkort: "PSEXECSVC"-tjeneste. Den kører en binær fil, der blev placeret via SMB i mappen C:Windows.
Som et sidste trin åbnes den kopierede binære fil RPC forbindelse til målserveren og accepterer derefter kontrolkommandoer (via Windows cmd-skallen som standard), starter dem og omdirigerer input og output til angriberens hjemmemaskine. I dette tilfælde ser angriberen den grundlæggende kommandolinje - det samme som hvis han var forbundet direkte.
Masser af komponenter og en meget støjende proces!
De komplekse interne elementer i psexec forklarer den besked, der undrede mig under mine første test for flere år siden: "Starter PSEXECSVC..." efterfulgt af en pause, før kommandoprompten vises.
Impackets Psexec viser faktisk, hvad der foregår under motorhjelmen.
Ikke overraskende: psexec gjorde en enorm mængde arbejde under hætten. Hvis du er interesseret i en mere detaljeret forklaring, så tjek ud her
Det er klart, når det bruges som et systemadministrationsværktøj, hvilket var oprindelige formål psexec, er der intet galt med "summende" af alle disse Windows-mekanismer. For en angriber ville psexec imidlertid skabe komplikationer, og for en forsigtig og snedig insider som Snowden ville psexec eller et lignende værktøj være for stor en risiko.
Og så kommer Smbexec
SMB er en smart og hemmelighedsfuld måde at overføre filer mellem servere, og hackere har infiltreret SMB direkte i århundreder. Jeg tror, at alle allerede ved, at det ikke er det værd
Ved Defcon 2013, Eric Millman (
I modsætning til psexec, smbexec undgår overførsel af en potentielt detekteret binær fil til målmaskinen. I stedet lever værket helt fra græsning til lancering lokal Windows kommandolinje.
Her er, hvad den gør: den sender en kommando fra den angribende maskine via SMB til en speciel inputfil, og opretter og kører derefter en kompleks kommandolinje (som en Windows-tjeneste), der vil virke velkendt for Linux-brugere. Kort sagt: den lancerer en indbygget Windows cmd-shell, omdirigerer outputtet til en anden fil og sender det derefter via SMB tilbage til angriberens maskine.
Den bedste måde at forstå dette på er at se på kommandolinjen, som jeg var i stand til at få fat i fra hændelsesloggen (se nedenfor).
Er dette ikke den bedste måde at omdirigere I/O på? Tjenesteoprettelse har i øvrigt hændelses-id 7045.
Ligesom psexec opretter den også en tjeneste, der gør alt arbejdet, men tjenesten derefter slettet – den bruges kun én gang til at køre kommandoen og forsvinder derefter! En informationssikkerhedsofficer, der overvåger et offers maskine, vil ikke være i stand til at opdage indlysende Indikatorer for angreb: Der er ingen ondsindet fil, der lanceres, ingen persistent service installeres, og der er ingen beviser for, at RPC bliver brugt, da SMB er det eneste middel til dataoverførsel. Strålende!
Fra angriberens side er en "pseudo-shell" tilgængelig med forsinkelser mellem afsendelse af kommandoen og modtagelse af svaret. Men det er nok til, at en angriber – enten en insider eller en ekstern hacker, der allerede har fodfæste – begynder at lede efter interessant indhold.
For at sende data tilbage fra målmaskinen til angriberens maskine, bruges den
Lad os træde et skridt tilbage og tænke over, hvad det kan gøre for medarbejderen. I mit fiktive scenarie, lad os sige, at en blogger, finansanalytiker eller højtlønnede sikkerhedskonsulent har lov til at bruge en personlig bærbar computer til arbejde. Som et resultat af en magisk proces bliver hun stødt over for virksomheden og "går helt dårligt." Afhængigt af den bærbare computers operativsystem bruger den enten Python-versionen fra Impact eller Windows-versionen af smbexec eller smbclient som en .exe-fil.
Ligesom Snowden finder hun ud af en anden brugers adgangskode enten ved at kigge sig over skulderen, eller hun er heldig og falder over en tekstfil med adgangskoden. Og ved hjælp af disse legitimationsoplysninger begynder hun at grave rundt i systemet på et nyt niveau af privilegier.
Hacking DCC: Vi har ikke brug for nogen "dum" Mimikatz
I mine tidligere indlæg om pentesting brugte jeg mimikatz meget ofte. Dette er et fantastisk værktøj til at opsnappe legitimationsoplysninger - NTLM-hashes og endda klartekst-adgangskoder gemt inde i bærbare computere, der bare venter på at blive brugt.
Tiderne har ændret sig. Overvågningsværktøjer er blevet bedre til at opdage og blokere mimikatz. Informationssikkerhedsadministratorer har nu også flere muligheder for at reducere de risici, der er forbundet med pass the hash (PtH)-angreb.
Så hvad skal en smart medarbejder gøre for at indsamle yderligere legitimationsoplysninger uden at bruge mimikatz?
Impackets kit indeholder et hjælpeprogram kaldet
DCC hashes er ikke NTML hashes og deres kan ikke bruges til PtH-angreb.
Nå, du kan prøve at hacke dem for at få den originale adgangskode. Microsoft er dog blevet klogere med DCC og DCC hashes er blevet ekstremt svære at knække. Ja jeg har
Lad os i stedet prøve at tænke som Snowden. En medarbejder kan udføre social engineering ansigt til ansigt og eventuelt finde ud af nogle oplysninger om den person, hvis adgangskode hun vil knække. Find for eksempel ud af, om personens online-konto nogensinde er blevet hacket, og undersøg deres cleartext-adgangskode for spor.
Og dette er det scenarie, jeg besluttede at gå med. Lad os antage, at en insider erfarede, at hans chef, Cruella, var blevet hacket flere gange på forskellige webressourcer. Efter at have analyseret flere af disse adgangskoder, indser han, at Cruella foretrækker at bruge formatet på baseballholdnavnet "Yankees" efterfulgt af det aktuelle år - "Yankees2015".
Hvis du nu forsøger at gengive dette derhjemme, så kan du downloade et lille "C"
Da jeg spillede rollen som insider, prøvede jeg flere forskellige kombinationer og kunne til sidst opdage, at Cruellas adgangskode var "Yankees2019" (se nedenfor). Mission fuldført!
Lidt social engineering, et strejf af spådom og en knivspids Maltego, og du er godt på vej til at knække DCC-hash.
Jeg foreslår, at vi slutter her. Vi vender tilbage til dette emne i andre indlæg og ser på endnu mere langsomme og snigende angrebsmetoder og fortsætter med at bygge videre på Impackets fremragende sæt af hjælpeprogrammer.
Kilde: www.habr.com