Kirjoitamme säännöllisesti siitä, kuinka hakkerit luottavat usein hyväksikäyttöön havaitsemisen välttämiseksi. He kirjaimellisesti , käyttämällä tavallisia Windowsin työkaluja, ohittaen näin virustorjuntaohjelmat ja muut apuohjelmat haitallisen toiminnan havaitsemiseksi. Me puolustajina joudumme nyt käsittelemään tällaisten älykkäiden hakkerointitekniikoiden valitettavat seuraukset: hyvässä asemassa oleva työntekijä voi käyttää samaa tapaa varastaa salaa tietoja (yrityksen immateriaalioikeudet, luottokorttien numerot). Ja jos hän ei kiirehdi, vaan työskentelee hitaasti ja hiljaa, se on erittäin vaikeaa - mutta silti mahdollista, jos hän käyttää oikeaa lähestymistapaa ja sopivaa , — tunnistaa tällainen toiminta.
Toisaalta en haluaisi demonisoida työntekijöitä, koska kukaan ei halua työskennellä yritysympäristössä suoraan Orwellin vuodelta 1984. Onneksi on olemassa useita käytännön vaiheita ja elämänmurtoja, jotka voivat tehdä sisäpiiriläisten elämästä paljon vaikeampaa. Harkitsemme salaisia hyökkäysmenetelmiä, jota hakkerit käyttävät jonkin verran teknistä taustaa omaavat työntekijät. Ja hieman pidemmälle keskustelemme vaihtoehdoista tällaisten riskien vähentämiseksi - tutkimme sekä teknisiä että organisatorisia vaihtoehtoja.
Mikä PsExecissä on vikana?
Edward Snowden, oikeutetusti tai väärin, on tullut synonyymi sisäpiiritietovarkaukselle. Muuten, älä unohda katsoa muista sisäpiiriläisistä, jotka myös ansaitsevat jonkin verran mainetta. Yksi tärkeä seikka, jota kannattaa korostaa Snowdenin käyttämissä menetelmissä, on, että parhaan tietomme mukaan hän ei asentanut ei ulkoisia haittaohjelmia!
Sen sijaan Snowden käytti hieman sosiaalista suunnittelua ja käytti asemaansa järjestelmänvalvojana salasanojen keräämiseen ja valtuustietojen luomiseen. Ei mitään monimutkaista - ei mitään , hyökkäyksiä tai .
Organisaatioiden työntekijät eivät aina ole Snowdenin ainutlaatuisessa asemassa, mutta "laiduntamalla selviytymisen" käsitteestä on otettava opiksi - ei saa osallistua haitalliseen toimintaan, joka voidaan havaita, ja olla erityisen tärkeä. varovainen valtuustietojen käytössä. Muista tämä ajatus.
ja hänen serkkunsa ovat tehneet vaikutuksen lukemattomiin hakkereihin, hakkereihin ja kyberturvallisuusbloggaajiin. Ja yhdistettynä mimikatzin kanssa psexec antaa hyökkääjille mahdollisuuden liikkua verkossa ilman, että heidän tarvitsee tietää selväkielistä salasanaa.
Mimikatz sieppaa NTLM-hajautuksen LSASS-prosessista ja välittää sitten tunnuksen tai valtuustiedot - ns. "pass the hash" -hyökkäys – psexecissä, jolloin hyökkääjä voi kirjautua toiselle palvelimelle nimellä toisen käyttäjä. Ja jokaisen myöhemmän uudelle palvelimelle siirryttäessä hyökkääjä kerää lisää tunnistetietoja, mikä laajentaa mahdollisuuksiaan etsiä saatavilla olevaa sisältöä.
Kun aloin työskennellä psexecin kanssa, se tuntui minusta taianomaiselta - kiitos , psexecin loistava kehittäjä – mutta tiedän myös hänen meluisa komponentit. Hän ei ole koskaan salaileva!
Ensimmäinen mielenkiintoinen tosiasia psexecistä on, että se käyttää erittäin monimutkaista SMB-verkkotiedostoprotokolla Microsoftilta. Käyttämällä SMB:tä psexec siirtää pieniä binaarinen tiedostot kohdejärjestelmään asettamalla ne C:Windows-kansioon.
Seuraavaksi psexec luo Windows-palvelun käyttämällä kopioitua binaaritiedostoa ja suorittaa sen erittäin "odottamattomalla" nimellä PSEXECSVC. Samaan aikaan voit itse nähdä tämän kaiken, kuten minä, katsomalla etäkonetta (katso alla).
Psexecin käyntikortti: "PSEXECSVC" -palvelu. Se suorittaa binaaritiedoston, joka on sijoitettu SMB:n kautta C:Windows-kansioon.
Viimeisenä vaiheena kopioitu binääritiedosto avautuu RPC-yhteys kohdepalvelimelle ja hyväksyy sitten ohjauskomennot (oletuksena Windowsin cmd-kuoren kautta), käynnistää ne ja ohjaa syötteen ja lähdön hyökkääjän kotikoneelle. Tässä tapauksessa hyökkääjä näkee peruskomentorivin - saman kuin jos hän olisi yhteydessä suoraan.
Paljon komponentteja ja erittäin meluisa prosessi!
Psexecin monimutkaiset sisäosat selittävät viestin, joka hämmästytti minua ensimmäisissä testeissäni useita vuosia sitten: "Aloita PSEXECSVC...", jota seuraa tauko ennen komentokehotteen ilmestymistä.
Impaketin Psexec näyttää itse asiassa, mitä konepellin alla tapahtuu.
Ei yllättävää: psexec teki valtavan määrän työtä konepellin alla. Jos olet kiinnostunut tarkemmasta selityksestä, katso täältä ihana kuvaus.
Ilmeisesti, kun sitä käytettiin järjestelmän hallintatyökaluna, mikä oli alkuperäinen tarkoitus psexec, kaikkien näiden Windows-mekanismien "surinassa" ei ole mitään vikaa. Hyökkääjälle psexec aiheuttaisi kuitenkin ongelmia, ja varovaiselle ja ovelalle sisäpiiriläiselle, kuten Snowdenille, psexec tai vastaava apuohjelma olisi liian suuri riski.
Ja sitten tulee Smbexec
SMB on näppärä ja salaperäinen tapa siirtää tiedostoja palvelimien välillä, ja hakkerit ovat tunkeutuneet suoraan SMB:hen vuosisatojen ajan. Luulen, että kaikki tietävät jo, että se ei ole sen arvoista SMB-portit 445 ja 139 Internetiin, eikö niin?
Defconissa 2013, Eric Millman () esitetty , jotta pentestaajat voivat kokeilla vaikeita pk-hakkerointia. En tiedä koko tarinaa, mutta sitten Impacket jalosti smbexecia edelleen. Itse asiassa testausta varten latasin komentosarjat Impacketista Pythonissa osoitteesta .
Toisin kuin psexec, smbexec välttää siirretään mahdollisesti havaittu binääritiedosto kohdekoneeseen. Sen sijaan apuohjelma elää kokonaan laitumesta laukaisuun asti paikallinen Windowsin komentorivi.
Se tekee näin: se välittää komennon hyökkäävältä koneelta SMB:n kautta erityiseen syöttötiedostoon ja sitten luo ja suorittaa monimutkaisen komentorivin (kuten Windows-palvelun), joka näyttää tutulta Linux-käyttäjille. Lyhyesti sanottuna: se käynnistää alkuperäisen Windows cmd -kuoren, ohjaa lähdön toiseen tiedostoon ja lähettää sen sitten SMB:n kautta takaisin hyökkääjän koneelle.
Paras tapa ymmärtää tämä on katsoa komentoriviä, jonka sain käsiini tapahtumalokista (katso alla).
Eikö tämä ole paras tapa ohjata I/O uudelleen? Palvelun luomisessa on muuten tapahtumatunnus 7045.
Kuten psexec, se myös luo palvelun, joka tekee kaiken työn, mutta palvelun sen jälkeen poistettu – sitä käytetään vain kerran komennon suorittamiseen ja sitten katoaa! Uhrin konetta valvova tietoturvavastaava ei pysty havaitsemaan ilmeinen Hyökkäyksen osoittimet: Haitallista tiedostoa ei käynnistetä, pysyvää palvelua ei ole asennettu, eikä RPC:n käytöstä ole näyttöä, koska SMB on ainoa tiedonsiirtoväline. Loistava!
Hyökkääjän puolelta "pseudo-shell" on käytettävissä viiveillä komennon lähettämisen ja vastauksen vastaanottamisen välillä. Mutta tämä riittää hyökkääjälle - joko sisäpiiriläiselle tai ulkoiselle hakkerille, jolla on jo jalansija - alkaa etsiä mielenkiintoista sisältöä.
Sitä käytetään tietojen tulostamiseen takaisin kohdekoneelta hyökkääjän koneelle . Kyllä, se on sama Samba , mutta Impacket muuntaa vain Python-skriptiksi. Itse asiassa smbclient mahdollistaa FTP-siirtojen salaamisen SMB:n kautta.
Otetaan askel taaksepäin ja mietitään, mitä tämä voi tehdä työntekijälle. Kuvitteellisessa skenaariossani esimerkiksi bloggaaja, talousanalyytikko tai korkeapalkkainen tietoturvakonsultti saa käyttää henkilökohtaista kannettavaa tietokonetta työssään. Jonkin maagisen prosessin seurauksena hän loukkaantuu yritykseen ja "menee huonosti". Kannettavan tietokoneen käyttöjärjestelmästä riippuen se käyttää joko Impactin Python-versiota tai smbexecin tai smbclientin Windows-versiota .exe-tiedostona.
Snowdenin tapaan hän saa selville toisen käyttäjän salasanan joko katsomalla olkapäänsä yli tai hän käy onnea ja törmää salasanan sisältävään tekstitiedostoon. Ja näiden valtuustietojen avulla hän alkaa kaivaa järjestelmää uudelle tasolle.
DCC:n hakkerointi: Emme tarvitse mitään "tyhmää" Mimikatzia
Aiemmissa pentesting-viesteissäni käytin mimikatzia hyvin usein. Tämä on loistava työkalu valtuustietojen sieppaamiseen - NTLM-tiivisteet ja jopa selkeitä salasanoja, jotka on piilotettu kannettavien tietokoneiden sisään ja odottavat käyttöä.
Ajat ovat muuttuneet. Valvontatyökalut ovat parantuneet mimikatzin havaitsemisessa ja estämisessä. Tietoturvan ylläpitäjillä on nyt myös enemmän vaihtoehtoja vähentää pass the hash (PtH) -hyökkäyksiin liittyviä riskejä.
Mitä älykkään työntekijän pitäisi tehdä kerätäkseen lisää valtuustietoja käyttämättä mimikatzia?
Impaketin sarja sisältää apuohjelman nimeltä , joka hakee tunnistetiedot Domain Credential Cachesta tai lyhennettynä DCC:stä. Ymmärtääkseni jos toimialueen käyttäjä kirjautuu palvelimelle, mutta toimialueen ohjain ei ole käytettävissä, DCC sallii palvelimen todentaa käyttäjän. Joka tapauksessa secretsdump antaa sinun tyhjentää kaikki nämä tiivisteet, jos niitä on saatavilla.
DCC-tiivisteet ovat ei NTML-tiivistettä ja ei voida käyttää PtH-hyökkäykseen.
No, voit yrittää hakkeroida heidät saadaksesi alkuperäisen salasanan. Microsoft on kuitenkin tullut älykkäämmäksi DCC:n kanssa, ja DCC-tiivisteistä on tullut erittäin vaikea murtaa. Kyllä minulla on , "maailman nopein salasanan arvaaja", mutta se vaatii GPU:n toimiakseen tehokkaasti.
Sen sijaan yritetään ajatella kuin Snowden. Työntekijä voi tehdä kasvokkain sosiaalista manipulointia ja mahdollisesti saada tietoja henkilöstä, jonka salasanan hän haluaa murtaa. Selvitä esimerkiksi, onko henkilön online-tiliä koskaan hakkeroitu, ja tarkasta hänen selväkielisenä salasanansa mahdollisten vihjeiden varalta.
Ja tämä on skenaario, jonka päätin noudattaa. Oletetaan, että sisäpiiriläinen sai tietää, että hänen pomonsa Cruella oli hakkeroitu useita kertoja eri verkkoresursseihin. Analysoituaan useita näistä salasanoista hän ymmärtää, että Cruella käyttää mieluummin baseball-joukkueen nimen muotoa "Yankees", jota seuraa kuluva vuosi - "Yankees2015".
Jos yrität nyt toistaa tätä kotona, voit ladata pienen "C" , joka toteuttaa DCC-hajautusalgoritmin, ja kääntää sen. , muuten lisäsi tuen DCC:lle, joten sitä voidaan myös käyttää. Oletetaan, että sisäpiiriläinen ei halua vaivautua opettelemaan John the Ripperiä ja hän haluaa ajaa "gcc:tä" vanhalla C-koodilla.
Sisäpiiriläisen roolia teeskennellen kokeilin useita erilaisia yhdistelmiä ja lopulta sain selville, että Cruellan salasana oli "Yankees2019" (katso alla). Tehtävä suoritettu!
Hieman sosiaalista suunnittelua, ripaus ennustamista ja ripaus Maltegoa ja olet hyvällä matkalla murtamaan DCC-hajautus.
Ehdotan, että lopetamme tähän. Palaamme tähän aiheeseen muissa viesteissä ja tarkastelemme vieläkin hitaita ja salaperäisempiä hyökkäysmenetelmiä, jotka jatkavat Impacketin erinomaisten apuohjelmien käyttöä.
Lähde: will.com