Ni skribas regule pri kiel piratoj ofte fidas je ekspluatado por eviti detekton. Ili laŭvorte , uzante normajn Vindozajn ilojn, tiel preterirante antivirusojn kaj aliajn ilojn por detekti malican agadon. Ni, kiel defendantoj, nun estas devigitaj trakti la bedaŭrindajn konsekvencojn de tiaj lertaj hakaj teknikoj: bone lokita dungito povas uzi la saman aliron por kaŝe ŝteli datumojn (firmaa intelekta proprieto, kreditkartnumeroj). Kaj se li ne rapidas, sed laboras malrapide kaj trankvile, tio estos ege malfacila - sed tamen eble se li uzas la ĝustan aliron kaj la taŭgan. , — identigi tian agadon.
Aliflanke, mi ne volus demonigi dungitojn ĉar neniu volas labori en komerca medio rekte el la 1984 de Orwell. Feliĉe, ekzistas kelkaj praktikaj paŝoj kaj vivhakoj, kiuj povas malfaciligi la vivon por internuloj. Ni konsideros kaŝaj atakmetodoj, uzata de retpiratoj de dungitoj kun iu teknika fono. Kaj iom plu ni diskutos eblojn por redukti tiajn riskojn - ni studos kaj teknikajn kaj organizajn elektojn.
Kio malbonas kun PsExec?
Edward Snowden, prave aŭ malprave, fariĝis sinonimo de interna datuma ŝtelo. Cetere, ne forgesu rigardi pri aliaj internuloj, kiuj ankaŭ meritas iom da fama statuso. Unu grava punkto emfazinda pri la metodoj kiujn Snowden uzis estas ke, laŭ nia scio, li ne instalis neniu ekstera malica programaro!
Anstataŭe, Snowden uzis iom da socia inĝenierado kaj uzis sian pozicion kiel sistemadministranto por kolekti pasvortojn kaj krei akreditaĵojn. Nenio komplika — neniu , atakoj aŭ .
Organizaj dungitoj ne ĉiam estas en la unika pozicio de Snowden, sed estas kelkaj lecionoj por lerni de la koncepto de "supervivo per paŝtado" por esti konsciaj - ne okupiĝi pri ajna malica agado kiu povas esti detektita, kaj esti precipe. zorge pri la uzo de akreditaĵoj. Memoru ĉi tiun penson.
kaj lia kuzo impresis sennombrajn pentesterojn, retpiratojn kaj cibersekurecajn blogantojn. Kaj kiam kombinita kun mimikatz, psexec permesas al atakantoj moviĝi ene de reto sen bezoni scii la klartekstan pasvorton.
Mimikatz kaptas la NTLM-haŝiŝon de la LSASS-procezo kaj poste pasas la ĵetonon aŭ akreditaĵojn - la tn. "pasi la haŝiŝon" atako – en psexec, permesante al atakanto ensaluti en alian servilon kiel alia uzanto. Kaj kun ĉiu posta movo al nova servilo, la atakanto kolektas pliajn akreditaĵojn, vastigante la gamon de siaj kapabloj serĉi disponeblan enhavon.
Kiam mi unue eklaboris kun psexec, ĝi ŝajnis al mi magia - dankon , la genia programisto de psexec - sed mi ankaŭ scias pri lia brua komponantoj. Li neniam estas sekretema!
La unua interesa fakto pri psexec estas, ke ĝi uzas ekstreme kompleksan SMB-reta dosiera protokolo de Microsoft. Uzante SMB, psexec translokiĝas malgrandaj binara dosierojn al la cela sistemo, metante ilin en la dosierujon C:Windows.
Poste, psexec kreas Vindozan servon uzante la kopiitan binaron kaj rulas ĝin sub la ekstreme "neatendita" nomo PSEXECSVC. Samtempe, vi povas efektive vidi ĉion ĉi, kiel mi, rigardante foran maŝinon (vidu sube).
La vizitkarto de Psexec: servo "PSEXECSVC". Ĝi rulas binaran dosieron, kiu estis metita per SMB en la dosierujon C:Windows.
Kiel fina paŝo, la kopiita binara dosiero malfermiĝas RPC-konekto al la cela servilo kaj poste akceptas kontrolkomandojn (per la Windows cmd-ŝelo defaŭlte), lanĉante ilin kaj redirektante enigaĵon kaj eligon al la hejma maŝino de la atakanto. En ĉi tiu kazo, la atakanto vidas la bazan komandlinion - same kiel se li estus rekte konektita.
Multaj komponantoj kaj tre brua procezo!
La kompleksaj internoj de psexec klarigas la mesaĝon, kiu konfuzis min dum miaj unuaj provoj antaŭ pluraj jaroj: "Komencante PSEXECSVC..." sekvita de paŭzo antaŭ ol la komando aperos.
Psexec de Impacket fakte montras kio okazas sub la kapuĉo.
Ne surprize: psexec faris grandegan laboron sub la kapuĉo. Se vi interesiĝas pri pli detala klarigo, kontrolu ĉi tie mirinda priskribo.
Evidente, kiam uzata kiel sistema administra ilo, kio estis originala celo psexec, estas nenio malbona kun la "zumado" de ĉiuj ĉi tiuj Vindozaj mekanismoj. Por atakanto, tamen, psexec kreus komplikaĵojn, kaj por singarda kaj ruza internulo kiel Snowden, psexec aŭ simila utileco estus tro da risko.
Kaj poste venas Smbexec
SMB estas saĝa kaj sekretema maniero translokigi dosierojn inter serviloj, kaj retpiratoj enfiltris SMB rekte dum jarcentoj. Mi pensas, ke ĉiuj jam scias, ke ĝi ne indas SMB-havenoj 445 kaj 139 al Interreto, ĉu ne?
Ĉe Defcon 2013, Eric Millman () prezentita , por ke pentesteroj povu provi kaŝe SMB-hakadon. Mi ne scias la tutan historion, sed tiam Impacket plu rafinis smbexec. Fakte, por mia testado, mi elŝutis la skriptojn de Impacket en Python de .
Male al psexec, smbexec evitas transdonante eble detektitan binaran dosieron al la celmaŝino. Anstataŭe, la servaĵo vivas tute de paŝtejo tra lanĉo loka Vindoza komandlinio.
Jen kion ĝi faras: ĝi pasas komandon de la atakanta maŝino per SMB al speciala enigdosiero, kaj poste kreas kaj funkciigas kompleksan komandlinion (kiel Vindoza servo) kiu ŝajnos konata al Linukso-uzantoj. Mallonge: ĝi lanĉas denaskan Windows cmd-ŝelon, redirektas la eligon al alia dosiero, kaj poste sendas ĝin per SMB reen al la maŝino de la atakanto.
La plej bona maniero kompreni ĉi tion estas rigardi la komandlinion, kiun mi povis akiri miajn manojn sur de la evento protokolo (vidu sube).
Ĉu ĉi tio ne estas la plej bonega maniero redirekti I/O? Cetere, servokreado havas eventon ID 7045.
Kiel psexec, ĝi ankaŭ kreas servon, kiu faras la tutan laboron, sed la servon post tio forigita – ĝi estas uzata nur unufoje por ruli la komandon kaj poste malaperas! Informa sekureca oficisto monitoranta la maŝinon de viktimo ne povos detekti evidenta Indikiloj de atako: Neniu malica dosiero estas lanĉita, neniu persista servo estas instalita, kaj ekzistas neniu signo de RPC uzata ĉar SMB estas la sola rimedo de transdono de datumoj. Brila!
De la flanko de la atakanto, "pseŭdo-ŝelo" estas havebla kun prokrastoj inter sendado de la komando kaj ricevado de la respondo. Sed ĉi tio sufiĉe sufiĉas por atakanto - ĉu enulo aŭ ekstera retpirato, kiu jam havas piedtenejon - por komenci serĉi interesan enhavon.
Por eligi datumojn reen de la celmaŝino al la maŝino de la atakanto, ĝi estas uzata . Jes, estas la sama Samba , sed nur konvertita al Python-skripto fare de Impacket. Fakte, smbclient permesas vin kaŝe gastigi FTP-translokigojn per SMB.
Ni prenu paŝon malantaŭen kaj pensu pri tio, kion tio povas fari por la dungito. En mia fikcia scenaro, ni diru bloganto, financa analizisto aŭ alte pagita sekureca konsultisto rajtas uzi personan tekkomputilon por laboro. Kiel rezulto de iu magia procezo, ŝi ofendas ĉe la firmao kaj "iras tute malbona." Depende de la tekkomputila operaciumo, ĝi aŭ uzas la Python-version de Impact, aŭ la Vindozan version de smbexec aŭ smbclient kiel .exe dosieron.
Kiel Snowden, ŝi malkovras la pasvorton de alia uzanto aŭ rigardante super sia ŝultro, aŭ ŝi bonŝancas kaj trovas tekstdosieron kun la pasvorto. Kaj kun la helpo de ĉi tiuj akreditaĵoj, ŝi komencas fosi ĉirkaŭ la sistemo je nova nivelo de privilegioj.
Hacking DCC: Ni ne bezonas iun ajn "stultan" Mimikatz
En miaj antaŭaj afiŝoj pri pentestado, mi tre ofte uzis mimikatz. Ĉi tio estas bonega ilo por kapti akreditaĵojn - NTLM-haŝiŝoj kaj eĉ klartekstaj pasvortoj kaŝitaj ene de tekkomputiloj, nur atendante esti uzataj.
Tempoj ŝanĝiĝis. Monitoraj iloj pliboniĝis ĉe detektado kaj blokado de mimikatz. Administrantoj pri informa sekureco ankaŭ nun havas pli da ebloj por redukti la riskojn asociitajn kun pasi la hash (PtH) atakoj.
Do kion inteligenta dungito faru por kolekti pliajn akreditaĵojn sen uzi mimikatz?
La ilaro de Impacket inkluzivas ilon nomatan , kiu prenas akreditaĵojn de la Domajna Kredential Cache, aŭ mallonge DCC. Mia kompreno estas, ke se domajna uzanto ensalutas en la servilon sed la domajna regilo estas neatingebla, DCC permesas al la servilo aŭtentikigi la uzanton. Ĉiuokaze, secretsdump permesas al vi forĵeti ĉiujn ĉi tiujn haŝojn se ili estas disponeblaj.
DCC hashes estas ne NTML-haŝiŝoj kaj ilia ne povas esti uzata por PtH-atako.
Nu, vi povas provi haki ilin por akiri la originalan pasvorton. Tamen, Mikrosofto fariĝis pli inteligenta kun DCC kaj DCC-haŝiŝoj fariĝis ege malfacile fenditaj. Jes mi havas , "la plej rapida pasvorta divenanto de la mondo", sed ĝi postulas GPU por funkcii efike.
Anstataŭe, ni provu pensi kiel Snowden. Dungito povas fari vizaĝ-al-vizaĝan socian inĝenieradon kaj eble eltrovi iujn informojn pri la persono, kies pasvorton ŝi volas rompi. Ekzemple, eksciu ĉu la interreta konto de la persono iam estis hakita kaj ekzamenu ilian klartekstan pasvorton por iuj indicoj.
Kaj ĉi tiu estas la scenaro, kiun mi decidis iri. Ni supozu, ke internulo eksciis, ke lia estro, Cruella, estis hakita plurfoje sur malsamaj retaj rimedoj. Analizinte plurajn el ĉi tiuj pasvortoj, li rimarkas, ke Cruella preferas uzi la formaton de la basbalteama nomo "Yankees" sekvita de la kuranta jaro - "Yankees2015".
Se vi nun provas reprodukti ĉi tion hejme, tiam vi povas elŝuti malgrandan, "C" , kiu efektivigas la DCC-haŝalgoritmon, kaj kompilas ĝin. , cetere, aldonis subtenon por DCC, do ĝi ankaŭ povas esti uzata. Ni supozu, ke enulo ne volas ĝeni lerni Johanon la Buĉtranĉilon kaj ŝatas ruli "gcc" per hereda C-kodo.
Ŝajnigante la rolon de internulo, mi provis plurajn malsamajn kombinaĵojn kaj fine povis malkovri, ke la pasvorto de Cruella estis "Yankees2019" (vidu sube). Misio Finita!
Iom da socia inĝenierado, iom da aŭguro kaj pinĉo de Maltego kaj vi estas survoje por rompi la DCC-haŝiŝon.
Mi proponas, ke ni finu ĉi tie. Ni revenos al ĉi tiu temo en aliaj afiŝoj kaj rigardos eĉ pli malrapidajn kaj ŝtelajn atakmetodojn, daŭrante konstrui sur la bonega aro de utilecoj de Impacket.
fonto: www.habr.com