MÄs regulÄri rakstÄm par to, kÄ hakeri bieži paļaujas uz izmantoÅ”anu
No otras puses, es negribÄtu demonizÄt darbiniekus, jo neviens nevÄlas strÄdÄt biznesa vidÄ tieÅ”i no Orvela 1984. gada. Par laimi, ir vairÄki praktiski soļi un dzÄ«ves hacks, kas var ievÄrojami apgrÅ«tinÄt iekÅ”Äjo personu dzÄ«vi. MÄs apsvÄrsim slÄptÄs uzbrukuma metodes, ko hakeri izmanto darbinieki ar zinÄmu tehnisko pieredzi. Un nedaudz tÄlÄk apspriedÄ«sim iespÄjas Å”Ädu risku mazinÄÅ”anai ā pÄtÄ«sim gan tehniskÄs, gan organizatoriskÄs iespÄjas.
Kas vainas PsExec?
Edvards Snoudens, pareizi vai nepareizi, ir kļuvis par sinonÄ«mu iekÅ”ÄjÄs informÄcijas zÄdzÄ«bai. Starp citu, neaizmirstiet apskatÄ«t
TÄ vietÄ Snoudens izmantoja nelielu sociÄlo inženieriju un izmantoja savu sistÄmas administratora amatu, lai savÄktu paroles un izveidotu akreditÄcijas datus. NekÄ sarežģīta - nekÄda
OrganizÄcijas darbinieki ne vienmÄr atrodas Snoudena unikÄlajÄ pozÄ«cijÄ, taÄu no jÄdziena "izdzÄ«voÅ”ana ganÄ«bÄs" ir jÄmÄcÄs vairÄkas mÄcÄ«bas, kas jÄapzinÄs - neiesaistÄ«ties nekÄdÄs ļaunprÄtÄ«gÄs darbÄ«bÄs, kuras var atklÄt, un bÅ«t Ä«paÅ”i. piesardzÄ«gi, izmantojot akreditÄcijas datus. Atcerieties Å”o domu.
Mimikatz pÄrtver NTLM hash no LSASS procesa un pÄc tam nodod marÄ·ieri vai akreditÄcijas datus - tÄ sauktos. "pass the hash" uzbrukums ā psexec, ļaujot uzbrucÄjam pieteikties citÄ serverÄ« kÄ citi lietotÄjs. Un ar katru nÄkamo pÄreju uz jaunu serveri, uzbrucÄjs savÄc papildu akreditÄcijas datus, paplaÅ”inot savu iespÄju klÄstu pieejamÄ satura meklÄÅ”anÄ.
Kad es pirmo reizi sÄku strÄdÄt ar psexec, tas man likÄs maÄ£iski - paldies
Pirmais interesantais fakts par psexec ir tas, ka tas izmanto ÄrkÄrtÄ«gi sarežģītus SMB tÄ«kla failu protokols no Microsoft. Izmantojot SMB, psexec pÄrsÅ«ta mazus binÄrs failus uz mÄrÄ·a sistÄmu, ievietojot tos mapÄ C:Windows.
PÄc tam psexec izveido Windows pakalpojumu, izmantojot kopÄto binÄro failu, un palaiž to ar ÄrkÄrtÄ«gi ānegaidÄ«tuā nosaukumu PSEXECSVC. TajÄ paÅ”Ä laikÄ jÅ«s to visu varat redzÄt, tÄpat kÄ es, skatoties attÄlo maŔīnu (skatiet tÄlÄk).
Psexec vizÄ«tkarte: pakalpojums "PSEXECSVC". Tas palaiž binÄro failu, kas tika ievietots mapÄ C:Windows, izmantojot SMB.
KÄ pÄdÄjais solis tiek atvÄrts nokopÄtais binÄrais fails RPC savienojums uz mÄrÄ·a serveri un pÄc tam pieÅem vadÄ«bas komandas (pÄc noklusÄjuma izmantojot Windows cmd apvalku), palaižot tÄs un novirzot ievadi un izvadi uz uzbrucÄja mÄjas iekÄrtu. Å ajÄ gadÄ«jumÄ uzbrucÄjs redz pamata komandrindu - tÄdu paÅ”u, it kÄ viÅÅ” bÅ«tu tieÅ”i savienots.
Daudz komponentu un ļoti trokÅ”Åains process!
Sarežģītie psexec iekÅ”Äjie elementi izskaidro ziÅojumu, kas mani mulsinÄja manu pirmo pÄrbaužu laikÄ pirms vairÄkiem gadiem: āPalaižot PSEXECSVC...ā, kam seko pauze pirms komandu uzvednes parÄdÄ«Å”anÄs.
Impacket's Psexec faktiski parÄda, kas notiek zem pÄrsega.
Nav pÄrsteidzoÅ”i: psexec paveica milzÄ«gu darbu zem pÄrsega. Ja jÅ«s interesÄ sÄ«kÄks skaidrojums, skatiet Å”eit
AcÄ«mredzot, kad to izmantoja kÄ sistÄmas administrÄÅ”anas rÄ«ku, kas bija sÄkotnÄjais mÄrÄ·is psexec, nav nekas nepareizs ar visu Å”o Windows mehÄnismu "zummÄÅ”anu". TomÄr uzbrucÄjam psexec radÄ«tu sarežģījumus, savukÄrt piesardzÄ«gam un viltÄ«gam iekÅ”Äjam lietotÄjam, piemÄram, Snoudenam, psexec vai lÄ«dzÄ«ga utilÄ«ta bÅ«tu pÄrÄk liels risks.
Un tad nÄk Smbexec
SMB ir gudrs un slepens veids, kÄ pÄrsÅ«tÄ«t failus starp serveriem, un hakeri ir tieÅ”i iefiltrÄjuÅ”ies SMB jau gadsimtiem ilgi. Es domÄju, ka visi jau zina, ka tas nav tÄ vÄrts
IzstÄdÄ Defcon 2013 Äriks Milmens (
AtŔķirÄ«bÄ no psexec, smbexec izvairÄs potenciÄli atklÄta binÄrÄ faila pÄrsÅ«tÄ«Å”ana uz mÄrÄ·a maŔīnu. TÄ vietÄ utilÄ«ta pilnÄ«bÄ dzÄ«vo no ganÄ«bÄm lÄ«dz palaiÅ”anai vietÄjais Windows komandrinda.
LÅ«k, ko tas dara: tas nodod komandu no uzbrÅ«koÅ”Äs maŔīnas, izmantojot SMB, uz Ä«paÅ”u ievades failu, pÄc tam izveido un palaiž sarežģītu komandrindu (piemÄram, Windows pakalpojumu), kas ŔķitÄ«s pazÄ«stama Linux lietotÄjiem. ÄŖsÄk sakot: tas palaiž vietÄjo Windows cmd apvalku, novirza izvadi uz citu failu un pÄc tam nosÅ«ta to atpakaļ uz uzbrucÄja ierÄ«ci, izmantojot SMB.
LabÄkais veids, kÄ to saprast, ir apskatÄ«t komandrindu, kuru es varÄju iegÅ«t no notikumu žurnÄla (skatiet tÄlÄk).
Vai tas nav labÄkais veids, kÄ novirzÄ«t I/O? Starp citu, pakalpojuma izveidei ir notikuma ID 7045.
TÄpat kÄ psexec, tas arÄ« izveido pakalpojumu, kas veic visu darbu, bet pakalpojums pÄc tam noÅemts - tiek izmantots tikai vienu reizi, lai palaistu komandu, un pÄc tam pazÅ«d! InformÄcijas droŔības darbinieks, kas uzrauga cietuÅ”Ä maŔīnu, nevarÄs atklÄt acÄ«mredzams Uzbrukuma indikatori: netiek palaists neviens ļaunprÄtÄ«gs fails, netiek instalÄts pastÄvÄ«gs pakalpojums, un nav pierÄdÄ«jumu par RPC izmantoÅ”anu, jo SMB ir vienÄ«gais datu pÄrsÅ«tÄ«Å”anas lÄ«dzeklis. Izcili!
No uzbrucÄja puses ir pieejams āpseidoapvalksā ar aizkavi starp komandas nosÅ«tÄ«Å”anu un atbildes saÅemÅ”anu. TaÄu ar to pilnÄ«gi pietiek, lai uzbrucÄjs ā vai nu iekÅ”Äjais, vai ÄrÄjs hakeris, kuram jau ir pamats ā sÄktu meklÄt interesantu saturu.
Lai izvadÄ«tu datus atpakaļ no mÄrÄ·a maŔīnas uz uzbrucÄja iekÄrtu, tas tiek izmantots
AtkÄpsimies soli atpakaļ un padomÄsim, ko tas var nodarÄ«t darbinieka labÄ. ManÄ fiktÄ«vajÄ scenÄrijÄ pieÅemsim, ka emuÄru autors, finanÅ”u analÄ«tiÄ·is vai augsti apmaksÄts droŔības konsultants drÄ«kst izmantot personÄ«go klÄpjdatoru darbam. KÄda maÄ£iska procesa rezultÄtÄ viÅa apvainojas uz uzÅÄmumu un āiet sliktiā. AtkarÄ«bÄ no klÄpjdatora operÄtÄjsistÄmas tÄ izmanto vai nu Impact Python versiju, vai smbexec vai smbclient Windows versiju kÄ .exe failu.
TÄpat kÄ Snoudena, viÅa uzzina cita lietotÄja paroli, vai nu paskatoties pÄr plecu, vai arÄ« viÅai paveicas un uzduras teksta failam ar paroli. Un ar Å”o akreditÄcijas datu palÄ«dzÄ«bu viÅa sÄk meklÄt sistÄmu jaunÄ privilÄÄ£iju lÄ«menÄ«.
DCC uzlauŔana: mums nav vajadzīgs neviens "stulbs" Mimikatz
Savos iepriekÅ”Äjos ierakstos par pentestÄÅ”anu es ļoti bieži izmantoju mimikatz. Å is ir lielisks rÄ«ks akreditÄcijas datu pÄrtverÅ”anai ā NTLM jaucÄjkodi un pat skaidrÄ teksta paroles, kas paslÄptas klÄpjdatoros, tikai gaida, kad tÄs tiks izmantotas.
Laiki ir mainÄ«juÅ”ies. UzraudzÄ«bas rÄ«ki ir kļuvuÅ”i labÄki, lai noteiktu un bloÄ·Ätu mimikatz. InformÄcijas droŔības administratoriem tagad ir arÄ« vairÄk iespÄju samazinÄt riskus, kas saistÄ«ti ar jaucÄjkrÄnu (PtH) uzbrukumiem.
TÄtad, kas bÅ«tu jÄdara gudram darbiniekam, lai savÄktu papildu akreditÄcijas datus, neizmantojot mimikatz?
Impaket komplektÄ ir iekļauta utilÄ«ta ar nosaukumu
DCC jaucÄjvÄrtÄ«bas ir nevis NTML jaucÄjkodi un nevar izmantot PtH uzbrukumam.
Nu, jÅ«s varat mÄÄ£inÄt uzlauzt tos, lai iegÅ«tu sÄkotnÄjo paroli. TomÄr Microsoft ir kļuvis gudrÄks ar DCC, un DCC jaucÄjfailus ir kļuvis ÄrkÄrtÄ«gi grÅ«ti uzlauzt. JÄ, man ir
TÄ vietÄ mÄÄ£inÄsim domÄt kÄ Snoudens. Darbinieks var veikt klÄtienes sociÄlo inženieriju un, iespÄjams, uzzinÄt kÄdu informÄciju par personu, kuras paroli viÅa vÄlas uzlauzt. PiemÄram, noskaidrojiet, vai personas tieÅ”saistes konts jebkad ir ticis uzlauzts, un pÄrbaudiet, vai viÅa skaidrÄ teksta parole nav uzlauzta.
Un tas ir scenÄrijs, kuru es nolÄmu ievÄrot. PieÅemsim, ka kÄds iekÅ”ÄjÄs informÄcijas lietotÄjs uzzinÄja, ka viÅa priekÅ”nieks Cruella ir vairÄkas reizes uzlauzts dažÄdos tÄ«mekļa resursos. IzanalizÄjis vairÄkas no Ŕīm parolÄm, viÅÅ” saprot, ka Cruella izvÄlas izmantot beisbola komandas nosaukuma formÄtu "Yankees", kam seko kÄrtÄjais gads - "Yankees2015".
Ja tagad mÄÄ£inÄt to reproducÄt mÄjÄs, varat lejupielÄdÄt nelielu "C"
Izliekoties iekÅ”ÄjÄs informÄcijas lomÄ, es izmÄÄ£inÄju vairÄkas dažÄdas kombinÄcijas un galu galÄ atklÄju, ka Cruella parole ir "Yankees2019" (skatiet tÄlÄk). Misija pabeigta!
Nedaudz sociÄlÄs inženierijas, mazliet zÄ«lÄÅ”anas un ŔķipsniÅa Maltego, un jÅ«s esat ceÄ¼Ä uz DCC jaucÄjkoda uzlauÅ”anu.
Es iesaku beigt Å”eit. MÄs atgriezÄ«simies pie Ŕīs tÄmas citos ierakstos un apskatÄ«sim vÄl lÄnÄkas un slÄptÄkas uzbrukuma metodes, turpinot veidot Impacket lielisko utilÄ«tu komplektu.
Avots: www.habr.com