Біз хакерлердің эксплуатацияға қалай сенетіні туралы үнемі жазамыз анықтауды болдырмау үшін. Олар сөзбе-сөз , стандартты Windows құралдарын пайдаланып, осылайша зиянды әрекетті анықтау үшін антивирустар мен басқа утилиталарды айналып өтеді. Біз, қорғаушылар ретінде, қазір осындай ақылды бұзу әдістерінің қайғылы салдарымен күресуге мәжбүрміз: жақсы орналастырылған қызметкер деректерді жасырын ұрлау үшін (компанияның зияткерлік меншігі, несие картасының нөмірлері) дәл осындай тәсілді пайдалана алады. Егер ол асықпай, баяу және тыныш жұмыс істесе, бұл өте қиын болады, бірақ егер ол дұрыс тәсіл мен сәйкес әдісті қолданса, бәрібір мүмкін. , — мұндай әрекетті анықтау.
Екінші жағынан, мен қызметкерлерді демонизациялауды қаламас едім, өйткені ешкім Оруэллдің 1984 жылғы іскерлік ортасында жұмыс істегісі келмейді. Бақытымызға орай, инсайдерлердің өмірін әлдеқайда қиындататын бірқатар практикалық қадамдар мен лайфхактер бар. Біз қарастырамыз жасырын шабуыл әдістері, кейбір техникалық білімі бар қызметкерлер хакерлер пайдаланады. Әрі қарай біз мұндай тәуекелдерді азайту нұсқаларын талқылаймыз - техникалық және ұйымдастырушылық нұсқаларды зерттейміз.
PsExec-те не болды?
Эдвард Сноуден дұрыс немесе бұрыс, инсайдерлік деректерді ұрлаудың синониміне айналды. Айтпақшы, қарауды ұмытпаңыз кейбір атақ мәртебесіне лайық басқа инсайдерлер туралы. Сноуденнің қолданған әдістеріне қатысты ерекше атап өтуге болатын маңызды жайт, біздің білуімізше, ол орнатпады сыртқы зиянды бағдарлама жоқ!
Оның орнына Сноуден аздап әлеуметтік инженерияны қолданды және құпия сөздерді жинау және тіркелгі деректерін жасау үшін жүйелік әкімші ретіндегі қызметін пайдаланды. Күрделі ештеңе жоқ - жоқ , шабуылдар немесе .
Ұйымдастыру қызметкерлері әрқашан Сноуденнің бірегей ұстанымында бола бермейді, бірақ «жайылу арқылы аман қалу» ұғымынан білуге болатын бірқатар сабақтар бар - анықтауға болатын кез келген зиянды әрекетке бармау және әсіресе тіркелгі деректерін пайдалануда сақ болыңыз. Бұл ойды есте сақтаңыз.
және оның немере ағасы сансыз пентестерлерді, хакерлерді және киберқауіпсіздік блогерлерін таң қалдырды. Ал mimikatz-пен біріктірілгенде, psexec шабуылдаушыларға таза мәтіндік құпия сөзді білмей-ақ желі ішінде қозғалуға мүмкіндік береді.
Mimikatz LSASS процесінен NTLM хэшін ұстайды, содан кейін таңбалауышты немесе тіркелгі деректерін береді - деп аталатын. «хэштен өту» шабуылы – psexec жүйесінде шабуылдаушыға басқа серверге кіруге мүмкіндік береді басқа пайдаланушы. Және әрбір келесі жаңа серверге ауысқанда, шабуылдаушы қол жетімді мазмұнды іздеуде оның мүмкіндіктерінің ауқымын кеңейте отырып, қосымша тіркелгі деректерін жинайды.
Мен psexec-пен алғаш жұмыс істей бастағанда, бұл маған сиқырлы болып көрінді - рахмет , psexec тамаша әзірлеушісі - бірақ мен оның туралы да білемін шулы құрамдас бөліктер. Ол ешқашан жасырын емес!
Psexec туралы бірінші қызықты факт - оның өте күрделі қолдануы SMB желілік файл протоколы Microsoft компаниясынан. SMB көмегімен psexec шағын тасымалдарды екілік файлдарды мақсатты жүйеге жіберіп, оларды C:Windows қалтасына орналастырады.
Содан кейін psexec көшірілген екілік файлды пайдаланып Windows қызметін жасайды және оны PSEXECSVC өте «күтпеген» атауымен іске қосады. Сонымен қатар, сіз мұның бәрін мен сияқты қашықтағы құрылғыны көру арқылы көре аласыз (төменде қараңыз).
Psexec визит картасы: «PSEXECSVC» қызметі. Ол C: Windows қалтасында SMB арқылы орналастырылған екілік файлды іске қосады.
Соңғы қадам ретінде көшірілген екілік файл ашылады RPC қосылымы мақсатты серверге жібереді, содан кейін басқару пәрмендерін қабылдайды (әдепкі бойынша Windows cmd қабығы арқылы), оларды іске қосады және кіріс пен шығысты шабуылдаушының үй машинасына қайта бағыттайды. Бұл жағдайда шабуылдаушы негізгі пәрмен жолын көреді - ол тікелей қосылған сияқты.
Көптеген компоненттер және өте шулы процесс!
Psexec бағдарламасының күрделі ішкі бөліктері бірнеше жыл бұрынғы алғашқы сынақтарымда мені таң қалдырған хабарды түсіндіреді: «PSEXECSVC іске қосылуда...», содан кейін пәрмен жолы пайда болғанға дейін үзіліс.
Impacket's Psexec шын мәнінде сорғыштың астында не болып жатқанын көрсетеді.
Таңқаларлық емес: psexec сорғыштың астында үлкен жұмыс жасады. Егер сізді толығырақ түсініктеме қызықтырса, мына жерден қараңыз тамаша сипаттама.
Әлбетте, жүйелік басқару құралы ретінде пайдаланылған кезде, ол болды бастапқы мақсаты psexec, барлық осы Windows механизмдерінің «шуылдауында» ештеңе жоқ. Дегенмен, шабуылдаушы үшін psexec асқынулар туғызады, ал Сноуден сияқты абай және айлакер инсайдер үшін psexec немесе соған ұқсас утилита тым үлкен тәуекел болады.
Содан кейін Smbexec келеді
SMB серверлер арасында файлдарды тасымалдаудың ақылды және құпия әдісі болып табылады және хакерлер ғасырлар бойы SMB-ге тікелей еніп келеді. Менің ойымша, бәрі бұған тұрарлық емес екенін біледі SMB порттары 445 және 139 Интернетке, солай ма?
Defcon 2013 көрмесінде Эрик Миллман () ұсынды , осылайша пентестерлер жасырын SMB бұзуды сынай алады. Мен бүкіл тарихты білмеймін, бірақ Impacket одан әрі нақтыланған smbexec. Шындығында, тестілеу үшін мен сценарийлерді Python ішіндегі Impacket-тен жүктеп алдым .
Psexec-тен айырмашылығы, smbexec аулақ жүреді ықтимал анықталған екілік файлды мақсатты құрылғыға тасымалдау. Оның орнына, коммуналдық қызмет толығымен жайылымнан іске қосылғанға дейін өмір сүреді жергілікті Windows пәрмен жолы.
Ол мынаны істейді: ол шабуылдаушы құрылғыдан SMB арқылы арнайы енгізу файлына пәрмен береді, содан кейін Linux пайдаланушыларына таныс болып көрінетін күрделі пәрмен жолын (Windows қызметі сияқты) жасайды және іске қосады. Қысқаша айтқанда: ол Windows-тың жергілікті cmd қабығын іске қосады, шығысты басқа файлға қайта бағыттайды, содан кейін оны SMB арқылы шабуылдаушының машинасына жібереді.
Мұны түсінудің ең жақсы жолы - оқиғалар журналынан қолымды алған команда жолын қарау (төменде қараңыз).
Бұл енгізу/шығаруды қайта бағыттаудың ең жақсы жолы емес пе? Айтпақшы, қызметті жасауда 7045 оқиға идентификаторы бар.
Psexec сияқты, ол да барлық жұмысты орындайтын қызметті жасайды, бірақ одан кейінгі қызмет жойылды – пәрменді орындау үшін тек бір рет пайдаланылады, содан кейін жоғалады! Жәбірленушінің аппаратын бақылайтын ақпараттық қауіпсіздік қызметкері анықтай алмайды анық Шабуыл индикаторлары: іске қосылатын зиянды файл жоқ, тұрақты қызмет орнатылмайды және SMB деректерді тасымалдаудың жалғыз құралы болғандықтан RPC пайдаланылғанына ешқандай дәлел жоқ. Керемет!
Шабуылдаушы тарапынан пәрменді жіберу мен жауап алу арасындағы кідірістері бар «жалған қабық» қол жетімді. Бірақ бұл қызықты мазмұнды іздеуді бастау үшін шабуылдаушы үшін - инсайдер немесе сыртқы хакер үшін жеткілікті.
Деректерді мақсатты машинадан шабуылдаушының машинасына шығару үшін ол пайдаланылады . Иә, бұл дәл сол Самба , бірақ тек Impacket арқылы Python сценарийіне түрлендірілді. Шын мәнінде, smbclient SMB арқылы FTP трансферттерін жасырын орналастыруға мүмкіндік береді.
Бір қадам артқа шегініп, бұл қызметкер үшін не істей алатыны туралы ойланайық. Менің ойдан шығарылған сценарийімде блогерге, қаржылық талдаушыға немесе жоғары ақы төленетін қауіпсіздік кеңесшісіне жұмыс үшін жеке ноутбукты пайдалануға рұқсат етілді делік. Қандай да бір сиқырлы процестің нәтижесінде ол компанияға ренжіп, «бәрі жаман болады». Ноутбуктің операциялық жүйесіне байланысты ол Impact қолданбасының Python нұсқасын немесе .exe файлы ретінде smbexec немесе smbclient Windows нұсқасын пайдаланады.
Ол Сноуден сияқты басқа пайдаланушының құпия сөзін иығына қарап біледі немесе жолы болып, пароль жазылған мәтіндік файлға тап болады. Осы тіркелгі деректерінің көмегімен ол артықшылықтардың жаңа деңгейінде жүйені зерттей бастайды.
DCC бұзу: Бізге ешқандай «ақымақ» Мимикатц қажет емес
Пентестинг туралы алдыңғы жазбаларымда мен мимикатзды жиі қолдандым. Бұл тіркелгі деректерін ұстауға арналған тамаша құрал - NTLM хэштері және тіпті пайдалануды күтіп тұрған ноутбуктердің ішінде жасырылған анық мәтіндік құпия сөздер.
Заман өзгерді. Бақылау құралдары мимикатты анықтау және блоктауда жақсарды. Ақпараттық қауіпсіздік әкімшілерінде енді хэш (PtH) шабуылдарымен байланысты тәуекелдерді азайту үшін көбірек опциялар бар.
Сонымен, ақылды қызметкер mimikatz қолданбай қосымша тіркелгі деректерін жинау үшін не істеу керек?
Impacket жинағы деп аталатын қызметтік бағдарламаны қамтиды , ол домен тіркелгі деректерінің кэшінен немесе қысқаша DCC-ден тіркелгі деректерін шығарады. Менің түсінігім бойынша, егер домен пайдаланушысы серверге кірсе, бірақ домен контроллері қолжетімсіз болса, DCC серверге пайдаланушыны аутентификациялауға мүмкіндік береді. Қалай болғанда да, secretsdump, егер олар бар болса, барлық осы хэштерді тастауға мүмкіндік береді.
DCC хэштері болып табылады NTML хэштері емес және олардың PtH шабуылы үшін пайдаланылмайды.
Бастапқы құпия сөзді алу үшін оларды бұзуға тырысуға болады. Дегенмен, Microsoft DCC көмегімен ақылды болды және DCC хэштерін бұзу өте қиын болды. Ия бар , «әлемдегі ең жылдам құпия сөзді болжаушы», бірақ ол тиімді жұмыс істеуі үшін GPU қажет.
Оның орнына Сноуден сияқты ойлауға тырысайық. Қызметкер бетпе-бет әлеуметтік инженерия жүргізе алады және құпия сөзін ашқысы келетін адам туралы кейбір ақпаратты біле алады. Мысалы, адамның онлайн тіркелгісі бұзылғанын біліңіз және оның анық мәтіндік құпия сөзін кез келген анықтама үшін тексеріңіз.
Міне, мен баруды шешкен сценарий. Инсайдер оның бастығы Круелла әртүрлі веб-ресурстарда бірнеше рет хакерлік шабуылға ұшырағанын білді делік. Осы құпия сөздердің бірнешеуін талдағаннан кейін, ол Круелла бейсбол командасының «Yankees» атауының форматын, содан кейін ағымдағы жылдың «Yankees2015» форматын пайдаланғанын түсінеді.
Егер сіз қазір оны үйде көшіруге тырыссаңыз, шағын «C» жүктеп алуға болады. , ол DCC хэштеу алгоритмін жүзеге асырады және оны құрастырады. , айтпақшы, DCC үшін қолдау қосылды, сондықтан оны да пайдалануға болады. Инсайдер Джон Рипперді үйренуді қаламайды және бұрынғы C кодында «gcc» іске қосуды ұнатады деп есептейік.
Инсайдер рөлін қолданып, мен бірнеше түрлі комбинацияларды қолданып көрдім және соңында Круелланың құпия сөзі «Yankees2019» екенін білдім (төменде қараңыз). Тапсырма орындалды!
Кішкене әлеуметтік инженерия, сәуегейлік және бір шымшым Мальтего және сіз DCC хэшін бұзу жолындасыз.
Мен осы жерде аяқтауды ұсынамын. Біз бұл тақырыпқа басқа посттарда ораламыз және Impacket утилиталарының тамаша жиынтығын құруды жалғастыра отырып, одан да баяу және жасырын шабуыл әдістерін қарастырамыз.
Ақпарат көзі: www.habr.com