Kirjutame regulaarselt sellest, kuidas häkkerid loodavad sageli ärakasutamisele tuvastamise vältimiseks. Nad sõna otseses mõttes , kasutades standardseid Windowsi tööriistu, jättes sellega mööda viirusetõrjetest ja muudest pahatahtliku tegevuse tuvastamiseks mõeldud utiliitidest. Meie kui kaitsjad oleme nüüd sunnitud tegelema selliste nutikate häkkimisvõtete kahetsusväärsete tagajärgedega: hästi paigutatud töötaja võib kasutada sama lähenemist andmete (ettevõtte intellektuaalomandi, krediitkaardinumbrite) varjatud varastamisele. Ja kui ta ei kiirusta, vaid töötab aeglaselt ja vaikselt, on see äärmiselt raske – kuid siiski võimalik, kui ta kasutab õiget lähenemist ja sobivat. , — sellise tegevuse tuvastamiseks.
Teisest küljest ei tahaks ma töötajaid demoniseerida, sest keegi ei taha töötada ärikeskkonnas otse Orwelli 1984. aastast. Õnneks on mitmeid praktilisi samme ja eluviise, mis võivad siseringi inimeste elu palju keerulisemaks muuta. Me kaalume varjatud rünnaku meetodid, mida häkkerid kasutavad teatud tehnilise taustaga töötajad. Ja veidi edasi arutame võimalusi selliste riskide vähendamiseks – uurime nii tehnilisi kui ka organisatsioonilisi võimalusi.
Mis PsExecil viga on?
Edward Snowden, kas õigustatult või valesti, on muutunud siseandmete varguse sünonüümiks. Muide, ärge unustage pilku heitmast teiste insaiderite kohta, kes samuti väärivad teatavat kuulsuse staatust. Üks oluline punkt, mida Snowdeni kasutatud meetodite puhul tasub rõhutada, on see, et meie teadmiste kohaselt on ta ei installinud ei mingit välist ründetarkvara!
Selle asemel kasutas Snowden veidi sotsiaalset manipuleerimist ja kasutas oma positsiooni süsteemiadministraatorina paroolide kogumiseks ja mandaatide loomiseks. Ei midagi keerulist – mitte midagi , rünnakud või .
Organisatsiooni töötajad ei ole alati Snowdeni ainulaadses positsioonis, kuid mõistest "karjatamisega ellujäämine" tuleb õppida mitmeid õppetunde, millest tuleb teadlik olla - mitte osaleda pahatahtlikus tegevuses, mida on võimalik tuvastada, ja olla eriti oluline. volikirjade kasutamisega ettevaatlik. Pidage meeles seda mõtet.
ja tema nõbu on avaldanud muljet lugematutele pentestijatele, häkkeritele ja küberturvalisuse blogijatele. Ja koos mimikatziga võimaldab psexec ründajatel võrgus liikuda, ilma et nad peaksid teadma selgeteksti parooli.
Mimikatz püüab kinni LSASS-i protsessist pärineva NTLM-i räsi ja edastab seejärel loa või mandaadid – nn. "pass the hash" rünnak – psexecis, võimaldades ründajal teise serverisse sisse logida teise kasutaja. Ja iga järgneva uude serverisse liikumisega kogub ründaja täiendavaid mandaate, laiendades oma võimalusi saadaoleva sisu otsimisel.
Kui ma esimest korda psexeciga töötama hakkasin, tundus see mulle maagiline – aitäh , psexeci geniaalne arendaja – aga ma tean ka tema oma lärmakas komponendid. Ta pole kunagi salajane!
Esimene huvitav fakt psexeci kohta on see, et see kasutab äärmiselt keerulisi SMB võrgufaili protokoll Microsoftilt. SMB-d kasutades edastab psexec väikseid binaarne failid sihtsüsteemi, asetades need kausta C:Windows.
Järgmisena loob psexec kopeeritud kahendfaili kasutades Windowsi teenuse ja käivitab selle äärmiselt "ootamatu" nime all PSEXECSVC. Samal ajal näete seda kõike, nagu mina, kaugmasinat vaadates (vt allpool).
Psexeci kõnekaart: "PSEXECSVC" teenus. See käivitab binaarfaili, mis paigutati SMB kaudu kausta C:Windows.
Viimase sammuna avaneb kopeeritud binaarfail RPC ühendus sihtserverisse ja seejärel aktsepteerib juhtkäske (vaikimisi Windowsi cmd kesta kaudu), käivitades need ning suunates sisendi ja väljundi ümber ründaja kodumasinasse. Sel juhul näeb ründaja põhikäsurida – sama, nagu oleks ta otse ühendatud.
Palju komponente ja väga lärmakas protsess!
Psexeci keerukad sisemised osad selgitavad sõnumit, mis mind mitu aastat tagasi esimeste testide ajal hämmingus tekitas: "PSEXECSVC käivitamine...", millele järgnes paus enne käsuviiba ilmumist.
Impaketi Psexec näitab tegelikult seda, mis kapoti all toimub.
Pole üllatav: psexec tegi kapoti all tohutult tööd. Kui olete huvitatud täpsemast selgitusest, vaadake siit imeline kirjeldus.
Ilmselgelt, kui seda kasutada süsteemihaldusvahendina, mis oli algne eesmärk psexec, pole kõigi nende Windowsi mehhanismide "sumises" midagi halba. Ründaja jaoks tekitaks psexec aga komplikatsioone ning ettevaatlikule ja kavalale siseringile nagu Snowden oleks psexec või muu sarnane utiliit liiga suur risk.
Ja siis tuleb Smbexec
SMB on nutikas ja salajane viis failide edastamiseks serverite vahel ning häkkerid on juba sajandeid otse SMB-sse imbunud. Ma arvan, et kõik teavad juba, et see pole seda väärt SMB pordid 445 ja 139 Internetti, eks?
2013. aasta Defconis osales Eric Millman () esitati , et pentestijad saaksid proovida varajast SMB häkkimist. Ma ei tea kogu lugu, kuid Impacket täiustas smbexeci veelgi. Tegelikult laadisin testimiseks alla Pythoni Impacketist pärit skriptid saidilt .
Erinevalt psexec-st, smbexec väldib potentsiaalselt tuvastatud binaarfaili edastamine sihtmasinasse. Selle asemel elab utiliit täielikult karjamaast kuni käivitamiseni kohalik Windowsi käsurida.
See toimib järgmiselt: see edastab käsu ründavalt masinalt SMB kaudu spetsiaalsesse sisendfaili ning seejärel loob ja käivitab keeruka käsurea (nagu Windowsi teenus), mis tundub Linuxi kasutajatele tuttav. Lühidalt: see käivitab natiivse Windowsi cmd-shelli, suunab väljundi teise faili ja saadab selle seejärel SMB kaudu tagasi ründaja masinasse.
Parim viis seda mõista on vaadata käsurida, mille sain sündmuste logist (vt allpool).
Kas see pole mitte parim viis I/O ümbersuunamiseks? Muide, teenuse loomisel on sündmuse ID 7045.
Nagu psexec, loob see ka teenuse, mis teeb kogu töö ära, kuid teenus pärast seda eemaldatud - seda kasutatakse käsu käivitamiseks ainult üks kord ja seejärel kaob! Ohvri masinat jälgiv infoturbeametnik ei suuda tuvastada ilmselge Rünnaku tunnused: Pahatahtlikku faili ei käivitata, püsivat teenust pole installitud ja RPC kasutamise kohta pole tõendeid, kuna SMB on ainus andmeedastusvahend. Geniaalne!
Ründaja poolelt on saadaval "pseudo-shell", mille käsu saatmise ja vastuse saamise vahel on viivitus. Kuid see on täiesti piisav, et ründaja – kas sisering või väline häkker, kellel on juba tugipunkt – hakkaks huvitavat sisu otsima.
Andmete väljastamiseks sihtmasinast ründaja masinasse kasutatakse seda . Jah, see on sama Samba , kuid Impacket muutis selle Pythoni skriptiks. Tegelikult võimaldab smbclient SMB kaudu FTP-ülekandeid varjatult majutada.
Astume sammu tagasi ja mõelgem, mida see töötaja heaks teha saab. Oletame, et minu väljamõeldud stsenaariumi kohaselt on blogijal, finantsanalüütikul või kõrgelt tasustatud turvakonsultandil lubatud kasutada tööks isiklikku sülearvutit. Mõne maagilise protsessi tulemusel solvub ta ettevõtte peale ja "läheb halvasti". Olenevalt sülearvuti operatsioonisüsteemist kasutab see exe-failina kas Impacti Pythoni versiooni või smbexeci või smbclienti Windowsi versiooni.
Nagu Snowden, saab ka tema teada teise kasutaja parooli kas üle õla vaadates või siis veab ja komistab parooliga tekstifaili otsa. Ja nende mandaatide abil hakkab ta süsteemis ringi uurima uuel privileegide tasemel.
DCC häkkimine: me ei vaja ühtegi "rumalat" Mimikatzi
Oma eelmistes postitustes pentestimise kohta kasutasin ma mimikatzi väga sageli. See on suurepärane tööriist mandaatide pealtkuulamiseks – sülearvutitesse peidetud NTLM-räsid ja isegi selgeteksti paroolid, mis ootavad kasutamist.
Ajad on muutunud. Seiretööriistad on mimikatzi tuvastamisel ja blokeerimisel paremaks muutunud. Infoturbe administraatoritel on nüüd ka rohkem võimalusi vähendada räsirünnakute (PtH) rünnakutega seotud riske.
Mida peaks tark töötaja tegema, et koguda täiendavaid mandaate ilma mimikatzi kasutamata?
Impaketi komplekt sisaldab utiliiti nimega , mis hangib mandaadid domeeni mandaatide vahemälust ehk lühidalt DCC-st. Ma saan aru, et kui domeeni kasutaja logib serverisse sisse, kuid domeenikontroller pole saadaval, võimaldab DCC serveril kasutaja autentida. Igatahes võimaldab secretsdump kõik need räsid kustutada, kui need on saadaval.
DCC räsid on mitte NTML-räsi ja nende ei saa kasutada PtH rünnaku jaoks.
Noh, võite proovida neid häkkida, et saada algne parool. Microsoft on aga DCC-ga targemaks saanud ja DCC-räsi on muutunud äärmiselt keeruliseks lahti murda. Jah mul on , "maailma kiireim parooliarvaja", kuid selle tõhusaks tööks on vaja GPU-d.
Selle asemel proovime mõelda nagu Snowden. Töötaja saab teha näost näkku sotsiaalset manipuleerimist ja võib-olla saada teavet inimese kohta, kelle parooli ta soovib murda. Näiteks uurige, kas inimese veebikontole on kunagi sisse häkitud, ja uurige tema selgeteksti parooli vihjete leidmiseks.
Ja see on stsenaarium, mille järgi ma otsustasin järgida. Oletame, et sisering sai teada, et tema ülemust Cruellat oli erinevates veebiressurssides mitu korda häkitud. Pärast mitmete nende paroolide analüüsimist mõistab ta, et Cruella eelistab kasutada pesapallimeeskonna nime "Yankees" vormingut, millele järgneb jooksev aasta - "Yankees2015".
Kui proovite seda nüüd kodus reprodutseerida, saate alla laadida väikese "C" , mis rakendab DCC räsimisalgoritmi, ja kompileerib selle. , muide, lisas DCC toe, nii et seda saab ka kasutada. Oletame, et insaider ei taha vaeva näha Rippija Johannese õppimisega ja talle meeldib "gcc" käitada pärand C-koodil.
Insaideri rolli teeskledes proovisin mitmeid erinevaid kombinatsioone ja lõpuks suutsin avastada, et Cruella parool oli "Yankees2019" (vt allpool). Ülesanne täidetud!
Natuke sotsiaalset manipuleerimist, näpuotsaga ennustamist ja näpuotsaga Maltegot ning oletegi DCC räsi murdmise teel.
Soovitan siinkohal lõpetada. Naaseme selle teema juurde teistes postitustes ja vaatame veelgi aeglasemaid ja vargasemaid ründemeetodeid, jätkates Impacketi suurepäraste utiliitide komplekti.
Allikas: www.habr.com