Reguliariai rašome apie tai, kaip įsilaužėliai dažnai pasikliauja išnaudojimu
Kita vertus, nenorėčiau demonizuoti darbuotojų, nes niekas nenori dirbti verslo aplinkoje tiesiai iš Orwello 1984 m. Laimei, yra keletas praktinių žingsnių ir gyvenimiškų įsilaužimų, kurie gali gerokai apsunkinti saviškių gyvenimą. Mes svarstysime slapto puolimo metodai, kurį naudoja įsilaužėliai, tam tikrą techninį išsilavinimą turintys darbuotojai. Ir šiek tiek toliau aptarsime tokios rizikos mažinimo galimybes – nagrinėsime tiek technines, tiek organizacines galimybes.
Kas negerai su PsExec?
Teisingai ar neteisingai Edwardas Snowdenas tapo viešai neatskleistos informacijos vagystės sinonimu. Beje, nepamirškite pasižiūrėti
Vietoj to Snowdenas naudojo šiek tiek socialinės inžinerijos ir pasinaudojo savo, kaip sistemos administratoriaus, pareigomis, kad rinktų slaptažodžius ir sukurtų kredencialus. Nieko sudėtingo – nieko
Organizacijos darbuotojai ne visada užima unikalią Snowdeno padėtį, tačiau iš „išgyvenimo ganant“ sąvokos reikia išmokti nemažai pamokų, kurias reikia žinoti – neužsiimti jokia piktybine veikla, kurią galima aptikti, ir būti ypač svarbiam. atsargiai naudodamiesi kredencialais. Prisiminkite šią mintį.
Mimikatz perima NTLM maišą iš LSASS proceso ir tada perduoda prieigos raktą arba kredencialus – vadinamuosius. „Perduoti maišos“ ataką – psexec, leidžiantis užpuolikui prisijungti prie kito serverio kaip kito Vartotojas. Ir su kiekvienu paskesniu persikėlimu į naują serverį, užpuolikas renka papildomus kredencialus, išplėsdamas savo galimybes ieškant pasiekiamo turinio.
Kai pradėjau dirbti su psexec, man tai atrodė stebuklinga – ačiū
Pirmasis įdomus faktas apie psexec yra tai, kad jis naudojamas labai sudėtingai SMB tinklo failo protokolas iš Microsoft. Naudojant SMB, psexec perkelia mažas dvejetainis failus į tikslinę sistemą, įdėdami juos į aplanką C:Windows.
Tada „psexec“ sukuria „Windows“ paslaugą naudodama nukopijuotą dvejetainį failą ir paleidžia ją itin „netikėtu“ pavadinimu PSEXECSVC. Tuo pačiu metu, kaip ir aš, visa tai galite pamatyti žiūrėdami nuotolinį įrenginį (žr. toliau).
Psexec vizitinė kortelė: „PSEXECSVC“ paslauga. Jis paleidžia dvejetainį failą, kuris buvo patalpintas per SMB aplanke C: Windows.
Paskutiniame etape atidaromas nukopijuotas dvejetainis failas RPC ryšys į tikslinį serverį ir tada priima valdymo komandas (per Windows cmd apvalkalą pagal numatytuosius nustatymus), paleidžia jas ir nukreipia įvestį bei išvestį į užpuoliko namų kompiuterį. Tokiu atveju užpuolikas mato pagrindinę komandų eilutę – tokią pat, lyg būtų prisijungęs tiesiogiai.
Daug komponentų ir labai triukšmingas procesas!
Sudėtingi psexec vidiniai elementai paaiškina pranešimą, kuris mane suglumino per pirmuosius bandymus prieš kelerius metus: „Paleidžiamas PSEXECSVC...“, po kurio seka pauzė prieš pasirodant komandų eilutei.
Impacket Psexec iš tikrųjų parodo, kas vyksta po gaubtu.
Nenuostabu: „psexec“ atliko didžiulį darbą po gaubtu. Jei jus domina išsamesnis paaiškinimas, peržiūrėkite čia
Akivaizdu, kad kai naudojamas kaip sistemos administravimo įrankis, kuris buvo pradinė paskirtis psexec, nėra nieko blogo dėl visų šių „Windows“ mechanizmų „dužimo“. Tačiau užpuolikui psexec sukeltų komplikacijų, o atsargiam ir gudriam saviškiui, pavyzdžiui, Snowdenui, psexec ar panaši priemonė būtų per didelė rizika.
Ir tada ateina Smbexec
SMB yra sumanus ir slaptas būdas perkelti failus iš vieno serverio į kitą, o įsilaužėliai šimtmečius tiesiogiai įsiskverbia į SMB. Manau, kad visi jau žino, kad neverta
„Defcon 2013“ metu Ericas Millmanas (
Skirtingai nuo psexec, smbexec vengia galimai aptikto dvejetainio failo perkėlimas į tikslinę mašiną. Vietoj to, įmonė gyvena nuo ganyklų iki paleidimo vietinis „Windows“ komandų eilutė.
Štai ką jis daro: perduoda komandą iš atakuojančios mašinos per SMB į specialų įvesties failą, tada sukuria ir paleidžia sudėtingą komandų eilutę (pvz., „Windows“ paslaugą), kuri atrodys pažįstama „Linux“ vartotojams. Trumpai tariant: ji paleidžia savąjį Windows cmd apvalkalą, nukreipia išvestį į kitą failą ir per SMB siunčia atgal į užpuoliko kompiuterį.
Geriausias būdas tai suprasti yra pažvelgti į komandų eilutę, kurią galėjau gauti iš įvykių žurnalo (žr. toliau).
Ar tai ne geriausias būdas nukreipti įvesties/išvesties? Beje, paslaugos kūrimas turi įvykio ID 7045.
Kaip ir psexec, ji taip pat sukuria paslaugą, kuri atlieka visą darbą, bet paslauga po to ištrintas – jis naudojamas tik vieną kartą paleisti komandą ir tada dingsta! Informacijos saugumo pareigūnas, stebintis aukos mašiną, negalės aptikti aiškus Atakos rodikliai: nepaleidžiamas joks kenkėjiškas failas, neįdiegta nuolatinė paslauga ir nėra jokių RPC naudojimo įrodymų, nes SMB yra vienintelė duomenų perdavimo priemonė. Puiku!
Iš užpuoliko pusės pasiekiamas „pseudo apvalkalas“ su uždelsimu nuo komandos išsiuntimo iki atsakymo gavimo. Bet to visiškai užtenka, kad užpuolikas – arba vidinis asmuo, arba išorinis įsilaužėlis, jau turintis koją – pradėtų ieškoti įdomaus turinio.
Jis naudojamas duomenims grąžinti iš tikslinės mašinos į užpuoliko kompiuterį
Ženkime žingsnį atgal ir pagalvokime, kuo tai gali būti naudinga darbuotojui. Pagal mano fiktyvų scenarijų, tarkime, tinklaraštininkui, finansų analitikui ar gerai apmokamam saugumo konsultantui darbui leidžiama naudoti asmeninį nešiojamąjį kompiuterį. Dėl kažkokio stebuklingo proceso ji įsižeidžia į kompaniją ir „pasitaiko blogai“. Priklausomai nuo nešiojamojo kompiuterio operacinės sistemos, kaip .exe failas naudoja Python versiją iš Impact arba smbexec arba smbclient Windows versiją.
Kaip ir Snowden, ji sužino kito vartotojo slaptažodį arba pažvelgusi per petį, arba pasiseka ir užklysta į tekstinį failą su slaptažodžiu. Ir su šiais įgaliojimais ji pradeda ieškoti naujo privilegijų lygio sistemoje.
DCC įsilaužimas: mums nereikia „kvailo“ Mimikatzo
Ankstesniuose pranešimuose apie pentestavimą labai dažnai naudojau mimikatz. Tai puikus įrankis perimti kredencialus – nešiojamuosiuose kompiuteriuose paslėptus NTLM maišus ir net aiškaus teksto slaptažodžius, kurie tik laukia, kol bus panaudoti.
Laikai pasikeitė. Stebėjimo įrankiai tapo geresni aptikdami ir blokuodami mimikatz. Informacijos saugumo administratoriai dabar taip pat turi daugiau galimybių sumažinti riziką, susijusią su maišos (PtH) atakomis.
Taigi ką turėtų daryti protingas darbuotojas, kad surinktų papildomus kredencialus nenaudodamas mimikatz?
Impacket rinkinyje yra programa, vadinama
DCC maišos yra ne NTML maišos ir negali būti naudojamas PtH priepuoliui.
Na, galite pabandyti juos nulaužti, kad gautumėte pradinį slaptažodį. Tačiau „Microsoft“ tapo sumanesnė naudodama DCC, o DCC maišas tapo labai sunku nulaužti. Taip aš turiu
Vietoj to, pabandykime galvoti kaip Snowdenas. Darbuotojas gali atlikti socialinę inžineriją akis į akį ir galbūt sužinoti informacijos apie asmenį, kurio slaptažodį ji nori nulaužti. Pavyzdžiui, sužinokite, ar į asmens internetinę paskyrą kada nors buvo įsilaužta, ir patikrinkite, ar jo slaptažodis yra aiškus, ar nėra jokių įkalčių.
Ir aš nusprendžiau pagal šį scenarijų. Tarkime, kad viešai neatskleistas asmuo sužinojo, kad jo viršininkas Cruella buvo kelis kartus įsilaužtas į skirtingus žiniatinklio išteklius. Išanalizavęs kelis iš šių slaptažodžių, jis supranta, kad Cruella mieliau naudoja beisbolo komandos pavadinimo formatą „Yankees“, po kurio eina einamieji metai – „Yankees2015“.
Jei dabar bandote tai atkurti namuose, galite atsisiųsti mažą „C“
Apsimesdamas viešai neatskleisto vaidmeniu, išbandžiau keletą skirtingų derinių ir galiausiai man pavyko išsiaiškinti, kad Cruella slaptažodis buvo „Yankees2019“ (žr. toliau). Misija įvykdyta!
Šiek tiek socialinės inžinerijos, truputis ateities spėjimo ir žiupsnelis „Maltego“ – ir jūs jau galite nulaužti DCC maišą.
Siūlau čia baigti. Prie šios temos grįšime kituose įrašuose ir pažvelgsime į dar lėtesnius ir slaptus atakos metodus, toliau remdamiesi puikiu Impacket paslaugų rinkiniu.
Šaltinis: www.habr.com