Биз хакерлердин эксплуатацияга кантип таянары жөнүндө үзгүлтүксүз жазабыз аныктоодон качуу үчүн. Алар түзмө-түз , стандарттуу Windows куралдарын колдонуп, антивирустарды жана зыяндуу аракеттерди аныктоо үчүн башка утилиталарды айланып өтүү. Биз, коргоочулар катары, азыр мындай акылдуу хакердик ыкмаларынын өкүнүчтүү кесепеттери менен күрөшүүгө аргасыз болуп жатабыз: жакшы жайгаштырылган кызматкер ошол эле ыкманы жашыруун түрдө маалыматтарды (компаниянын интеллектуалдык менчиги, кредиттик карталардын номерлери) уурдоо үчүн колдоно алат. Ал эми шашпастан, акырын жана акырын иштесе, бул өтө кыйын болот - бирок ал туура мамилени жана ылайыктуу ыкманы колдонсо дагы мүмкүн. , — мындай иш-аракетти аныктоо.
Башка жагынан алганда, мен кызматкерлерди жиндендиргим келбейт, анткени эч ким Оруэллдин 1984-жылдагы бизнес чөйрөсүндө иштөөнү каалабайт. Бактыга жараша, инсайдерлердин жашоосун бир топ кыйындата турган бир катар практикалык кадамдар жана лайфхактар бар. Биз карап чыгабыз жашыруун чабуул ыкмалары, кээ бир техникалык билими бар кызматкерлер тарабынан хакерлер тарабынан колдонулат. Ал эми бир аз ары биз мындай тобокелдиктерди азайтуунун варианттарын талкуулайбыз - техникалык да, уюштуруучулук да варианттарды изилдейбиз.
PsExec менен эмне болуп жатат?
Эдвард Сноуден туурабы же туура эмеспи, инсайдердик маалыматтарды уурдоо менен синоним болуп калды. Баса, карап көрүүнү унутпаңыз кээ бир атак статусуна татыктуу башка инсайдерлер жөнүндө. Сноуден колдонгон ыкмалар жөнүндө баса белгилей турган маанилүү жагдай, биздин билишибизче, ал орноткон жок эч кандай тышкы зыяндуу программа!
Анын ордуна, Сноуден бир аз социалдык инженерияны колдонуп, сырсөздөрдү чогултуу жана ишеним грамоталарын түзүү үчүн системалык администратор катары кызматын колдонгон. Эч нерсе татаал - эч ким , кол салуулар же .
Уюмдун кызматкерлери дайыма эле Сноудендин өзгөчө позициясында боло бербейт, бирок "жайлоо менен аман калуу" түшүнүгүнөн үйрөнө турган бир катар сабактар бар - байкала турган кандайдыр бир зыяндуу аракеттерге барбоо жана өзгөчө ишеним грамоталарын колдонууда этият болуңуз. Бул ойду эстеп кой.
жана анын тууганы сансыз пентестерлерди, хакерлерди жана киберкоопсуздук блоггерлерин таң калтырды. Ал эми mimikatz менен айкалышканда, psexec чабуулчуларга ачык тексттин сырсөзүн билбестен тармактын ичинде жылышына мүмкүндүк берет.
Mimikatz LSASS процессинен NTLM хэшти кармап, андан кийин токенди же эсептик дайындарды өткөрүп берет - деп аталган. "хэштен өтүү" чабуулу – psexecте, чабуулчуга башка серверге кирүү мүмкүнчүлүгүн берет башка колдонуучу. Жана ар бир кийинки жаңы серверге өтүү менен чабуулчу жеткиликтүү мазмунду издөөдө өзүнүн мүмкүнчүлүктөрүнүн диапазонун кеңейтип, кошумча эсептик маалыматтарды чогултат.
Мен биринчи жолу psexec менен иштей баштаганда, бул мага сыйкырдуу көрүндү - рахмат , psexecтин мыкты иштеп чыгуучусу - бирок мен анын жөнүндө да билем ызы-чуу компоненттер. Ал эч качан жашыруун эмес!
psexec жөнүндө биринчи кызыктуу чындык, ал өтө татаал колдонот SMB тармактык файл протоколу Microsoftтон. SMB колдонуу менен, psexec кичинекей өткөрүп берет бинардык файлдарды максаттуу системага салып, аларды C: Windows папкасына жайгаштыруу.
Андан кийин, psexec көчүрүлгөн экиликти колдонуп, Windows кызматын түзөт жана аны PSEXECSVC өтө "күтүүсүз" аталышы менен иштетет. Ошол эле учурда, мен сыяктуу эле, мунун баарын алыскы машинаны көрүү менен көрө аласыз (төмөндө караңыз).
Psexecтин визиттик картасы: "PSEXECSVC" кызматы. Ал C: Windows папкасында SMB аркылуу жайгаштырылган бинардык файлды иштетет.
Акыркы кадам катары, көчүрүлгөн бинардык файл ачылат RPC байланышы максаттуу серверге жана андан кийин башкаруу буйруктарын кабыл алат (демейки боюнча Windows cmd кабыгы аркылуу), аларды ишке киргизет жана чабуулчунун үй машинасына киргизүү жана чыгарууну кайра багыттайт. Бул учурда, чабуулчу негизги буйрук сабын көрөт - ал түздөн-түз туташкандай эле.
Көптөгөн компоненттер жана абдан ызы-чуу процесс!
Psexecтин татаал ички түзүмдөрү бир нече жыл мурун биринчи сыноолордо мени таң калтырган билдирүүнү түшүндүрөт: “PSEXECSVC башталууда...”, андан кийин буйрук тилкеси пайда болгонго чейин тыныгуу.
Impacket's Psexec чындыгында капоттун астында эмне болуп жатканын көрсөтөт.
Таң калыштуу эмес: psexec капоттун астында чоң көлөмдөгү иштерди жасады. Эгер сиз кененирээк түшүндүрмөгө кызыксаңыз, бул жерден караңыз сонун сүрөттөмө.
Албетте, система башкаруу куралы катары колдонулганда баштапкы максаты psexec, бардык бул Windows механизмдеринин "шырылдаганында" эч кандай ката жок. Бирок чабуулчу үчүн psexec кыйынчылыктарды жаратат, ал эми Сноуден сыяктуу этият жана амалкөй инсайдер үчүн psexec же ушуга окшош утилита өтө эле коркунучтуу болмок.
Анан Smbexec келет
SMB - серверлер ортосунда файлдарды өткөрүп берүүнүн акылдуу жана жашыруун жолу жана хакерлер кылымдар бою SMBга түздөн-түз кирип келишкен. Менин оюмча, ар бир адам буга татыктуу эмес экенин билет SMB порттору 445 жана 139 Интернетке, туурабы?
At Defcon 2013, Эрик Миллман () тартууланды , Ошентип, пентестерлер SMB хакерликтерин сынай алышат. Мен окуяны толук билбейм, бирок Impacket андан ары такталган smbexec. Чынында, мен тестирлөө үчүн Pythonдогу Impacket'тен скрипттерди жүктөп алдым .
Psexecтен айырмаланып, smbexec качат мүмкүн болгон экилик файлды максаттуу машинага өткөрүп берүү. Тескерисинче, коммуналдык жайыттан баштап ишке киргизүүгө чейин толугу менен жашайт жергиликтүү Windows буйрук сабы.
Ал мындай кылат: ал SMB аркылуу чабуулчу машинадан буйрукту атайын киргизүү файлына өткөрүп берет, андан кийин Linux колдонуучуларына тааныш болуп көрүнгөн татаал буйрук сабын (Windows кызматы сыяктуу) түзүп, иштетет. Кыскача айтканда: ал түпнуска Windows cmd кабыгын ишке киргизет, чыгарууну башка файлга багыттайт, андан кийин аны SMB аркылуу чабуулчунун машинасына кайра жөнөтөт.
Муну түшүнүүнүн эң жакшы жолу - мен окуялар журналынан колумдан ала алган буйрук сабын кароо (төмөндө кара).
Бул I/Oну кайра багыттоонун эң сонун жолу эмеспи? Баса, кызмат түзүү окуя ID 7045 бар.
Psexec сыяктуу эле, ал да бардык ишти аткарган кызматты түзөт, бирок андан кийин кызмат жок кылынды – бул команданы аткаруу үчүн бир гана жолу колдонулат жана андан кийин жок болот! Жабырлануучунун аппаратын көзөмөлдөгөн маалыматтык коопсуздук кызматкери аныктай албайт айкын Кол салуу индикаторлору: эч кандай зыяндуу файл ишке киргизилбейт, туруктуу кызмат орнотулбайт жана RPC колдонулуп жаткандыгы боюнча эч кандай далил жок, анткени SMB маалымат берүүнүн жалгыз каражаты. Brilliant!
Чабуулчу тараптан команданы жөнөтүү менен жооп алуунун ортосундагы кечигүүлөр менен "псевдо-кабык" бар. Бирок бул чабуулчу үчүн - инсайдер же тышкы хакер үчүн - кызыктуу мазмунду издеп баштоо үчүн жетиштүү.
Максаттуу машинадан чабуулчунун машинасына маалыматтарды кайра чыгаруу үчүн, ал колдонулат . Ооба, бул ошол эле Самба , бирок Impacket тарабынан Python скриптине гана айландырылган. Чынында, smbclient сизге SMB аркылуу FTP которууларды жашыруун өткөрүүгө мүмкүндүк берет.
Келгиле, артка кадам таштап, бул кызматкер үчүн эмне кыла аларын ойлонуп көрөлү. Менин ойдон чыгарылган сценарийимде, блоггерге, финансылык аналитикке же жогорку акы төлөнүүчү коопсуздук боюнча кеңешчиге жеке ноутбукту жумушка колдонууга уруксат бар дейли. Кандайдыр бир сыйкырдуу процесстин натыйжасында ал компанияга таарынып, «бардыгы жаман болуп кетет». Ноутбуктун иштөө тутумуна жараша, ал Python версиясын Impact же Windows версиясын .exe файлы катары smbexec же smbclient колдонот.
Сноуденге окшоп, ал дагы бир колдонуучунун сырсөзүн же ийнинин үстүнөн карап таап алат, же жолу болуп, сырсөзү бар тексттик файлга чалынып калат. Жана бул ишеним грамоталарынын жардамы менен, ал артыкчылыктардын жаңы деңгээлинде системаны казып баштайт.
DCC Hacking: Бизге "акмак" Мимикатздын кереги жок
Пентестинг боюнча мурунку постторумда мен мимикатты көп колдончумун. Бул эсептик дайындарды кармоо үчүн эң сонун курал - NTLM хэштери жана ал тургай ноутбуктун ичинде жашырылган ачык текст сырсөздөрү, жөн гана колдонулушун күтүүдө.
Заман өзгөрдү. Мониторинг куралдары мимикатзды аныктоодо жана бөгөттөөдө жакшырды. Маалыматтык коопсуздук администраторлорунун азыр хэш (PtH) чабуулдарына байланыштуу тобокелдиктерди азайтуу үчүн көбүрөөк мүмкүнчүлүктөрү бар.
Ошентип, акылдуу кызматкер mimikatz колдонбостон кошумча грамоталарды чогултуу үчүн эмне кылышы керек?
Impacket комплекти деп аталган утилитаны камтыйт , Домендин Кэштен же кыскача DCCден эсептик дайындарды чыгарат. Менин түшүнүгүм боюнча, эгер домен колдонуучусу серверге кирсе, бирок домен контроллери жеткиликтүү болбосо, DCC серверге колдонуучунун аутентификациясын берет. Кандай болбосун, secretsdump бул хэштердин бардыгын жок кылууга мүмкүндүк берет, эгерде алар бар болсо.
DCC хэштери болуп саналат NTML хэштери эмес жана алар PtH чабуулу үчүн колдонулушу мүмкүн эмес.
Ооба, сиз баштапкы паролду алуу үчүн аларды бузуп аракет кылсаңыз болот. Бирок, Microsoft DCC менен акылдуураак болуп калды жана DCC хэштерин бузуу өтө кыйын болуп калды. Ооба бар , "дүйнөдөгү эң тез сырсөздү болжолдоочу", бирок натыйжалуу иштеши үчүн GPU керек.
Андан көрө Сноудендей ойлонууга аракет кылалы. Кызматкер бетме-бет социалдык инженерия жүргүзө алат жана сырсөзүн бузуп алгысы келген адам тууралуу кандайдыр бир маалыматты таба алат. Мисалы, адамдын онлайн аккаунту качандыр бир кезде бузулганын билип алыңыз жана анын ачык тексттин сырсөзүн кандайдыр бир илинчектерге карап көрүңүз.
Жана бул сценарий менен барууну чечтим. Келгиле, инсайдер анын жетекчиси Круелла ар кандай веб-ресурстарда бир нече жолу хакердик чабуулга кабылганын билип калды дейли. Бул сырсөздөрдүн бир нечесин талдап чыккандан кийин, ал Круелла бейсбол командасынын "Yankees" аталышынын форматын, андан кийин үстүбүздөгү жылдын - "Yankees2015" форматын колдонууну туура көрөөрүн түшүнөт.
Эгер сиз азыр аны үйдөн чыгарууга аракет кылып жатсаңыз, анда кичинекей "С" жүктөп алсаңыз болот. , ал DCC хэш алгоритмин ишке ашырат жана аны түзүңүз. , Айтмакчы, DCC үчүн кошумча колдоо, ошондуктан аны да колдонсо болот. Келгиле, инсайдер Жон Рипперди үйрөнүүнү каалабайт жана эски C кодунда "gcc" иштеткенди жакшы көрөт деп ойлойлу.
Инсайдердин ролун аткарып, мен бир нече түрдүү комбинацияларды сынап көрдүм жана акыры Cruella'дын сырсөзү "Yankees2019" экенин түшүндүм (төмөндө караңыз). Миссия аяктады!
Бир аз социалдык инженерия, бир аз төлгө жана бир чымчым Малтего жана сиз DCC хэштерин бузуу жолундасыз.
Мен бул жерде бүтүрүүнү сунуштайм. Биз бул темага башка посттордо кайрылып келебиз жана Impacketтин эң сонун утилиталарынын негизинде түзүүнү улантуу менен дагы жай жана жашыруун чабуул ыкмаларын карап чыгабыз.
Source: www.habr.com