Tagebuch von Tom Hunter: „Der Hund von Baskerville“

Die Verzögerung bei der Unterzeichnung ist in großen Unternehmen nichts Ungewöhnliches. So auch der Vertrag zwischen Tom Hunter und einem Online-Tierbedarfsgeschäft für einen umfassenden Penetrationstest. Es galt, sowohl die Webseite als auch das interne Netzwerk und sogar das WLAN zu überprüfen.

Es ist nicht verwunderlich, dass die Neugier schon vor der Klärung aller Formalitäten groß war. Nur kurz die Webseite scannen, schließlich wird ein so bekanntes Geschäft wie „Hound of the Baskervilles“ kaum hier bereits Fehler zulassen. Nach ein paar Tagen erhielt Tom schließlich das unterschriebene Original des Vertrags – währenddessen bewertete Tom bei der dritten Tasse Kaffee mit Interesse den Zustand des Lagers über das interne CMS...

Tagebuch von Tom Hunter: „Der Hund von Baskerville“Quelle: Ehsan Taebloo

Aber besonders viel Zeit zum Experimentieren im CMS hatte Tom nicht – die Administratoren der Webseite hatten seine IP gesperrt. Dabei hätte er schnell einige Punkte auf die Kundenkarte generieren und seinen geliebten Kater über Monate hinweg günstig füttern können… „Nicht dieses Mal, Darth Sidious“, dachte Tom mit einem Lächeln. Es wäre auch interessant gewesen, aus dem Bereich der Webseite in das lokale Netzwerk des Kunden zu gelangen, aber anscheinend sind diese Segmente beim Kunden nicht verbunden. So kommt es häufig vor in sehr großen Unternehmen.

Nach allen Formalitäten machte sich Tom Hunter mit dem bereitgestellten VPN-Konto bereit und begab sich in das lokale Netzwerk des Kunden. Das Konto war innerhalb der Active Directory-Domäne, sodass er ohne viel Aufwand ein AD-Dump erstellen konnte — alle öffentlichen Informationen über Benutzer und Arbeitsstationen abzurufen.

Tom startete das Tool adfind und begann, LDAP-Anfragen an den Domaincontroller zu senden. Mit einem Filter für die Klasse objectCategory, wobei er person als Attribut angab. Die Antwort kam mit folgender Struktur zurück:

dn:CN=Gast,CN=Users,DC=domain,DC=local
<objectClass: top
<objectClass: person
<objectClass: organizationalPerson
<objectClass: user
<cn: Gast
<description: Eingebautes Konto für den Zugriff von Gästen auf Computer oder Domäne
<distinguishedName: CN=Gast,CN=Users,DC=domain,DC=local
<instanceType: 4
<whenCreated: 20120228104456.0Z
<whenChanged: 20120228104456.0Z

Zusätzlich gab es viele nützliche Informationen, aber das Interessanteste fand sich im Feld >description: >description. Dies ist ein Kommentar zum Konto – im Grunde ein praktischer Ort, um unwichtige Notizen zu speichern. Doch die Client-Administratoren hielten es für angebracht, dass auch Passwörter dort sicher hinterlegt werden können. Wer interessiert sich schließlich für all diese unbedeutenden, internen Konten? Daher hatten die Kommentare, die Tom erhielt, folgenden Inhalt:

Erstellt von Administrator, 2018.11.16 7po!*Vqn

Man muss kein Genie sein, um zu verstehen, wozu die Kombination am Ende nützlich sein wird. Es galt, eine große Antwortdatei von KD nach dem Feld >description: zu parsen, und voilà – hier sind 20 Login-Passwort-Paare. Fast die Hälfte hat dabei RDP-Zugriffsrechte. Eine solide Ausgangsbasis, Zeit, die angriffsführenden Kräfte zu trennen.

Netzwerkumgebung

Die verfügbaren Freigaben der „Hunde von Baskerville“ erinnerten an eine große Stadt in all ihrem Chaos und ihrer Unberechenbarkeit. Mit den Profilen von Benutzer und RDP war Tom Hunter in dieser Stadt ein armer Junge, aber selbst er hatte viel durch die glänzenden Schaufenster der Sicherheitsrichtlinien gesehen.

Dateien von File-Servern, Buchhaltungsunterlagen und sogar dazugehörige Skripte wurden öffentlich zugänglich gemacht. In den Einstellungen eines dieser Skripte entdeckte Tom einen MS SQL-Hash eines Benutzers. Ein wenig Brute-Force-Magie, und der Benutzerhash verwandelte sich in ein Klartext-Passwort. Danke an John The Ripper und Hashcat.

Tagebuch von Tom Hunter: „Der Hund von Baskerville“

Dieser Schlüssel musste zu irgendeiner Truhe passen. Die Truhe wurde gefunden und darüber hinaus war sie mit zehn weiteren „Truhen“ verknüpft. In sechs davon lagen… die Rechte eines Superbenutzers, nt authority! Auf zwei gelang es, die gespeicherte Prozedur xp_cmdshell zu starten und cmd-Befehle in Windows zu senden. Was könnte man sich mehr wünschen?

Domänencontroller

Tom Hunter hatte den zweiten Schlag für die Domänencontroller vorbereitet. Im Netzwerk der Baskerville-Hunde gab es drei – entsprechend der Anzahl der geografisch verteilten Server. Jeder Domänencontroller hat einen öffentlichen Ordner, fast wie ein offenes Schaufenster in einem Geschäft, vor dem der selbe bettelnde Junge Tom umherstreicht.

Und diesmal hatte der Junge wieder Glück – das Skript, das das Passwort des lokalen Serveradmins enthielt, wurde nicht von der Auslage entfernt. Der Weg zum Domänencontroller war somit offen. Komm rein, Tom!

Hier wurde aus dem zauberhaften Hut mimikatz, der sich einige Domänenadministratoren geschnappt hat, hervorgezogen. Tom Hunter erhielt Zugriff auf alle Maschinen im lokalen Netzwerk, und das teuflische Lachen verscheuchte die Katze vom Nachbarsessel. Dieser Weg war kürzer als erwartet.

EternalBlue

Die Erinnerung an WannaCry und Petya lebt noch in den Köpfen der Penetrationstester, doch einige Admins scheinen die Ransomware inmitten anderer Abendnachrichten vergessen zu haben. Tom entdeckte drei Knoten mit einer Schwachstelle im SMB-Protokoll – CVE-2017-0144 oder EternalBlue. Diese Schwachstelle ermöglichte die Verbreitung der Ransomware WannaCry und Petya und erlaubt es, beliebigen Code auf dem Knoten auszuführen. An einem der verwundbaren Knoten gab es eine Sitzung mit einem Domänenadmin – "nutz es aus und erhalte." Was soll man sagen, nicht alle haben aus der Zeit gelernt.

Tagebuch von Tom Hunter: „Der Hund von Baskerville“

„Die Hunde von Baskerville“

Experten für Informationssicherheit betonen oft, dass das schwächste Glied in jedem System der Mensch ist. Ist Ihnen aufgefallen, dass die obige Überschrift nicht mit dem Namen des Shops übereinstimmt? Vielleicht sind nicht alle so aufmerksam.

In bester Tradition von Phishing-Bestsellern hat Tom Hunter eine Domain registriert, die sich nur durch einen Buchstaben von der Domain ‚Baskerville Hunde‘ unterscheidet. Die E-Mail-Adresse auf dieser Domain ahmte die Adresse des Sicherheitsteams des Shops nach. Über einen Zeitraum von vier Tagen wurden von 16:00 bis 17:00 Uhr gleichmäßig 360 E-Mails von einer gefälschten Adresse versendet:

Tagebuch von Tom Hunter: „Der Hund von Baskerville“

Vielleicht wurde ein massenhafter Passwortleckage der Mitarbeiter nur durch deren eigene Faulheit verhindert. Von 360 E-Mails wurden nur 61 geöffnet – das Sicherheitsteam erfreut sich nicht großer Beliebtheit. Doch danach wurde es einfacher.

Tagebuch von Tom Hunter: „Der Hund von Baskerville“
Phishing-Seite

46 Personen klickten auf den Link und fast die Hälfte – 21 Mitarbeiter – schauten nicht in die Adresszeile und gaben ihre Benutzernamen und Passwörter sorglos ein. Ein guter Fang, Tom.

Tagebuch von Tom Hunter: „Der Hund von Baskerville“

Wi-Fi-Netzwerk

Jetzt musste Tom Hunter nicht mehr auf die Hilfe der Katze zählen. Er warf ein paar Eisenstücke in seinen alten Sedan und machte sich auf den Weg zum Büro der „Hunde von Baskerville“. Sein Besuch war nicht angekündigt: Tom wollte das WLAN des Kunden testen. Auf dem Parkplatz des Bürocenters gab es einige freie Plätze, die günstig im Bereich des Zielnetzwerks lagen. Über die Einschränkung hatte man offensichtlich nicht wirklich nachgedacht – als ob die Administratoren wahllos zusätzliche Punkte als Reaktion auf jede Beschwerde über schwaches WLAN platzierten.

Wie funktioniert der WPA/WPA2 PSK Schutz? Die Verschlüsselung zwischen dem Zugangspunkt und den Clients erfolgt durch den Pairwise Transient Key (PTK). Der PTK verwendet den Pre-Shared Key und fünf weitere Parameter – SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), sowie die MAC-Adressen des Zugangspunkts und des Clients. Tom hat alle fünf Parameter abgefangen, und jetzt fehlte nur noch der Pre-Shared Key.

Tagebuch von Tom Hunter: „Der Hund von Baskerville“

Das Hashcat-Tool hat dieses fehlende Glied in etwa 50 Minuten gefunden — und unser Held fand sich im Gästennetzwerk wieder. Von dort aus konnte er bereits das Arbeitsnetzwerk sehen — seltsamerweise hatte Tom das Passwort in knapp neun Minuten geknackt. Und das alles, ohne den Parkplatz zu verlassen, ganz ohne VPN. Das Arbeitsnetzwerk öffnete unserem Helden neue Möglichkeiten für enorm unrechtmäßige Aktivitäten, aber er… hat trotzdem keine Boni auf die Store-Karte geladen.

Tom machte eine Pause, schaute auf die Uhr, warf ein paar Scheine auf den Tisch und verabschiedete sich, als er das Café verließ. Vielleicht ein weiterer Pen-Test, oder vielleicht etwas anderes. Telegram-Kanal überlegen, was ich schreiben könnte…


Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster