Smbexec を使用した隠しパスワードのハッキング

私たちは、ハッカーがどのように悪用に依存しているかについて定期的に書いています。 悪意のあるコードを使用しないハッキング方法検出を避けるため。 彼らは文字通り 「牧草地で生き延びる」、標準の Windows ツールを使用することで、悪意のあるアクティビティを検出するためのウイルス対策やその他のユーティリティをバイパスします。 私たちは防御側として、このような巧妙なハッキング技術による不幸な結果に対処することを余儀なくされています。つまり、地位の高い従業員が同じアプローチを使用して、秘密裏にデータ (企業の知的財産、クレジット カード番号) を盗む可能性があるのです。 そして、彼が急がず、ゆっくりと静かに作業する場合、それは非常に困難になるでしょう - しかし、彼が正しいアプローチと適切な方法を使用すれば、それでも可能です ツール, — そのようなアクティビティを特定します。

一方で、従業員を悪者扱いするつもりはありません。1984 年のオーウェルの時代そのままのビジネス環境で働きたい人はいないからです。 幸いなことに、内部関係者の生活をより困難にする可能性のある実用的な手順やライフハックが数多くあります。 検討させていただきます 秘密の攻撃方法、技術的背景を持つ従業員がハッカーによって使用されます。 そして、そのようなリスクを軽減するためのオプションについてもう少し議論します。技術的オプションと組織的オプションの両方を検討します。

PsExec の何が問題なのでしょうか?

エドワード・スノーデンは、良くも悪くも、インサイダーによるデータ窃盗の代名詞となっています。 ちなみに、忘れずにご覧ください このメモ 同様に名声を得るに値する他のインサイダーについても。 スノーデンが使用した手法について強調する価値のある重要な点は、私たちの知る限り、スノーデンが次のように述べているということです。 インストールしませんでした 外部の悪意のあるソフトウェアはありません。

代わりに、スノーデン氏はソーシャル エンジニアリングを少し使用し、システム管理者としての立場を利用してパスワードを収集し、資格情報を作成しました。 何も複雑なことはありません - なし ミミカッツ、攻撃します 中間者 または メタスプロイト.

組織の従業員が常にスノーデン氏と同じような立場にあるわけではありませんが、「放牧による生存」という概念から学ぶべき教訓は数多くあります。注意すべきことは、検出される可能性のある悪意のある活動には関与しないこと、特に注意すべきことです。資格情報の使用には注意してください。 この考えを思い出してください。

プセク そして彼のいとこ クラックマペク 数え切れないほどの侵入テスト者、ハッカー、サイバーセキュリティブロガーに感銘を与えてきました。 また、psexec を mimikatz と組み合わせると、攻撃者は平文のパスワードを知らなくてもネットワーク内を移動できるようになります。

Mimikatz は、LSASS プロセスから NTLM ハッシュをインターセプトし、トークンまたは資格情報を渡します (いわゆる)。 「ハッシュを渡す」攻撃 – psexec では、攻撃者が別のサーバーにログインできるようになります。 別の ユーザー。 そして、その後新しいサーバーに移動するたびに、攻撃者は追加の認証情報を収集し、利用可能なコンテンツを検索する能力の範囲を拡大します。

初めて psexec を使い始めたとき、それは魔法のように思えました - ありがとう マーク・ルシノビッチ、psexec の優秀な開発者ですが、私は彼のことも知っていました。 うるさい コンポーネント。 彼は決して秘密主義ではありません！

psexec に関する最初の興味深い事実は、非常に複雑な機能を使用していることです。 SMBネットワークファイルプロトコル マイクロソフトから。 SMB を使用すると、psexec の転送量は小さくなります バイナリ ファイルをターゲット システムにコピーし、C:Windows フォルダに置きます。

次に、psexec は、コピーしたバイナリを使用して Windows サービスを作成し、非常に「予期しない」名前 PSEXECSVC で実行します。 同時に、私と同じように、リモート マシンを監視することで、これらすべてを実際に見ることができます (以下を参照)。

Psexec のテレホンカード:「PSEXECSVC」サービス。 SMB 経由で C:Windows フォルダーに配置されたバイナリ ファイルを実行します。

最後のステップとして、コピーされたバイナリ ファイルが開きます。 RPC接続 ターゲット サーバーに送信し、制御コマンドを (デフォルトでは Windows cmd シェル経由で) 受け入れて起動し、入力と出力を攻撃者のホーム マシンにリダイレクトします。 この場合、攻撃者には直接接続されている場合と同じように、基本的なコマンド ラインが表示されます。

コンポーネントがたくさんあり、非常に騒々しいプロセスです。

psexec の複雑な内部構造は、数年前の最初のテスト中に私を困惑させたメッセージ「Starting PSEXECSVC...」の後にコマンド プロンプトが表示される前に一時停止するメッセージを説明しています。

Impacket の Psexec は実際に内部で何が起こっているかを示します。

当然のことですが、psexec は内部で膨大な量の作業を行っていました。 さらに詳しい説明が気になる方はこちらをご覧ください これによって 素晴らしい説明。

明らかに、システム管理ツールとして使用された場合、 本来の目的 psexec 、これらすべての Windows メカニズムの「ブザー音」には何も問題はありません。 しかし、攻撃者にとって psexec は複雑な問題を引き起こす可能性があり、スノーデンのような慎重で狡猾な内部関係者にとって、psexec または同様のユーティリティはリスクが大きすぎます。

そしてSmbexecが登場します

SMB は、サーバー間でファイルを転送するための巧妙かつ秘密の方法であり、ハッカーは何世紀にもわたって SMB に直接侵入してきました。 価値がないことはもう誰もが知っていると思います 開ける SMB ポート 445 と 139 をインターネットに接続しますよね?

Defcon 2013 で、エリック・ミルマン (brav0hax) を提示 smexec、ペンテスターがステルス SMB ハッキングを試すことができるようにします。 詳しい経緯は分かりませんが、Impacket は smbexec をさらに洗練させました。 実際、テストのために、Python の Impacket からスクリプトをダウンロードしました。 githubの.

psexec、smexec とは異なります。 避ける 検出された可能性のあるバイナリ ファイルをターゲット マシンに転送します。 代わりに、このユーティリティは放牧から立ち上げまで完全に存続します。 ローカル Windowsのコマンドライン。

その動作は次のとおりです。SMB 経由で攻撃マシンからのコマンドを特別な入力ファイルに渡し、Linux ユーザーには馴染みのある複雑なコマンド ライン (Windows サービスのような) を作成して実行します。 つまり、ネイティブ Windows cmd シェルを起動し、出力を別のファイルにリダイレクトし、SMB 経由で攻撃者のマシンに送り返します。

これを理解する最良の方法は、コマンド ラインを確認することです。コマンド ラインはイベント ログから入手できました (以下を参照)。

これは I/O をリダイレクトするための最良の方法ではないでしょうか? ちなみにサービス作成はイベントIDが7045です。

psexec と同様に、すべての作業を実行するサービスも作成しますが、その後のサービスは 削除されました – コマンドを実行するために一度だけ使用され、その後は消えてしまいます。 被害者のマシンを監視している情報セキュリティ担当者は、これを検出することはできません。 明らか 攻撃の兆候: 悪意のあるファイルが起動されることはなく、永続的なサービスがインストールされることもありません。SMB がデータ転送の唯一の手段であるため、RPC が使用された形跡もありません。 素晴らしい！

攻撃者側から見ると、コマンドの送信と応答の受信の間に遅延がある「擬似シェル」が利用可能になります。 しかし、攻撃者 (内部関係者またはすでに足場を築いている外部ハッカー) が興味深いコンテンツを探し始めるには、これで十分です。

ターゲットマシンから攻撃者のマシンにデータを出力するために使用されます。 smbclient。 そう、同じサンバです 効用, ただし、Impacket によって Python スクリプトに変換されるだけです。 実際、smbclient を使用すると、SMB 経由で密かに FTP 転送をホストできます。

一歩下がって、これが従業員に何ができるかを考えてみましょう。 私の架空のシナリオでは、ブロガー、金融アナリスト、または高給取りのセキュリティ コンサルタントが仕事で私用のラップトップを使用することを許可されているとします。 魔法のようなプロセスの結果、彼女は会社に腹を立て、「すべてが悪化」します。 ラップトップのオペレーティング システムに応じて、Impact の Python バージョン、または .exe ファイルとして Windows バージョンの smbexec または smbclient が使用されます。

スノーデンと同じように、彼女も肩越しに別のユーザーのパスワードを見つけたり、幸運にもパスワードが記載されたテキスト ファイルを見つけたりします。 そして、これらの資格情報を利用して、新しいレベルの権限でシステムを調査し始めます。

DCC のハッキング: 「愚かな」ミミカッツは必要ありません

侵入テストに関する以前の投稿では、mimikatz を頻繁に使用しました。 これは、ラップトップ内に隠され、使用されるのを待っている NTLM ハッシュやクリアテキスト パスワードなど、資格情報を傍受するための優れたツールです。
時が変わった。 監視ツールは、mimikatz の検出とブロックにおいてより優れています。 情報セキュリティ管理者には、パス ザ ハッシュ (PtH) 攻撃に関連するリスクを軽減するためのオプションも増えました。
では、賢い従業員が mimikatz を使用せずに追加の認証情報を収集するにはどうすればよいでしょうか?

Impacket のキットには、と呼ばれるユーティリティが含まれています 秘密ダンプ、ドメイン資格情報キャッシュ (略して DCC) から資格情報を取得します。 私の理解では、ドメイン ユーザーがサーバーにログインしてもドメイン コントローラーが利用できない場合、DCC によってサーバーがユーザーを認証できるようになります。 とにかく、secretsdump を使用すると、これらのハッシュが利用可能な場合はすべてダンプできます。

DCC ハッシュは、 NTML ハッシュではない そして、その PtH攻撃には使用できません.

まあ、元のパスワードを取得するためにそれらをハッキングしようとすることができます。 しかし、Microsoft は DCC に関してより賢くなっており、DCC ハッシュを解読するのは非常に困難になっています。 はい、持っています ハッシュキャット、「世界最速のパスワード推測ツール」ですが、効果的に実行するには GPU が必要です。

代わりに、スノーデンのように考えてみましょう。 従業員は対面でソーシャル エンジニアリングを実行し、パスワードを解読したい人物に関する情報を見つけることができる可能性があります。 たとえば、その人のオンライン アカウントがハッキングされたことがあるかどうかを調べ、クリアテキストのパスワードに手がかりがないか調べます。

そして、これが私が採用することに決めたシナリオです。 内部関係者が、上司の Cruella がさまざまな Web リソースで数回ハッキングされたことを知ったと仮定します。 これらのパスワードのいくつかを分析した後、彼は、クルエラが野球チーム名「ヤンキース」の後に現在の年の「ヤンキース 2015」という形式を使用することを好んでいることに気付きました。

これを自宅で再現したい場合は、小さな「C」をダウンロードしてください。 コー​​ド、DCC ハッシュ アルゴリズムを実装し、コンパイルします。 John the Ripperは, ちなみにDCCのサポートも追加されたのでDCCも使用可能です。 内部関係者が John the Ripper をわざわざ学習したくなく、レガシー C コードで「gcc」を実行することを好むと仮定しましょう。

内部関係者の役割を装い、いくつかの異なる組み合わせを試した結果、最終的にクルエラのパスワードが「Yankees2019」であることを発見することができました (下記を参照)。 作戦完了！

少しのソーシャル エンジニアリング、少しの占い、そして少しの Maltego を使えば、DCC ハッシュの解読に向けて順調に進んでいます。

ここで終わりにすることをお勧めします。 他の投稿でこのトピックに戻り、Impacket の優れたユーティリティ セットを基にして、さらに低速でステルスな攻撃方法を検討していきます。

出所： habr.com