خاطرات تام هانتر: «شگ باسکرویل ها»

تاخیر در امضای قرارداد برای هر شرکت بزرگی رایج است. توافق بین تام هانتر و یک فروشگاه زنجیره ای حیوانات خانگی برای بررسی کامل از این قاعده مستثنی نبود. ما مجبور شدیم وب سایت، شبکه داخلی و حتی وای فای کار را بررسی کنیم.

جای تعجب نیست که دستانم حتی قبل از اینکه تمام تشریفات حل شود، خارش داشتند. خوب، فقط در هر صورت سایت را اسکن کنید، بعید است که فروشگاه معروفی مانند "Hound of the Baskervilles" در اینجا اشتباه کند. چند روز بعد، سرانجام قرارداد اصلی امضا شده به تام تحویل داده شد - در این زمان، در کنار سومین فنجان قهوه، تام از CMS داخلی با علاقه وضعیت انبارها را ارزیابی کرد...

منبع: احسان تبلو

اما امکان مدیریت زیاد در CMS وجود نداشت - مدیران سایت IP Tom Hunter را ممنوع کردند. اگرچه می‌توان وقت داشت برای کارت فروشگاه پاداش تهیه کرد و ماه‌ها به گربه‌ی محبوبت ارزان‌قیمت غذا داد... تام با لبخند فکر کرد: «این بار نه، دارث سیدیوس. رفتن از ناحیه وب سایت به شبکه محلی مشتری چندان جالب نخواهد بود، اما ظاهراً این بخش ها برای مشتری متصل نیستند. با این حال، این اغلب در شرکت های بسیار بزرگ اتفاق می افتد.

پس از تمام تشریفات، تام هانتر خود را با حساب VPN ارائه شده مسلح کرد و به شبکه محلی مشتری رفت. این حساب در دامنه اکتیو دایرکتوری بود، بنابراین می‌توان AD را بدون هیچ ترفند خاصی تخلیه کرد - تمام اطلاعات در دسترس عموم در مورد کاربران و ماشین‌های کار را تخلیه کرد.

تام ابزار adfind را راه اندازی کرد و شروع به ارسال درخواست های LDAP به کنترل کننده دامنه کرد. با یک فیلتر در کلاس objectСategory، مشخص کردن شخص به عنوان یک ویژگی. پاسخ با ساختار زیر برگشت:

dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Z

علاوه بر این، اطلاعات مفید زیادی وجود داشت، اما جالب ترین آنها در قسمت >description: >description بود. این یک نظر در مورد یک حساب است - اساساً مکانی مناسب برای نگه داشتن یادداشت های جزئی. اما مدیران مشتری تصمیم گرفتند که گذرواژه‌ها نیز می‌توانند بی‌صدا در آنجا قرار گیرند. بالاخره چه کسی ممکن است به این همه سوابق رسمی ناچیز علاقه مند باشد؟ بنابراین نظراتی که تام دریافت کرد این بود:

Создал Администратор, 2018.11.16 7po!*Vqn

برای درک اینکه چرا ترکیب در پایان مفید است، نیازی نیست که یک دانشمند موشکی باشید. تنها چیزی که باقی مانده بود تجزیه فایل پاسخ بزرگ از سی دی با استفاده از قسمت >description: و در اینجا - 20 جفت ورود-رمز عبور بود. علاوه بر این، تقریباً نیمی از آنها دارای حقوق دسترسی به RDP هستند. پل بدی نیست، زمان تقسیم نیروهای مهاجم است.

محیط شبکه

توپ‌های سگ‌های باسکرویل در دسترس، با تمام هرج و مرج و غیرقابل پیش‌بینی بودن، یادآور شهری بزرگ بودند. تام هانتر با پروفایل های کاربری و RDP در این شهر یک پسر شکست خورده بود، اما حتی او نیز توانست چیزهای زیادی را از پنجره های درخشان سیاست امنیتی ببیند.

بخش‌هایی از سرورهای فایل، حساب‌های حسابداری و حتی اسکریپت‌های مرتبط با آن‌ها همگی عمومی شدند. در تنظیمات یکی از این اسکریپت ها، تام هش MS SQL یک کاربر را پیدا کرد. کمی جادوی بی رحمانه - و هش کاربر به یک رمز عبور متن ساده تبدیل شد. با تشکر از John The Ripper و Hashcat.

این کلید باید روی سینه مناسب باشد. قفسه سینه پیدا شد و علاوه بر این، ده "سینه" دیگر با آن همراه بود. و در داخل شش قرار داشت... حقوق ابرکاربر، سیستم قدرت nt! در دو مورد از آنها ما توانستیم رویه ذخیره شده xp_cmdshell را اجرا کنیم و دستورات cmd را به ویندوز ارسال کنیم. چه چیزی بیشتر می توانید بخواهید؟

کنترل کننده های دامنه

تام هانتر ضربه دوم را برای کنترلرهای دامنه آماده کرد. مطابق با تعداد سرورهای از راه دور جغرافیایی، سه مورد از آنها در شبکه "سگ های باسکرویل" وجود داشت. هر کنترل کننده دامنه یک پوشه عمومی دارد، مانند یک ویترین باز در یک فروشگاه، که همان پسر بیچاره تام در نزدیکی آن پاتوق می کند.

و این بار آن مرد دوباره خوش شانس بود - آنها فراموش کردند اسکریپت را از صفحه نمایش حذف کنند، جایی که رمز عبور مدیریت سرور محلی کدگذاری شده بود. بنابراین مسیر کنترل کننده دامنه باز بود. بیا داخل، تام!

اینجا از کلاه جادویی کشیده شد mimikatz، که از چندین مدیر دامنه سود می برد. تام هانتر به تمام ماشین های شبکه محلی دسترسی پیدا کرد و خنده شیطانی گربه را از صندلی بعدی ترساند. این مسیر کوتاه تر از حد انتظار بود.

eternalblu به

خاطره WannaCry و Petya هنوز در ذهن نفوذگران زنده است، اما به نظر می رسد برخی از ادمین ها در جریان اخبار عصر دیگر، باج افزار را فراموش کرده اند. تام سه گره با یک آسیب پذیری در پروتکل SMB کشف کرد - CVE-2017-0144 یا EternalBlue. این همان آسیب‌پذیری است که برای توزیع باج‌افزار WannaCry و Petya استفاده شد، آسیب‌پذیری که اجازه می‌دهد کد دلخواه روی یک میزبان اجرا شود. در یکی از گره‌های آسیب‌پذیر، یک جلسه مدیریت دامنه وجود داشت - "اکسپلویت و دریافت کنید". چه کاری می توانید انجام دهید، زمان به همه یاد نداده است.

"سگ باسترویل"

کلاسیک های امنیت اطلاعات دوست دارند تکرار کنند که ضعیف ترین نقطه هر سیستمی شخص است. توجه داشته باشید که عنوان بالا با نام فروشگاه مطابقت ندارد؟ شاید همه اینقدر توجه نداشته باشند.

در بهترین سنت های پرفروش های فیشینگ، تام هانتر دامنه ای را ثبت کرد که یک حرف با دامنه "Hounds of the Baskervilles" تفاوت دارد. آدرس پستی در این دامنه از آدرس سرویس امنیت اطلاعات فروشگاه تقلید شده است. در طول 4 روز از ساعت 16:00 تا 17:00، نامه زیر به طور یکسان به 360 آدرس از یک آدرس جعلی ارسال شد:

شاید فقط تنبلی خودشان کارمندان را از نشت گسترده رمزهای عبور نجات داد. از 360 نامه، فقط 61 نامه باز شد - سرویس امنیتی بسیار محبوب نیست. اما بعد راحت تر بود.

صفحه فیشینگ

46 نفر روی پیوند کلیک کردند و تقریباً نیمی - 21 کارمند - به نوار آدرس نگاه نکردند و با آرامش لاگین و رمز عبور خود را وارد کردند. گرفتن خوب، تام.

شبکه Wi-Fi

حالا دیگر نیازی به حساب کردن کمک گربه نبود. تام هانتر چند تکه آهن را داخل سدان قدیمی خود انداخت و به دفتر سگ شکاری باسکرویل ها رفت. با بازدید او موافقت نشد: تام قصد داشت وای فای مشتری را آزمایش کند. در پارکینگ مرکز تجاری چندین فضای آزاد وجود داشت که به راحتی در محیط شبکه هدف گنجانده شده بود. ظاهراً آنها زیاد به محدودیت آن فکر نمی کردند - گویی مدیران به طور تصادفی در پاسخ به هرگونه شکایت در مورد Wi-Fi ضعیف امتیازات اضافی را دریافت می کردند.

امنیت WPA/WPA2 PSK چگونه کار می کند؟ رمزگذاری بین نقطه دسترسی و کلاینت ها توسط یک کلید پیش از جلسه - کلید گذرای زوجی (PTK) ارائه می شود. PTK از Pre-Shared Key و پنج پارامتر دیگر استفاده می کند - SSID، Authenticator Nounce (ANounce)، Supplicant Nounce (SNounce)، نقطه دسترسی و آدرس های MAC مشتری. تام تمام پنج پارامتر را رهگیری کرد و اکنون فقط کلید Pre-Shared گم شده بود.

ابزار Hashcat این لینک گم شده را در حدود 50 دقیقه دانلود کرد - و قهرمان ما در شبکه مهمان قرار گرفت. از آن شما می توانید رمز عبور را ببینید - به طور عجیبی، در اینجا تام رمز عبور را در حدود نه دقیقه مدیریت کرد. و همه اینها بدون خروج از پارکینگ، بدون هیچ VPN. شبکه کاری زمینه فعالیت های هیولایی را برای قهرمان ما باز کرد، اما او هرگز پاداشی به کارت فروشگاه اضافه نکرد.

تام مکثی کرد، به ساعتش نگاه کرد، چند اسکناس روی میز انداخت و با خداحافظی، کافه را ترک کرد. شاید دوباره یک پنالتی باشد، یا شاید هم وارد شده باشد کانال تلگرام به نوشتن فکر کردم...


منبع: www.habr.com