Wy skriuwe geregeld oer hoe't hackers faak fertrouwe op eksploitaasje om ûntdekking te foarkommen. Se letterlik , mei help fan standert Windows-ark, dêrmei anty-firus en oare nutsfoarsjenningen foarbygean foar it opspoaren fan kweade aktiviteit. Wy, as ferdigeners, binne no twongen om te gean mei de ûngelokkige gefolgen fan sokke tûke hackingtechniken: in goed pleatste meiwurker kin deselde oanpak brûke om geheime gegevens te stellen (yntellektueel eigendom fan it bedriuw, kredytkaartnûmers). En as hy net haast, mar stadich en stil wurket, sil it heul lestich wêze - mar dochs mooglik as hy de juste oanpak en de passende , - om sa'n aktiviteit te identifisearjen.
Oan 'e oare kant soe ik meiwurkers net demonisearje wolle, om't gjinien direkt út Orwell's 1984 yn in saaklike omjouwing wol wurkje. Gelokkich binne d'r in oantal praktyske stappen en libbenshacks dy't it libben folle dreger meitsje kinne foar ynsiders. Wy sille beskôgje geheime oanfal metoaden, brûkt troch hackers troch meiwurkers mei wat technyske eftergrûn. En in bytsje fierder sille wy opsjes besprekke foar it ferminderjen fan sokke risiko's - wy sille sawol technyske as organisatoaryske opsjes studearje.
Wat is der mis mei PsExec?
Edward Snowden, mei rjocht of ferkeard, is synonym wurden mei diefstal fan ynsidergegevens. Trouwens, ferjit net om te sjen nei oer oare ynsiders dy't ek wat famestatus fertsjinje. Ien wichtich punt wurdich klam oer de metoaden Snowden brûkt is dat, nei it bêste fan ús kennis, hy net ynstalleare gjin eksterne kwea-aardich software!
Ynstee brûkte Snowden in bytsje sosjale engineering en brûkte syn posysje as systeembehearder om wachtwurden te sammeljen en bewiisbrieven te meitsjen. Neat yngewikkeld - gjin , oanfallen of .
Organisatoaryske meiwurkers binne net altyd yn 'e unike posysje fan Snowden, mar d'r binne in oantal lessen te learen út it konsept fan "survival by grazing" om bewust te wêzen fan - net meidwaan oan kweade aktiviteit dy't kin wurde ûntdutsen, en om benammen te wêzen foarsichtich mei it brûken fan bewiisbrieven. Unthâld dizze gedachte.
en syn neef hawwe ûntelbere pentesters, hackers en cybersecurity-bloggers yndruk makke. En as kombinearre mei mimikatz, lit psexec oanfallers yn in netwurk ferpleatse sûnder it dúdlike tekstwachtwurd te witten.
Mimikatz ûnderskept de NTLM-hash út it LSASS-proses en jout dan de token of bewiisbrieven troch - de saneamde. "passe de hash" oanfal - yn psexec, wêrtroch in oanfaller oanmelde by in oare tsjinner as fan in oar brûker. En mei elke folgjende ferhuzing nei in nije server, sammelet de oanfaller ekstra bewiisbrieven, en wreidet it berik fan syn mooglikheden út by it sykjen nei beskikbere ynhâld.
Doe't ik foar it earst begon te wurkjen mei psexec, like it my magysk - tank , de briljante ûntwikkelder fan psexec - mar ik wit ek oer syn lawaaierich komponinten. Hy is noait geheimsinnich!
It earste nijsgjirrige feit oer psexec is dat it ekstreem kompleks brûkt SMB netwurk triem protokol fan Microsoft. Mei help fan SMB, psexec oerdrachten lyts binêr bestannen nei it doelsysteem, pleatse se yn 'e C: Windows-map.
Dêrnei makket psexec in Windows-tsjinst mei it kopiearre binêr en rint it ûnder de ekstreem "ûnferwachte" namme PSEXECSVC. Tagelyk kinne jo dit alles eins sjen, lykas ik die, troch te sjen nei in masine op ôfstân (sjoch hjirûnder).
Psexec syn calling card: "PSEXECSVC" tsjinst. It rint in binêre triem dat waard pleatst fia SMB yn de C: Windows map.
As lêste stap iepenet it kopieare binêre bestân RPC ferbining nei de doeltsjinner en akseptearret dan kontrôlekommando's (standert fia de Windows cmd-shell), lansearje se en omliedt ynfier en útfier nei de thúsmasine fan 'e oanfaller. Yn dit gefal sjocht de oanfaller de basis kommandorigel - itselde as as hy direkt ferbûn wie.
In protte komponinten en in heul lawaaierich proses!
De komplekse ynterne fan psexec ferklearje it berjocht dat my fernuvere tidens myn earste tests ferskate jierren lyn: "PSEXECSVC begjinne ..." folge troch in pauze foardat de kommando-prompt ferskynt.
Impacket's Psexec lit eins sjen wat der bart ûnder de motorkap.
Net ferrassend: psexec die in enoarm bedrach fan wurk ûnder de motorkap. As jo ynteressearre binne yn in mear detaillearre útlis, check out hjir prachtige beskriuwing.
Fansels, doe't brûkt as in systeem administraasje ark, dat wie oarspronklike doel psexec, d'r is neat mis mei it "buzzen" fan al dizze Windows-meganismen. Foar in oanfaller soe psexec lykwols komplikaasjes meitsje, en foar in foarsichtige en slûchslimme ynsider lykas Snowden soe psexec of in ferlykber nut tefolle fan in risiko wêze.
En dan komt Smbexec
SMB is in tûke en geheime manier om bestannen oer te bringen tusken servers, en hackers hawwe SMB ieuwenlang direkt ynfiltreare. Ik tink dat elkenien al wit dat it it net wurdich is SMB-poarten 445 en 139 nei it ynternet, krekt?
By Defcon 2013, Eric Millman () presintearre , sadat pentesters stealth SMB-hacking kinne besykje. Ik wit net it hiele ferhaal, mar doe Impacket fierder ferfine smbexec. Yn feite haw ik foar myn testen de skripts fan Impacket yn Python downloade fan .
Oars as psexec, smbexec mijt it oerdragen fan in potinsjeel ûntdutsen binêre triem nei de doelmasine. Ynstee dêrfan libbet it nut folslein fan greide oant lansearring pleatslik Windows kommandorigel.
Hjir is wat it docht: it jout in kommando fan 'e oanfalle masine fia SMB nei in spesjale ynfierbestân, en makket en rint dan in komplekse kommandorigel (lykas in Windows-tsjinst) dy't fertroud liket foar Linux-brûkers. Koartsein: it lanseart in native Windows cmd-shell, ferwiist de útfier nei in oar bestân, en stjoert it dan fia SMB werom nei de masine fan 'e oanfaller.
De bêste manier om dit te begripen is om te sjen nei de kommandorigel, dêr't ik myn hannen op koe krije fan it barrenslog (sjoch hjirûnder).
Is dit net de bêste manier om I/O troch te lieden? Trouwens, oanmeitsjen fan tsjinsten hat evenemint ID 7045.
Lykas psexec makket it ek in tsjinst dy't al it wurk docht, mar de tsjinst dêrnei wiske - it wurdt mar ien kear brûkt om it kommando út te fieren en ferdwynt dan! In ynformaasjebefeiligingsoffisier dy't de masine fan in slachtoffer kontrolearret, sil net kinne opspoare dúdlik Yndikatoaren fan oanfal: D'r is gjin kwea-aardich bestân dat wurdt lansearre, gjin persistente tsjinst wurdt ynstalleare, en d'r is gjin bewiis dat RPC wurdt brûkt, om't SMB it ienige middel is foar gegevensferfier. Briljant!
Fan 'e kant fan' e oanfaller is in "pseudo-shell" beskikber mei fertragingen tusken it ferstjoeren fan it kommando en it ûntfangen fan it antwurd. Mar dit is genôch foar in oanfaller - itsij in ynsider as in eksterne hacker dy't al in foet hat - om te begjinnen op syk nei nijsgjirrige ynhâld.
Om gegevens werom te stjoeren fan 'e doelmasjine nei de masine fan' e oanfaller, wurdt it brûkt . Ja, it is deselde Samba , mar allinnich omboud ta in Python skript troch Impacket. Yn feite lit smbclient jo ferburgen FTP-oerdrachten oer SMB hostje.
Litte wy in stap werom nimme en neitinke oer wat dit kin dwaan foar de meiwurker. Yn myn fiktive senario, lit ús sizze dat in blogger, finansjeel analist of heech betelle befeiligingsadviseur in persoanlike laptop kin brûke foar wurk. As gefolch fan ien of oare magysk proses nimt se mislediging by it bedriuw en "giet alles min." Ofhinklik fan it laptopbestjoeringssysteem brûkt it of de Python-ferzje fan Impact, of de Windows-ferzje fan smbexec of smbclient as in .exe-bestân.
Lykas Snowden fynt se it wachtwurd fan in oare brûker út troch oer har skouder te sjen, of se hat gelok en stroffelet op in tekstbestân mei it wachtwurd. En mei help fan dizze bewiisbrieven, se begjint te graven om it systeem op in nij nivo fan privileezjes.
DCC Hacking: Wy hawwe gjin "domme" Mimikatz nedich
Yn myn eardere berjochten oer pentesting brûkte ik mimikatz heul faak. Dit is in geweldich ark foar it ûnderskeppen fan referinsjes - NTLM-hashes en sels dúdlike tekstwachtwurden ferburgen yn laptops, wachtsje gewoan op gebrûk.
Tiden binne feroare. Monitoring-ark binne better wurden by it opspoaren en blokkearjen fan mimikatz. Behearders foar ynformaasjefeiligens hawwe no ek mear opsjes om de risiko's te ferminderjen dy't ferbûn binne mei it passearjen fan de hash (PtH) oanfallen.
Dus wat moat in tûke meiwurker dwaan om ekstra bewiisbrieven te sammeljen sûnder mimikatz te brûken?
De kit fan Impacket omfettet in hulpprogramma neamd , dy't referinsjes ophelje fan 'e Domain Credential Cache, of DCC koart. Myn begryp is dat as in domeinbrûker oanmelde by de tsjinner, mar de domeinkontrôler is net beskikber, DCC lit de tsjinner de brûker authentisearje. Hoe dan ek, secretsdump lit jo al dizze hashes dumpe as se beskikber binne.
DCC hashes binne gjin NTML-hashes en har kin net brûkt wurde foar PtH oanfal.
No, kinne jo besykje te hack se te krijen de oarspronklike wachtwurd yn. Microsoft is lykwols slimmer wurden mei DCC en DCC-hashes binne ekstreem lestich wurden te kraken. Ja ik haw , "de rapste wachtwurden fan 'e wrâld," mar it fereasket in GPU om effektyf te rinnen.
Litte wy ynstee besykje te tinken lykas Snowden. In meiwurker kin face-to-face sosjale engineering útfiere en mooglik wat ynformaasje fine oer de persoan waans wachtwurd se krake wolle. Fyn bygelyks út as it online akkount fan 'e persoan oait hackt is en ûndersiikje har dúdlike tekstwachtwurd foar oanwizings.
En dit is it senario dat ik besleat om mei te gean. Litte wy oannimme dat in ynsider learde dat syn baas, Cruella, ferskate kearen hacked wie op ferskate webboarnen. Nei it analysearjen fan ferskate fan dizze wachtwurden, realisearret hy dat Cruella it leafst it formaat fan 'e honkbalteamnamme "Yankees" brûkt, folge troch it hjoeddeistige jier - "Yankees2015".
As jo no besykje dit thús te reprodusearjen, dan kinne jo in lyts "C" downloade , dy't it DCC-hashingalgoritme ymplementearret, en kompilearje it. , troch de manier, tafoege stipe foar DCC, dus it kin ek brûkt wurde. Litte wy oannimme dat in ynsider gjin muoite wol om John the Ripper te learen en graach "gcc" útfiere op legacy C-koade.
Troch de rol fan in ynsider te fjochtsjen, besocht ik ferskate ferskillende kombinaasjes en koe úteinlik ûntdekke dat Cruella's wachtwurd "Yankees2019" wie (sjoch hjirûnder). Missy folbrocht!
In bytsje sosjale technyk, in stikje waarsizzerij en in stikje Maltego en jo binne goed op 'e wei om de DCC-hash te kraken.
Ik stel foar dat wy hjir einigje. Wy sille weromkomme nei dit ûnderwerp yn oare berjochten en sjogge nei noch stadiger en stealthy oanfalmetoaden, trochgean mei te bouwen op Impacket's treflike set nutsbedriuwen.
Boarne: www.habr.com