დამალული პაროლის გატეხვა Smbexec-ით

ჩვენ რეგულარულად ვწერთ იმაზე, თუ როგორ ეყრდნობიან ჰაკერები ექსპლუატაციას ჰაკერების მეთოდები მავნე კოდის გარეშეაღმოჩენის თავიდან ასაცილებლად. ისინი ფაქტიურად არიან "საძოვარზე გადარჩენა", სტანდარტული Windows ინსტრუმენტების გამოყენებით, რითაც გვერდის ავლით ანტივირუსებს და სხვა კომუნალურ პროგრამებს მავნე აქტივობის გამოსავლენად. ჩვენ, როგორც დამცველები, ახლა იძულებულნი ვართ გავუმკლავდეთ ასეთი ჭკვიანური ჰაკერების ტექნიკის სამწუხარო შედეგებს: კარგად განლაგებულ თანამშრომელს შეუძლია იგივე მიდგომა გამოიყენოს ფარული მონაცემების მოსაპარად (კომპანიის ინტელექტუალური საკუთრება, საკრედიტო ბარათის ნომრები). და თუ ის არ ჩქარობს, მაგრამ მუშაობს ნელა და ჩუმად, ეს ძალიან რთული იქნება - მაგრამ მაინც შესაძლებელია, თუ ის გამოიყენებს სწორ მიდგომას და შესაბამისს. ინსტრუმენტები, — ასეთი საქმიანობის იდენტიფიცირება.

მეორეს მხრივ, არ მინდა თანამშრომლების დემონიზაცია, რადგან არავის არ სურს ბიზნეს გარემოში მუშაობა ორუელის 1984 წლის შემდეგ. საბედნიეროდ, არსებობს მთელი რიგი პრაქტიკული ნაბიჯები და ლაიფ ჰაკი, რამაც შეიძლება გაართულოს ცხოვრება ინსაიდერებს. განვიხილავთ ფარული თავდასხმის მეთოდები, რომელსაც ჰაკერები იყენებენ გარკვეული ტექნიკური გამოცდილების მქონე თანამშრომლების მიერ. და ცოტა შემდგომ განვიხილავთ ასეთი რისკების შემცირების ვარიანტებს - შევისწავლით როგორც ტექნიკურ, ასევე ორგანიზაციულ ვარიანტებს.

რა ჭირს PsExec-ს?

ედვარდ სნოუდენი, მართებულად თუ არასწორად, გახდა ინსაიდერული მონაცემების ქურდობის სინონიმი. სხვათა შორის, არ დაგავიწყდეთ გადახედოთ ეს შენიშვნა სხვა ინსაიდერებზე, რომლებიც ასევე იმსახურებენ გარკვეულ სტატუსს. ერთ-ერთი მნიშვნელოვანი პუნქტი, რომლის ხაზგასმა ღირს სნოუდენის მიერ გამოყენებული მეთოდების შესახებ, არის ის, რომ, როგორც ვიცით, ის არ დააინსტალირე არ არის გარე მავნე პროგრამა!

ამის ნაცვლად, სნოუდენმა გამოიყენა ცოტა სოციალური ინჟინერია და გამოიყენა თავისი, როგორც სისტემის ადმინისტრატორის პოზიცია პაროლების შესაგროვებლად და რწმუნებათა სიგელების შესაქმნელად. არაფერი რთული - არცერთი მიმიკაცი, შეტევები კაცი- in- შუა ან მეტასპლოიტი.

ორგანიზაციის თანამშრომლები ყოველთვის არ არიან სნოუდენის უნიკალურ პოზიციაზე, მაგრამ არსებობს მთელი რიგი გაკვეთილები, რომლებიც უნდა ვისწავლოთ კონცეფციიდან "ძოვებით გადარჩენის" კონცეფციიდან, რომლებიც უნდა იცოდეთ - არ ჩაერთონ რაიმე მავნე მოქმედებაში, რომელიც შეიძლება გამოვლინდეს და განსაკუთრებით. ფრთხილად იყავით რწმუნებათა სიგელების გამოყენებისას. დაიმახსოვრე ეს აზრი.

Psexec და მისი ბიძაშვილი crackmapexec შთაბეჭდილება მოახდინა უამრავ პენტესტზე, ჰაკერსა და კიბერუსაფრთხოების ბლოგერზე. და mimikatz-თან შერწყმისას, psexec თავდამსხმელებს საშუალებას აძლევს გადავიდნენ ქსელში, წმინდა ტექსტის პაროლის ცოდნის გარეშე.

Mimikatz წყვეტს NTLM ჰეშს LSASS პროცესიდან და შემდეგ გადასცემს ტოკენს ან რწმუნებათა სიგელებს - ე.წ. შეტევა "გაატარეთ ჰეში". – psexec-ში, რომელიც საშუალებას აძლევს თავდამსხმელს შევიდეს სხვა სერვერზე როგორც სხვისი მომხმარებელი. და ყოველი მომდევნო გადასვლისას ახალ სერვერზე, თავდამსხმელი აგროვებს დამატებით რწმუნებათა სიგელებს, აფართოებს მისი შესაძლებლობების დიაპაზონს ხელმისაწვდომი შინაარსის ძიებაში.

როდესაც პირველად დავიწყე Psexec-თან მუშაობა, ეს ჯადოსნური მეჩვენა - გმადლობთ მარკ რუსინოვიჩი, psexec-ის ბრწყინვალე შემქმნელი - მაგრამ მე ასევე ვიცი მისი შესახებ ხმაურიანი კომპონენტები. ის არასოდეს არის საიდუმლო!

პირველი საინტერესო ფაქტი psexec-ის შესახებ არის ის, რომ ის იყენებს უკიდურესად კომპლექსურს SMB ქსელის ფაილის პროტოკოლი Microsoft-ისგან. SMB-ის გამოყენებით, psexec გადარიცხავს მცირე ორობითი ფაილები სამიზნე სისტემაში, განათავსეთ ისინი C:Windows საქაღალდეში.

შემდეგ, psexec ქმნის Windows სერვისს კოპირებული ბინარის გამოყენებით და აწარმოებს მას უკიდურესად „მოულოდნელი“ სახელით PSEXECSVC. ამავდროულად, თქვენ შეგიძლიათ რეალურად ნახოთ ეს ყველაფერი, როგორც მე, დისტანციური აპარატის ყურებით (იხ. ქვემოთ).

Psexec-ის სავიზიტო ბარათი: "PSEXECSVC" სერვისი. ის აწარმოებს ბინარულ ფაილს, რომელიც განთავსებულია SMB-ის მეშვეობით C:Windows საქაღალდეში.

როგორც საბოლოო ნაბიჯი, იხსნება დაკოპირებული ორობითი ფაილი RPC კავშირი სამიზნე სერვერზე და შემდეგ იღებს საკონტროლო ბრძანებებს (ნაგულისხმევად Windows cmd shell-ის მეშვეობით), გაუშვებს მათ და გადამისამართებს შეყვანისა და გამომავალი თავდამსხმელის სახლის მანქანაზე. ამ შემთხვევაში, თავდამსხმელი ხედავს საბაზისო ბრძანების ხაზს - იგივეა, თითქოს ის პირდაპირ იყოს დაკავშირებული.

ბევრი კომპონენტი და ძალიან ხმაურიანი პროცესი!

psexec-ის რთული ინტერიერები ხსნის მესიჯს, რომელიც დამაბნედა ჩემი პირველი ტესტების დროს რამდენიმე წლის წინ: „დაწყება PSEXECSVC...“ მოჰყვა პაუზა ბრძანების სტრიქონში გამოჩენამდე.

Impacket-ის Psexec რეალურად აჩვენებს რა ხდება კაპოტის ქვეშ.

გასაკვირი არ არის: psexec-მა უზარმაზარი სამუშაო გააკეთა ქუდის ქვეშ. თუ გაინტერესებთ უფრო დეტალური ახსნა, იხილეთ აქ ამით მშვენიერი აღწერა.

ცხადია, როდესაც გამოიყენება როგორც სისტემის ადმინისტრირების ინსტრუმენტი, რომელიც იყო ორიგინალური დანიშნულება psexec, ცუდი არაფერია Windows-ის ყველა ამ მექანიზმის „ზუზუნში“. თავდამსხმელისთვის, თუმცა, psexec გამოიწვევს გართულებებს, ხოლო ფრთხილი და ცბიერი ინსაიდერისთვის, როგორიცაა სნოუდენი, psexec ან მსგავსი უტილიტა ძალიან დიდი რისკი იქნება.

და შემდეგ მოდის Smbexec

SMB არის ჭკვიანური და საიდუმლო გზა სერვერებს შორის ფაილების გადასატანად და ჰაკერები საუკუნეების მანძილზე უშუალოდ SMB-ში შედიან. ვფიქრობ, ყველამ უკვე იცის, რომ ეს არ ღირს გახსენით SMB პორტები 445 და 139 ინტერნეტში, არა?

Defcon 2013-ზე, ერიკ მილმანი (brav0hax) წარმოდგენილი smbexec, რათა პენტესტერებს შეეძლოთ სცადონ სტელსი SMB ჰაკერები. მე არ ვიცი მთელი ამბავი, მაგრამ შემდეგ Impacket კიდევ უფრო დახვეწა smbexec. სინამდვილეში, ჩემი ტესტირებისთვის, მე გადმოვწერე სკრიპტები Impacket-დან Python-დან Github.

psexec-ისგან განსხვავებით, smbexec გაურბის პოტენციურად აღმოჩენილი ორობითი ფაილის სამიზნე მანქანაზე გადატანა. სამაგიეროდ, კომუნალური მომსახურება მთლიანად ცხოვრობს საძოვრებიდან გაშვებამდე ადგილობრივი Windows ბრძანების ხაზი.

აი, რას აკეთებს: ის გადასცემს ბრძანებას შემტევი აპარატიდან SMB-ის საშუალებით სპეციალურ შეყვანის ფაილზე, შემდეგ კი ქმნის და აწარმოებს კომპლექსურ ბრძანების ხაზს (როგორც Windows სერვისი), რომელიც ლინუქსის მომხმარებლებისთვის ნაცნობი იქნება. მოკლედ: ის უშვებს მშობლიურ Windows cmd გარსს, გადამისამართებს გამოსავალს სხვა ფაილზე და შემდეგ აგზავნის მას SMB-ის საშუალებით თავდამსხმელის მანქანაში.

ამის გასაგებად საუკეთესო გზაა ბრძანების სტრიქონში გადახედვა, რომელიც მე მოვახერხე მოვლენის ჟურნალიდან (იხილეთ ქვემოთ).

განა ეს არ არის I/O გადამისამართების საუკეთესო გზა? სხვათა შორის, სერვისის შექმნას აქვს მოვლენის ID 7045.

psexec-ის მსგავსად, ის ასევე ქმნის სერვისს, რომელიც ასრულებს ყველა სამუშაოს, მაგრამ სერვისს ამის შემდეგ ამოიღეს – გამოიყენება მხოლოდ ერთხელ ბრძანების გასაშვებად და შემდეგ ქრება! ინფორმაციული უსაფრთხოების ოფიცერი, რომელიც მონიტორინგს უწევს მსხვერპლის მანქანას, ვერ შეძლებს აღმოაჩინოს აშკარა თავდასხმის ინდიკატორები: არ არის გაშვებული მავნე ფაილი, არ არის დაინსტალირებული მუდმივი სერვისი და არ არსებობს მტკიცებულება RPC-ის გამოყენების შესახებ, რადგან SMB არის მონაცემთა გადაცემის ერთადერთი საშუალება. ბრწყინვალე!

თავდამსხმელის მხრიდან „ფსევდო-ჭურვი“ ხელმისაწვდომია ბრძანების გაგზავნასა და პასუხის მიღებას შორის შეფერხებით. მაგრამ ეს სავსებით საკმარისია იმისთვის, რომ თავდამსხმელმა - ინსაიდერმა ან გარე ჰაკერმა, რომელსაც უკვე აქვს დასაყრდენი - საინტერესო შინაარსის ძებნა დაიწყოს.

მონაცემთა გასატანად სამიზნე მანქანიდან თავდამსხმელის მანქანაში, ის გამოიყენება smb კლიენტი. დიახ, ეს იგივე სამბაა კომუნალური, მაგრამ მხოლოდ იმპაკეტის მიერ გადაკეთდა პითონის სკრიპტში. სინამდვილეში, smbclient გაძლევთ საშუალებას ფარულად უმასპინძლოთ FTP გადარიცხვებს SMB-ზე.

მოდით გადავდგათ ნაბიჯი უკან და ვიფიქროთ იმაზე, თუ რა შეუძლია ამან დასაქმებულს. ჩემს ფიქტიურ სცენარში, ვთქვათ, ბლოგერს, ფინანსურ ანალიტიკოსს ან მაღალანაზღაურებად უსაფრთხოების კონსულტანტს უფლება აქვს გამოიყენოს პერსონალური ლეპტოპი სამუშაოდ. რაღაც ჯადოსნური პროცესის შედეგად, ის კომპანიაში შეურაცხყოფას განიცდის და „ყველაფერს ცუდად ექცევა“. ლეპტოპის ოპერაციული სისტემიდან გამომდინარე, ის იყენებს Python ვერსიას Impact-დან, ან Windows-ის smbexec ან smbclient ვერსიას, როგორც .exe ფაილს.

სნოუდენის მსგავსად, ის აღმოაჩენს სხვა მომხმარებლის პაროლს ან მის მხარზე გადახედვისას, ან გაუმართლებს და წააწყდება ტექსტურ ფაილს პაროლით. და ამ სერთიფიკატების დახმარებით, ის იწყებს სისტემის ირგვლივ გათხრას პრივილეგიების ახალ დონეზე.

DCC-ის გატეხვა: ჩვენ არ გვჭირდება რაიმე "სულელი" მიმიკაცი

ჩემს წინა პოსტებში pentesting-ზე ძალიან ხშირად ვიყენებდი mimikatz-ს. ეს შესანიშნავი ინსტრუმენტია რწმუნებათა სიგელების გადასაჭრელად - NTLM ჰეშები და თუნდაც წმინდა ტექსტის პაროლები, რომლებიც დამალულია ლეპტოპებში, უბრალოდ ელოდება გამოყენებას.
დრო შეიცვალა. მონიტორინგის ინსტრუმენტები გაუმჯობესდა mimikatz-ის გამოვლენისა და დაბლოკვისას. ინფორმაციული უსაფრთხოების ადმინისტრატორებს ასევე აქვთ მეტი ვარიანტი ჰეშის (PtH) შეტევებთან დაკავშირებული რისკების შესამცირებლად.
მაშ, რა უნდა გააკეთოს ჭკვიანმა თანამშრომელმა, რომ შეაგროვოს დამატებითი სერთიფიკატები mimikatz-ის გამოყენების გარეშე?

Impacket-ის კომპლექტში შედის კომუნალური ე.წ საიდუმლო ნაგავსაყრელი, რომელიც იღებს რწმუნებათა სიგელებს დომენის სერთიფიკატების ქეშიდან, მოკლედ DCC. მე მესმის, რომ თუ დომენის მომხმარებელი შედის სერვერზე, მაგრამ დომენის კონტროლერი მიუწვდომელია, DCC სერვერს აძლევს მომხმარებლის ავთენტიფიკაციის საშუალებას. ყოველ შემთხვევაში, secretsdump საშუალებას გაძლევთ გადაყაროთ ყველა ეს ჰეში, თუ ისინი ხელმისაწვდომია.

DCC ჰეშები არის არა NTML ჰეშები და არ შეიძლება გამოყენებულ იქნას PtH შეტევისთვის.

კარგად, შეგიძლიათ სცადოთ მათი გატეხვა ორიგინალური პაროლის მისაღებად. თუმცა, Microsoft გახდა უფრო ჭკვიანი DCC-ით და DCC ჰეშების გატეხვა ძალიან რთული გახდა. Დიახ მაქვს ჰეშკატი, "მსოფლიოში ყველაზე სწრაფი პაროლის გამოცნობა", მაგრამ მას სჭირდება GPU ეფექტური მუშაობისთვის.

სამაგიეროდ, შევეცადოთ ვიფიქროთ სნოუდენის მსგავსად. თანამშრომელს შეუძლია პირისპირ ჩაატაროს სოციალური ინჟინერია და, შესაძლოა, გაიგოს გარკვეული ინფორმაცია იმ პირის შესახებ, რომლის პაროლიც მას სურს გატეხოს. მაგალითად, გაარკვიეთ, არის თუ არა ოდესმე გატეხილი პირის ონლაინ ანგარიში და შეამოწმეთ მისი წმინდა ტექსტის პაროლი რაიმე მინიშნებისთვის.

და ეს არის სცენარი, რომლითაც გადავწყვიტე წასვლა. დავუშვათ, რომ ინსაიდერმა შეიტყო, რომ მისი ბოსი, კრუელა, რამდენჯერმე იქნა გატეხილი სხვადასხვა ვებ რესურსებზე. ამ რამდენიმე პაროლის გაანალიზების შემდეგ ის ხვდება, რომ კრუელას ურჩევნია გამოიყენოს ბეისბოლის გუნდის სახელწოდების ფორმატი "Yankees", რასაც მოჰყვება მიმდინარე წელი - "Yankees2015".

თუ ახლა ცდილობთ ამის რეპროდუცირებას სახლში, მაშინ შეგიძლიათ ჩამოტვირთოთ პატარა „C“ კოდი, რომელიც ახორციელებს DCC ჰეშირების ალგორითმს და აკომპლექტებს მას. ჯონ რეპერისხვათა შორის, დაამატა DCC-ის მხარდაჭერა, ამიტომ მისი გამოყენებაც შეიძლება. დავუშვათ, რომ ინსაიდერს არ სურს შეწუხება ჯონ რიპერის სწავლით და უყვარს "gcc"-ის გაშვება მემკვიდრეობით C კოდზე.

ინსაიდერის როლში ვცადე რამდენიმე განსხვავებული კომბინაცია და საბოლოოდ შევძელი აღმოვაჩინე, რომ კრუელას პაროლი იყო „Yankees2019“ (იხ. ქვემოთ). Მისია შესრულებულია!

ცოტა სოციალური ინჟინერია, ბედის მოყოლა და ცოტა მალტეგო და თქვენ კარგად ხართ DCC ჰეშის გატეხვის გზაზე.

მე გთავაზობთ აქ დავასრულოთ. ჩვენ დავუბრუნდებით ამ თემას სხვა პოსტებში და შევხედავთ კიდევ უფრო ნელი და ფარული შეტევის მეთოდებს, გავაგრძელებთ Impacket-ის შესანიშნავი კომუნალური საშუალებების გამოყენებას.

წყარო: www.habr.com