ما مرتباً در مورد اینکه چگونه هکرها اغلب بر بهره برداری تکیه می کنند می نویسیم برای جلوگیری از شناسایی آنها به معنای واقعی کلمه ، با استفاده از ابزارهای استاندارد ویندوز، در نتیجه آنتی ویروس ها و سایر ابزارهای کمکی را برای شناسایی فعالیت های مخرب دور می زنند. ما، به عنوان مدافع، اکنون مجبور هستیم با عواقب ناگوار چنین تکنیک های هک هوشمندانه مقابله کنیم: یک کارمند با موقعیت مناسب می تواند از همان رویکرد برای سرقت مخفیانه داده ها (مالکیت معنوی شرکت، شماره کارت اعتباری) استفاده کند. و اگر او عجله نداشته باشد، اما به آرامی و بی سر و صدا کار کند، بسیار دشوار خواهد بود - اما اگر از رویکرد صحیح و مناسب استفاده کند، باز هم ممکن است. ، - برای شناسایی چنین فعالیتی.
از سوی دیگر، من نمیخواهم کارمندان را شیطانی جلوه دهم، زیرا هیچکس نمیخواهد در یک محیط تجاری درست از سال 1984 اورول کار کند. خوشبختانه، تعدادی گام عملی و هک های زندگی وجود دارد که می تواند زندگی را برای خودی ها بسیار دشوارتر کند. در نظر خواهیم گرفت روش های حمله پنهان، توسط هکرها توسط کارمندان با سابقه فنی استفاده می شود. و کمی بیشتر در مورد گزینه هایی برای کاهش چنین خطراتی بحث خواهیم کرد - گزینه های فنی و سازمانی را مطالعه خواهیم کرد.
مشکل PsExec چیست؟
ادوارد اسنودن، درست یا نادرست، مترادف با سرقت اطلاعات داخلی شده است. به هر حال، فراموش نکنید که نگاهی به آن بیندازید در مورد سایر افراد داخلی که آنها نیز شایسته شهرت هستند. یک نکته مهم در مورد روش هایی که اسنودن به کار می برد این است که تا آنجا که ما می دانیم، او نصب نکرد بدون نرم افزار مخرب خارجی!
در عوض، اسنودن کمی از مهندسی اجتماعی استفاده کرد و از موقعیت خود به عنوان مدیر سیستم برای جمع آوری رمزهای عبور و ایجاد اعتبار استفاده کرد. هیچ چیز پیچیده ای نیست - هیچ ، حملات یا .
کارکنان سازمانی همیشه در موقعیت منحصربهفرد اسنودن نیستند، اما درسهایی وجود دارد که باید از مفهوم «بقا از طریق چرا» یاد گرفت که باید از آنها آگاه بود - درگیر هیچ گونه فعالیت مخربی که بتوان آن را شناسایی کرد، و بهخصوص در استفاده از اعتبارنامه دقت کنید این فکر را به خاطر بسپار
و پسر عمویش نفوذگران، هکرها و وبلاگ نویسان امنیت سایبری بیشماری را تحت تاثیر قرار داده اند. و هنگامی که با mimikatz ترکیب میشود، psexec به مهاجمان اجازه میدهد بدون نیاز به دانستن رمز عبور متن شفاف، در یک شبکه حرکت کنند.
Mimikatz هش NTLM را از فرآیند LSASS رهگیری می کند و سپس توکن یا اعتبارنامه را ارسال می کند - به اصطلاح. حمله "گذر از هش". – در psexec، به مهاجم اجازه می دهد تا به عنوان یک سرور دیگر وارد شود از دیگری کاربر. و با هر حرکت بعدی به یک سرور جدید، مهاجم اعتبار اضافی را جمع آوری می کند و دامنه قابلیت های خود را در جستجوی محتوای موجود گسترش می دهد.
وقتی برای اولین بار کار با psexec را شروع کردم به نظرم جادویی بود - متشکرم ، توسعه دهنده درخشان psexec - اما من در مورد او نیز می دانم پر سر و صدا اجزاء. او هرگز رازدار نیست!
اولین واقعیت جالب در مورد psexec این است که از بسیار پیچیده استفاده می کند پروتکل فایل شبکه SMB از مایکروسافت با استفاده از SMB، psexec کوچک انتقال می دهد دوتایی فایل ها را به سیستم مورد نظر، قرار دادن آنها در پوشه C:Windows.
سپس، psexec یک سرویس ویندوز را با استفاده از باینری کپی شده ایجاد می کند و آن را با نام بسیار غیرمنتظره PSEXECSVC اجرا می کند. در همان زمان، شما می توانید همه اینها را مانند من، با تماشای یک دستگاه از راه دور مشاهده کنید (پایین را ببینید).
کارت تلفن Psexec: سرویس "PSEXECSVC". این یک فایل باینری را اجرا می کند که از طریق SMB در پوشه C:Windows قرار داده شده است.
در مرحله آخر، فایل باینری کپی شده باز می شود اتصال RPC به سرور هدف میرود و سپس دستورات کنترلی را میپذیرد (به طور پیشفرض از طریق پوسته cmd ویندوز)، آنها را راهاندازی میکند و ورودی و خروجی را به ماشین خانگی مهاجم هدایت میکند. در این مورد، مهاجم خط فرمان اصلی را می بیند - همان طور که اگر مستقیماً متصل شده باشد.
اجزای زیاد و فرآیند بسیار پر سر و صدا!
اجزای داخلی پیچیده psexec پیامی را توضیح میدهند که در طول اولین آزمایشهای چند سال پیش من را متحیر میکرد: «شروع PSEXECSVC...» به دنبال آن یک مکث قبل از ظاهر شدن خط فرمان.
Psexec Impacket در واقع نشان می دهد که در زیر کاپوت چه می گذرد.
جای تعجب نیست: psexec حجم زیادی از کار را در زیر کاپوت انجام داد. اگر به توضیح بیشتر علاقه دارید، اینجا را بررسی کنید توصیف فوق العاده
بدیهی است، هنگامی که به عنوان یک ابزار مدیریت سیستم استفاده می شود، که بود هدف اصلی psexec، هیچ مشکلی با "وزوز" همه این مکانیسم های ویندوز وجود ندارد. با این حال، برای یک مهاجم، psexec عوارضی ایجاد میکند، و برای یک خودی محتاط و حیلهگر مانند اسنودن، psexec یا یک ابزار مشابه خطر زیادی خواهد داشت.
و سپس Smbexec می آید
SMB روشی هوشمندانه و مخفی برای انتقال فایل ها بین سرورها است و هکرها قرن هاست که مستقیماً به SMB نفوذ می کنند. فکر می کنم همه از قبل می دانند که ارزشش را ندارد پورت های SMB 445 و 139 به اینترنت، درست است؟
در Defcon 2013، اریک میلمن () ارایه شده ، به طوری که نفوذگران می توانند هک مخفیانه SMB را امتحان کنند. من کل داستان را نمی دانم، اما سپس Impacket smbexec را بیشتر اصلاح کرد. در واقع، برای آزمایش خود، اسکریپت ها را از Impacket در پایتون دانلود کردم .
برخلاف psexec، smbexec اجتناب می کند انتقال یک فایل باینری بالقوه شناسایی شده به ماشین مورد نظر. در عوض، ابزار به طور کامل از مرتع تا راه اندازی زندگی می کند محلی خط فرمان ویندوز
کاری که انجام میدهد این است: دستوری را از ماشین مهاجم از طریق SMB به یک فایل ورودی ویژه میفرستد، و سپس یک خط فرمان پیچیده (مانند یک سرویس ویندوز) ایجاد و اجرا میکند که برای کاربران لینوکس آشنا به نظر میرسد. به طور خلاصه: یک پوسته cmd ویندوز بومی را راه اندازی می کند، خروجی را به فایل دیگری هدایت می کند و سپس آن را از طریق SMB به ماشین مهاجم می فرستد.
بهترین راه برای درک این موضوع، نگاه کردن به خط فرمان است، که من توانستم از گزارش رویداد (به زیر مراجعه کنید) به آن دست پیدا کنم.
آیا این بهترین راه برای تغییر مسیر I/O نیست؟ به هر حال، ایجاد سرویس دارای شناسه رویداد 7045 است.
مانند psexec، سرویسی را نیز ایجاد می کند که همه کارها را انجام می دهد، اما سرویس بعد از آن حذف شده - فقط یک بار برای اجرای دستور استفاده می شود و سپس ناپدید می شود! یک افسر امنیت اطلاعات که دستگاه قربانی را نظارت می کند قادر به تشخیص نیست واضح شاخصهای حمله: هیچ فایل مخربی راهاندازی نشده است، هیچ سرویس دائمی در حال نصب نیست، و هیچ مدرکی دال بر استفاده از RPC وجود ندارد زیرا SMB تنها وسیله انتقال داده است. درخشان!
از طرف مهاجم، یک "شبه پوسته" با تاخیر بین ارسال فرمان و دریافت پاسخ در دسترس است. اما این برای یک مهاجم - چه یک هکر داخلی یا یک هکر خارجی که قبلاً جای پایی دارد - کاملاً کافی است تا شروع به جستجوی محتوای جالب کند.
برای برگشت داده ها از ماشین هدف به ماشین مهاجم، از آن استفاده می شود . بله، همان سامبا است ، اما فقط توسط Impacket به اسکریپت پایتون تبدیل شده است. در واقع، smbclient به شما اجازه می دهد تا انتقالات FTP را از طریق SMB مخفیانه میزبانی کنید.
بیایید یک قدم به عقب برگردیم و به این فکر کنیم که این چه کاری می تواند برای کارمند انجام دهد. در سناریوی ساختگی من، فرض کنید یک وبلاگ نویس، تحلیلگر مالی یا مشاور امنیتی با حقوق بالا مجاز است از لپ تاپ شخصی برای کار استفاده کند. در نتیجه یک فرآیند جادویی، او از شرکت توهین میکند و «بهطور کامل بد میشود». بسته به سیستم عامل لپ تاپ، از نسخه پایتون Impact یا نسخه ویندوز smbexec یا smbclient به عنوان فایل exe استفاده می کند.
او مانند اسنودن، رمز عبور کاربر دیگری را یا با نگاه کردن به روی شانهاش مییابد، یا خوش شانس میشود و به صورت تصادفی به یک فایل متنی با رمز عبور میرسد. و با کمک این اعتبار، او شروع به حفاری در اطراف سیستم در سطح جدیدی از امتیازات می کند.
هک DCC: ما به Mimikatz "احمقانه" نیاز نداریم
در پست های قبلی ام در مورد pentesting، من اغلب از mimikatz استفاده کردم. این یک ابزار عالی برای رهگیری اعتبارنامه ها است - هش های NTLM و حتی رمزهای عبور متن شفاف که در لپ تاپ ها پنهان شده اند و فقط منتظر استفاده هستند.
دوره و زمانه عوض شده. ابزارهای نظارتی در شناسایی و مسدود کردن mimikatz بهتر شده اند. مدیران امنیت اطلاعات نیز اکنون گزینه های بیشتری برای کاهش خطرات مرتبط با حملات هش (PtH) دارند.
بنابراین یک کارمند باهوش برای جمعآوری مدارک اضافی بدون استفاده از mimikatz چه باید بکند؟
کیت Impacket شامل ابزاری به نام ، که اعتبارنامه ها را از کش اعتبار دامنه یا به اختصار DCC بازیابی می کند. درک من این است که اگر یک کاربر دامنه به سرور وارد شود اما کنترل کننده دامنه در دسترس نباشد، DCC به سرور اجازه می دهد تا کاربر را احراز هویت کند. به هر حال، Secretsdump به شما اجازه می دهد که در صورت وجود همه این هش ها را تخلیه کنید.
هش های DCC هستند نه هش های NTML و خود را نمی توان برای حمله PtH استفاده کرد.
خوب، شما می توانید سعی کنید آنها را هک کنید تا رمز عبور اصلی را دریافت کنید. با این حال، مایکروسافت با DCC هوشمندتر شده است و شکستن هش DCC بسیار دشوار شده است. بله دارم ، "سریع ترین حدس دهنده رمز عبور جهان"، اما برای اجرای موثر به یک GPU نیاز دارد.
در عوض، بیایید سعی کنیم مانند اسنودن فکر کنیم. یک کارمند میتواند مهندسی اجتماعی رو در رو انجام دهد و احتمالاً اطلاعاتی درباره شخصی که میخواهد رمز عبور او را بشکند، بیابد. به عنوان مثال، دریابید که آیا حساب آنلاین آن شخص تا به حال هک شده است یا خیر و رمز عبور واضح متن را برای هر سرنخی بررسی کنید.
و این همان سناریویی است که من تصمیم گرفتم با آن پیش بروم. بیایید فرض کنیم که یک خودی متوجه شده است که رئیس او، کرولا، چندین بار در منابع مختلف وب هک شده است. پس از تجزیه و تحلیل چندین مورد از این رمزهای عبور، او متوجه می شود که کرولا ترجیح می دهد از قالب نام تیم بیسبال "Yankees" و به دنبال آن سال جاری - "Yankees2015" استفاده کند.
اگر اکنون میخواهید این را در خانه بازتولید کنید، میتوانید یک «C» کوچک دانلود کنید. ، که الگوریتم هش DCC را پیاده سازی می کند و آن را کامپایل می کند. ، به هر حال، پشتیبانی از DCC را اضافه کرد، بنابراین می توان از آن نیز استفاده کرد. بیایید فرض کنیم که یک خودی نمیخواهد برای یادگیری جان چاککننده زحمت بکشد و دوست دارد "gcc" را روی کد C قدیمی اجرا کند.
با تظاهر به نقش یک خودی، چندین ترکیب مختلف را امتحان کردم و در نهایت توانستم کشف کنم که رمز عبور کرولا "Yankees2019" است (پایین را ببینید). مأموریت انجام شد!
کمی مهندسی اجتماعی، فال گویی و کمی Maltego و شما در راه شکستن هش DCC هستید.
پیشنهاد می کنم همین جا تمام کنیم. ما در پستهای دیگر به این موضوع باز میگردیم و روشهای حمله آهستهتر و پنهانتر را بررسی میکنیم، و همچنان به مجموعه ابزارهای عالی Impacket ادامه میدهیم.
منبع: www.habr.com