Бұл мақала бірнеше жыл бұрын Group-IB мамандары жүргізген өте сәтті пентест негізінде жазылған: Болливудтағы фильмге бейімделуі мүмкін оқиға болды. Енді, бәлкім, оқырманның реакциясы: «О, тағы бір PR мақала, бұлар тағы суреттеледі, олар қаншалықты жақсы, пентест сатып алуды ұмытпаңыз». Бір жағынан, солай. Дегенмен, бұл мақаланың пайда болуының басқа да себептері бар. Мен пентестердің нақты не істейтінін, бұл жұмыс қаншалықты қызықты және тривиальды емес екенін, жобаларда қандай күлкілі жағдайлар туындауы мүмкін екенін көрсеткім келді, ең бастысы, нақты мысалдармен тірі материалды көрсеткім келді.
Дүниедегі қарапайымдылық тепе-теңдігін қалпына келтіру үшін біраз уақыттан кейін біз жақсы өтпеген пентест туралы жазамыз. Біз компаниядағы жақсы жобаланған процестер шабуылдардан, тіпті жақсы дайындалғандардан қалай қорғай алатынын көрсетеміз, себебі бұл процестер бар және нақты жұмыс істейді.
Осы мақаладағы тұтынушы үшін бәрі де жақсы болды, кем дегенде Ресей Федерациясындағы нарықтың 95% -дан жақсырақ, біздің сезімдеріміз бойынша, бірақ ұзақ оқиғалар тізбегін құрайтын бірқатар шағын нюанстар болды, олар алдымен жұмыс туралы ұзақ баяндамаға, содан кейін осы мақалаға әкелді.
Олай болса, попкорнды жинап алайық, детектив оқиғасына қош келдіңіз. Сөз - Павел Супрунюк, Group-IB «Аудит және консалтинг» бөлімінің техникалық менеджері.
1-бөлім. Почкин дәрігері
2018 Тапсырыс беруші бар - жоғары технологиялық IT-компания, оның өзі көптеген клиенттерге қызмет көрсетеді. Сұраққа жауап алғыңыз келеді: ешқандай бастапқы білімсіз және рұқсатсыз Интернет арқылы жұмыс істей отырып, Active Directory доменінің әкімшісінің құқықтарын алуға болады ма? Мені ешқандай әлеуметтік инженерия қызықтырмайды (), олар жұмысқа әдейі кедергі жасағысы келмейді, бірақ олар кездейсоқ болуы мүмкін - мысалы, біртүрлі жұмыс істейтін серверді қайта жүктеу. Қосымша мақсат - сыртқы периметрге қарсы мүмкіндігінше басқа шабуыл векторларын анықтау. Компания мұндай сынақтарды жүйелі түрде өткізеді, енді жаңа сынақ мерзімі де келіп жетті. Шарттары дерлік типтік, адекватты, түсінікті. Бастайық.
Тапсырыс берушінің аты бар - ол негізгі веб-сайты бар «Компания» болсын . Әрине, тапсырыс беруші басқаша аталады, бірақ бұл мақалада бәрі жеке болады.
Мен желіні барлауды жүргіземін - тұтынушыда қандай мекенжайлар мен домендер тіркелгенін анықтаңыз, желі диаграммасын сызыңыз, қызметтер осы мекенжайларға қалай таратылады. Мен нәтиже аламын: 4000-нан астам тірі IP мекенжайлары. Мен осы желілердегі домендерді қараймын: бақытымызға орай, басым көпшілігі тұтынушының клиенттеріне арналған желілер және біз оларға ресми түрде қызығушылық танытпаймыз. Тұтынушы да солай ойлайды.
256 мекенжайы бар бір желі қалды, ол үшін қазірдің өзінде IP мекенжайлары бойынша домендер мен ішкі домендерді бөлу туралы түсінік бар, сканерленген порттар туралы ақпарат бар, яғни қызықты қызметтерді қарауға болады. Сонымен қатар, сканерлердің барлық түрлері қолжетімді IP мекенжайларында және веб-сайттарда бөлек іске қосылады.
Қызметтер өте көп. Әдетте бұл пентестер үшін қуаныш және жылдам жеңісті күту, өйткені қызметтер неғұрлым көп болса, соғұрлым шабуыл алаңы кеңейеді және артефактты табу оңайырақ болады. Веб-сайттарды жылдам шолу олардың көпшілігі ірі жаһандық компаниялардың танымал өнімдерінің веб-интерфейстері екенін көрсетті, олар барлық сыртқы түрі бойынша сізге ұнамайтынын айтады. Олар пайдаланушы аты мен құпия сөзді сұрайды, екінші факторды енгізу үшін өрісті сілкіп тастайды, TLS клиент сертификатын сұрайды немесе оны Microsoft ADFS жүйесіне жібереді. Кейбіреулер Интернеттен қолжетімсіз. Кейбіреулер үшін үш жалақыға арнайы төленген клиент болуы керек немесе енгізу үшін нақты URL мекенжайын білу керек. Белгілі осалдықтар үшін бағдарламалық жасақтама нұсқаларын «жарып өту», веб-жолдардағы жасырын мазмұнды іздеу және LinkedIn сияқты үшінші тарап қызметтерінен ағып кеткен тіркелгілерді іздеу, оларды пайдаланып құпия сөздерді табуға тырысу процесінде тағы бір бірте-бірте үмітсіздік аптасын өткізіп жіберейік. өздігінен жазылған веб-сайттардағы осалдықтарды қазу ретінде — айтпақшы, статистикаға сәйкес, бұл сыртқы шабуылдың бүгінгі таңдағы ең перспективалы векторы. Мен кейіннен атылған фильмді бірден атап өтемін.
Сонымен, біз жүздеген қызметтердің ішінен ерекшеленетін екі сайтты таптық. Бұл сайттарда бір ортақ нәрсе болды: егер сіз домен бойынша мұқият желіні барлаумен айналыспасаңыз, бірақ ашық порттарды іздесеңіз немесе белгілі IP ауқымын пайдаланып осалдық сканерін мақсат етсеңіз, онда бұл сайттар сканерлеуден құтылады және жай ғана болмайды. DNS атауын білмей-ақ көрінеді. Мүмкін, олар, кем дегенде, бұрын жіберіп алған және біздің автоматты құралдар олармен тікелей ресурсқа жіберілсе де, олармен ешқандай проблемалар таппады.
Айтпақшы, бұрын іске қосылған сканерлер жалпы нені тапты. Еске сала кетейін: кейбір адамдар үшін «пентест» «автоматтандырылған сканерлеуге» тең. Бірақ бұл жобадағы сканерлер ештеңе айтқан жоқ. Ал, максимум орташа осалдықтармен (ауырлық дәрежесі бойынша 3-тен 5-і) көрсетілді: кейбір қызметтерде нашар TLS сертификаты немесе ескірген шифрлау алгоритмдері және көптеген сайттарда Clickjacking. Бірақ бұл сізді мақсатыңызға жеткізе алмайды. Мүмкін, сканерлер бұл жерде пайдалырақ болар еді, бірақ еске салайын: тұтынушының өзі мұндай бағдарламаларды сатып алып, олармен өзін сынай алады, ал жағымсыз нәтижелерге қарағанда, ол қазірдің өзінде тексеріп қойған.
«Аномальды» сайттарға оралайық. Біріншісі стандартты емес мекенжайдағы жергілікті Wiki сияқты нәрсе, бірақ бұл мақалада ол wiki.company[.]ru болсын. Ол сонымен қатар бірден логин мен парольді сұрады, бірақ браузерде NTLM арқылы. Пайдаланушы үшін бұл пайдаланушы аты мен құпия сөзді енгізуді сұрайтын аскетикалық терезеге ұқсайды. Және бұл жаман тәжірибе.
Шағын жазба. Периметрлік веб-сайттардағы NTLM бірнеше себептерге байланысты нашар. Бірінші себеп - Active Directory домен атауының ашылуы. Біздің мысалда ол «сыртқы» DNS атауы сияқты company.ru болып шықты. Мұны біле отырып, сіз зиянды нәрсені мұқият дайындай аласыз, ол кейбір құм жәшігінде емес, тек ұйымның домендік машинасында орындалады. Екіншіден, аутентификация «ішкі» желі саясатының барлық мүмкіндіктерімен, соның ішінде құпия сөзді енгізу әрекеттерінің санынан асып кетуден тіркелгілерді блоктаумен бірге NTLM арқылы (таңқаларлық емес пе?) тікелей домен контроллері арқылы өтеді. Егер шабуылдаушы логиндерді білсе, олар үшін құпия сөздерді іздейді. Тіркелгілердің қате құпия сөздерді енгізуін бұғаттау үшін конфигурацияланған болсаңыз, ол жұмыс істейді және тіркелгі бұғатталған. Үшіншіден, мұндай аутентификацияға екінші факторды қосу мүмкін емес. Оқырмандардың бірі әлі де қалай білетінін білсе, маған хабарлаңыз, бұл өте қызықты. Төртіншіден, хэш-шабуылдардың осалдығы. ADFS, басқа нәрселермен қатар, осының бәрінен қорғау үшін ойлап табылды.
Microsoft өнімдерінің бір нашар қасиеті бар: мұндай NTLM-ді арнайы жарияламасаңыз да, ол кем дегенде OWA және Lync бағдарламаларында әдепкі бойынша орнатылады.
Айтпақшы, осы мақаланың авторы бір рет дәл осындай әдіспен бір сағаттың ішінде бір ірі банктің 1000-ға жуық қызметкерлерінің шоттарын абайсызда бұғаттап, кейін сәл бозарып кеткен. Банктің IT-қызметтері де бозарып кетті, бірақ бәрі жақсы және адекватты аяқталды, тіпті бұл мәселені бірінші болып тауып, тез әрі шешуші шешуге себепкер болғанымыз үшін бізді мақтады.
Екінші сайтта «фамилия.company.ru» деген мекен-жай болған. Оны Google арқылы таптым, 10-бетте осындай нәрсе. Дизайн XNUMX-шы жылдардың басынан бері болды және құрметті адам оған басты беттен қарап отырды, мысалы:
Мұнда мен «Ит жүрегінен» кадр түсірдім, бірақ маған сеніңіз, бұл анық емес ұқсас болды, тіпті түс дизайны ұқсас реңктерде болды. Сайт шақырылсын preobrazhensky.company.ru.
Бұл урологтың... жеке сайты еді. Мен урологтың веб-сайты жоғары технологиялық компанияның субдоменінде не істеп жатқанына таң қалдым. Google-ді жылдам зерттеу бұл дәрігердің біздің тұтынушымыздың заңды тұлғаларының бірінің құрылтайшысы екенін және тіпті жарғылық капиталға шамамен 1000 рубль қосқанын көрсетті. Сайт көп жылдар бұрын жасалған болуы мүмкін және тұтынушының серверлік ресурстары хостинг ретінде пайдаланылған. Сайт өзінің өзектілігін әлдеқашан жоғалтты, бірақ қандай да бір себептермен ол ұзақ уақыт жұмыс істемей қалды.
Осалдықтар тұрғысынан веб-сайттың өзі қауіпсіз болды. Болашаққа қарап, бұл статикалық ақпараттың жиынтығы деп айтамын - бүйрек пен қуық түріндегі иллюстрациялары бар қарапайым html беттері. Мұндай сайтты «бұзу» пайдасыз.
Бірақ астындағы веб-сервер қызықтырақ болды. HTTP серверінің тақырыбына қарағанда, оның IIS 6.0 нұсқасы болды, яғни ол операциялық жүйе ретінде Windows 2003 пайдаланды. Сканер бұрын осы урологтың веб-сайты, бір веб-сервердегі басқа виртуалды хосттардан айырмашылығы, PROPFIND пәрменіне жауап беретінін, яғни оның WebDAV іске қосылғанын анықтаған. Айтпақшы, сканер бұл ақпаратты Info белгісімен қайтарды (сканер есептерінің тілінде бұл ең төменгі қауіп) - әдетте мұндай нәрселерді өткізіп жібереді. Бірлескен бұл қызықты әсер берді, ол Google-дағы кезекті қазбалардан кейін ғана анықталды: Shadow Brokers жиынтығымен байланысты сирек буфердің толып кету осалдығы, атап айтқанда CVE-2017-7269, ол қазірдің өзінде дайын эксплуатацияға ие болды. Басқаша айтқанда, егер сізде Windows 2003 болса және WebDAV IIS жүйесінде жұмыс істеп тұрса, қиындық туындайды. 2003 жылы өндірісте Windows 2018 жүйесін іске қосудың өзі проблема болып табылады.
Эксплойт Metasploit-те аяқталды және басқарылатын қызметке DNS сұрауын жіберетін жүктемемен дереу тексерілді - Burp Collaborator дәстүрлі түрде DNS сұрауларын ұстау үшін қолданылады. Менің таң қалдым, ол бірінші рет жұмыс істеді: DNS нокауты алынды. Әрі қарай, 80 порты арқылы кері қосылым жасау әрекеті болды (яғни, серверден шабуылдаушыға желілік қосылым, жәбірленуші хостта cmd.exe қол жетімділігі), бірақ содан кейін фиаско орын алды. Байланыс болмады, ал үшінші рет сайтты пайдалану әрекетінен кейін барлық қызықты суреттермен бірге мәңгілікке жоғалып кетті.
Әдетте бұл «клиент, оян, біз бәрін тастадық» стиліндегі хатпен жалғасады. Бірақ бізге сайттың бизнес-процестерге еш қатысы жоқ екенін және онда бүкіл сервер сияқты еш себепсіз жұмыс істейтінін және бұл ресурсты өз қалауымызша пайдалана алатынымызды айтты.
Бір күннен кейін сайт кенеттен өздігінен жұмыс істей бастады. IIS 6.0 жүйесінде WebDAV-тен орындық құрастырғаннан кейін, мен әдепкі параметр IIS жұмысшы процестерін әр 30 сағат сайын қайта қосу екенін білдім. Яғни, басқару қабықша кодынан шыққан кезде, IIS жұмысшы процесі аяқталды, содан кейін ол бірнеше рет қайта іске қосылды, содан кейін 30 сағатқа демалуға кетті.
TCP-ге кері қосылым бірінші рет сәтсіз болғандықтан, мен бұл мәселені жабық портқа жатқыздым. Яғни, ол шығыс қосылымдардың сыртқа өтуіне мүмкіндік бермейтін қандай да бір брандмауэрдің болуын болжады. Мен көптеген tcp және udp порттары арқылы іздейтін қабық кодтарын іске қоса бастадым, ешқандай нәтиже болмады. Metasploit-тен http(лар) арқылы кері қосылым жүктемелері жұмыс істемеді - meterpreter/reverse_http(лар). Кенеттен сол 80 портына қосылым орнатылды, бірақ бірден үзілді. Мен мұны есептегіш трафикті ұнатпайтын әлі де қиялдағы IPS әрекетімен байланыстырдым. 80 портына таза tcp қосылымы өтпейді, бірақ http қосылымы өтті, мен жүйеде http проксиі қандай да бір түрде конфигурацияланған деген қорытындыға келдім.
Мен тіпті DNS арқылы meterpreter қолданып көрдім (рахмет сіздің күш-жігеріңіз үшін көптеген жобаларды сақтап қалды), алғашқы сәтті еске түсіре отырып, бірақ ол тіпті стендте жұмыс істемеді - бұл осалдық үшін shellcode тым көлемді болды.
Шындығында, бұл келесідей болды: 3 минут ішінде 4-5 шабуыл әрекеті, содан кейін 30 сағат күту. Осылай үш апта қатарынан. Уақытты босқа өткізбеу үшін тіпті еске салуды да қойдым. Бұған қоса, сынақ және өндірістік орталардың мінез-құлқында айырмашылық болды: бұл осалдық үшін екі ұқсас эксплойт болды, біреуі Metasploit-тен, екіншісі Shadow Brokers нұсқасынан түрлендірілген Интернеттен. Осылайша, тек Metasploit ұрыста сынақтан өтті, ал екіншісі ғана орындықта сынақтан өтті, бұл отладканы одан да қиындатып, миды бұзды.
Соңында http арқылы берілген серверден exe файлын жүктеп алып, оны мақсатты жүйеде іске қосқан shellcode тиімді болып шықты. Shellcode сәйкес келетіндей кішкентай болды, бірақ кем дегенде ол жұмыс істеді. Сервер TCP трафигін мүлде ұнатпағандықтан және http(лар) meterpreter бар-жоғына тексерілгендіктен, мен ең жылдам әдіс DNS-meterpreter бар exe файлын осы қабықша код арқылы жүктеп алу деп шештім.
Бұл жерде тағы да мәселе туындады: exe файлын жүктеп алу кезінде және әрекеттер көрсеткендей, қайсысы болса да, жүктеу үзілді. Тағы да, менің серверім мен уролог арасындағы кейбір қауіпсіздік құрылғысы ішінде exe бар http трафигі ұнамады. «Жылдам» шешім қабық кодын өзгерту болып көрінді, осылайша ол http трафигін тез арада жасырады, осылайша дерексіз екілік деректер exe орнына тасымалданады. Соңында шабуыл сәтті болды, басқару жұқа DNS арнасы арқылы алынды:
Менде ештеңе істеуге мүмкіндік беретін ең қарапайым IIS жұмыс үрдісі құқықтары бар екені бірден белгілі болды. Metasploit консолінде ол келесідей болды:
Барлық пентест әдістемелері рұқсат алу кезінде құқықтарды ұлғайту қажеттігін қатты ұсынады. Мен мұны әдетте жергілікті түрде жасамаймын, өйткені ең бірінші қол жеткізу желіге кіру нүктесі ретінде қарастырылады және сол желідегі басқа құрылғыны бұзу әдетте бар хосттағы артықшылықтарды кеңейтуге қарағанда оңай және жылдамырақ. Бірақ бұл жерде олай емес, өйткені DNS арнасы өте тар және ол трафикті тазартуға мүмкіндік бермейді.
Бұл Windows 2003 сервері атақты MS17-010 осалдықтары үшін жөнделмеген деп есептей отырып, мен 445/TCP портына трафикті өлшеуіш DNS туннелі арқылы localhost-қа туннельдендіремін (иә, бұл да мүмкін) және бұрын жүктелген exe файлын іске қосуға тырысамын. осалдық. Шабуыл жұмыс істейді, мен екінші қосылымды аламын, бірақ ЖҮЙЕ құқықтарымен.
Бір қызығы, олар әлі де серверді MS17-010-дан қорғауға тырысты - оның сыртқы интерфейсінде осал желі қызметтері өшірілген. Бұл желідегі шабуылдардан қорғайды, бірақ жергілікті хостқа ішкі шабуыл жұмыс істеді, өйткені сіз жергілікті хостта SMB қызметін тез өшіре алмайсыз.
Әрі қарай, жаңа қызықты мәліметтер ашылады:
- ЖҮЙЕ құқықтарына ие бола отырып, TCP арқылы кері байланысты оңай орнатуға болады. Тікелей TCP өшіру шектеулі IIS пайдаланушысы үшін қатаң мәселе екені анық. Спойлер: IIS пайдаланушы трафигі екі бағытта да жергілікті ISA прокси-серверіне оралған. Бұл қалай жұмыс істейді, мен қайта шығарған жоқпын.
- Мен белгілі бір «DMZ» (және бұл Active Directory домені емес, WORKGROUP) - бұл логикалық естіледі. Бірақ күтілетін жеке («сұр») IP-мекен-жайдың орнына менде бұрын шабуылдағанмен бірдей толығымен «ақ» IP мекенжайы бар. Бұл компанияның IPv4 мекенжайы әлемінде ескіргені сонша, ол 128 жылғы Cisco нұсқаулықтарында көрсетілген схемаға сәйкес NAT-сыз 2005 «ақ» мекенжай үшін DMZ аймағын сақтай алады.
Сервер ескі болғандықтан, Mimikatz тікелей жадтан жұмыс істеуге кепілдік береді:
Мен жергілікті әкімші құпия сөзін аламын, RDP трафигін TCP арқылы туннельге аламын және ыңғайлы жұмыс үстеліне кіремін. Сервермен қалағанымды жасай алатындықтан, мен антивирусты алып тастадым және серверге Интернеттен тек TCP 80 және 443 порттары арқылы қол жеткізуге болатынын және 443 бос емес екенін анықтадым. Мен 443 жүйесінде OpenVPN серверін орнатамын, VPN трафигі үшін NAT функцияларын қосамын және OpenVPN арқылы шексіз пішінде DMZ желісіне тікелей қол жеткіземін. Бір қызығы, ISA кейбір ажыратылмаған IPS функциялары бар, менің трафикті портты сканерлеу арқылы бұғаттады, ол үшін оны қарапайым және үйлесімді RRAS ауыстыру керек болды. Сондықтан пентестер кейде әлі де барлық нәрселерді басқаруы керек.
Мұқият оқырман: «Екінші сайт - NTLM аутентификациясы бар вики туралы не деуге болады, ол туралы көп жазылған?» Бұл туралы кейінірек.
2-бөлім. Әлі де шифрламайсыз ба? Содан кейін біз сізге осында келеміз
Осылайша, DMZ желі сегментіне қол жетімділік бар. Домен әкімшісіне бару керек. Бірінші ойға келетін нәрсе - DMZ сегментіндегі қызметтердің қауіпсіздігін автоматты түрде тексеру, әсіресе олардың көпшілігі зерттеуге ашық болғандықтан. Еніп кету сынағы кезіндегі әдеттегі сурет: сыртқы периметр ішкі қызметтерге қарағанда жақсы қорғалған және үлкен инфрақұрылымға кез келген қол жеткізу кезінде доменде кеңейтілген құқықтарды алу тек осы домен бола бастағандықтан оңайырақ. құралдарға қол жетімді, екіншіден, бірнеше мың хосттары бар инфрақұрылымда әрқашан бірнеше маңызды мәселелер болады.
Мен сканерлерді DMZ арқылы OpenVPN туннелі арқылы зарядтаймын және күтемін. Мен есепті ашамын - тағы да маңызды ештеңе жоқ, менің алдымда біреу осындай әдіспен өткен сияқты. Келесі қадам DMZ желісіндегі хосттардың қалай байланысатынын тексеру болып табылады. Мұны істеу үшін алдымен әдеттегі Wireshark іске қосыңыз және тарату сұрауларын, ең алдымен, ARP тыңдаңыз. ARP пакеттері күні бойы жиналды. Бұл сегментте бірнеше шлюз қолданылады екен. Бұл кейінірек пайдалы болады. ARP сұраулары мен жауаптары және портты сканерлеу деректері туралы деректерді біріктіру арқылы мен бұрын белгілі болған веб және пошта сияқты қызметтерге қосымша жергілікті желі ішіндегі пайдаланушы трафигінің шығу нүктелерін таптым.
Қазіргі уақытта менде басқа жүйелерге қол жетімділік болмағандықтан және корпоративтік қызметтерге бір тіркелгім болмағандықтан, ARP Spoofing көмегімен трафиктен кем дегенде біраз есептік жазбаны жою туралы шешім қабылданды.
Cain&Abel урологтың серверінде іске қосылды. Анықталған трафик ағындарын ескере отырып, ортадағы адам шабуылы үшін ең перспективалы жұптар таңдалды, содан кейін серверді қайта жүктеуге арналған таймермен 5-10 минутқа қысқа мерзімді іске қосу арқылы кейбір желілік трафик алынды. қатып қалған жағдайда. Әзілдегідей екі жаңалық болды:
- Жақсы: көптеген тіркелгі деректері ұсталды және шабуыл тұтастай нәтиже берді.
- Нашар: барлық тіркелгі деректері тұтынушының жеке клиенттерінен болды. Қолдау қызметтерін көрсету кезінде тұтынушы мамандары әрқашан трафик шифрлауы конфигурацияланбаған клиенттердің қызметтеріне қосылды.
Нәтижесінде мен жоба контекстінде пайдасыз болған, бірақ шабуыл қаупінің демонстрациясы ретінде қызықты болатын көптеген мәліметтерді алдым. Telnet арқылы ірі компаниялардың шекаралық маршрутизаторлары, барлық деректермен ішкі CRM-ге жіберілген отладка http порттары, жергілікті желідегі Windows XP жүйесінен RDP-ге тікелей қатынау және басқа да қараңғылық. Бұл былай болып шықты .
Мен сондай-ақ трафиктен хаттарды жинаудың күлкілі мүмкіндігін таптым. Бұл біздің тұтынушыдан оның клиентінің SMTP портына шифрлаусыз қайта жіберілген дайын хаттың мысалы. Белгілі бір Андрей өзінің атына құжаттаманы қайта жіберуді сұрайды және ол бір жауап хатында логин, пароль және сілтемесі бар бұлттық дискіге жүктеледі:
Бұл барлық қызметтерді шифрлаудың тағы бір ескертуі. Сіздің деректеріңізді нақты кім және қашан оқитыны және пайдаланатыны белгісіз - провайдер, басқа компанияның жүйелік әкімшісі немесе осындай пентестер. Мен көптеген адамдар шифрланбаған трафикті ұстай алатыны туралы үндемеймін.
Көрінген табысқа қарамастан, бұл бізді мақсатқа жақындата алмады. Әрине, ұзақ уақыт отыруға және құнды ақпаратты іздеуге болатын еді, бірақ оның сонда пайда болатыны шындық емес, ал шабуылдың өзі желінің тұтастығы тұрғысынан өте қауіпті.
Қызметтерді тағы бір зерттегеннен кейін ойға қызықты идея келді. Жауап беруші деп аталатын қызметтік бағдарлама бар (осы атаумен пайдалану мысалдарын табу оңай), ол хабар тарату сұрауларын «улату» арқылы SMB, HTTP, LDAP және т.б. сияқты әртүрлі протоколдар арқылы қосылымдарды тудырады. әр түрлі жолдармен, содан кейін аутентификацияға қосылған әрбір адамнан сұрайды және аутентификация NTLM арқылы және жәбірленушіге мөлдір режимде болатындай етіп реттейді. Көбінесе шабуылдаушы NetNTLMv2 қол алысуларын осылай жинайды және олардан сөздікті пайдаланып, домен пайдаланушысының құпия сөздерін жылдам қалпына келтіреді. Мұнда мен ұқсас нәрсені қалаймын, бірақ пайдаланушылар «қабырғаның артында» отырды, дәлірек айтсақ, олар брандмауэр арқылы бөлініп, Blue Coat прокси кластері арқылы WEB-ке кірді.
Есіңізде болсын, мен Active Directory домен атауы «сыртқы» доменмен сәйкес келетінін көрсеттім, яғни ол company.ru болды ма? Сонымен, Windows, дәлірек айтсақ, Internet Explorer (және Edge және Chrome), пайдаланушыға сайт кейбір «Интранет аймағында» орналасқан деп есептесе, NTLM арқылы HTTP-де мөлдір аутентификацияға мүмкіндік береді. «Интранет» белгілерінің бірі «сұр» IP мекенжайына немесе қысқа DNS атауына, яғни нүктесіз қол жеткізу болып табылады. Олардың «ақ» IP және DNS атауы preobrazhensky.company.ru бар сервері болғандықтан және домен машиналары әдетте жеңілдетілген атауды енгізу үшін DHCP арқылы Active Directory доменінің жұрнағын алады, олар мекенжай жолағында URL мекенжайын жазу керек болды. , сондықтан олар бұзылған уролог серверіне дұрыс жолды табады, бұл қазір «Интранет» деп аталатынын ұмытпайды. Яғни, бір уақытта маған пайдаланушының NTLM-қол алысуын оның білмеуінсіз беру. Клиент браузерлерін осы сервермен байланысудың шұғыл қажеттілігі туралы ойлауға мәжбүрлеу ғана қалады.
Керемет Intercepter-NG утилитасы көмекке келді (рахмет ). Ол трафикті жылдам өзгертуге мүмкіндік берді және Windows 2003 жүйесінде тамаша жұмыс істеді. Оның тіпті трафик ағынында тек JavaScript файлдарын өзгертуге арналған бөлек функционалдығы болды. Сайтаралық сценарийдің бір түрі жоспарланған болатын.
Пайдаланушылар жаһандық WEB-ке кіретін Blue Coat проксилері тұрақты мазмұнды мерзімді кэштейді. Трафикті тоқтату арқылы олар тәулік бойы жұмыс істеп, ең жоғары сағаттарда мазмұнды көрсетуді жылдамдату үшін жиі қолданылатын статикалықты үздіксіз сұрайтыны анық болды. Сонымен қатар, BlueCoat-та нақты пайдаланушыдан нақты ажырататын нақты User-Agent болды.
Javascript дайындалды, ол Intercepter-NG көмегімен Blue Coat үшін JS файлдарымен әрбір жауап үшін түнде бір сағат бойы жүзеге асырылды. Сценарий келесі әрекеттерді орындады:
- Ағымдағы шолғышты User-Agent анықтады. Егер бұл Internet Explorer, Edge немесе Chrome болса, ол жұмысын жалғастырды.
- Мен парақтың DOM құрылғанша күттім.
- Пішіннің src атрибуты бар DOM ішіне көрінбейтін кескін енгізілді :8080/NNNNNNNN.png, мұндағы NNN ерікті сандар, сондықтан BlueCoat оны кэштемейді.
- Инъекцияның аяқталғанын және енді кескіндерді енгізудің қажеті жоқ екенін көрсету үшін жаһандық жалауша айнымалы мәнін орнатыңыз.
Браузер бұл кескінді жүктеуге тырысты; бұзылған сервердің 8080 портында TCP туннелі оны менің ноутбугіме күтіп тұрды, ол жерде сол Жауап беруші жұмыс істеп тұрды, ол браузерден NTLM арқылы кіруді талап етеді.
Жауап берушілердің журналдарына қарағанда, адамдар таңертең жұмысқа келіп, жұмыс станцияларын қосты, содан кейін NTLM қол алысуды «ағызуды» ұмытпай, урологтың серверіне жаппай және байқамай келе бастады. Қол алысулар күні бойы жаңбыр жауып, құпия сөздерді қалпына келтіруге арналған сәтті шабуылға арналған материалды анық жинақтады. Жауап беруші журналдары келесідей болды:
Пайдаланушылардың уролог серверіне жаппай жасырын кіруі
Сіз бұл оқиғаның «бәрі жақсы болды, бірақ содан кейін бір сәтсіздік болды, содан кейін жеңу болды, содан кейін бәрі сәтті болды» принципіне негізделгенін байқаған боларсыз. Сонымен, бұл жерде әбігер болды. Бірегей елу қол алысудың біреуі де ашылмаған. Бұл тіпті өлі процессоры бар ноутбукта бұл NTLMv2 қол алысу секундына бірнеше жүз миллион әрекет жылдамдығымен өңделетінін ескереді.
Маған парольді мутациялау әдістерімен, бейне картамен, қалың сөздікпен қаруланып, күтуге тура келді. Ұзақ уақыт өткеннен кейін «Q11111111....1111111q» пішіміндегі парольдері бар бірнеше тіркелгі анықталды, бұл барлық пайдаланушылар бір кездері әр түрлі таңбалар регистрлері бар өте ұзын құпия сөзді ойлап табуға мәжбүр болғанын көрсетеді, ол да болуы керек еді. күрделі болу. Бірақ сіз тәжірибелі пайдаланушыны алдай алмайсыз және осылайша ол өзінің есте сақтауын жеңілдетеді. Барлығы шамамен 5 есептік жазба бұзылды және олардың тек біреуінің қызметтерге құнды құқықтары болды.
3-бөлім. Роскомнадзор кері соққы береді
Осылайша, алғашқы домен тіркелгілері алынды. Ұзақ оқудан осы уақытқа дейін ұйықтамасаңыз, аутентификацияның екінші факторын қажет етпейтін қызмет туралы айтқанымды еске түсіретін шығарсыз: бұл NTLM аутентификациясы бар вики. Әрине, бірінші орында кіру керек еді. Ішкі білім қорын қазу тез нәтиже берді:
- Компанияда жергілікті желіге кіру мүмкіндігі бар домен тіркелгілерін пайдаланып аутентификациясы бар WiFi желісі бар. Ағымдағы деректер жиынтығымен бұл қазірдің өзінде жұмыс істейтін шабуыл векторы, бірақ сіз кеңсеге аяғыңызбен баруыңыз керек және клиент кеңсесінің аумағында бір жерде болуыңыз керек.
- Егер пайдаланушы жергілікті желіде болса және өзінің домен логині мен құпия сөзін сенімді түрде есте сақтаса, «екінші фактор» аутентификация құрылғысын дербес тіркеуге... мүмкіндік беретін қызмет бар нұсқауды таптым. Бұл жағдайда «ішкі» және «сыртқы» осы қызмет портының пайдаланушыға қолжетімділігімен анықталды. Портқа Интернеттен қол жеткізу мүмкін болмады, бірақ DMZ арқылы қол жетімді болды.
Әрине, менің телефонымдағы өтініш түрінде бұзылған тіркелгіге «екінші фактор» бірден қосылды. Әрекет үшін «мақұлдау»/«мақұлдамау» түймелері бар телефонға итермелеу сұрауын қатты жібере алатын немесе одан әрі тәуелсіз енгізу үшін экранда OTP кодын үнсіз көрсете алатын бағдарлама болды. Оның үстіне, бірінші әдіс нұсқаулар бойынша жалғыз дұрыс болуы керек еді, бірақ OTP әдісінен айырмашылығы ол жұмыс істемеді.
«Екінші фактор» бұзылған кезде мен Outlook Web Access поштасына және Citrix Netcaler шлюзінде қашықтан қол жеткізуге қол жеткізе алдым. Outlook поштасында тосынсый болды:
Бұл сирек кадрда Роскомнадзордың пентестерлерге қалай көмектесетінін көруге болады
Бұл Telegram-ды атақты «жанкүйер» бұғаттауынан кейінгі алғашқы айлар еді, ол кезде мыңдаған мекенжайлары бар бүкіл желілер қол жеткізуден жоғалып кетті. Неліктен итермелеу бірден жұмыс істемейтіні және менің «жәбірленушінің» дабыл қағудың себебі белгілі болды, өйткені олар өз аккаунтын ашық уақытта пайдалана бастады.
Citrix Netscaler-пен таныс кез келген адам оны әдетте пайдаланушыға тек сурет интерфейсін жеткізуге болатындай етіп жүзеге асырылады деп елестетеді, оған үшінші тарап қолданбаларын іске қосу және деректерді беру құралдарын бермеуге тырысады, әрекеттерді барлық мүмкін түрде шектейді. стандартты басқару қабықшалары арқылы. Менің «жәбірленушім» жұмысына байланысты тек 1С алды:
1С интерфейсін біраз аралап шыққаннан кейін мен онда сыртқы өңдеу модульдері бар екенін білдім. Оларды интерфейстен жүктеуге болады және құқықтар мен параметрлерге байланысты олар клиентте немесе серверде орындалады.
Мен 1С бағдарламашы достарыма жолды қабылдайтын және оны орындайтын өңдеуді жасауды сұрадым. 1С тілінде процесті бастау келесідей көрінеді (Интернеттен алынған). 1С тілінің синтаксисі орыстілділерді стихиялылығымен таң қалдырады дегенмен келісесіз бе?
Өңдеу тамаша орындалды, пентестерлер «қабық» деп атайтын нәрсе болды - ол арқылы Internet Explorer іске қосылды.
Бұған дейін пошта арқылы аумаққа билетке тапсырыс беруге мүмкіндік беретін жүйенің мекенжайы табылған болатын. Мен WiFi шабуыл векторын пайдалану керек болған жағдайда рұқсатқа тапсырыс бердім.
Интернетте тұтынушының кеңсесінде әлі де дәмді тегін тамақтандыру бар екендігі туралы әңгіме бар, бірақ мен шабуылды қашықтан дамытуды жөн көрдім, ол тыныш.
AppLocker Citrix жұмыс істейтін қолданба серверінде іске қосылды, бірақ ол айналып өтті. Сол Meterpreter DNS арқылы жүктеліп, іске қосылды, өйткені http(s) нұсқалары қосылғысы келмеді, мен ол кезде ішкі прокси мекенжайын білмедім. Айтпақшы, осы сәттен бастап сыртқы пентест толығымен ішкіге айналды.
4-бөлім. Пайдаланушыларға арналған әкімші құқықтары нашар, жарай ма?
Домен пайдаланушысының сеансын басқару кезінде пентестердің бірінші міндеті домендегі құқықтар туралы барлық ақпаратты жинау болып табылады. BloodHound утилитасы бар, ол пайдаланушылар, компьютерлер, қауіпсіздік топтары туралы ақпаратты домен контроллерінен LDAP протоколы арқылы және SMB арқылы автоматты түрде жүктеуге мүмкіндік береді - қай пайдаланушы жақында кіргені және жергілікті әкімші кім екендігі туралы ақпарат.
Домен әкімшісінің құқықтарын тартып алудың әдеттегі әдісі монотонды әрекеттер циклі ретінде жеңілдетілген көрінеді:
- Біз бұрыннан түсірілген домен тіркелгілеріне негізделген жергілікті әкімші құқықтары бар домендік компьютерлерге барамыз.
- Біз Mimikatz іске қосамыз және кэштелген құпия сөздерді, Kerberos билеттерін және осы жүйеге жақында кірген домен тіркелгілерінің NTLM хэштерін аламыз. Немесе lsass.exe процесінің жад кескінін алып тастаймыз және өз тарапымыздан солай істейміз. Бұл әдепкі параметрлері бар 2012R2/Windows 8.1 нұсқасынан кіші Windows жүйесімен жақсы жұмыс істейді.
- Біз бұзылған тіркелгілердің жергілікті әкімші құқықтарының қай жерде екенін анықтаймыз. Бірінші тармақты қайталаймыз. Кейбір кезеңде біз бүкіл домен үшін әкімші құқықтарын аламыз.
«Циклдың соңы;» деп 1С бағдарламашылары осында жазады.
Сонымен, біздің пайдаланушы Windows 7 жүйесі бар бір хостта жергілікті әкімші болып шықты, оның атауы «VDI» немесе «Виртуалды жұмыс үстелі инфрақұрылымы», жеке виртуалды машиналарды қамтиды. Мүмкін, VDI сервисінің дизайнері VDI пайдаланушының жеке операциялық жүйесі болғандықтан, пайдаланушы бағдарламалық жасақтама ортасын өз қалауынша өзгертсе де, хостты «қайта жүктеуге» болатынын білдірген болуы мүмкін. Мен сондай-ақ жалпы идея жақсы деп ойладым, мен осы жеке VDI хостына барып, сонда ұя жасадым:
- Мен сонда OpenVPN клиентін орнаттым, ол менің серверіме Интернет арқылы туннель жасады. Клиентті домен аутентификациясы бар сол көк пальтодан өтуге мәжбүр болды, бірақ OpenVPN мұны, олар айтқандай, «қораптан тыс» жасады.
- VDI жүйесінде OpenSSH орнатылды. Шынында да, SSH жоқ Windows 7 дегеніміз не?
Тікелей эфирде осылай көрінді. Мұның бәрін Citrix және 1C арқылы жасау керек екенін еске салайын:
Көрші компьютерлерге кіруді ынталандырудың бір әдісі жергілікті әкімші құпия сөздерін сәйкестікке тексеру болып табылады. Мұнда бірден сәттілік күтті: әдепкі жергілікті әкімшінің NTLM хэшіне (оны кенеттен Әкімші деп атады) бірнеше жүздеген көрші VDI хосттарына хэш-шабуыл арқылы жақындады. Әрине, шабуыл оларға бірден тиді.
Дәл осы жерде VDI әкімшілері аяқтарына екі рет оқ атқан:
- Бірінші рет VDI машиналары VDI-ға жаппай орналастырылған кескіннен бірдей жергілікті әкімші құпия сөзін сақтай отырып, LAPS астында енгізілмеген кезде болды.
- Әдепкі әкімші хэшті жіберу шабуылдарына осал жалғыз жергілікті тіркелгі болып табылады. Тіпті бірдей құпия сөздің өзінде күрделі кездейсоқ құпия сөзбен екінші жергілікті әкімші тіркелгісін жасау және әдепкі құпия сөзді блоктау арқылы жаппай ымыраға келуден аулақ болуға болады.
Неліктен бұл Windows жүйесінде SSH қызметі бар? Өте қарапайым: енді OpenSSH сервері пайдаланушының жұмысына кедергі келтірместен ыңғайлы интерактивті пәрмен қабығын ғана емес, сонымен қатар VDI жүйесіндегі socks5 проксиін де қамтамасыз етті. Осы шұлықтар арқылы мен SMB арқылы қосылдым және осы жүздеген VDI машиналарының барлығынан кэштелген тіркелгілерді жинадым, содан кейін оларды BloodHound графиктерінде қолдана отырып, домен әкімшісіне апаратын жолды іздедім. Жүздеген хосттар менің қолымда болғандықтан, мен бұл жолды тез таптым. Домен әкімшісі құқықтары алынды.
Міне, ұқсас іздеуді көрсететін Интернеттегі сурет. Қосылымдар әкімшінің кім екенін және кімнің қайда кіргенін көрсетеді.
Айтпақшы, жобаның басынан бастап шартты есте сақтаңыз - «әлеуметтік инженерияны қолданбаңыз». Сонымен, мен банальды фишингті қолдану мүмкін болса, арнайы эффектілері бар Болливудтың бәрі қаншалықты жойылатыны туралы ойлануды ұсынамын. Бірақ жеке өзім үшін мұның бәрін жасау өте қызық болды. Мұны оқығаныңыз ұнады деп үміттенемін. Әрине, әрбір жоба соншалықты қызықты көрінбейді, бірақ тұтастай алғанда жұмыс өте қиын және оның тоқырауына жол бермейді.
Мүмкін біреуде сұрақ туындайды: өзіңізді қалай қорғауға болады? Тіпті бұл мақалада Windows әкімшілері білмейтін көптеген әдістер сипатталған. Дегенмен, мен оларға ақпараттық қауіпсіздік шаралары мен бұзылған принциптер тұрғысынан қарауды ұсынамын:
- ескірген бағдарламалық құралды пайдаланбаңыз (бастапқыда Windows 2003 есіңізде ме?)
- қажет емес жүйелерді қосулы ұстамаңыз (неге урологтың веб-сайты болды?)
- Пайдаланушы құпия сөздерін күш-қуат үшін өзіңіз тексеріңіз (әйтпесе солдаттар... пентестер мұны жасайды)
- әртүрлі тіркелгілер үшін бірдей құпия сөздердің болмауы (VDI компромиссі)
- және басқасы
Әрине, мұны жүзеге асыру өте қиын, бірақ келесі мақалада бұл әбден мүмкін екенін іс жүзінде көрсетеміз.
Ақпарат көзі: www.habr.com