Kirjutame regulaarselt sellest, kuidas häkkerid loodavad sageli ärakasutamisele
Teisest küljest ei tahaks ma töötajaid demoniseerida, sest keegi ei taha töötada ärikeskkonnas otse Orwelli 1984. aastast. Õnneks on mitmeid praktilisi samme ja eluviise, mis võivad siseringi inimeste elu palju keerulisemaks muuta. Me kaalume varjatud rünnaku meetodid, mida häkkerid kasutavad teatud tehnilise taustaga töötajad. Ja veidi edasi arutame võimalusi selliste riskide vähendamiseks – uurime nii tehnilisi kui ka organisatsioonilisi võimalusi.
Mis PsExecil viga on?
Edward Snowden, kas õigustatult või valesti, on muutunud siseandmete varguse sünonüümiks. Muide, ärge unustage pilku heitmast
Selle asemel kasutas Snowden veidi sotsiaalset manipuleerimist ja kasutas oma positsiooni süsteemiadministraatorina paroolide kogumiseks ja mandaatide loomiseks. Ei midagi keerulist – mitte midagi
Organisatsiooni töötajad ei ole alati Snowdeni ainulaadses positsioonis, kuid mõistest "karjatamisega ellujäämine" tuleb õppida mitmeid õppetunde, millest tuleb teadlik olla - mitte osaleda pahatahtlikus tegevuses, mida on võimalik tuvastada, ja olla eriti oluline. volikirjade kasutamisega ettevaatlik. Pidage meeles seda mõtet.
Mimikatz püüab kinni LSASS-i protsessist pärineva NTLM-i räsi ja edastab seejärel loa või mandaadid – nn. "pass the hash" rünnak – psexecis, võimaldades ründajal teise serverisse sisse logida teise kasutaja. Ja iga järgneva uude serverisse liikumisega kogub ründaja täiendavaid mandaate, laiendades oma võimalusi saadaoleva sisu otsimisel.
Kui ma esimest korda psexeciga töötama hakkasin, tundus see mulle maagiline – aitäh
Esimene huvitav fakt psexeci kohta on see, et see kasutab äärmiselt keerulisi SMB võrgufaili protokoll Microsoftilt. SMB-d kasutades edastab psexec väikseid binaarne failid sihtsüsteemi, asetades need kausta C:Windows.
Järgmisena loob psexec kopeeritud kahendfaili kasutades Windowsi teenuse ja käivitab selle äärmiselt "ootamatu" nime all PSEXECSVC. Samal ajal näete seda kõike, nagu mina, kaugmasinat vaadates (vt allpool).
Psexeci kõnekaart: "PSEXECSVC" teenus. See käivitab binaarfaili, mis paigutati SMB kaudu kausta C:Windows.
Viimase sammuna avaneb kopeeritud binaarfail RPC ühendus sihtserverisse ja seejärel aktsepteerib juhtkäske (vaikimisi Windowsi cmd kesta kaudu), käivitades need ning suunates sisendi ja väljundi ümber ründaja kodumasinasse. Sel juhul näeb ründaja põhikäsurida – sama, nagu oleks ta otse ühendatud.
Palju komponente ja väga lärmakas protsess!
Psexeci keerukad sisemised osad selgitavad sõnumit, mis mind mitu aastat tagasi esimeste testide ajal hämmingus tekitas: "PSEXECSVC käivitamine...", millele järgnes paus enne käsuviiba ilmumist.
Impaketi Psexec näitab tegelikult seda, mis kapoti all toimub.
Pole üllatav: psexec tegi kapoti all tohutult tööd. Kui olete huvitatud täpsemast selgitusest, vaadake siit
Ilmselgelt, kui seda kasutada süsteemihaldusvahendina, mis oli algne eesmärk psexec, pole kõigi nende Windowsi mehhanismide "sumises" midagi halba. Ründaja jaoks tekitaks psexec aga komplikatsioone ning ettevaatlikule ja kavalale siseringile nagu Snowden oleks psexec või muu sarnane utiliit liiga suur risk.
Ja siis tuleb Smbexec
SMB on nutikas ja salajane viis failide edastamiseks serverite vahel ning häkkerid on juba sajandeid otse SMB-sse imbunud. Ma arvan, et kõik teavad juba, et see pole seda väärt
2013. aasta Defconis osales Eric Millman (
Erinevalt psexec-st, smbexec väldib potentsiaalselt tuvastatud binaarfaili edastamine sihtmasinasse. Selle asemel elab utiliit täielikult karjamaast kuni käivitamiseni kohalik Windowsi käsurida.
See toimib järgmiselt: see edastab käsu ründavalt masinalt SMB kaudu spetsiaalsesse sisendfaili ning seejärel loob ja käivitab keeruka käsurea (nagu Windowsi teenus), mis tundub Linuxi kasutajatele tuttav. Lühidalt: see käivitab natiivse Windowsi cmd-shelli, suunab väljundi teise faili ja saadab selle seejärel SMB kaudu tagasi ründaja masinasse.
Parim viis seda mõista on vaadata käsurida, mille sain sündmuste logist (vt allpool).
Kas see pole mitte parim viis I/O ümbersuunamiseks? Muide, teenuse loomisel on sündmuse ID 7045.
Nagu psexec, loob see ka teenuse, mis teeb kogu töö ära, kuid teenus pärast seda eemaldatud - seda kasutatakse käsu käivitamiseks ainult üks kord ja seejärel kaob! Ohvri masinat jälgiv infoturbeametnik ei suuda tuvastada ilmselge Rünnaku tunnused: Pahatahtlikku faili ei käivitata, püsivat teenust pole installitud ja RPC kasutamise kohta pole tõendeid, kuna SMB on ainus andmeedastusvahend. Geniaalne!
Ründaja poolelt on saadaval "pseudo-shell", mille käsu saatmise ja vastuse saamise vahel on viivitus. Kuid see on täiesti piisav, et ründaja – kas sisering või väline häkker, kellel on juba tugipunkt – hakkaks huvitavat sisu otsima.
Andmete väljastamiseks sihtmasinast ründaja masinasse kasutatakse seda
Astume sammu tagasi ja mõelgem, mida see töötaja heaks teha saab. Oletame, et minu väljamõeldud stsenaariumi kohaselt on blogijal, finantsanalüütikul või kõrgelt tasustatud turvakonsultandil lubatud kasutada tööks isiklikku sülearvutit. Mõne maagilise protsessi tulemusel solvub ta ettevõtte peale ja "läheb halvasti". Olenevalt sülearvuti operatsioonisüsteemist kasutab see exe-failina kas Impacti Pythoni versiooni või smbexeci või smbclienti Windowsi versiooni.
Nagu Snowden, saab ka tema teada teise kasutaja parooli kas üle õla vaadates või siis veab ja komistab parooliga tekstifaili otsa. Ja nende mandaatide abil hakkab ta süsteemis ringi uurima uuel privileegide tasemel.
DCC häkkimine: me ei vaja ühtegi "rumalat" Mimikatzi
Oma eelmistes postitustes pentestimise kohta kasutasin ma mimikatzi väga sageli. See on suurepärane tööriist mandaatide pealtkuulamiseks – sülearvutitesse peidetud NTLM-räsid ja isegi selgeteksti paroolid, mis ootavad kasutamist.
Ajad on muutunud. Seiretööriistad on mimikatzi tuvastamisel ja blokeerimisel paremaks muutunud. Infoturbe administraatoritel on nüüd ka rohkem võimalusi vähendada räsirünnakute (PtH) rünnakutega seotud riske.
Mida peaks tark töötaja tegema, et koguda täiendavaid mandaate ilma mimikatzi kasutamata?
Impaketi komplekt sisaldab utiliiti nimega
DCC räsid on mitte NTML-räsi ja nende ei saa kasutada PtH rünnaku jaoks.
Noh, võite proovida neid häkkida, et saada algne parool. Microsoft on aga DCC-ga targemaks saanud ja DCC-räsi on muutunud äärmiselt keeruliseks lahti murda. Jah mul on
Selle asemel proovime mõelda nagu Snowden. Töötaja saab teha näost näkku sotsiaalset manipuleerimist ja võib-olla saada teavet inimese kohta, kelle parooli ta soovib murda. Näiteks uurige, kas inimese veebikontole on kunagi sisse häkitud, ja uurige tema selgeteksti parooli vihjete leidmiseks.
Ja see on stsenaarium, mille järgi ma otsustasin järgida. Oletame, et sisering sai teada, et tema ülemust Cruellat oli erinevates veebiressurssides mitu korda häkitud. Pärast mitmete nende paroolide analüüsimist mõistab ta, et Cruella eelistab kasutada pesapallimeeskonna nime "Yankees" vormingut, millele järgneb jooksev aasta - "Yankees2015".
Kui proovite seda nüüd kodus reprodutseerida, saate alla laadida väikese "C"
Insaideri rolli teeskledes proovisin mitmeid erinevaid kombinatsioone ja lõpuks suutsin avastada, et Cruella parool oli "Yankees2019" (vt allpool). Ülesanne täidetud!
Natuke sotsiaalset manipuleerimist, näpuotsaga ennustamist ja näpuotsaga Maltegot ning oletegi DCC räsi murdmise teel.
Soovitan siinkohal lõpetada. Naaseme selle teema juurde teistes postitustes ja vaatame veelgi aeglasemaid ja vargasemaid ründemeetodeid, jätkates Impacketi suurepäraste utiliitide komplekti.
Allikas: www.habr.com