契約の遅れは、どの大企業でもよくあることです。 トム・ハンターと某チェーンペットショップとの間の徹底的な侵入テストに関する合意も例外ではなかった。 Web サイト、内部ネットワーク、さらには Wi-Fi が機能しているかどうかを確認する必要がありました。
手続きがすべて終わる前から手がかゆくなっていたのも無理はありません。 まあ、念のためサイトにざっと目を通しておくと、「バスカヴィル家の犬」のような有名店がここで間違いを犯す可能性は低いでしょう。 数日後、トムはついに署名入りの契約書を受け取りました。このとき、コーヒーを XNUMX 杯飲みながら、社内 CMS のトムは倉庫の状態を興味深く評価していました...
出所:
しかし、CMS では多くのことを管理することはできませんでした。サイト管理者は Tom Hunter の IP を禁止しました。 ストアカードでボーナスを獲得し、何か月もの間、最愛の猫に格安で餌を与える時間はあるかもしれませんが...「今回はダメだよ、ダース・シディアス」トムは笑顔で考えた。 Web サイト領域から顧客のローカル ネットワークに移動することも同様に興味深いでしょうが、明らかにこれらのセグメントはクライアントには接続されていません。 それでも、これは非常に大規模な企業でより頻繁に起こります。
すべての手続きを終えた後、トム ハンターは提供された VPN アカウントを使用して顧客のローカル ネットワークにアクセスしました。 アカウントは Active Directory ドメイン内にあったため、特別なトリックを使わずに AD をダンプすることができ、ユーザーと動作中のマシンに関する公開されているすべての情報を排出できました。
トムは adfind ユーティリティを起動し、ドメイン コントローラーへの LDAP 要求の送信を開始しました。 objectСategory クラスのフィルターを使用し、属性として person を指定します。 応答は次の構造で返されました。
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Zこれに加えて、役立つ情報がたくさんありましたが、最も興味深いのは >description: >description フィールドでした。 これはアカウントのコメントです。基本的に、ちょっとしたメモを保管しておくのに便利な場所です。 しかし、クライアントの管理者は、パスワードがそこに静かに保存されてもよいと判断しました。 結局のところ、これらの取るに足らない公式記録に誰が興味を持つでしょうか? トムが受け取ったコメントは次のとおりです。
Создал Администратор, 2018.11.16 7po!*Vqn最後の組み合わせがなぜ役立つのかを理解するのにロケット科学者である必要はありません。 残っているのは、>description フィールドを使用して CD からの大きな応答ファイルを解析することだけです。ここでは、ログインとパスワードのペアが 20 組ありました。 さらに、ほぼ半数が RDP アクセス権を持っています。 橋頭堡としては悪くない。攻撃部隊を分断する時が来た。
通信網
アクセスしやすいバスカヴィルの犬たちのボールは、混沌と予測不可能な大都市を思い出させました。 ユーザー プロファイルと RDP プロファイルを使用して、トム ハンターはこの街では一文無しの少年でしたが、それでもセキュリティ ポリシーという輝かしい窓を通して多くのことを見ることができました。
ファイルサーバーの一部、会計アカウント、さらにはそれらに関連するスクリプトもすべて公開されました。 これらのスクリプトの XNUMX つの設定で、トムは XNUMX 人のユーザーの MS SQL ハッシュを見つけました。 ちょっと強引な魔法で、ユーザーのハッシュがプレーンテキストのパスワードに変わりました。 John The Ripper と Hashcat に感謝します。
この鍵は胸にフィットするはずです。 宝箱が見つかり、さらにXNUMX個の「宝箱」が関連付けられていました。 そして XNUMX つの内部には... スーパーユーザー権限、NT 権限システムがあります。 そのうちの XNUMX つでは、xp_cmdshell ストアド プロシージャを実行し、cmd コマンドを Windows に送信できました。 これ以上何を望むでしょうか?
ドメインコントローラー
Tom Hunter は、ドメイン コントローラーに対する第 XNUMX の打撃を準備しました。 地理的に離れたサーバーの数に応じて、「バスカヴィル家の犬」ネットワークにはそのうちの XNUMX つがありました。 各ドメイン コントローラーには、店の開いたショーケースのようなパブリック フォルダーがあり、その近くに同じ貧しい少年トムがたむろしています。
そして今回もこの男は幸運でした。ローカル サーバーの管理者パスワードがハードコードされていたショーケースからスクリプトを削除するのを忘れたのです。 つまり、ドメイン コントローラーへのパスが開いていました。 入って、トム!
ここから魔法の帽子を引っ張ってきました 、複数のドメイン管理者から利益を得ていました。 トム ハンターはローカル ネットワーク上のすべてのマシンにアクセスできるようになり、悪魔のような笑い声で隣の椅子から猫を怖がらせました。 このルートは予想より短かったです。
EternalBlue
WannaCry と Petya の記憶は侵入テスト参加者の心の中で今も生き続けていますが、管理者の中には夕方の他のニュースの流れでランサムウェアのことを忘れてしまった人もいるようです。 Tom は、SMB プロトコルに脆弱性のある 2017 つのノード (CVE-0144-XNUMX または EternalBlue) を発見しました。 これは、WannaCry および Petya ランサムウェアの配布に使用されたものと同じ脆弱性であり、ホスト上で任意のコードの実行を可能にする脆弱性です。 脆弱なノードの XNUMX つでは、ドメイン管理セッション「悪用して入手」が行われていました。 あなたに何ができるか、時間が誰もに教えてくれたわけではありません。
「バスターヴィルの犬」
情報セキュリティの古典では、システムの最も弱い部分は人であると繰り返します。 上の見出しがお店の名前と一致していないことに気づきましたか? おそらく誰もがそこまで注意深いわけではありません。
フィッシング大ヒット作の最良の伝統として、トム ハンターは「バスカヴィル家の犬」ドメインとは 4 文字異なるドメインを登録しました。 このドメインのメール アドレスは、ストアの情報セキュリティ サービスのアドレスを模倣していました。 16日間の00時から17時にかけて、以下のような手紙が偽のアドレスから00のアドレスに一律に送信されました。
おそらく、パスワードの大量漏洩から従業員を救ったのは、彼ら自身の怠惰だけだったのでしょう。 360 通の手紙のうち、開封されたのは 61 通のみで、セキュリティ サービスはあまり普及していません。 しかし、その後は簡単になりました。
フィッシングページ
46 人がリンクをクリックし、ほぼ半数の従業員 21 人はアドレス バーを見ずに、冷静にログイン名とパスワードを入力しました。 ナイスキャッチ、トム。
Wi-Fiネットワーク
もう猫の助けに頼る必要はありませんでした。 トム・ハンターは古いセダンに鉄片をいくつか投げ込み、バスカヴィル家の犬の事務所へ行きました。 彼の訪問は同意されていませんでした。トムは顧客の Wi-Fi をテストするつもりでした。 ビジネス センターの駐車場には、ターゲット ネットワークの境界に都合よく含まれる空きスペースがいくつかありました。 どうやら、彼らはその制限についてあまり考えていないようで、Wi-Fi が弱いという苦情に応じて管理者がランダムに追加のポイントを付けているかのようでした。
WPA/WPA2 PSK セキュリティはどのように機能しますか? アクセス ポイントとクライアント間の暗号化は、セッション前のキーであるペアワイズ一時キー (PTK) によって提供されます。 PTK は、事前共有キーと、SSID、Authenticator Nounce (ANounce)、Supplicant Nounce (SNounce)、アクセス ポイントおよびクライアントの MAC アドレスの XNUMX つのパラメータを使用します。 トムは XNUMX つのパラメータをすべて傍受し、現在は事前共有キーだけが不足しています。
Hashcat ユーティリティはこのミッシング リンクを約 50 分でダウンロードし、私たちのヒーローはゲスト ネットワークに到達しました。 そこから、すでに機能していることがわかります。奇妙なことに、トムは約 XNUMX 分でパスワードを管理しました。 これらすべてを駐車場から出ることなく、VPN も必要ありません。 有効なネットワークは、主人公に恐ろしい活動の余地をもたらしましたが、彼は...ストア カードにボーナスを追加することはありませんでした。
トムは立ち止まり、時計を見て、数枚の紙幣をテーブルに投げ、別れを告げてカフェを出ました。 もしかしたらまたペンテストか、あるいは始まっているかもしれない 書こうと思ったのですが…
出所: habr.com