Nous Ă©crivons rĂ©guliĂšrement sur la façon dont les pirates informatiques s'appuient souvent sur l'exploitation pour Ă©viter d'ĂȘtre dĂ©tectĂ©. Ils littĂ©ralement , en utilisant des moyens standard WindowsCe faisant, ils contournent les antivirus et autres outils de dĂ©tection de logiciels malveillants. En tant que professionnels de la sĂ©curitĂ©, nous sommes dĂ©sormais contraints de faire face aux graves consĂ©quences de ces techniques de piratage sophistiquĂ©es : un employĂ© bien placĂ© peut utiliser la mĂȘme mĂ©thode pour dĂ©rober subrepticement des donnĂ©es (propriĂ©tĂ© intellectuelle de lâentreprise, numĂ©ros de cartes bancaires). Et sâil prend son temps, en agissant lentement et discrĂštement, la tĂąche sera extrĂȘmement difficile, mais restera possible avec la bonne approche et les tactiques appropriĂ©es. , â pour identifier une telle activitĂ©.
Dâun autre cĂŽtĂ©, je ne voudrais pas diaboliser les employĂ©s car personne ne veut travailler dans un environnement dâentreprise tout droit sorti du 1984 dâOrwell. Heureusement, il existe un certain nombre de mesures pratiques et dâastuces qui peuvent rendre la vie beaucoup plus difficile aux initiĂ©s. Nous considĂ©rerons mĂ©thodes d'attaque secrĂštes, utilisĂ© par les pirates informatiques par des employĂ©s ayant une certaine expĂ©rience technique. Et un peu plus loin, nous discuterons des options pour rĂ©duire ces risques - nous Ă©tudierons les options techniques et organisationnelles.
Quel est le problĂšme avec PsExec ?
Edward Snowden, à tort ou à raison, est devenu synonyme de vol de données privilégiées. Au fait, n'oubliez pas de jeter un oeil à sur d'autres initiés qui méritent également un certain statut de renommée. Un point important à souligner concernant les méthodes utilisées par Snowden est que, à notre connaissance, il je n'ai pas installé pas de logiciel malveillant externe !
Au lieu de cela, Snowden a eu recours à un peu d'ingénierie sociale et a utilisé sa position d'administrateur systÚme pour collecter des mots de passe et créer des informations d'identification. Rien de compliqué - aucun , attaques ou .
Les employĂ©s des organisations ne se trouvent pas toujours dans la position unique de Snowden, mais il y a un certain nombre de leçons Ă tirer du concept de « survie par le pĂąturage » dont il faut ĂȘtre conscient â ââne pas s'engager dans une activitĂ© malveillante pouvant ĂȘtre dĂ©tectĂ©e et ĂȘtre particuliĂšrement vigilant. soyez prudent avec l'utilisation des informations d'identification. Souvenez-vous de cette pensĂ©e.
et sa cousine ont impressionnĂ© dâinnombrables pentesters, hackers et blogueurs en cybersĂ©curitĂ©. Et lorsqu'il est combinĂ© avec mimikatz, psexec permet aux attaquants de se dĂ©placer au sein d'un rĂ©seau sans avoir besoin de connaĂźtre le mot de passe en clair.
Mimikatz intercepte le hachage NTLM du processus LSASS, puis transmet le jeton ou les informations d'identification - ce qu'on appelle. Attaque "passer le hachage" â dans psexec, permettant Ă un attaquant de se connecter Ă un autre serveur en tant que un autre utilisateur. Et Ă chaque dĂ©placement ultĂ©rieur vers un nouveau serveur, l'attaquant collecte des informations d'identification supplĂ©mentaires, Ă©largissant ainsi l'Ă©ventail de ses capacitĂ©s de recherche de contenu disponible.
Quand j'ai commencé à travailler avec psexec, cela m'a semblé magique - merci , le brillant développeur de psexec - mais je connais aussi son bruyant Composants. Il n'est jamais secret !
Le premier fait intĂ©ressant Ă propos de psexec est quâil utilise des Protocole de fichiers rĂ©seau SMB de Microsoft. En utilisant SMB, psexec transfĂšre de petits binaire transfĂ©rer les fichiers vers le systĂšme cible, en les plaçant dans le dossier C:.Windows.
Le prochain psexec crée WindowsLe service utilise le fichier binaire copié et l'exécute sous le nom pour le moins inattendu de PSEXECSVC. Vous pouvez observer tout cela, comme je l'ai fait, en surveillant la machine distante (voir ci-dessous).
Le service « PSEXECSVC » est la carte de visite de Psexec. Il exécute un fichier binaire placé via SMB dans le répertoire C:.Windows.
Comme derniÚre étape, le fichier binaire copié s'ouvre Connexion RPC se connecte au serveur cible et accepte ensuite les commandes de contrÎle (par défaut via l'invite de commandes). Windows), en les lançant et en redirigeant les entrées et sorties vers la machine personnelle de l'attaquant. Ce dernier voit alors une invite de commande basique, identique à celle qu'il aurait s'il était connecté directement.
Beaucoup de composants et un processus trĂšs bruyant !
Les composants internes complexes de psexec expliquent le message qui m'a intrigué lors de mes premiers tests il y a plusieurs années : « Démarrage de PSEXECSVC... » suivi d'une pause avant l'apparition de l'invite de commande.
Le Psexec d'Impacket montre en fait ce qui se passe sous le capot.
Pas surprenant : psexec a fait Ă©normĂ©ment de travail en coulisse. Si vous ĂȘtes intĂ©ressĂ© par une explication plus dĂ©taillĂ©e, consultez ici magnifique description.
Ăvidemment, lorsqu'il est utilisĂ© comme outil d'administration systĂšme, ce qui Ă©tait objectif initial psexec, il n'y a rien de mal Ă ce que tous ces mĂ©canismes « bourdonnent » Windows Non. Cependant, pour un attaquant, psexec crĂ©erait des complications, et pour un initiĂ© prudent et rusĂ© comme Snowden, psexec ou un utilitaire similaire reprĂ©senterait un risque trop important.
Et puis vient Smbexec
SMB est un moyen intelligent et secret de transférer des fichiers entre serveurs, et les pirates informatiques infiltrent directement SMB depuis des siÚcles. Je pense que tout le monde sait déjà que ça n'en vaut pas la peine Ports SMB 445 et 139 vers Internet, n'est-ce pas ?
à Defcon 2013, Eric Millman () présenté , afin que les pentesters puissent essayer le piratage furtif des PME. Je ne connais pas toute l'histoire, mais Impacket a ensuite affiné smbexec. En fait, pour mes tests, j'ai téléchargé les scripts d'Impacket en Python depuis .
Contrairement à psexec, smbexec évite transférer un fichier binaire potentiellement détecté vers la machine cible. Au lieu de cela, l'utilitaire vit entiÚrement du pùturage jusqu'au lancement local ligne de commande Windows.
Son fonctionnement consiste à transmettre la commande de la machine attaquante via SMB à un fichier d'entrée spécial, puis à créer et exécuter une ligne de commande complexe (en tant que service). Windows), ce qui semblera familier aux utilisateurs de Linux. En bref : il exécute le natif Windows-cmd shell, redirige la sortie vers un autre fichier puis la renvoie via SMB à la machine de l'attaquant.
La meilleure façon de comprendre cela est de regarder la ligne de commande, sur laquelle j'ai pu mettre la main à partir du journal des événements (voir ci-dessous).
N'est-ce pas le meilleur moyen de rediriger les E/S ? à propos, la création de service porte l'ID d'événement 7045.
Comme psexec, il crĂ©e Ă©galement un service qui fait tout le travail, mais le service suivant supprimĂ© â il nâest utilisĂ© quâune seule fois pour exĂ©cuter la commande puis disparaĂźt ! Un responsable de la sĂ©curitĂ© de l'information surveillant la machine d'une victime ne sera pas en mesure de dĂ©tecter Ă©vident Indicateurs d'attaque : aucun fichier malveillant n'est lancĂ©, aucun service persistant n'est installĂ© et il n'y a aucune preuve de l'utilisation de RPC puisque SMB est le seul moyen de transfert de donnĂ©es. Brillant!
Du cĂŽtĂ© de lâattaquant, un « pseudo-shell » est disponible avec des dĂ©lais entre lâenvoi de la commande et la rĂ©ception de la rĂ©ponse. Mais cela suffit largement pour qu'un attaquant - qu'il soit interne ou externe, dĂ©jĂ implantĂ© - commence Ă rechercher du contenu intĂ©ressant.
Pour renvoyer les donnĂ©es de la machine cible vers la machine de l'attaquant, il est utilisĂ© . Oui, c'est le mĂȘme Samba , mais uniquement converti en script Python par Impacket. En fait, smbclient vous permet d'hĂ©berger secrĂštement des transferts FTP via SMB.
Prenons un peu de recul et réfléchissons à ce que cela pourrait signifier pour une employée. Dans mon scénario fictif, prenons l'exemple d'une blogueuse, d'une analyste financiÚre ou d'une consultante en sécurité trÚs bien rémunérée, autorisée à utiliser son ordinateur portable personnel pour le travail. Par un processus mystérieux, elle développe du ressentiment envers l'entreprise et se déchaßne. Selon le systÚme d'exploitation de son ordinateur, elle utilise soit la version de Python fournie par Impact, soit une autre version. Windows version de smbexec ou smbclient sous forme de fichier .exe.
Comme Snowden, elle dĂ©couvre le mot de passe d'un autre utilisateur soit en regardant par-dessus son Ă©paule, soit elle a de la chance et tombe sur un fichier texte contenant le mot de passe. Et avec lâaide de ces informations dâidentification, elle commence Ă fouiller dans le systĂšme Ă un nouveau niveau de privilĂšges.
Hacking DCC : nous n'avons pas besoin d'un Mimikatz "stupide"
Dans mes prĂ©cĂ©dents articles sur le pentesting, jâutilisais trĂšs souvent mimikatz. Il s'agit d'un excellent outil pour intercepter les informations d'identification - les hachages NTLM et mĂȘme les mots de passe en texte clair cachĂ©s dans les ordinateurs portables, n'attendant que d'ĂȘtre utilisĂ©s.
Les temps ont changĂ©. Les outils de surveillance se sont amĂ©liorĂ©s pour dĂ©tecter et bloquer les mimikatz. Les administrateurs de la sĂ©curitĂ© des informations disposent Ă©galement dĂ©sormais de davantage dâoptions pour rĂ©duire les risques associĂ©s aux attaques par hachage (PtH).
Alors, que doit faire un employĂ© intelligent pour collecter des informations dâidentification supplĂ©mentaires sans utiliser mimikatz ?
Le kit d'Impacket comprend un utilitaire appelé , qui récupÚre les informations d'identification du Domain Credential Cache, ou DCC en abrégé. Je crois comprendre que si un utilisateur de domaine se connecte au serveur mais que le contrÎleur de domaine n'est pas disponible, DCC permet au serveur d'authentifier l'utilisateur. Quoi qu'il en soit, secretsdump vous permet de vider tous ces hachages s'ils sont disponibles.
Les hachages DCC sont pas de hachages NTML et leur ne peut pas ĂȘtre utilisĂ© pour une attaque PtH.
Eh bien, vous pouvez essayer de les pirater pour obtenir le mot de passe d'origine. Cependant, Microsoft est devenu plus intelligent avec DCC et les hachages DCC sont devenus extrĂȘmement difficiles Ă dĂ©chiffrer. Oui j'ai , "le devineur de mot de passe le plus rapide au monde", mais il nĂ©cessite un GPU pour fonctionner efficacement.
Essayons plutÎt de penser comme Snowden. Un employé peut procéder à une ingénierie sociale en face à face et éventuellement obtenir des informations sur la personne dont il souhaite déchiffrer le mot de passe. Par exemple, découvrez si le compte en ligne de la personne a déjà été piraté et examinez son mot de passe en clair pour trouver des indices.
Et câest le scĂ©nario que jâai dĂ©cidĂ© de suivre. Supposons qu'un initiĂ© apprenne que son patron, Cruella, a Ă©tĂ© piratĂ© Ă plusieurs reprises sur diffĂ©rentes ressources web. AprĂšs avoir analysĂ© plusieurs de ces mots de passe, il se rend compte que Cruella prĂ©fĂšre utiliser le format du nom de l'Ă©quipe de baseball « Yankees » suivi de l'annĂ©e en cours â « Yankees2015 ».
Si vous essayez maintenant de reproduire ceci chez vous, vous pouvez tĂ©lĂ©charger un petit "C" , qui implĂ©mente l'algorithme de hachage DCC, et le compile. , en passant, a ajoutĂ© la prise en charge de DCC, il peut donc Ă©galement ĂȘtre utilisĂ©. Supposons qu'un initiĂ© ne veuille pas se soucier d'apprendre John l'Ăventreur et aime exĂ©cuter "gcc" sur du code C existant.
Feignant le rÎle d'un initié, j'ai essayé plusieurs combinaisons différentes et j'ai finalement pu découvrir que le mot de passe de Cruella était "Yankees2019" (voir ci-dessous). Mission accomplie!
Un peu d'ingĂ©nierie sociale, un soupçon de divination et une pincĂ©e de Maltego et vous ĂȘtes sur la bonne voie pour dĂ©chiffrer le hachage DCC.
Je suggÚre que nous finissions ici. Nous reviendrons sur ce sujet dans d'autres articles et examinerons des méthodes d'attaque encore plus lentes et furtives, en continuant à nous appuyer sur l'excellent ensemble d'utilitaires d'Impacket.
Source: habr.com
