Þessi grein var skrifuð á grundvelli mjög vel heppnaðs pentprófs sem Group-IB sérfræðingar framkvæmdu fyrir nokkrum árum: saga gerðist sem hægt var að laga fyrir kvikmyndir í Bollywood. Nú munu líklega viðbrögð lesandans fylgja: „Ó, enn ein PR-grein, enn og aftur er verið að sýna þetta, hversu góðar þær eru, ekki gleyma að kaupa pentest. Jæja, annars vegar er það. Hins vegar eru ýmsar aðrar ástæður fyrir því að þessi grein birtist. Mig langaði að sýna hvað pentesterar gera nákvæmlega, hversu áhugavert og ekki léttvægt þetta verk getur verið, hvaða fyndnar aðstæður geta skapast í verkefnum og síðast en ekki síst, sýna lifandi efni með raunverulegum dæmum.
Til að endurheimta jafnvægi hógværðar í heiminum munum við eftir nokkurn tíma skrifa um pentest sem gekk ekki vel. Við munum sýna hvernig vel hönnuð ferlar í fyrirtæki geta varið gegn alls kyns árásum, jafnvel vel undirbúnum, einfaldlega vegna þess að þessi ferli eru til og virka í raun.
Fyrir viðskiptavininn í þessari grein var allt líka almennt frábært, að minnsta kosti betra en 95% af markaðnum í Rússlandi, samkvæmt tilfinningum okkar, en það voru nokkur smá blæbrigði sem mynduðu langa atburðarás, sem fyrst leiddi til langrar skýrslu um starfið og síðan til þessarar greinar.
Svo skulum við birgja okkur upp af poppkorni og velkomin í spæjarasöguna. Orð - Pavel Suprunyuk, tæknistjóri „endurskoðunar og ráðgjafar“ deildar Group-IB.
Part 1. Pochkin læknir
2018 Það er viðskiptavinur - hátækni IT fyrirtæki, sem sjálft þjónar mörgum viðskiptavinum. Langar að fá svar við spurningunni: er mögulegt, án nokkurrar fyrstu þekkingar og aðgangs, að vinna í gegnum internetið, að fá Active Directory lénsstjóraréttindi? Ég hef ekki áhuga á neinni félagsverkfræði (), þeir ætla ekki að trufla verkið viljandi, en þeir geta óvart - endurhlaða td furðulega virkan netþjón. Viðbótarmarkmið er að bera kennsl á eins marga aðra árásarvigra og mögulegt er gegn ytri jaðrinum. Fyrirtækið framkvæmir reglulega slík próf og nú er frestur fyrir nýtt próf runninn út. Aðstæður eru nánast dæmigerðar, fullnægjandi, skiljanlegar. Byrjum.
Það er nafn viðskiptavinar - láttu það vera "Fyrirtæki", með aðalvefsíðunni . Auðvitað er viðskiptavinurinn kallaður öðruvísi, en í þessari grein verður allt ópersónulegt.
Ég stunda netkönnun - finn út hvaða heimilisföng og lén eru skráð hjá viðskiptavininum, teikna netmynd, hvernig þjónustu er dreift á þessi heimilisföng. Ég fæ niðurstöðuna: meira en 4000 lifandi IP tölur. Ég lít á lénin í þessum netum: sem betur fer eru langflest net sem eru ætluð viðskiptavinum viðskiptavinarins og við höfum ekki formlegan áhuga á þeim. Viðskiptavinurinn hugsar það sama.
Það er eftir eitt net með 256 heimilisföngum, sem á þessari stundu er þegar skilningur á dreifingu léna og undirléna eftir IP tölum, það eru upplýsingar um skannaðar gáttirnar, sem þýðir að þú getur skoðað þjónustuna fyrir áhugaverðar. Samhliða því eru alls kyns skannar opnaðir á tiltækum IP tölum og sérstaklega á vefsíðum.
Það er fullt af þjónustu. Venjulega er þetta gleði fyrir pentesterinn og eftirvæntingin um skjótan sigur, þar sem því meiri þjónusta sem er, því stærra er sóknarsvæðið og því auðveldara er að finna grip. Snögg skoðun á vefsíðunum leiddi í ljós að þær eru flestar vefviðmót þekktra vara stórra alþjóðlegra fyrirtækja, sem að öllum líkindum segja manni að þær séu ekki velkomnar. Þeir biðja um notandanafn og lykilorð, hrista út reitinn til að slá inn seinni þáttinn, biðja um TLS biðlaravottorð eða senda það til Microsoft ADFS. Sumt er einfaldlega óaðgengilegt af netinu. Fyrir suma þarftu augljóslega að hafa sérstakan greiddan viðskiptavin fyrir þrjú laun eða vita nákvæmlega slóðina til að slá inn. Sleppum enn eina viku af hægfara niðurlægingu í því ferli að reyna að „brjóta í gegnum“ hugbúnaðarútgáfur fyrir þekkta veikleika, leita að falnu efni á vefslóðum og leka reikningum frá þjónustu þriðja aðila eins og LinkedIn, og reyna að giska á lykilorð með því að nota þau, líka eins og að grafa upp veikleika á sjálfskrifuðum vefsíðum - við the vegur, samkvæmt tölfræði, er þetta efnilegasti vektorinn fyrir utanaðkomandi árás í dag. Ég tek strax eftir kvikmyndabyssunni sem skaut í kjölfarið.
Svo fundum við tvær síður sem stóðu upp úr hundruðum þjónustu. Þessar síður áttu eitt sameiginlegt: ef þú tekur ekki þátt í nákvæmri netkönnun eftir léni, heldur leitar beint að opnum höfnum eða miðar á varnarleysisskanna með þekktu IP-sviði, þá munu þessar síður sleppa við skönnun og verða einfaldlega ekki sýnilegt án þess að vita DNS nafnið. Kannski var þeirra saknað fyrr, að minnsta kosti, og sjálfvirku verkfærin okkar fundu engin vandamál með þau, jafnvel þótt þau væru send beint til auðlindarinnar.
Við the vegur, um það sem áður hleypt af stokkunum skannar fundu almennt. Leyfðu mér að minna þig á: fyrir sumt fólk jafngildir „pentest“ „sjálfvirkum skönnun“. En skannarnir á þessu verkefni sögðu ekkert. Jæja, hámarkið var sýnt af miðlungs veikleikum (3 af 5 hvað varðar alvarleika): á sumri þjónustu er slæmt TLS vottorð eða úrelt dulkóðunaralgrím og á flestum síðum Clickjacking. En þetta mun ekki koma þér í markmið þitt. Kannski myndu skannar nýtast betur hér, en ég minni þig á: viðskiptavinurinn getur sjálfur keypt slík forrit og prófað sig með þeim, og af dapurlegum niðurstöðum að dæma hefur hann þegar athugað.
Snúum okkur aftur að „afbrigðilegu“ síðunum. Fyrsta er eitthvað eins og staðbundin Wiki á óstöðluðu heimilisfangi, en í þessari grein láttu það vera wiki.company[.]ru. Hún bað líka strax um not og lykilorð, en í gegnum NTLM í vafranum. Fyrir notandann lítur þetta út eins og ascetic gluggi sem biður um að slá inn notandanafn og lykilorð. Og þetta er slæm vinnubrögð.
Smá aths. NTLM á jaðarvefsíðum er slæmt af ýmsum ástæðum. Fyrsta ástæðan er sú að Active Directory lénið kemur í ljós. Í dæminu okkar reyndist það líka vera company.ru, rétt eins og „ytri“ DNS nafnið. Með því að vita þetta geturðu undirbúið eitthvað illgjarnt vandlega þannig að það sé aðeins keyrt á lénsvél fyrirtækisins en ekki í einhverjum sandkassa. Í öðru lagi fer auðkenning beint í gegnum lénsstýringuna í gegnum NTLM (óvart, ekki satt?), Með öllum eiginleikum „innri“ netstefnunnar, þar með talið að hindra að reikningar fari yfir fjölda tilrauna til að slá inn lykilorð. Ef árásarmaður kemst að innskráningunum mun hann leita að lykilorðum fyrir þau. Ef þú ert stilltur til að loka fyrir reikninga frá því að slá inn röng lykilorð, mun það virka og reikningnum verður lokað. Í þriðja lagi er ómögulegt að bæta öðrum þætti við slíka auðkenningu. Ef einhver lesenda veit enn hvernig, vinsamlegast láttu mig vita, það er mjög áhugavert. Í fjórða lagi, varnarleysi fyrir pass-the-hash árásum. ADFS var meðal annars fundið upp til að verjast þessu öllu.
Það er einn slæmur eiginleiki Microsoft vara: jafnvel þótt þú hafir ekki gefið út slíkan NTLM sérstaklega, þá verður það sjálfgefið uppsett í OWA og Lync, að minnsta kosti.
Við the vegur, höfundur þessarar greinar lokaði einu sinni óvart um það bil 1000 reikninga starfsmanna eins stórs banka á aðeins einni klukkustund með sömu aðferð og leit síðan nokkuð fölur út. Upplýsingatækniþjónusta bankans var líka föl en allt endaði vel og viðunandi, við fengum meira að segja hrós fyrir að vera fyrstir til að finna þetta vandamál og kalla fram skjóta og afgerandi lausn.
Önnur síða hafði heimilisfangið „augljóslega einhvers konar eftirnafn.company.ru“. Fann það í gegnum Google, eitthvað eins og þetta á síðu 10. Hönnunin var frá því snemma á miðjum XNUMX og virðulegur maður var að horfa á hana af aðalsíðunni, eitthvað á þessa leið:
Hér tók ég kyrrmynd úr "Heart of a Dog", en trúðu mér, það var óljóst svipað, jafnvel litahönnunin var í svipuðum tónum. Láttu síðuna heita preobrazhensky.company.ru.
Þetta var persónuleg vefsíða... fyrir þvagfærasérfræðing. Ég velti fyrir mér hvað vefsíða þvagfærasérfræðings væri að gera á undirléni hátæknifyrirtækis. Stuttur kafli í Google sýndi að þessi læknir var meðstofnandi eins af lögaðilum viðskiptavina okkar og lagði meira að segja til um 1000 rúblur í viðurkenndu fjármagni. Þessi síða var líklega búin til fyrir mörgum árum og miðlaraauðlindir viðskiptavinarins voru notaðar sem hýsing. Síðan hefur fyrir löngu misst mikilvægi sitt en af einhverjum ástæðum var hún látin virka í langan tíma.
Hvað varðar veikleika var vefsíðan sjálf örugg. Þegar ég horfi fram á veginn mun ég segja að þetta hafi verið sett af kyrrstæðum upplýsingum - einfaldar HTML síður með innskotum myndum í formi nýrna og þvagblöðru. Það er gagnslaust að „brjóta“ slíka síðu.
En vefþjónninn fyrir neðan var áhugaverðari. Miðað við HTTP Server hausinn var hann með IIS 6.0, sem þýðir að hann notaði Windows 2003 sem stýrikerfi. Skannarinn hafði áður greint að þessi tiltekna vefur þvagfærasérfræðings, ólíkt öðrum sýndarhýslum á sama vefþjóni, svaraði PROPFIND skipuninni, sem þýðir að hún keyrir WebDAV. Við the vegur, skanninn skilaði þessum upplýsingum með merkinu Info (á tungumáli skannaskýrslna er þetta minnsta hættan) - slíkt er venjulega einfaldlega sleppt. Samanlagt gaf þetta áhugaverð áhrif, sem komu í ljós aðeins eftir aðra uppgröft á Google: sjaldgæft varnarleysi í biðminni í tengslum við Shadow Brokers settið, nefnilega CVE-2017-7269, sem þegar var með tilbúna hetjudáð. Með öðrum orðum, það verða vandræði ef þú ert með Windows 2003 og WebDAV keyrir á IIS. Þó að keyra Windows 2003 í framleiðslu árið 2018 sé vandamál í sjálfu sér.
Hetjudáðin endaði í Metasploit og var strax prófuð með hleðslu sem sendi DNS beiðni til stjórnaðrar þjónustu - Burp Collaborator er venjulega notaður til að ná DNS beiðnum. Mér til undrunar virkaði það í fyrsta skipti: DNS rothögg barst. Næst var reynt að búa til baktengingu í gegnum port 80 (þ.e. nettenging frá þjóninum til árásarmannsins, með aðgangi að cmd.exe á fórnarlambshýslinum), en þá gerðist bilun. Tengingin komst ekki í gegn og eftir þriðju tilraunina til að nota síðuna, ásamt öllum áhugaverðu myndunum, hvarf að eilífu.
Venjulega er þessu fylgt eftir með bréfi í stíl „viðskiptavinur, vaknaðu, við slepptum öllu“. En okkur var sagt að síðan hafi ekkert með viðskiptaferla að gera og virki þar að ástæðulausu, eins og allur þjónninn, og að við getum notað þessa auðlind eins og við viljum.
Um sólarhring síðar fór síðan allt í einu að virka af sjálfu sér. Eftir að hafa smíðað bekk frá WebDAV á IIS 6.0, fann ég að sjálfgefna stillingin er að endurræsa IIS-starfsferla á 30 klukkustunda fresti. Það er að segja, þegar stjórnin fór út úr skelkóðanum, lauk IIS-starfsferlinu, síðan endurræsti það sig nokkrum sinnum og fór svo í hvíld í 30 klukkustundir.
Þar sem baktengingin við tcp mistókst í fyrsta skipti, rakti ég þetta vandamál til lokaðrar tengis. Það er, hann gerði ráð fyrir að til staðar væri einhvers konar eldveggur sem hleypti ekki útleiðendum tengingum út. Ég byrjaði að keyra skeljakóða sem leitaðu í gegnum mörg tcp og udp tengi, það var engin áhrif. Andstæða tengingarhleðsla í gegnum http(s) frá Metasploit virkaði ekki - meterpreter/reverse_http(s). Skyndilega var komið á tengingu við sama tengi 80, en það féll strax. Ég rekjaði þetta til aðgerða hins enn ímyndaða IPS, sem líkaði ekki við mælendaumferðina. Í ljósi þess að hrein tcp tenging við port 80 fór ekki í gegn, en http tenging gerði það, komst ég að þeirri niðurstöðu að http proxy væri einhvern veginn stilltur í kerfinu.
Ég prófaði meira að segja metrapreter í gegnum DNS (takk fyrir viðleitni þína, bjargaði mörgum verkefnum), minnti á fyrsta árangurinn, en hann virkaði ekki einu sinni á standinum - skelkóðinn var of umfangsmikill fyrir þennan varnarleysi.
Í raun og veru leit þetta svona út: 3-4 tilraunir til árása innan 5 mínútna, síðan bíða í 30 klukkustundir. Og svo framvegis þrjár vikur í röð. Ég stillti meira að segja áminningu til að eyða ekki tíma. Að auki var munur á hegðun prófunar- og framleiðsluumhverfisins: fyrir þennan varnarleysi voru tvær svipaðar hetjudáðir, önnur frá Metasploit, hin frá internetinu, breytt úr Shadow Brokers útgáfunni. Þannig að aðeins Metasploit var prófað í bardaga og aðeins sá seinni var prófaður á bekknum, sem gerði villuleit enn erfiðari og var heilabrotandi.
Á endanum reyndist skelkóði sem hlóð niður exe skrá frá tilteknum netþjóni í gegnum http og setti hana á markkerfið skila árangri. Skeljakóði var nógu lítill til að passa, en að minnsta kosti virkaði það. Þar sem þjónninn líkaði alls ekki við TCP umferð og http(s) voru skoðuð með tilliti til tilvistar metrapreterar ákvað ég að fljótlegasta leiðin væri að hlaða niður exe skrá sem innihélt DNS-meterpreter í gegnum þennan skelkóða.
Hér kom aftur upp vandamál: þegar exe-skrá var hlaðið niður og eins og tilraunir sýndu, sama hver, var niðurhalið truflað. Aftur, eitthvað öryggistæki á milli netþjónsins míns og þvagfæralæknisins líkaði ekki við http umferð með exe inni. „Fljóta“ lausnin virtist vera að breyta skelkóðanum þannig að hann myndi torvelda http umferð á flugu, þannig að óhlutbundin tvíundargögn yrðu flutt í stað exe. Að lokum tókst árásin vel, stjórn barst í gegnum þunnu DNS rásina:
Það varð strax ljóst að ég er með helstu IIS verkflæðisréttindi, sem leyfa mér að gera ekki neitt. Svona leit það út á Metasploit vélinni:
Öll nýjustu aðferðafræði benda eindregið til þess að þú þurfir að auka réttindi þegar þú færð aðgang. Ég geri þetta venjulega ekki á staðnum, þar sem fyrsti aðgangurinn er einfaldlega skoðaður sem aðgangsstaður fyrir netið, og það er venjulega auðveldara og hraðara að skerða aðra vél á sama neti en að auka réttindi á núverandi vél. En þetta er ekki tilfellið hér, þar sem DNS rásin er mjög þröng og hún mun ekki leyfa umferð að hreinsa upp.
Að því gefnu að þessi Windows 2003 þjónn hafi ekki verið lagfærður fyrir hið fræga MS17-010 varnarleysi, þá fer ég með umferð á port 445/TCP í gegnum DNS-göngin á localhost (já, þetta er líka mögulegt) og reyni að keyra áður hlaðið niður exe í gegnum varnarleysið. Árásin virkar, ég fæ aðra tengingu, en með KERFI réttindi.
Það er athyglisvert að þeir reyndu enn að vernda netþjóninn fyrir MS17-010 - hann var með viðkvæma netþjónustu óvirka á ytra viðmótinu. Þetta verndar gegn árásum yfir netið, en árásin innan frá á localhost virkaði, þar sem þú getur ekki bara slökkt fljótt á SMB á localhost.
Næst koma nýjar áhugaverðar upplýsingar í ljós:
- Með kerfisréttindi geturðu auðveldlega komið á baktengingu í gegnum TCP. Augljóslega er það strangt til tekið vandamál fyrir takmarkaðan IIS notanda að slökkva á beinu TCP. Spoiler: IIS notendaumferðin var einhvern veginn vafin inn í staðbundið ISA umboð í báðar áttir. Hvernig nákvæmlega það virkar hef ég ekki endurtekið.
- Ég er í ákveðnu „DMZ“ (og þetta er ekki Active Directory lén, heldur WORKGROUP) - það hljómar rökrétt. En í stað hinnar væntanlegu („gráu“) IP tölu er ég með algjörlega „hvíta“ IP tölu, nákvæmlega það sama og ég réðst á áðan. Þetta þýðir að fyrirtækið er svo gamalt í heimi IPv4 vistfanga að það hefur efni á að viðhalda DMZ svæði fyrir 128 „hvít“ vistföng án NAT samkvæmt kerfinu, eins og sýnt er í Cisco handbókum frá 2005.
Þar sem þjónninn er gamall er tryggt að Mimikatz virki beint úr minni:
Ég fæ staðbundið stjórnanda lykilorð, göng RDP umferð yfir TCP og skrái mig inn á notalegt skjáborð. Þar sem ég gat gert hvað sem ég vildi við þjóninn, fjarlægði ég vírusvörnina og komst að því að þjónninn var aðeins aðgengilegur af internetinu í gegnum TCP tengi 80 og 443 og 443 var ekki upptekinn. Ég setti upp OpenVPN netþjón á 443, bæti við NAT aðgerðum fyrir VPN umferðina mína og fæ beinan aðgang að DMZ netinu á ótakmörkuðu formi í gegnum OpenVPN. Það er athyglisvert að ISA, sem var með nokkrar óvirkar IPS aðgerðir, lokaði fyrir umferð mína með gáttaskönnun, sem það þurfti að skipta út fyrir einfaldara og samhæfðara RRAS. Svo pentesters þurfa stundum enn að stjórna alls kyns hlutum.
Athugull lesandi mun spyrja: "Hvað með seinni síðuna - wiki með NTLM auðkenningu, sem svo mikið hefur verið skrifað um?" Meira um þetta síðar.
Part 2: Ertu samt ekki að dulkóða? Þá erum við að koma til þín þegar hér
Svo, það er aðgangur að DMZ nethlutanum. Þú þarft að fara til lénsstjórans. Það fyrsta sem kemur upp í hugann er að kanna sjálfkrafa öryggi þjónustu innan DMZ hlutans, sérstaklega þar sem miklu fleiri þeirra eru nú opnar fyrir rannsóknir. Dæmigert mynd við skarpskyggnipróf: ytri jaðarinn er betur varinn en innri þjónusta og þegar þú færð aðgang að stórum innviðum er mun auðveldara að fá aukinn réttindi á léni eingöngu vegna þess að þetta lén byrjar að vera aðgengileg verkfærum, og í öðru lagi, Í innviði með nokkur þúsund gestgjafa, verða alltaf nokkur mikilvæg vandamál.
Ég hleð skannana í gegnum DMZ í gegnum OpenVPN göng og bíð. Ég opna skýrsluna - aftur ekkert alvarlegt, greinilega hefur einhver farið í gegnum sömu aðferð á undan mér. Næsta skref er að skoða hvernig gestgjafar innan DMZ netsins eiga samskipti. Til að gera þetta skaltu fyrst ræsa venjulega Wireshark og hlusta eftir útsendingarbeiðnum, fyrst og fremst ARP. ARP pökkum var safnað allan daginn. Það kemur í ljós að nokkrar hliðar eru notaðar í þessum hluta. Þetta kemur sér vel síðar. Með því að sameina gögn um ARP beiðnir og svör og gáttaskönnunargögn fann ég útgöngupunkta notendaumferðar innan staðarnetsins til viðbótar við þá þjónustu sem áður var þekkt, eins og vefur og póstur.
Þar sem ég hafði engan aðgang að öðrum kerfum í augnablikinu og ekki með einn einasta reikning fyrir fyrirtækjaþjónustu, var ákveðið að fiska út að minnsta kosti einhvern reikning úr umferðinni með ARP Spoofing.
Cain&Abel var hleypt af stokkunum á netþjóni þvagfæralæknisins. Með hliðsjón af auðkenndu umferðarflæðinu voru vænlegustu pörin fyrir mann-í-miðju árásina valin og síðan barst nokkur netumferð með skammtímaræsingu í 5-10 mínútur, með tímamæli til að endurræsa netþjóninn ef um frost er að ræða. Eins og í brandaranum voru tvær fréttir:
- Gott: mikið af skilríkjum náðist og árásin í heild virkaði.
- Hið slæma: öll skilríki voru frá eigin viðskiptavinum viðskiptavinarins. Meðan þeir veittu stuðningsþjónustu tengdust sérfræðingar viðskiptavina þjónustu viðskiptavina sem voru ekki alltaf með dulkóðun umferðar stillta.
Fyrir vikið öðlaðist ég fullt af skilríkjum sem voru gagnslausar í samhengi verkefnisins, en örugglega áhugaverðar til að sýna hættuna á árásinni. Landamærabeini stórra fyrirtækja með telnet, áframsendu kembiforritið http-tengi til innra CRM með öllum gögnum, beinan aðgang að RDP frá Windows XP á staðarnetinu og annað óljóst. Þetta varð svona .
Mér fannst líka skemmtilegt tækifæri til að safna bréfum úr umferðinni, eitthvað á þessa leið. Þetta er dæmi um tilbúið bréf sem fór frá viðskiptavini okkar til SMTP tengi viðskiptavinar hans, aftur, án dulkóðunar. Andrey nokkur biður nafna sinn um að senda skjölin aftur og þeim er hlaðið upp á skýjadisk með innskráningu, lykilorði og hlekk í einu svarbréfi:
Þetta er önnur áminning um að dulkóða alla þjónustu. Ekki er vitað hver og hvenær mun lesa og nota gögnin þín sérstaklega - veitandinn, kerfisstjóri annars fyrirtækis eða slíkur pentester. Ég þegi um þá staðreynd að margir geta einfaldlega stöðvað ódulkóðaða umferð.
Þrátt fyrir augljósan árangur færði þetta okkur ekki nær markmiðinu. Það var auðvitað hægt að sitja lengi og veiða upp verðmætar upplýsingar en það er ekki staðreynd að þær kæmu fram þar og árásin sjálf er mjög áhættusöm hvað varðar heilleika netsins.
Eftir aðra pælingu í þjónustunni kom upp í hugann áhugaverð hugmynd. Það er til slíkt tól sem heitir Responder (það er auðvelt að finna dæmi um notkun með þessu nafni), sem, með því að „eitra“ útsendingarbeiðnir, kallar fram tengingar með ýmsum samskiptareglum eins og SMB, HTTP, LDAP o.s.frv. á mismunandi vegu, biður síðan alla sem tengjast að auðkenna og stillir það upp þannig að auðkenning fari fram í gegnum NTLM og á þann hátt sem er gagnsæ fyrir fórnarlambið. Oftast safnar árásarmaður NetNTLMv2 handabandi á þennan hátt og úr þeim, með því að nota orðabók, endurheimtir fljótt lykilorð notendaléns. Hér vildi ég eitthvað svipað, en notendurnir sátu „á bak við vegg“, eða réttara sagt, þeir voru aðskildir með eldvegg og fengu aðgang að vefnum í gegnum Blue Coat proxy-þyrpinguna.
Mundu að ég tilgreindi að Active Directory lénið félli saman við „ytri“ lénið, það er að það var company.ru? Þannig að Windows, nánar tiltekið Internet Explorer (og Edge og Chrome), gerir notandanum kleift að sannvotta á gagnsæjan hátt í HTTP í gegnum NTLM ef þeir telja að síðan sé staðsett á einhverju „innranetssvæði“. Eitt af einkennum „innranets“ er aðgangur að „grárri“ IP tölu eða stuttu DNS nafni, það er að segja án punkta. Þar sem þeir voru með netþjón með „hvítu“ IP og DNS nafni preobrazhensky.company.ru, og lénsvélar fá venjulega Active Directory lénsviðskeyti í gegnum DHCP til að einfalda nafnafærslu, þurftu þær aðeins að skrifa slóðina í veffangastikuna , svo að þeir finni réttu leiðina að netþjóni þvagfæralæknisins sem er í hættu, ekki gleyma því að þetta er nú kallað "Intranet". Það er, á sama tíma að gefa mér NTLM-handabandi notandans án hans vitundar. Allt sem er eftir er að þvinga vafra viðskiptavina til að hugsa um brýn þörf á að hafa samband við þennan netþjón.
Hin frábæra Intercepter-NG tól kom til bjargar (takk ). Það gerði þér kleift að breyta umferð á flugi og virkaði frábærlega í Windows 2003. Það hafði jafnvel sérstaka virkni til að breyta aðeins JavaScript skrám í umferðarflæðinu. Fyrirhuguð var nokkurs konar gríðarmikil forskriftarritun yfir vefsvæði.
Blue Coat umboðsmenn, þar sem notendur fengu aðgang að alþjóðlegu vefnum, settu reglulega kyrrstætt efni í skyndiminni. Með því að stöðva umferð var ljóst að þeir voru að vinna allan sólarhringinn, endalaust að biðja um oft notaða truflanir til að flýta fyrir birtingu efnis á álagstímum. Að auki var BlueCoat með sérstakan User-Agent, sem greindi það greinilega frá raunverulegum notanda.
Javascript var útbúið, sem með Intercepter-NG var útfært í klukkutíma á nóttunni fyrir hvert svar með JS skrám fyrir Blue Coat. Handritið gerði eftirfarandi:
- Ákvarði núverandi vafra af User-Agent. Ef það var Internet Explorer, Edge eða Chrome hélt það áfram að virka.
- Ég beið þar til DOM síðunnar var myndað.
- Setti ósýnilega mynd inn í DOM með src eigind formsins :8080/NNNNNNNN.png, þar sem NNN eru handahófskenndar tölur þannig að BlueCoat geymir það ekki.
- Stilltu alþjóðlega fánabreytu til að gefa til kynna að inndælingunni hafi verið lokið og það er engin þörf á að setja inn myndir lengur.
Vafrinn reyndi að hlaða þessari mynd; á port 8080 á netþjóninum sem var í hættu, beið TCP göng eftir henni í fartölvuna mína, þar sem sami viðbragðsaðili var í gangi, og krafðist þess að vafrinn skrái sig inn í gegnum NTLM.
Miðað við viðbragðaskránna kom fólk í vinnuna á morgnana, kveikti á vinnustöðvunum sínum, fór síðan í fjöldamörg og óséður að heimsækja netþjón þvagfæralæknisins, ekki gleyma að „tæma“ NTLM handaband. Handabandi rigndi niður allan daginn og greinilega safnaðist upp efni fyrir augljóslega vel heppnaða árás til að endurheimta lykilorð. Svona litu svarendaskrárnar út:
Fjölda leynilegar heimsóknir notenda á þvagfærasérfræðingaþjóninn
Þú hefur sennilega þegar tekið eftir því að öll þessi saga er byggð á meginreglunni „allt var í lagi, en svo var bömmer, svo var sigrast á og svo bar allt til árangurs.“ Svo það var bömmer hérna. Af fimmtíu einstöku handabandi kom ekki eitt einasta í ljós. Og þetta tekur mið af þeirri staðreynd að jafnvel á fartölvu með dauðum örgjörva eru þessi NTLMv2 handtök unnin á nokkur hundruð milljónum tilrauna á sekúndu hraða.
Ég þurfti að vopna mig aðferðum til að breyta lykilorði, skjákorti, þykkari orðabók og bíða. Eftir langan tíma komu í ljós nokkrir reikningar með lykilorð af forminu „Q11111111....1111111q“, sem bendir til þess að allir notendur hafi einu sinni verið neyddir til að koma með mjög langt lykilorð með mismunandi hástöfum af stöfum, sem einnig átti að vera flókið. En þú getur ekki blekkt vanan notanda, og þannig gerði hann það auðveldara fyrir sjálfan sig að muna. Alls var um 5 reikningar teknir í hættu og aðeins einn þeirra átti verðmætan rétt á þjónustunni.
Part 3. Roskomnadzor slær til baka
Þannig að fyrstu lénsreikningarnir bárust. Ef þú hefur ekki sofnað á þessum tímapunkti eftir langa lestur, muntu líklega muna eftir því að ég nefndi þjónustu sem krafðist ekki annars auðkenningarþáttar: það er wiki með NTLM auðkenningu. Það fyrsta sem þurfti að gera var að sjálfsögðu að fara þangað. Að grafa í innri þekkingargrunninum skilaði fljótt árangri:
- Fyrirtækið er með WiFi net með auðkenningu með því að nota lénsreikninga með aðgang að staðarnetinu. Með núverandi gagnasetti er þetta nú þegar virkur árásarvektor, en þú þarft að fara á skrifstofuna með fæturna og vera staðsettur einhvers staðar á yfirráðasvæði skrifstofu viðskiptavinarins.
- Ég fann leiðbeiningar þar sem það var þjónusta sem leyfði... að skrá sjálfstætt „second factor“ auðkenningartæki ef notandinn er inni á staðarneti og man með öryggi lénsins og lykilorðsins. Í þessu tilviki voru „inni“ og „utan“ ákvörðuð af aðgengi hafnar þessarar þjónustu fyrir notandann. Gáttin var ekki aðgengileg af netinu en var alveg aðgengileg í gegnum DMZ.
Auðvitað var „annar þáttur“ strax bætt við reikninginn sem var í hættu í formi forrits í símanum mínum. Það var forrit sem gat annaðhvort sent ýta beiðni í símann með „samþykkja“/“hafna“ hnöppum fyrir aðgerðina, eða hljóðlaust sýnt OTP kóðann á skjánum til frekari sjálfstæðrar færslu. Þar að auki átti fyrsta aðferðin samkvæmt leiðbeiningunum að vera sú eina rétta, en hún virkaði ekki, ólíkt OTP aðferðinni.
Þegar „annar þátturinn“ var brotinn gat ég fengið aðgang að Outlook Web Access pósti og fjaraðgangi í Citrix Netscaler Gateway. Það kom óvart í póstinum í Outlook:
Í þessu sjaldgæfa skoti geturðu séð hvernig Roskomnadzor hjálpar pentesters
Þetta voru fyrstu mánuðirnir eftir hina frægu „aðdáenda“ lokun Telegram, þegar heil netkerfi með þúsundir netfönga hurfu óumflýjanlega úr aðgangi. Það varð ljóst hvers vegna ýtingin virkaði ekki strax og hvers vegna „fórnarlambið“ mitt hringdi ekki í vekjaraklukkuna vegna þess að þeir byrjuðu að nota reikninginn hennar á opnum tímum.
Allir sem þekkja til Citrix Netscaler ímynda sér að það sé venjulega útfært á þann hátt að aðeins sé hægt að miðla myndviðmóti til notandans, reyna að gefa honum ekki tæki til að ræsa forrit frá þriðja aðila og flytja gögn, sem takmarkar á allan mögulegan hátt aðgerðir í gegnum venjulegar stjórnskeljar. „Fórnarlambið“ mitt, vegna atvinnu sinnar, fékk aðeins 1C:
Eftir að hafa gengið aðeins um 1C viðmótið fann ég að það eru ytri vinnslueiningar þar. Hægt er að hlaða þeim úr viðmótinu og þeir verða keyrðir á biðlara eða netþjóni, allt eftir réttindum og stillingum.
Ég bað 1C forritara vini mína að búa til vinnslu sem myndi samþykkja streng og framkvæma hann. Í 1C tungumáli lítur byrjun ferlis einhvern veginn svona út (tekið af internetinu). Ertu sammála því að setningafræði 1C tungumálsins komi rússneskumælandi fólki á óvart með sjálfsprottinni?
Vinnslan var framkvæmd fullkomlega; það reyndist vera það sem pentesters kalla „skel“ - Internet Explorer var hleypt af stokkunum í gegnum það.
Fyrr fannst heimilisfang kerfis sem gerir þér kleift að panta passa til yfirráðasvæðisins í pósti. Ég pantaði passa ef ég þyrfti að nota WiFi árásarvektor.
Það er talað um á netinu að það væri enn dýrindis ókeypis veitingar á skrifstofu viðskiptavinarins, en ég vildi samt frekar þróa árásina í fjarska, hún er rólegri.
AppLocker var virkjaður á forritaþjóninum sem keyrir Citrix, en það var farið framhjá honum. Sami Meterpreter var hlaðinn og ræstur í gegnum DNS, þar sem http(s) útgáfurnar vildu ekki tengjast og ég vissi ekki innra proxy vistfangið á þeim tíma. Við the vegur, frá þessari stundu breyttist ytri pentest í raun algjörlega í innri.
Part 4. Stjórnunarréttindi notenda eru slæm, allt í lagi?
Fyrsta verkefni pentester þegar hann nær yfirráðum yfir notendalotu léns er að safna öllum upplýsingum um réttindi á léninu. Það er BloodHound tól sem gerir þér sjálfkrafa kleift að hlaða niður upplýsingum um notendur, tölvur, öryggishópa í gegnum LDAP samskiptareglur frá lénsstýringu og í gegnum SMB - upplýsingar um hvaða notandi hefur nýlega skráð sig inn hvar og hver er staðbundinn stjórnandi.
Dæmigerð tækni til að taka réttindi lénsstjóra lítur út fyrir að vera einfölduð sem hringrás einhæfra aðgerða:
- Við förum í lénstölvur þar sem staðbundin stjórnunarréttindi eru til staðar, byggt á þegar teknum lénsreikningum.
- Við ræsum Mimikatz og fáum lykilorð í skyndiminni, Kerberos miða og NTLM kjötkássa af lénsreikningum sem nýlega skráðu sig inn í þetta kerfi. Eða við fjarlægjum minnismyndina af lsass.exe ferlinu og gerum það sama á okkar hlið. Þetta virkar vel með Windows yngri en 2012R2/Windows 8.1 með sjálfgefnum stillingum.
- Við ákveðum hvar reikningarnir í hættu hafa staðbundin stjórnandaréttindi. Við endurtökum fyrsta atriðið. Á einhverju stigi öðlumst við stjórnandaréttindi fyrir allt lénið.
"End of the Cycle;", eins og 1C forritarar myndu skrifa hér.
Þannig að notandinn okkar reyndist vera staðbundinn stjórnandi á aðeins einum gestgjafa með Windows 7, nafnið sem innihélt orðið „VDI“ eða „Virtual Desktop Infrastructure“, persónulegar sýndarvélar. Líklega átti hönnuður VDI þjónustunnar við að þar sem VDI er persónulegt stýrikerfi notandans, jafnvel þótt notandinn breyti hugbúnaðarumhverfinu eins og hann vill, er samt hægt að „endurhlaða“ hýsilinn. Ég hélt líka að hugmyndin væri almennt góð, ég fór til þessa persónulega VDI gestgjafa og bjó til hreiður þar:
- Ég setti upp OpenVPN biðlara þar, sem gerði göng í gegnum internetið á netþjóninn minn. Þvinga þurfti viðskiptavininn til að fara í gegnum sama Blue Coat með auðkenningu léns, en OpenVPN gerði það, eins og þeir segja, „úr kassanum.
- Uppsett OpenSSH á VDI. Jæja, í alvöru, hvað er Windows 7 án SSH?
Svona leit þetta út í beinni útsendingu. Leyfðu mér að minna þig á að allt þetta þarf að gera í gegnum Citrix og 1C:
Ein tækni til að stuðla að aðgangi að nálægum tölvum er að athuga staðbundin lykilorð stjórnanda fyrir samsvörun. Hér beið heppnin strax: NTLM kjötkássa sjálfgefna staðbundnu stjórnandans (sem var skyndilega kallaður Administrator) var nálgast í gegnum pass-the-hash árás til nálægra VDI gestgjafa, sem voru nokkur hundruð. Auðvitað kom árásin strax á þá.
Þetta er þar sem VDI stjórnendur skutu sig tvisvar í fótinn:
- Fyrsta skiptið var þegar VDI vélar voru ekki færðar undir LAPS og héldu í rauninni sama staðbundnu lykilorði stjórnanda frá myndinni sem var gríðarlega dreift til VDI.
- Sjálfgefinn stjórnandi er eini staðbundni reikningurinn sem er viðkvæmur fyrir pass-the-hash árásum. Jafnvel með sama lykilorði væri hægt að forðast fjölda málamiðlana með því að búa til annan staðbundinn stjórnandareikning með flóknu handahófi lykilorði og loka á sjálfgefið.
Af hverju SSH þjónustan á þeim Windows? Mjög einfalt: Nú var OpenSSH þjónninn ekki aðeins með þægilega gagnvirka stjórnskel án þess að trufla vinnu notandans, heldur einnig socks5 umboð á VDI. Í gegnum þessa sokka tengdist ég í gegnum SMB og safnaði reikningum í skyndiminni frá öllum þessum hundruðum VDI véla og leitaði síðan að slóðinni að lénsstjóranum sem notaði þá í BloodHound línuritunum. Með hundruð gestgjafa til ráðstöfunar fann ég þessa leið nokkuð fljótt. Réttindi lénsstjóra hafa verið aflað.
Hér er mynd af netinu sem sýnir svipaða leit. Tengingar sýna hver er hvar stjórnandinn er og hver er skráður inn hvar.
Við the vegur, mundu ástandið frá upphafi verkefnisins - "ekki nota félagslega verkfræði." Svo ég legg til að hugsa um hversu mikið allt þetta Bollywood með tæknibrellum væri skorið af ef það væri enn hægt að nota banal phishing. En persónulega var mjög áhugavert fyrir mig að gera þetta allt. Ég vona að þér hafi þótt gaman að lesa þetta. Auðvitað virðast ekki öll verkefni jafn forvitnileg, en verkið í heild sinni er mjög krefjandi og lætur það ekki staðna.
Sennilega mun einhver hafa spurningu: hvernig á að vernda þig? Jafnvel þessi grein lýsir mörgum aðferðum, margar hverjar Windows stjórnendur vita ekki einu sinni um. Hins vegar legg ég til að skoða þær frá sjónarhóli öfugsnúinna meginreglna og upplýsingaöryggisráðstafana:
- ekki nota gamaldags hugbúnað (manstu eftir Windows 2003 í upphafi?)
- ekki hafa óþarfa kerfi kveikt (af hverju var vefsíða þvagfærasérfræðings?)
- athugaðu lykilorð notenda fyrir styrk sjálfur (annars munu hermenn... pentesters gera þetta)
- ekki hafa sömu lykilorð fyrir mismunandi reikninga (VDI málamiðlun)
- og aðrir
Auðvitað er þetta mjög erfitt í framkvæmd, en í næstu grein munum við sýna í reynd að það er alveg mögulegt.
Heimild: www.habr.com