Við skrifum reglulega um hvernig tölvuþrjótar treysta oft á misnotkun til að forðast uppgötvun. Þeir bókstaflega , með því að nota venjuleg Windows verkfæri og komast þannig framhjá vírusvarnarefnum og öðrum tólum til að greina illgjarn virkni. Við, sem verjendur, neyðumst nú til að takast á við óheppilegar afleiðingar slíkrar snjallrar tölvuþrjóttækni: Vel settur starfsmaður getur notað sömu aðferð til að stela gögnum í leyni (hugverk fyrirtækja, kreditkortanúmer). Og ef hann flýtir sér ekki, heldur vinnur hægt og rólega, verður það mjög erfitt - en samt mögulegt ef hann notar rétta nálgun og viðeigandi , — til að bera kennsl á slíka starfsemi.
Á hinn bóginn myndi ég ekki vilja djöflast í starfsmönnum vegna þess að enginn vill vinna í viðskiptaumhverfi beint frá 1984 frá Orwell. Sem betur fer eru til nokkur hagnýt skref og lífshakk sem geta gert lífið mun erfiðara fyrir innherja. Við munum íhuga leynilegar árásaraðferðir, notað af tölvuþrjótum af starfsmönnum með einhvern tæknilegan bakgrunn. Og aðeins lengra munum við ræða valkosti til að draga úr slíkri áhættu - við munum rannsaka bæði tæknilega og skipulagslega valkosti.
Hvað er að PsExec?
Edward Snowden, með réttu eða röngu, hefur orðið samheiti yfir innherjagagnaþjófnað. Við the vegur, ekki gleyma að kíkja á um aðra innherja sem eiga líka skilið einhverja frægðarstöðu. Eitt mikilvægt atriði sem vert er að leggja áherslu á varðandi aðferðirnar sem Snowden notaði er að, eftir því sem við best vitum, hann setti ekki upp enginn utanaðkomandi skaðlegur hugbúnaður!
Í staðinn notaði Snowden smá félagslega verkfræði og notaði stöðu sína sem kerfisstjóri til að safna lykilorðum og búa til skilríki. Ekkert flókið - ekkert , árásir eða .
Starfsmenn skipulagsheilda eru ekki alltaf í sérstöðu Snowdens, en það er ýmislegt sem má draga af hugtakinu „lifun með beit“ til að vera meðvitaður um - að taka ekki þátt í neinni illgjarnri starfsemi sem hægt er að greina, og að vera sérstaklega varkár með notkun skilríkja. Mundu þessa hugsun.
og frænda hans hafa heillað ótal pentesters, tölvuþrjóta og netöryggisbloggara. Og þegar það er sameinað mimikatz gerir psexec árásarmönnum kleift að hreyfa sig innan nets án þess að þurfa að vita lykilorðið með skýrum texta.
Mimikatz hlerar NTLM kjötkássa úr LSASS ferlinu og sendir síðan táknið eða skilríkin - svokallaða. „passa hass“ árásina – í psexec, sem gerir árásarmanni kleift að skrá sig inn á annan netþjón sem af öðru notandi. Og við hverja síðari flutning á nýjan netþjón safnar árásarmaðurinn viðbótarupplýsingum, sem stækkar svið getu hans við að leita að tiltæku efni.
Þegar ég byrjaði að vinna með psexec fannst mér það töfrandi - takk fyrir , snilldar verktaki psexec - en ég veit líka um hann hávær íhlutir. Hann er aldrei leyndur!
Fyrsta áhugaverða staðreyndin um psexec er að það notar mjög flókið SMB netskráarsamskiptareglur frá Microsoft. Með því að nota SMB, psexec flutningur lítill tvöfaldur skrár í markkerfið og settu þær í C:Windows möppuna.
Næst býr psexec til Windows þjónustu með því að nota afritaða tvöfaldann og keyrir hana undir hinu afar „óvænta“ nafni PSEXECSVC. Á sama tíma geturðu í raun séð allt þetta, eins og ég gerði, með því að horfa á fjarlæga vél (sjá hér að neðan).
Símakort Psexec: „PSEXECSVC“ þjónusta. Það keyrir tvöfalda skrá sem var sett í gegnum SMB í C: Windows möppunni.
Sem lokaskref opnast afritaða tvíundarskráin RPC tenging til markþjónsins og tekur síðan við stjórnskipunum (með Windows cmd skelinni sjálfgefið), ræsir þær og beini inntak og úttak til heimavélar árásarmannsins. Í þessu tilviki sér árásarmaðurinn grunnskipanalínuna - það sama og ef hann væri tengdur beint.
Fullt af íhlutum og mjög hávaðasamt ferli!
Hin flókna innri hluti psexec útskýrir skilaboðin sem undruðu mig í fyrstu prófunum mínum fyrir nokkrum árum: „Start PSEXECSVC...“ fylgt eftir með hléi áður en skipanalínan birtist.
Psexec frá Impacket sýnir í raun hvað er að gerast undir hettunni.
Ekki á óvart: psexec vann gríðarlega mikið af vinnu undir hettunni. Ef þú hefur áhuga á ítarlegri útskýringu skaltu skoða hér dásamleg lýsing.
Augljóslega, þegar það er notað sem kerfisstjórnunartæki, sem var upprunalegum tilgangi psexec, það er ekkert athugavert við „suð“ allra þessara Windows aðferða. Fyrir árásarmann myndi psexec hins vegar skapa flækjur og fyrir varkár og slægan innherja eins og Snowden væri psexec eða svipuð tól of mikil áhætta.
Og svo kemur Smbexec
SMB er snjöll og leynileg leið til að flytja skrár á milli netþjóna og tölvuþrjótar hafa síast beint inn í SMB um aldir. Ég held að allir viti nú þegar að það er ekki þess virði SMB tengi 445 og 139 við internetið, ekki satt?
Á Defcon 2013, Eric Millman () kynnt , svo að pentesters geti prófað laumuspil SMB reiðhestur. Ég veit ekki alla söguna, en svo fínpússaði Impacket smbexec enn frekar. Reyndar, fyrir prófið mitt, sótti ég forskriftirnar frá Impacket í Python frá .
Ólíkt psexec, smbexec forðast að flytja mögulega greinda tvíundarskrá yfir á markvélina. Þess í stað lifir veitan algjörlega frá haga til sjósetningar heimamaður Windows skipanalína.
Hér er það sem það gerir: það sendir skipun frá árásarvélinni í gegnum SMB til sérstakrar inntaksskrár og býr síðan til og keyrir flókna skipanalínu (eins og Windows þjónusta) sem mun virðast kunnugleg Linux notendum. Í stuttu máli: það ræsir innfædda Windows cmd-skel, vísar úttakinu í aðra skrá og sendir það síðan í gegnum SMB aftur í vél árásarmannsins.
Besta leiðin til að skilja þetta er að skoða skipanalínuna, sem ég gat náð í úr atburðaskránni (sjá hér að neðan).
Er þetta ekki besta leiðin til að beina I/O? Við the vegur, þjónustusköpun hefur viðburðakenni 7045.
Eins og psexec býr það líka til þjónustu sem vinnur alla vinnu, en þjónustuna eftir það fjarlægður - það er aðeins notað einu sinni til að keyra skipunina og hverfur svo! Upplýsingaöryggisfulltrúi sem fylgist með vél fórnarlambsins mun ekki geta greint augljóst Vísbendingar um árás: Engin skaðleg skrá er sett af stað, engin viðvarandi þjónusta er sett upp og engar vísbendingar eru um að RPC sé notað þar sem SMB er eina leiðin til gagnaflutnings. Snilld!
Frá hlið árásarmannsins er „gervi-skel“ fáanleg með töfum frá því að skipunin er send og þar til svarið er tekið. En þetta er alveg nóg fyrir árásarmann - annað hvort innherja eða utanaðkomandi tölvuþrjóta sem þegar hefur fótfestu - til að byrja að leita að áhugaverðu efni.
Til að senda gögn aftur frá markvélinni í vél árásarmannsins er það notað . Já, þetta er sami Samba , en aðeins breytt í Python handrit af Impacket. Reyndar gerir smbclient þér kleift að hýsa FTP-flutninga á leynilegan hátt yfir SMB.
Við skulum taka skref til baka og hugsa um hvað þetta getur gert fyrir starfsmanninn. Í skálduðu atburðarásinni minni skulum við segja að bloggari, fjármálasérfræðingur eða hálaunaður öryggisráðgjafi hafi leyfi til að nota persónulega fartölvu í vinnunni. Sem afleiðing af einhverju töfrandi ferli móðgast hún við fyrirtækið og „fer illa“. Það fer eftir stýrikerfi fartölvu, það notar annað hvort Python útgáfuna frá Impact, eða Windows útgáfuna af smbexec eða smbclient sem .exe skrá.
Eins og Snowden kemst hún að lykilorði annars notanda annað hvort með því að líta um öxl eða hún verður heppin og rekst á textaskrá með lykilorðinu. Og með hjálp þessara skilríkja byrjar hún að grafast fyrir um kerfið á nýju forréttindastigi.
Að hakka DCC: Við þurfum engan "heimska" Mimikatz
Í fyrri færslum mínum um pentesting notaði ég mimikatz mjög oft. Þetta er frábært tól til að stöðva skilríki - NTLM kjötkássa og jafnvel skýr texta lykilorð falin inni í fartölvum, sem bíða bara eftir notkun.
Tímarnir hafa breyst. Vöktunartæki hafa orðið betri við að greina og loka á mimikatz. Stjórnendur upplýsingaöryggis hafa nú einnig fleiri möguleika til að draga úr áhættunni sem fylgir því að standast kjötkássa (PtH) árásirnar.
Svo hvað ætti snjall starfsmaður að gera til að safna viðbótarskilríkjum án þess að nota mimikatz?
Kit Impacket inniheldur tól sem heitir , sem sækir skilríki úr Domain Credential Cache, eða DCC í stuttu máli. Skilningur minn er sá að ef lénsnotandi skráir sig inn á netþjóninn en lénsstýringin er ekki tiltæk leyfir DCC þjóninum að auðkenna notandann. Allavega, secretsdump gerir þér kleift að henda öllum þessum kjötkássa ef þau eru tiltæk.
DCC kjötkássa eru ekki NTML kjötkássa og ekki hægt að nota fyrir PtH árás.
Jæja, þú getur reynt að hakka þá til að fá upprunalega lykilorðið. Hins vegar hefur Microsoft orðið snjallari með DCC og DCC kjötkássa er orðið afar erfitt að brjóta. Já ég hef , „heimsins hraðskreiðasta lykilorðahugsandi,“ en það krefst GPU til að keyra á áhrifaríkan hátt.
Í staðinn skulum við reyna að hugsa eins og Snowden. Starfsmaður getur stundað félagsverkfræði augliti til auglitis og mögulega fundið út einhverjar upplýsingar um þann sem hún vill brjóta lykilorðið á. Til dæmis, komdu að því hvort netreikningur viðkomandi hafi einhvern tíma verið tölvusnápur og skoðaðu lykilorð hans með skýrum texta fyrir einhverjar vísbendingar.
Og þetta er atburðarásin sem ég ákvað að fara með. Gerum ráð fyrir að innanbúðarmaður hafi komist að því að yfirmaður hans, Cruella, hafði verið brotinn nokkrum sinnum á mismunandi vefsíður. Eftir að hafa greint nokkur af þessum lykilorðum, áttar hann sig á því að Cruella vill frekar nota sniðið á hafnaboltaliðsnafninu „Yankees“ og síðan yfirstandandi ár – „Yankees2015“.
Ef þú ert núna að reyna að endurskapa þetta heima, þá geturðu halað niður litlu „C“ , sem útfærir DCC kjötkássa reiknirit, og safnar því saman. , við the vegur, bætti við stuðningi við DCC, svo það er líka hægt að nota það. Gerum ráð fyrir að innherji vilji ekki nenna að læra John the Ripper og hafi gaman af því að keyra "gcc" á eldri C kóða.
Ég gerði mér í hugarlund hlutverk innherja, prófaði nokkrar mismunandi samsetningar og gat að lokum uppgötvað að lykilorð Cruella var „Yankees2019“ (sjá hér að neðan). Verkefni lokið!
Smá samfélagsverkfræði, slatti af spádómi og örlítið af Maltego og þú ert á góðri leið með að brjóta niður DCC hassið.
Ég legg til að við ljúkum hér. Við munum snúa aftur að þessu efni í öðrum færslum og skoða enn hægari og laumulausari árásaraðferðir og halda áfram að byggja á frábæru tólum Impacket.
Heimild: www.habr.com