Redovito pišemo o tome kako se hakeri često oslanjaju na iskorištavanje kako bi se izbjeglo otkrivanje. Oni doslovno , koristeći standardne Windows alate, čime se zaobilaze antivirusi i drugi uslužni programi za otkrivanje zlonamjernih aktivnosti. Mi, kao branitelji, sada smo prisiljeni nositi se s nesretnim posljedicama takvih pametnih tehnika hakiranja: zaposlenik na dobrom položaju može koristiti isti pristup za tajnu krađu podataka (intelektualno vlasništvo tvrtke, brojeve kreditnih kartica). A ako ne žuri, nego radi polako i tiho, bit će izuzetno teško - ali ipak moguće ako koristi ispravan pristup i odgovarajuće , — identificirati takvu aktivnost.
S druge strane, ne bih htio demonizirati zaposlenike jer nitko ne želi raditi u poslovnom okruženju ravno iz Orwellove 1984. Srećom, postoji niz praktičnih koraka i životnih trikova koji insajderima mogu znatno otežati život. Razmotrit ćemo skrivene metode napada, koju koriste hakeri od strane zaposlenika s nekim tehničkim iskustvom. A malo dalje ćemo razgovarati o mogućnostima smanjenja takvih rizika - proučit ćemo i tehničke i organizacijske mogućnosti.
Što nije u redu s PsExecom?
Edward Snowden, s pravom ili ne, postao je sinonim za krađu insajderskih podataka. Usput, ne zaboravite pogledati o drugim insajderima koji također zaslužuju neki status slave. Jedna važna stvar koju vrijedi naglasiti u vezi s metodama koje je Snowden koristio jest da je, koliko znamo, nije instalirao nema vanjskog zlonamjernog softvera!
Umjesto toga, Snowden je upotrijebio malo društvenog inženjeringa i iskoristio svoju poziciju administratora sustava za prikupljanje lozinki i stvaranje vjerodajnica. Ništa komplicirano - ništa , napada ili .
Organizacijski zaposlenici nisu uvijek u Snowdenovom jedinstvenom položaju, ali postoji niz lekcija koje se mogu naučiti iz koncepta "preživljavanja uz ispašu" kojih treba biti svjestan - ne sudjelovati u zlonamjernim aktivnostima koje se mogu otkriti, a posebno oprezno s korištenjem vjerodajnica. Zapamtite ovu misao.
i njegov bratić impresionirali su nebrojene pentestere, hakere i blogere o kibernetičkoj sigurnosti. A u kombinaciji s mimikatzom, psexec omogućuje napadačima kretanje unutar mreže bez potrebe za poznavanjem lozinke u čistom tekstu.
Mimikatz presreće NTLM hash iz LSASS procesa i zatim prosljeđuje token ili vjerodajnice – tzv. "pass the hash" napad – u psexecu, dopuštajući napadaču da se prijavi na drugi poslužitelj kao od drugog korisnik. I sa svakim sljedećim prelaskom na novi poslužitelj, napadač prikuplja dodatne vjerodajnice, proširujući raspon svojih mogućnosti u traženju dostupnog sadržaja.
Kad sam tek počeo raditi s psexecom, činilo mi se čarobnim - hvala , briljantni programer psexeca - ali znam i za njegov glasan komponente. On nikad nije tajnovit!
Prva zanimljiva činjenica o psexecu je da koristi izuzetno složene SMB mrežni protokol datoteka od Microsofta. Koristeći SMB, psexec prenosi male binarni datoteke u ciljni sustav, stavljajući ih u mapu C:Windows.
Zatim, psexec stvara Windows uslugu pomoću kopirane binarne datoteke i pokreće je pod krajnje "neočekivanim" imenom PSEXECSVC. U isto vrijeme, zapravo možete vidjeti sve ovo, kao što sam ja vidio, gledajući udaljeni stroj (vidi dolje).
Psexec-ova posjetnica: usluga "PSEXECSVC". Pokreće binarnu datoteku koja je smještena putem SMB-a u C:Windows mapu.
Kao posljednji korak, otvara se kopirana binarna datoteka RPC veza na ciljni poslužitelj, a zatim prihvaća kontrolne naredbe (putem Windows cmd ljuske prema zadanim postavkama), pokreće ih i preusmjerava ulaz i izlaz na napadačev kućni stroj. U ovom slučaju napadač vidi osnovnu naredbenu liniju - isto kao da je izravno povezan.
Puno komponenti i vrlo bučan proces!
Složena unutrašnjost psexeca objašnjava poruku koja me zbunila tijekom mojih prvih testova prije nekoliko godina: "Pokretanje PSEXECSVC..." nakon čega je uslijedila pauza prije nego što se pojavi naredbeni redak.
Ipacketov Psexec zapravo pokazuje što se događa ispod haube.
Nije iznenađujuće: psexec je napravio ogroman posao ispod haube. Ako vas zanima detaljnije objašnjenje, pogledajte ovdje divan opis.
Očito, kada se koristi kao alat za administraciju sustava, što je i bilo izvorna namjena psexec, nema ništa loše u "zujanju" svih tih Windows mehanizama. Međutim, za napadača bi psexec stvorio komplikacije, a za opreznog i lukavog insajdera poput Snowdena, psexec ili sličan uslužni program bio bi prevelik rizik.
A onda dolazi Smexec
SMB je pametan i tajnovit način za prijenos datoteka između poslužitelja, a hakeri se stoljećima izravno infiltriraju u SMB. Mislim da svi već znaju da se ne isplati SMB portovi 445 i 139 na Internet, zar ne?
Na Defconu 2013, Eric Millman () predstavili , tako da pentesteri mogu isprobati stealth SMB hakiranje. Ne znam cijelu priču, ali onda je Impacket dodatno doradio smbexec. Zapravo, za svoje sam testiranje preuzeo skripte iz Impacketa u Pythonu s .
Za razliku od psexeca, smbexec izbjegava prijenos potencijalno otkrivene binarne datoteke na ciljni stroj. Umjesto toga, komunalna tvrtka u potpunosti živi od ispaše do lansiranja lokalno Windows naredbeni redak.
Evo što radi: prosljeđuje naredbu s napadačkog stroja putem SMB-a u posebnu ulaznu datoteku, a zatim stvara i pokreće složenu naredbenu liniju (poput Windows usluge) koja će se korisnicima Linuxa činiti poznatom. Ukratko: pokreće izvornu Windows cmd ljusku, preusmjerava izlaz u drugu datoteku, a zatim je putem SMB-a šalje natrag na napadačev stroj.
Najbolji način da ovo shvatite je da pogledate naredbeni redak, do kojeg sam uspio doći iz dnevnika događaja (vidi dolje).
Nije li ovo najbolji način za preusmjeravanje I/O? Usput, stvaranje usluge ima ID događaja 7045.
Kao i psexec, također stvara uslugu koja obavlja sav posao, ali uslugu nakon toga uklonjen – koristi se samo jednom za pokretanje naredbe i zatim nestaje! Službenik za informacijsku sigurnost koji prati žrtvin stroj neće moći otkriti očito Pokazatelji napada: Ne pokreće se zlonamjerna datoteka, ne instalira se trajna usluga i nema dokaza o korištenju RPC-a jer je SMB jedini način prijenosa podataka. Briljantno!
Sa strane napadača dostupna je "pseudo-ljuska" s kašnjenjima između slanja naredbe i primanja odgovora. Ali to je sasvim dovoljno da napadač - bilo insajder ili vanjski haker koji već ima uporište - počne tražiti zanimljiv sadržaj.
Koristi se za vraćanje podataka s ciljnog stroja na napadačev stroj . Da, to je ista Samba , ali samo Impacket pretvorio u Python skriptu. Zapravo, smbclient vam omogućuje tajno hostiranje FTP prijenosa preko SMB-a.
Vratimo se korak unatrag i razmislimo što to može učiniti za zaposlenika. U mom fiktivnom scenariju, recimo da bloger, financijski analitičar ili visoko plaćeni savjetnik za sigurnost smije koristiti osobno prijenosno računalo za rad. Kao rezultat nekog magičnog procesa, ona se uvrijedi na tvrtku i "prođe loše". Ovisno o operativnom sustavu prijenosnog računala, koristi se ili Python verzija iz Impacta ili Windows verzija smbexeca ili smbclienta kao .exe datoteka.
Poput Snowdena, ona doznaje lozinku drugog korisnika gledanjem preko ramena ili joj se posreći i naiđe na tekstualnu datoteku s lozinkom. I uz pomoć tih vjerodajnica, ona počinje kopati po sustavu na novoj razini privilegija.
Hakiranje DCC-a: Ne treba nam nikakav "glupi" Mimikatz
U mojim prethodnim postovima o pentestingu, vrlo često sam koristio mimikatz. Ovo je sjajan alat za presretanje vjerodajnica - NTLM hash oznaka, pa čak i jasnih lozinki skrivenih unutar prijenosnih računala, koje samo čekaju da budu upotrijebljene.
Vremena su se promijenila. Alati za praćenje postali su bolji u otkrivanju i blokiranju mimikatza. Administratori informacijske sigurnosti također sada imaju više opcija za smanjenje rizika povezanih s napadima pass the hash (PtH).
Dakle, što bi pametni zaposlenik trebao učiniti da prikupi dodatne vjerodajnice bez korištenja mimikatza?
Impacketov komplet uključuje uslužni program tzv , koji dohvaća vjerodajnice iz predmemorije vjerodajnica domene ili skraćeno DCC. Koliko razumijem, ako se korisnik domene prijavi na poslužitelj, ali je kontroler domene nedostupan, DCC omogućuje poslužitelju da autentifikuje korisnika. U svakom slučaju, secretsdump vam omogućuje da izbacite sve te hashove ako su dostupni.
DCC hashovi su ne NTML hash-ovi i njihova ne može se koristiti za PtH napad.
Pa, možete ih pokušati hakirati da biste dobili izvornu lozinku. Međutim, Microsoft je postao pametniji s DCC-om i DCC hashove je postalo iznimno teško probiti. Da imam , "najbrži alat za pogađanje lozinki na svijetu", ali za učinkovit rad zahtijeva GPU.
Umjesto toga, pokušajmo razmišljati kao Snowden. Zaposlenica može provesti društveni inženjering licem u lice i eventualno saznati neke informacije o osobi čiju lozinku želi probiti. Na primjer, saznajte je li mrežni račun te osobe ikada bio hakiran i provjerite njihovu zaporku u čistom tekstu ima li tragova.
I ovo je scenarij za koji sam se odlučio. Pretpostavimo da je insajder saznao da je njegova šefica, Cruella, bila hakirana nekoliko puta na različitim web resursima. Nakon analize nekoliko ovih lozinki, shvaća da Cruella radije koristi format imena bejzbolskog tima "Yankees" iza kojeg slijedi tekuća godina - "Yankees2015".
Ako sada pokušavate reproducirati ovo kod kuće, tada možete preuzeti mali "C" , koji implementira algoritam za raspršivanje DCC-a, i prevedite ga. , usput, dodao podršku za DCC, tako da se također može koristiti. Pretpostavimo da se insajder ne želi zamarati učenjem Johna Trbosjeka i voli pokretati "gcc" na naslijeđenom C kodu.
Glumeći ulogu insajdera, isprobao sam nekoliko različitih kombinacija i na kraju sam uspio otkriti da je Cruellina lozinka "Yankees2019" (vidi dolje). Misija izvršena!
Malo društvenog inženjeringa, malo proricanja sudbine i prstohvat Maltega i na dobrom ste putu da razbijete DCC hash.
Predlažem da ovdje završimo. Vratit ćemo se ovoj temi u drugim postovima i osvrnuti se na još sporije i prikrivene metode napada, nastavljajući graditi na izvrsnom skupu uslužnih programa Impaceta.
Izvor: www.habr.com