Kirjutame regulaarselt sellest, kuidas hĂ€kkerid loodavad sageli Ă€rakasutamisele tuvastamise vĂ€ltimiseks. Nad sĂ”na otseses mĂ”ttes , kasutades standardseid vahendeid Windows, möödudes seelĂ€bi viirusetĂ”rjetest ja muudest pahavara tuvastamise tööriistadest. Kaitsjatena oleme nĂŒĂŒd sunnitud tegelema selliste nutikate hĂ€kkimistehnikate kohutavate tagajĂ€rgedega: hĂ€sti paigutatud töötaja saab sama lĂ€henemisviisi abil salaja andmeid (ettevĂ”tte intellektuaalomand, krediitkaardi numbrid) varastada. Ja kui nad vĂ”tavad aega, töötades aeglaselt ja salaja, on see ÀÀrmiselt keeruline â kuid siiski vĂ”imalik, kui kasutatakse Ă”iget lĂ€henemisviisi ja sobivaid taktikaid. , â sellise tegevuse tuvastamiseks.
Teisest kĂŒljest ei tahaks ma töötajaid demoniseerida, sest keegi ei taha töötada Ă€rikeskkonnas otse Orwelli 1984. aastast. Ănneks on mitmeid praktilisi samme ja eluviise, mis vĂ”ivad siseringi inimeste elu palju keerulisemaks muuta. Me kaalume varjatud rĂŒnnaku meetodid, mida hĂ€kkerid kasutavad teatud tehnilise taustaga töötajad. Ja veidi edasi arutame vĂ”imalusi selliste riskide vĂ€hendamiseks â uurime nii tehnilisi kui ka organisatsioonilisi vĂ”imalusi.
Mis PsExecil viga on?
Edward Snowden, kas Ă”igustatult vĂ”i valesti, on muutunud siseandmete varguse sĂŒnonĂŒĂŒmiks. Muide, Ă€rge unustage pilku heitmast teiste insaiderite kohta, kes samuti vÀÀrivad teatavat kuulsuse staatust. Ăks oluline punkt, mida Snowdeni kasutatud meetodite puhul tasub rĂ”hutada, on see, et meie teadmiste kohaselt on ta ei installinud ei mingit vĂ€list rĂŒndetarkvara!
Selle asemel kasutas Snowden veidi sotsiaalset manipuleerimist ja kasutas oma positsiooni sĂŒsteemiadministraatorina paroolide kogumiseks ja mandaatide loomiseks. Ei midagi keerulist â mitte midagi , rĂŒnnakud vĂ”i .
Organisatsiooni töötajad ei ole alati Snowdeni ainulaadses positsioonis, kuid mÔistest "karjatamisega ellujÀÀmine" tuleb Ôppida mitmeid Ôppetunde, millest tuleb teadlik olla - mitte osaleda pahatahtlikus tegevuses, mida on vÔimalik tuvastada, ja olla eriti oluline. volikirjade kasutamisega ettevaatlik. Pidage meeles seda mÔtet.
ja tema nĂ”bu on avaldanud muljet lugematutele pentestijatele, hĂ€kkeritele ja kĂŒberturvalisuse blogijatele. Ja koos mimikatziga vĂ”imaldab psexec rĂŒndajatel vĂ”rgus liikuda, ilma et nad peaksid teadma selgeteksti parooli.
Mimikatz pĂŒĂŒab kinni LSASS-i protsessist pĂ€rineva NTLM-i rĂ€si ja edastab seejĂ€rel loa vĂ”i mandaadid â nn. "pass the hash" rĂŒnnak â psexecis, vĂ”imaldades rĂŒndajal teise serverisse sisse logida teise kasutaja. Ja iga jĂ€rgneva uude serverisse liikumisega kogub rĂŒndaja tĂ€iendavaid mandaate, laiendades oma vĂ”imalusi saadaoleva sisu otsimisel.
Kui ma esimest korda psexeciga töötama hakkasin, tundus see mulle maagiline â aitĂ€h , psexeci geniaalne arendaja â aga ma tean ka tema oma lĂ€rmakas komponendid. Ta pole kunagi salajane!
Esimene huvitav fakt psexeci kohta on see, et see kasutab ÀÀrmiselt keerulisi SMB vĂ”rgufaili protokoll Microsoftilt. SMB-d kasutades edastab psexec vĂ€ikseid binaarne failid sihtsĂŒsteemi, paigutades need kausta C:.Windows.
JÀrgmine psexec loob Windows-service kasutab kopeeritud binaarfaili ja kÀivitab selle vÀga "ootamatu" nime PSEXECSVC all. Tegelikult nÀete seda kÔike, nagu minagi, kaugarvutit jÀlgides (vt allpool).
Psexeci visiitkaart on teenus "PSEXECSVC". See kÀitab binaarfaili, mis on SMB kaudu paigutatud C: kausta.Windows.
Viimase sammuna avaneb kopeeritud binaarfail RPC ĂŒhendus sihtserverisse ja seejĂ€rel aktsepteerib juhtkĂ€sklusi (vaikimisi â cmd-kesta kaudu) Windows), kĂ€ivitades need ning suunates sisendi ja vĂ€ljundi rĂŒndaja koduarvutisse. RĂŒndaja nĂ€eb lihtsat kĂ€suviiba â sama, mis siis, kui nad oleksid otse ĂŒhendatud.
Palju komponente ja vÀga lÀrmakas protsess!
Psexeci keerukad sisemised osad selgitavad sÔnumit, mis mind mitu aastat tagasi esimeste testide ajal hÀmmingus tekitas: "PSEXECSVC kÀivitamine...", millele jÀrgnes paus enne kÀsuviiba ilmumist.
Impaketi Psexec nÀitab tegelikult seda, mis kapoti all toimub.
Pole ĂŒllatav: psexec tegi kapoti all tohutult tööd. Kui olete huvitatud tĂ€psemast selgitusest, vaadake siit imeline kirjeldus.
Ilmselgelt, kui seda kasutada sĂŒsteemihaldusvahendina, mis oli algne eesmĂ€rk psexec, kĂ”igi nende mehhanismide "sumises" pole midagi halba Windows Ei. RĂŒndaja jaoks tekitaks psexec aga komplikatsioone ning ettevaatliku ja kavala siseringi isiku, nĂ€iteks Snowdeni, jaoks oleks psexec vĂ”i sarnane utiliit liiga suur risk.
Ja siis tuleb Smbexec
SMB on nutikas ja salajane viis failide edastamiseks serverite vahel ning hÀkkerid on juba sajandeid otse SMB-sse imbunud. Ma arvan, et kÔik teavad juba, et see pole seda vÀÀrt SMB pordid 445 ja 139 Internetti, eks?
2013. aasta Defconis osales Eric Millman () esitati , et pentestijad saaksid proovida varajast SMB hÀkkimist. Ma ei tea kogu lugu, kuid Impacket tÀiustas smbexeci veelgi. Tegelikult laadisin testimiseks alla Pythoni Impacketist pÀrit skriptid saidilt .
Erinevalt psexec-st, smbexec vÀldib potentsiaalselt tuvastatud binaarfaili edastamine sihtmasinasse. Selle asemel elab utiliit tÀielikult karjamaast kuni kÀivitamiseni kohalik kÀsurida Windows.
See edastab rĂŒndava masina kĂ€su SMB kaudu spetsiaalsesse sisendfaili ning loob ja kĂ€ivitab seejĂ€rel keeruka kĂ€surea (teenusena). Windows), mis tundub Linuxi kasutajatele tuttav. LĂŒhidalt: see töötab natiivselt Windows-cmd shell, suunab vĂ€ljundi teisele failile ja saadab selle seejĂ€rel SMB kaudu rĂŒndaja masinasse tagasi.
Parim viis seda mĂ”ista on vaadata kĂ€surida, mille sain sĂŒndmuste logist (vt allpool).
Kas see pole mitte parim viis I/O ĂŒmbersuunamiseks? Muide, teenuse loomisel on sĂŒndmuse ID 7045.
Nagu psexec, loob see ka teenuse, mis teeb kogu töö Ă€ra, kuid teenus pĂ€rast seda eemaldatud - seda kasutatakse kĂ€su kĂ€ivitamiseks ainult ĂŒks kord ja seejĂ€rel kaob! Ohvri masinat jĂ€lgiv infoturbeametnik ei suuda tuvastada ilmselge RĂŒnnaku tunnused: Pahatahtlikku faili ei kĂ€ivitata, pĂŒsivat teenust pole installitud ja RPC kasutamise kohta pole tĂ”endeid, kuna SMB on ainus andmeedastusvahend. Geniaalne!
RĂŒndaja poolelt on saadaval "pseudo-shell", mille kĂ€su saatmise ja vastuse saamise vahel on viivitus. Kuid see on tĂ€iesti piisav, et rĂŒndaja â kas sisering vĂ”i vĂ€line hĂ€kker, kellel on juba tugipunkt â hakkaks huvitavat sisu otsima.
Andmete vĂ€ljastamiseks sihtmasinast rĂŒndaja masinasse kasutatakse seda . Jah, see on sama Samba , kuid Impacket muutis selle Pythoni skriptiks. Tegelikult vĂ”imaldab smbclient SMB kaudu FTP-ĂŒlekandeid varjatult majutada.
Astume sammu tagasi ja mĂ”tleme, mida see töötaja jaoks tĂ€hendada vĂ”iks. Minu vĂ€ljamĂ”eldud stsenaariumis lubatakse nĂ€iteks blogijal, finantsanalĂŒĂŒtikul vĂ”i kĂ”rgelt tasustatud turvakonsultandil oma isiklikku sĂŒlearvutit tööks kasutada. Mingi maagilise protsessi kĂ€igus hakkab ta ettevĂ”tte peale pahaks panema ja lĂ€heb raevu. SĂ”ltuvalt sĂŒlearvuti operatsioonisĂŒsteemist kasutab ta kas Impacti Pythoni versiooni vĂ”i Windows smbexeci vĂ”i smbclienti versioon .exe-failina.
Nagu Snowden, saab ka tema teada teise kasutaja parooli kas ĂŒle Ă”la vaadates vĂ”i siis veab ja komistab parooliga tekstifaili otsa. Ja nende mandaatide abil hakkab ta sĂŒsteemis ringi uurima uuel privileegide tasemel.
DCC hĂ€kkimine: me ei vaja ĂŒhtegi "rumalat" Mimikatzi
Oma eelmistes postitustes pentestimise kohta kasutasin ma mimikatzi vĂ€ga sageli. See on suurepĂ€rane tööriist mandaatide pealtkuulamiseks â sĂŒlearvutitesse peidetud NTLM-rĂ€sid ja isegi selgeteksti paroolid, mis ootavad kasutamist.
Ajad on muutunud. Seiretööriistad on mimikatzi tuvastamisel ja blokeerimisel paremaks muutunud. Infoturbe administraatoritel on nĂŒĂŒd ka rohkem vĂ”imalusi vĂ€hendada rĂ€sirĂŒnnakute (PtH) rĂŒnnakutega seotud riske.
Mida peaks tark töötaja tegema, et koguda tÀiendavaid mandaate ilma mimikatzi kasutamata?
Impaketi komplekt sisaldab utiliiti nimega , mis hangib mandaadid domeeni mandaatide vahemĂ€lust ehk lĂŒhidalt DCC-st. Ma saan aru, et kui domeeni kasutaja logib serverisse sisse, kuid domeenikontroller pole saadaval, vĂ”imaldab DCC serveril kasutaja autentida. Igatahes vĂ”imaldab secretsdump kĂ”ik need rĂ€sid kustutada, kui need on saadaval.
DCC rĂ€sid on mitte NTML-rĂ€si ja nende ei saa kasutada PtH rĂŒnnaku jaoks.
Noh, vÔite proovida neid hÀkkida, et saada algne parool. Microsoft on aga DCC-ga targemaks saanud ja DCC-rÀsi on muutunud ÀÀrmiselt keeruliseks lahti murda. Jah mul on , "maailma kiireim parooliarvaja", kuid selle tÔhusaks tööks on vaja GPU-d.
Selle asemel proovime mÔelda nagu Snowden. Töötaja saab teha nÀost nÀkku sotsiaalset manipuleerimist ja vÔib-olla saada teavet inimese kohta, kelle parooli ta soovib murda. NÀiteks uurige, kas inimese veebikontole on kunagi sisse hÀkitud, ja uurige tema selgeteksti parooli vihjete leidmiseks.
Ja see on stsenaarium, mille jĂ€rgi ma otsustasin jĂ€rgida. Oletame, et sisering sai teada, et tema ĂŒlemust Cruellat oli erinevates veebiressurssides mitu korda hĂ€kitud. PĂ€rast mitmete nende paroolide analĂŒĂŒsimist mĂ”istab ta, et Cruella eelistab kasutada pesapallimeeskonna nime "Yankees" vormingut, millele jĂ€rgneb jooksev aasta - "Yankees2015".
Kui proovite seda nĂŒĂŒd kodus reprodutseerida, saate alla laadida vĂ€ikese "C" , mis rakendab DCC rĂ€simisalgoritmi, ja kompileerib selle. , muide, lisas DCC toe, nii et seda saab ka kasutada. Oletame, et insaider ei taha vaeva nĂ€ha Rippija Johannese Ă”ppimisega ja talle meeldib "gcc" kĂ€itada pĂ€rand C-koodil.
Insaideri rolli teeskledes proovisin mitmeid erinevaid kombinatsioone ja lĂ”puks suutsin avastada, et Cruella parool oli "Yankees2019" (vt allpool). Ălesanne tĂ€idetud!
Natuke sotsiaalset manipuleerimist, nÀpuotsaga ennustamist ja nÀpuotsaga Maltegot ning oletegi DCC rÀsi murdmise teel.
Soovitan siinkohal lĂ”petada. Naaseme selle teema juurde teistes postitustes ja vaatame veelgi aeglasemaid ja vargasemaid rĂŒndemeetodeid, jĂ€tkates Impacketi suurepĂ€raste utiliitide komplekti.
Allikas: www.habr.com
