Tom Hunter's Diary: "The Hound of the Baskervilles"

Οι καθυστερήσεις στην υπογραφή είναι συνηθισμένες για κάθε μεγάλη εταιρεία. Η συμφωνία μεταξύ του Tom Hunter και μιας αλυσίδας καταστημάτων κατοικίδιων ζώων για ενδελεχή έλεγχο δεν αποτέλεσε εξαίρεση. Έπρεπε να ελέγξουμε τον ιστότοπο, το εσωτερικό δίκτυο και ακόμη και το λειτουργικό Wi-Fi.

Δεν προκαλεί έκπληξη το γεγονός ότι τα χέρια μου φαγούραζαν πριν καν διευθετηθούν όλες οι τυπικές διαδικασίες. Λοιπόν, απλώς σαρώστε τον ιστότοπο για κάθε ενδεχόμενο, είναι απίθανο ένα τόσο γνωστό κατάστημα όπως το "The Hound of the Baskervilles" να κάνει λάθη εδώ. Λίγες μέρες αργότερα, στον Τομ παραδόθηκε τελικά η υπογεγραμμένη αρχική σύμβαση - αυτή τη στιγμή, πάνω από την τρίτη κούπα καφέ, ο Τομ από το εσωτερικό CMS αξιολόγησε με ενδιαφέρον την κατάσταση των αποθηκών...

Πηγή: Ehsan Taebloo

Αλλά δεν ήταν δυνατή η διαχείριση πολλών στο CMS - οι διαχειριστές του ιστότοπου απαγόρευσαν την IP του Tom Hunter. Αν και θα μπορούσατε να έχετε χρόνο να δημιουργήσετε μπόνους στην κάρτα του καταστήματος και να ταΐσετε την αγαπημένη σας γάτα φτηνά για πολλούς μήνες... «Όχι αυτή τη φορά, Νταρθ Σίντιους», σκέφτηκε ο Τομ χαμογελώντας. Δεν θα ήταν λιγότερο ενδιαφέρον να μεταβείτε από την περιοχή του ιστότοπου στο τοπικό δίκτυο του πελάτη, αλλά προφανώς αυτά τα τμήματα δεν συνδέονται για τον πελάτη. Ωστόσο, αυτό συμβαίνει πιο συχνά σε πολύ μεγάλες εταιρείες.

Μετά από όλες τις διατυπώσεις, ο Tom Hunter οπλίστηκε με τον παρεχόμενο λογαριασμό VPN και πήγε στο τοπικό δίκτυο του πελάτη. Ο λογαριασμός ήταν εντός του τομέα της υπηρεσίας καταλόγου Active Directory, επομένως ήταν δυνατή η απόρριψη του AD χωρίς ειδικά κόλπα - αποστραγγίζοντας όλες τις δημόσια διαθέσιμες πληροφορίες σχετικά με τους χρήστες και τις μηχανές εργασίας.

Ο Tom ξεκίνησε το βοηθητικό πρόγραμμα adfind και άρχισε να στέλνει αιτήματα LDAP στον ελεγκτή τομέα. Με ένα φίλτρο στην κλάση objectСategory, προσδιορίζοντας πρόσωπο ως χαρακτηριστικό. Η απάντηση επέστρεψε με την ακόλουθη δομή:

dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Z

Εκτός από αυτό, υπήρχαν πολλές χρήσιμες πληροφορίες, αλλά η πιο ενδιαφέρουσα ήταν στο πεδίο >description: >description. Αυτό είναι ένα σχόλιο σε έναν λογαριασμό - βασικά ένα βολικό μέρος για να κρατάτε μικρές σημειώσεις. Αλλά οι διαχειριστές του πελάτη αποφάσισαν ότι οι κωδικοί πρόσβασης θα μπορούσαν επίσης να βρίσκονται εκεί ήσυχα. Ποιος τελικά μπορεί να ενδιαφέρεται για όλα αυτά τα ασήμαντα επίσημα αρχεία; Τα σχόλια λοιπόν που έλαβε ο Τομ ήταν:

Создал Администратор, 2018.11.16 7po!*Vqn

Δεν χρειάζεται να είσαι επιστήμονας πυραύλων για να καταλάβεις γιατί ο συνδυασμός στο τέλος είναι χρήσιμος. Το μόνο που απέμεινε ήταν να αναλύσουμε το μεγάλο αρχείο απόκρισης από το CD χρησιμοποιώντας το πεδίο >περιγραφή: και εδώ ήταν - 20 ζεύγη σύνδεσης-κωδικού πρόσβασης. Επιπλέον, σχεδόν οι μισοί έχουν δικαιώματα πρόσβασης RDP. Δεν είναι κακό προγεφύρωμα, ώρα για διχασμό των δυνάμεων που επιτίθενται.

δίκτυο

Οι προσβάσιμες μπάλες Hounds of the Baskerville θύμιζαν μεγάλη πόλη σε όλο της το χάος και το απρόβλεπτο. Με προφίλ χρηστών και RDP, ο Τομ Χάντερ ήταν ένα σπασμένο αγόρι σε αυτήν την πόλη, αλλά ακόμη και ο ίδιος κατάφερε να δει πολλά πράγματα μέσα από τα λαμπερά παράθυρα της πολιτικής ασφαλείας.

Τμήματα διακομιστών αρχείων, λογαριασμών λογαριασμών, ακόμη και σενάρια που σχετίζονται με αυτά, έγιναν όλα δημόσια. Στις ρυθμίσεις ενός από αυτά τα σενάρια, ο Tom βρήκε τον κατακερματισμό MS SQL ενός χρήστη. Μια μικρή ωμή μαγεία - και ο κατακερματισμός του χρήστη μετατράπηκε σε κωδικό πρόσβασης απλού κειμένου. Χάρη στους John The Ripper και Hashcat.

Αυτό το κλειδί θα έπρεπε να ταιριάζει σε κάποιο στήθος. Βρέθηκε το στήθος και, επιπλέον, συνδέθηκαν δέκα ακόμη «σεντούκια». Και μέσα στα έξι βρισκόταν... δικαιώματα υπερχρήστη, nt σύστημα εξουσίας! Σε δύο από αυτές μπορέσαμε να εκτελέσουμε την αποθηκευμένη διαδικασία xp_cmdshell και να στείλουμε εντολές cmd στα Windows. Τι περισσότερο θα μπορούσατε να θέλετε;

Ελεγκτές τομέα

Ο Tom Hunter ετοίμασε το δεύτερο χτύπημα για τους ελεγκτές τομέα. Υπήρχαν τρεις από αυτούς στο δίκτυο «Dogs of the Baskervilles», σύμφωνα με τον αριθμό των γεωγραφικά απομακρυσμένων διακομιστών. Κάθε ελεγκτής τομέα έχει έναν δημόσιο φάκελο, όπως μια ανοιχτή βιτρίνα σε ένα κατάστημα, κοντά στον οποίο κάνει παρέα το ίδιο φτωχό αγόρι Τομ.

Και αυτή τη φορά ο τύπος ήταν και πάλι τυχερός - ξέχασαν να αφαιρέσουν το σενάριο από την προθήκη, όπου ο κωδικός πρόσβασης διαχειριστή του τοπικού διακομιστή ήταν κωδικοποιημένος. Έτσι, η διαδρομή προς τον ελεγκτή τομέα ήταν ανοιχτή. Έλα μέσα, Τομ!

Εδώ από το μαγικό καπέλο τραβήχτηκε μιμικάτζ, οι οποίοι επωφελήθηκαν από πολλούς διαχειριστές τομέα. Ο Τομ Χάντερ απέκτησε πρόσβαση σε όλα τα μηχανήματα στο τοπικό δίκτυο και το διαβολικό γέλιο τρόμαξε τη γάτα από την διπλανή καρέκλα. Αυτή η διαδρομή ήταν συντομότερη από το αναμενόμενο.

Αιώνιο Μπλε

Η μνήμη των WannaCry και της Petya είναι ακόμα ζωντανή στο μυαλό των διεισδυτών, αλλά ορισμένοι διαχειριστές φαίνεται να έχουν ξεχάσει το ransomware στη ροή άλλων βραδινών ειδήσεων. Ο Tom ανακάλυψε τρεις κόμβους με μια ευπάθεια στο πρωτόκολλο SMB - CVE-2017-0144 ή EternalBlue. Αυτή είναι η ίδια ευπάθεια που χρησιμοποιήθηκε για τη διανομή του WannaCry και του Petya ransomware, μια ευπάθεια που επιτρέπει την εκτέλεση αυθαίρετου κώδικα σε έναν κεντρικό υπολογιστή. Σε έναν από τους ευάλωτους κόμβους υπήρχε μια περίοδος διαχείρισης τομέα - "εκμεταλλευτείτε και αποκτήστε το". Τι να κάνεις, δεν έχει μάθει ο χρόνος σε όλους.

"The Basterville's Dog"

Οι κλασικοί της ασφάλειας πληροφοριών θέλουν να επαναλαμβάνουν ότι το πιο αδύναμο σημείο οποιουδήποτε συστήματος είναι το άτομο. Παρατηρήστε ότι η παραπάνω επικεφαλίδα δεν ταιριάζει με το όνομα του καταστήματος; Ίσως δεν είναι όλοι τόσο προσεκτικοί.

Σύμφωνα με τις καλύτερες παραδόσεις των blockbusters του phishing, ο Tom Hunter κατοχύρωσε έναν τομέα που διαφέρει κατά ένα γράμμα από τον τομέα "Hounds of the Baskervilles". Η ταχυδρομική διεύθυνση σε αυτόν τον τομέα μιμήθηκε τη διεύθυνση της υπηρεσίας ασφάλειας πληροφοριών του καταστήματος. Κατά τη διάρκεια 4 ημερών από τις 16:00 έως τις 17:00, η ​​ακόλουθη επιστολή στάλθηκε ομοιόμορφα σε 360 διευθύνσεις από μια ψεύτικη διεύθυνση:

Ίσως, μόνο η δική τους τεμπελιά έσωσε τους υπαλλήλους από τη μαζική διαρροή κωδικών πρόσβασης. Από τις 360 επιστολές, μόνο 61 άνοιξαν - η υπηρεσία ασφαλείας δεν είναι πολύ δημοφιλής. Αλλά τότε ήταν πιο εύκολο.

Σελίδα phishing

46 άτομα έκαναν κλικ στον σύνδεσμο και σχεδόν τα μισά -21 υπάλληλοι- δεν κοίταξαν τη γραμμή διευθύνσεων και εισήγαγαν ήρεμα τα στοιχεία σύνδεσης και τους κωδικούς πρόσβασής τους. Ωραία σύλληψη, Τομ.

Δίκτυο Wi-Fi

Τώρα δεν υπήρχε λόγος να υπολογίζουμε στη βοήθεια της γάτας. Ο Τομ Χάντερ πέταξε πολλά κομμάτια σιδήρου στο παλιό του σεντάν και πήγε στο γραφείο του Κυνηγιού των Μπάσκερβιλ. Η επίσκεψή του δεν συμφωνήθηκε: ο Τομ επρόκειτο να δοκιμάσει το Wi-Fi του πελάτη. Στο πάρκινγκ του επιχειρηματικού κέντρου υπήρχαν αρκετοί ελεύθεροι χώροι που εντάχθηκαν βολικά στην περίμετρο του δικτύου στόχου. Προφανώς, δεν σκέφτηκαν πολύ τον περιορισμό του - λες και οι διαχειριστές έπαιρναν τυχαία επιπλέον πόντους ως απάντηση σε οποιοδήποτε παράπονο για αδύναμο Wi-Fi.

Πώς λειτουργεί η ασφάλεια WPA/WPA2 PSK; Η κρυπτογράφηση μεταξύ του σημείου πρόσβασης και των πελατών παρέχεται από ένα κλειδί προ-συνεδρίας - Pairwise Transient Key (PTK). Το PTK χρησιμοποιεί το Pre-Shared Key και πέντε άλλες παραμέτρους - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), σημείο πρόσβασης και διευθύνσεις MAC πελάτη. Ο Τομ αναχαίτισε και τις πέντε παραμέτρους και τώρα έλειπε μόνο το προ-κοινόχρηστο κλειδί.

Το βοηθητικό πρόγραμμα Hashcat κατέβασε αυτόν τον σύνδεσμο που λείπει σε περίπου 50 λεπτά - και ο ήρωάς μας κατέληξε στο δίκτυο επισκεπτών. Από αυτό μπορούσες ήδη να δεις το λειτουργικό - παραδόξως, εδώ ο Τομ διαχειρίστηκε τον κωδικό πρόσβασης σε περίπου εννέα λεπτά. Και όλα αυτά χωρίς να βγεις από το πάρκινγκ, χωρίς κανένα VPN. Το δίκτυο εργασίας άνοιξε περιθώρια για τερατώδεις δραστηριότητες για τον ήρωά μας, αλλά ποτέ δεν πρόσθεσε μπόνους στην κάρτα του καταστήματος.

Ο Τομ σταμάτησε, κοίταξε το ρολόι του, πέταξε μερικά χαρτονομίσματα στο τραπέζι και, αποχαιρετώντας, έφυγε από το καφέ. Ίσως είναι πάλι μια πενθήρα, ή ίσως είναι μέσα κανάλι τηλεγραφήματος Σκέφτηκα να γράψω...


Πηγή: www.habr.com