Reguliariai rašome apie tai, kaip įsilaužėliai dažnai pasikliauja išnaudojimu kad būtų išvengta aptikimo. Jie tiesiogine prasme , naudojant standartinius „Windows“ įrankius, taip apeinant antivirusines ir kitas priemones, skirtas kenkėjiškai veiklai aptikti. Mes, kaip gynėjai, dabar esame priversti susidoroti su apgailėtinomis tokių sumanių įsilaužimo technikų pasekmėmis: gerai įsidarbinęs darbuotojas gali naudoti tą patį metodą slapta pavogti duomenis (įmonės intelektinę nuosavybę, kredito kortelių numerius). Ir jei jis neskuba, o dirbs lėtai ir tyliai, tai bus labai sunku – bet vis tiek įmanoma, jei naudos tinkamą požiūrį ir tinkamą , — tokiai veiklai nustatyti.
Kita vertus, nenorėčiau demonizuoti darbuotojų, nes niekas nenori dirbti verslo aplinkoje tiesiai iš Orwello 1984 m. Laimei, yra keletas praktinių žingsnių ir gyvenimiškų įsilaužimų, kurie gali gerokai apsunkinti saviškių gyvenimą. Mes svarstysime slapto puolimo metodai, kurį naudoja įsilaužėliai, tam tikrą techninį išsilavinimą turintys darbuotojai. Ir šiek tiek toliau aptarsime tokios rizikos mažinimo galimybes – nagrinėsime tiek technines, tiek organizacines galimybes.
Kas negerai su PsExec?
Teisingai ar neteisingai Edwardas Snowdenas tapo viešai neatskleistos informacijos vagystės sinonimu. Beje, nepamirškite pasižiūrėti apie kitus saviškius, kurie taip pat nusipelnė šlovės statuso. Vienas svarbus dalykas, kurį verta pabrėžti apie Snowdeno naudojamus metodus, yra tai, kad, mūsų žiniomis, jis neįdiegė jokios išorinės kenkėjiškos programinės įrangos!
Vietoj to Snowdenas naudojo šiek tiek socialinės inžinerijos ir pasinaudojo savo, kaip sistemos administratoriaus, pareigomis, kad rinktų slaptažodžius ir sukurtų kredencialus. Nieko sudėtingo – nieko , išpuoliai arba .
Organizacijos darbuotojai ne visada užima unikalią Snowdeno padėtį, tačiau iš „išgyvenimo ganant“ sąvokos reikia išmokti nemažai pamokų, kurias reikia žinoti – neužsiimti jokia piktybine veikla, kurią galima aptikti, ir būti ypač svarbiam. atsargiai naudodamiesi kredencialais. Prisiminkite šią mintį.
ir jo pusbrolis padarė įspūdį daugybei besidominčių, įsilaužėlių ir kibernetinio saugumo tinklaraštininkų. Kartu su mimikatz, psexec leidžia užpuolikams judėti tinkle nežinant aiškio teksto slaptažodžio.
Mimikatz perima NTLM maišą iš LSASS proceso ir tada perduoda prieigos raktą arba kredencialus – vadinamuosius. „Perduoti maišos“ ataką – psexec, leidžiantis užpuolikui prisijungti prie kito serverio kaip kito Vartotojas. Ir su kiekvienu paskesniu persikėlimu į naują serverį, užpuolikas renka papildomus kredencialus, išplėsdamas savo galimybes ieškant pasiekiamo turinio.
Kai pradėjau dirbti su psexec, man tai atrodė stebuklinga – ačiū , puikus psexec kūrėjas, bet žinau ir apie jo triukšminga komponentai. Jis niekada nėra slaptas!
Pirmasis įdomus faktas apie psexec yra tai, kad jis naudojamas labai sudėtingai SMB tinklo failo protokolas iš Microsoft. Naudojant SMB, psexec perkelia mažas dvejetainis failus į tikslinę sistemą, įdėdami juos į aplanką C:Windows.
Tada „psexec“ sukuria „Windows“ paslaugą naudodama nukopijuotą dvejetainį failą ir paleidžia ją itin „netikėtu“ pavadinimu PSEXECSVC. Tuo pačiu metu, kaip ir aš, visa tai galite pamatyti žiūrėdami nuotolinį įrenginį (žr. toliau).
Psexec vizitinė kortelė: „PSEXECSVC“ paslauga. Jis paleidžia dvejetainį failą, kuris buvo patalpintas per SMB aplanke C: Windows.
Paskutiniame etape atidaromas nukopijuotas dvejetainis failas RPC ryšys į tikslinį serverį ir tada priima valdymo komandas (per Windows cmd apvalkalą pagal numatytuosius nustatymus), paleidžia jas ir nukreipia įvestį bei išvestį į užpuoliko namų kompiuterį. Tokiu atveju užpuolikas mato pagrindinę komandų eilutę – tokią pat, lyg būtų prisijungęs tiesiogiai.
Daug komponentų ir labai triukšmingas procesas!
Sudėtingi psexec vidiniai elementai paaiškina pranešimą, kuris mane suglumino per pirmuosius bandymus prieš kelerius metus: „Paleidžiamas PSEXECSVC...“, po kurio seka pauzė prieš pasirodant komandų eilutei.
Impacket Psexec iš tikrųjų parodo, kas vyksta po gaubtu.
Nenuostabu: „psexec“ atliko didžiulį darbą po gaubtu. Jei jus domina išsamesnis paaiškinimas, peržiūrėkite čia nuostabus aprašymas.
Akivaizdu, kad kai naudojamas kaip sistemos administravimo įrankis, kuris buvo pradinė paskirtis psexec, nėra nieko blogo dėl visų šių „Windows“ mechanizmų „dužimo“. Tačiau užpuolikui psexec sukeltų komplikacijų, o atsargiam ir gudriam saviškiui, pavyzdžiui, Snowdenui, psexec ar panaši priemonė būtų per didelė rizika.
Ir tada ateina Smbexec
SMB yra sumanus ir slaptas būdas perkelti failus iš vieno serverio į kitą, o įsilaužėliai šimtmečius tiesiogiai įsiskverbia į SMB. Manau, kad visi jau žino, kad neverta SMB prievadai 445 ir 139 prie interneto, tiesa?
„Defcon 2013“ metu Ericas Millmanas () pateikta , kad pentestuotojai galėtų išbandyti slaptą SMB įsilaužimą. Nežinau visos istorijos, bet tada Impacket dar labiau patobulino smbexec. Tiesą sakant, savo bandymui atsisiunčiau scenarijus iš Impacket Python iš .
Skirtingai nuo psexec, smbexec vengia galimai aptikto dvejetainio failo perkėlimas į tikslinę mašiną. Vietoj to, įmonė gyvena nuo ganyklų iki paleidimo vietinis „Windows“ komandų eilutė.
Štai ką jis daro: perduoda komandą iš atakuojančios mašinos per SMB į specialų įvesties failą, tada sukuria ir paleidžia sudėtingą komandų eilutę (pvz., „Windows“ paslaugą), kuri atrodys pažįstama „Linux“ vartotojams. Trumpai tariant: ji paleidžia savąjį Windows cmd apvalkalą, nukreipia išvestį į kitą failą ir per SMB siunčia atgal į užpuoliko kompiuterį.
Geriausias būdas tai suprasti yra pažvelgti į komandų eilutę, kurią galėjau gauti iš įvykių žurnalo (žr. toliau).
Ar tai ne geriausias būdas nukreipti įvesties/išvesties? Beje, paslaugos kūrimas turi įvykio ID 7045.
Kaip ir psexec, ji taip pat sukuria paslaugą, kuri atlieka visą darbą, bet paslauga po to ištrintas – jis naudojamas tik vieną kartą paleisti komandą ir tada dingsta! Informacijos saugumo pareigūnas, stebintis aukos mašiną, negalės aptikti aiškus Atakos rodikliai: nepaleidžiamas joks kenkėjiškas failas, neįdiegta nuolatinė paslauga ir nėra jokių RPC naudojimo įrodymų, nes SMB yra vienintelė duomenų perdavimo priemonė. Puiku!
Iš užpuoliko pusės pasiekiamas „pseudo apvalkalas“ su uždelsimu nuo komandos išsiuntimo iki atsakymo gavimo. Bet to visiškai užtenka, kad užpuolikas – arba vidinis asmuo, arba išorinis įsilaužėlis, jau turintis koją – pradėtų ieškoti įdomaus turinio.
Jis naudojamas duomenims grąžinti iš tikslinės mašinos į užpuoliko kompiuterį . Taip, tai ta pati Samba , bet tik Impacket konvertavo į Python scenarijų. Tiesą sakant, smbclient leidžia slaptai priglobti FTP pervedimus per SMB.
Ženkime žingsnį atgal ir pagalvokime, kuo tai gali būti naudinga darbuotojui. Pagal mano fiktyvų scenarijų, tarkime, tinklaraštininkui, finansų analitikui ar gerai apmokamam saugumo konsultantui darbui leidžiama naudoti asmeninį nešiojamąjį kompiuterį. Dėl kažkokio stebuklingo proceso ji įsižeidžia į kompaniją ir „pasitaiko blogai“. Priklausomai nuo nešiojamojo kompiuterio operacinės sistemos, kaip .exe failas naudoja Python versiją iš Impact arba smbexec arba smbclient Windows versiją.
Kaip ir Snowden, ji sužino kito vartotojo slaptažodį arba pažvelgusi per petį, arba pasiseka ir užklysta į tekstinį failą su slaptažodžiu. Ir su šiais įgaliojimais ji pradeda ieškoti naujo privilegijų lygio sistemoje.
DCC įsilaužimas: mums nereikia „kvailo“ Mimikatzo
Ankstesniuose pranešimuose apie pentestavimą labai dažnai naudojau mimikatz. Tai puikus įrankis perimti kredencialus – nešiojamuosiuose kompiuteriuose paslėptus NTLM maišus ir net aiškaus teksto slaptažodžius, kurie tik laukia, kol bus panaudoti.
Laikai pasikeitė. Stebėjimo įrankiai tapo geresni aptikdami ir blokuodami mimikatz. Informacijos saugumo administratoriai dabar taip pat turi daugiau galimybių sumažinti riziką, susijusią su maišos (PtH) atakomis.
Taigi ką turėtų daryti protingas darbuotojas, kad surinktų papildomus kredencialus nenaudodamas mimikatz?
Impacket rinkinyje yra programa, vadinama , kuris nuskaito kredencialus iš domeno kredencialų talpyklos arba trumpiau DCC. Aš suprantu, kad jei domeno vartotojas prisijungia prie serverio, bet domeno valdiklis nepasiekiamas, DCC leidžia serveriui autentifikuoti vartotoją. Bet kokiu atveju, secretsdump leidžia išmesti visas šias maišas, jei jos yra prieinamos.
DCC maišos yra ne NTML maišos ir negali būti naudojamas PtH priepuoliui.
Na, galite pabandyti juos nulaužti, kad gautumėte pradinį slaptažodį. Tačiau „Microsoft“ tapo sumanesnė naudodama DCC, o DCC maišas tapo labai sunku nulaužti. Taip aš turiu , „greičiausias pasaulyje slaptažodžių atspėtojas“, tačiau norint efektyviai veikti, reikalingas GPU.
Vietoj to, pabandykime galvoti kaip Snowdenas. Darbuotojas gali atlikti socialinę inžineriją akis į akį ir galbūt sužinoti informacijos apie asmenį, kurio slaptažodį ji nori nulaužti. Pavyzdžiui, sužinokite, ar į asmens internetinę paskyrą kada nors buvo įsilaužta, ir patikrinkite, ar jo slaptažodis yra aiškus, ar nėra jokių įkalčių.
Ir aš nusprendžiau pagal šį scenarijų. Tarkime, kad viešai neatskleistas asmuo sužinojo, kad jo viršininkas Cruella buvo kelis kartus įsilaužtas į skirtingus žiniatinklio išteklius. Išanalizavęs kelis iš šių slaptažodžių, jis supranta, kad Cruella mieliau naudoja beisbolo komandos pavadinimo formatą „Yankees“, po kurio eina einamieji metai – „Yankees2015“.
Jei dabar bandote tai atkurti namuose, galite atsisiųsti mažą „C“ , kuris įgyvendina DCC maišos algoritmą, ir jį sukompiliuoti. , beje, pridėjo DCC palaikymą, todėl jį taip pat galima naudoti. Tarkime, kad viešai neatskleistas asmuo nenori vargti mokydamasis Jono Skerdikėlio ir mėgsta paleisti „gcc“ sename C kodu.
Apsimesdamas viešai neatskleisto vaidmeniu, išbandžiau keletą skirtingų derinių ir galiausiai man pavyko išsiaiškinti, kad Cruella slaptažodis buvo „Yankees2019“ (žr. toliau). Misija įvykdyta!
Šiek tiek socialinės inžinerijos, truputis ateities spėjimo ir žiupsnelis „Maltego“ – ir jūs jau galite nulaužti DCC maišą.
Siūlau čia baigti. Prie šios temos grįšime kituose įrašuose ir pažvelgsime į dar lėtesnius ir slaptus atakos metodus, toliau remdamiesi puikiu Impacket paslaugų rinkiniu.
Šaltinis: www.habr.com