Slēpta paroles uzlaušana, izmantojot Smbexec

Mēs regulāri rakstām par to, kā hakeri bieži paļaujas uz izmantošanu uzlaušanas metodes bez ļaunprātīga kodalai izvairītos no atklāšanas. Viņi burtiski "izdzīvot ganībās", izmantojot standarta Windows rīkus, tādējādi apejot pretvīrusus un citas utilītas ļaunprātīgas darbības noteikšanai. Mēs kā aizstāvji tagad esam spiesti tikt galā ar šādu gudru uzlaušanas paņēmienu neveiksmīgajām sekām: labi iekārtots darbinieks var izmantot to pašu pieeju, lai slepeni nozagtu datus (uzņēmuma intelektuālo īpašumu, kredītkaršu numurus). Un, ja viņš nesteidzas, bet strādās lēni un klusi, tas būs ārkārtīgi grūti – bet tomēr iespējams, ja izmantos pareizo pieeju un atbilstošu Darbarīki, — identificēt šādu darbību.

No otras puses, es negribētu demonizēt darbiniekus, jo neviens nevēlas strādāt biznesa vidē tieši no Orvela 1984. gada. Par laimi, ir vairāki praktiski soļi un dzīves hacks, kas var ievērojami apgrūtināt iekšējo personu dzīvi. Mēs apsvērsim slēptās uzbrukuma metodes, ko hakeri izmanto darbinieki ar zināmu tehnisko pieredzi. Un nedaudz tālāk apspriedīsim iespējas šādu risku mazināšanai – pētīsim gan tehniskās, gan organizatoriskās iespējas.

Kas vainas PsExec?

Edvards Snoudens, pareizi vai nepareizi, ir kļuvis par sinonīmu iekšējās informācijas zādzībai. Starp citu, neaizmirstiet apskatīt šī piezīme par citiem insaideriem, kuri arī ir pelnījuši kādu slavas statusu. Viens svarīgs aspekts, ko vērts uzsvērt par Snoudena izmantotajām metodēm, ir tas, ka, cik mums zināms, viņš neinstalēja nekādas ārējas ļaunprātīgas programmatūras!

Tā vietā Snoudens izmantoja nelielu sociālo inženieriju un izmantoja savu sistēmas administratora amatu, lai savāktu paroles un izveidotu akreditācijas datus. Nekā sarežģīta - nekāda mimikatz, uzbrukumi cilvēks-pa vidu vai metasploit.

Organizācijas darbinieki ne vienmēr atrodas Snoudena unikālajā pozīcijā, taču no jēdziena "izdzīvošana ganībās" ir jāmācās vairākas mācības, kas jāapzinās - neiesaistīties nekādās ļaunprātīgās darbībās, kuras var atklāt, un būt īpaši. piesardzīgi, izmantojot akreditācijas datus. Atcerieties šo domu.

Psexec un viņa brālēns crackmapexec ir iespaidojuši neskaitāmus pielūdzējus, hakerus un kiberdrošības emuāru autorus. Un apvienojumā ar mimikatz, psexec ļauj uzbrucējiem pārvietoties tīklā, nezinot skaidrā teksta paroli.

Mimikatz pārtver NTLM hash no LSASS procesa un pēc tam nodod marķieri vai akreditācijas datus - tā sauktos. "pass the hash" uzbrukums – psexec, ļaujot uzbrucējam pieteikties citā serverī kā citi lietotājs. Un ar katru nākamo pāreju uz jaunu serveri, uzbrucējs savāc papildu akreditācijas datus, paplašinot savu iespēju klāstu pieejamā satura meklēšanā.

Kad es pirmo reizi sāku strādāt ar psexec, tas man likās maģiski - paldies Marks Russinovičs, izcilais psexec izstrādātājs, taču es zinu arī par viņu skaļš sastāvdaļas. Viņš nekad nav noslēpumains!

Pirmais interesantais fakts par psexec ir tas, ka tas izmanto ārkārtīgi sarežģītus SMB tīkla failu protokols no Microsoft. Izmantojot SMB, psexec pārsūta mazus binārs failus uz mērķa sistēmu, ievietojot tos mapē C:Windows.

Pēc tam psexec izveido Windows pakalpojumu, izmantojot kopēto bināro failu, un palaiž to ar ārkārtīgi “negaidītu” nosaukumu PSEXECSVC. Tajā pašā laikā jūs to visu varat redzēt, tāpat kā es, skatoties attālo mašīnu (skatiet tālāk).

Psexec vizītkarte: pakalpojums "PSEXECSVC". Tas palaiž bināro failu, kas tika ievietots mapē C:Windows, izmantojot SMB.

Kā pēdējais solis tiek atvērts nokopētais binārais fails RPC savienojums uz mērķa serveri un pēc tam pieņem vadības komandas (pēc noklusējuma izmantojot Windows cmd apvalku), palaižot tās un novirzot ievadi un izvadi uz uzbrucēja mājas iekārtu. Šajā gadījumā uzbrucējs redz pamata komandrindu - tādu pašu, it kā viņš būtu tieši savienots.

Daudz komponentu un ļoti trokšņains process!

Sarežģītie psexec iekšējie elementi izskaidro ziņojumu, kas mani mulsināja manu pirmo pārbaužu laikā pirms vairākiem gadiem: “Palaižot PSEXECSVC...”, kam seko pauze pirms komandu uzvednes parādīšanās.

Impacket's Psexec faktiski parāda, kas notiek zem pārsega.

Nav pārsteidzoši: psexec paveica milzīgu darbu zem pārsega. Ja jūs interesē sīkāks skaidrojums, skatiet šeit šis brīnišķīgs apraksts.

Acīmredzot, kad to izmantoja kā sistēmas administrēšanas rīku, kas bija sākotnējais mērķis psexec, nav nekas nepareizs ar visu šo Windows mehānismu "zummēšanu". Tomēr uzbrucējam psexec radītu sarežģījumus, savukārt piesardzīgam un viltīgam iekšējam lietotājam, piemēram, Snoudenam, psexec vai līdzīga utilīta būtu pārāk liels risks.

Un tad nāk Smbexec

SMB ir gudrs un slepens veids, kā pārsūtīt failus starp serveriem, un hakeri ir tieši iefiltrējušies SMB jau gadsimtiem ilgi. Es domāju, ka visi jau zina, ka tas nav tā vērts atvērt SMB porti 445 un 139 uz internetu, vai ne?

Izstādē Defcon 2013 Ēriks Milmens (brav0hax) prezentēts smbexec, lai dalībnieki varētu izmēģināt slepenu MVU uzlaušanu. Es nezinu visu stāstu, bet pēc tam Impacket vēl vairāk pilnveidoja smbexec. Faktiski manai pārbaudei es lejupielādēju skriptus no Impacket programmā Python no GitHub.

Atšķirībā no psexec, smbexec izvairās potenciāli atklāta binārā faila pārsūtīšana uz mērķa mašīnu. Tā vietā utilīta pilnībā dzīvo no ganībām līdz palaišanai vietējais Windows komandrinda.

Lūk, ko tas dara: tas nodod komandu no uzbrūkošās mašīnas, izmantojot SMB, uz īpašu ievades failu, pēc tam izveido un palaiž sarežģītu komandrindu (piemēram, Windows pakalpojumu), kas šķitīs pazīstama Linux lietotājiem. Īsāk sakot: tas palaiž vietējo Windows cmd apvalku, novirza izvadi uz citu failu un pēc tam nosūta to atpakaļ uz uzbrucēja ierīci, izmantojot SMB.

Labākais veids, kā to saprast, ir apskatīt komandrindu, kuru es varēju iegūt no notikumu žurnāla (skatiet tālāk).

Vai tas nav labākais veids, kā novirzīt I/O? Starp citu, pakalpojuma izveidei ir notikuma ID 7045.

Tāpat kā psexec, tas arī izveido pakalpojumu, kas veic visu darbu, bet pakalpojums pēc tam noņemts - tiek izmantots tikai vienu reizi, lai palaistu komandu, un pēc tam pazūd! Informācijas drošības darbinieks, kas uzrauga cietušā mašīnu, nevarēs atklāt acīmredzams Uzbrukuma indikatori: netiek palaists neviens ļaunprātīgs fails, netiek instalēts pastāvīgs pakalpojums, un nav pierādījumu par RPC izmantošanu, jo SMB ir vienīgais datu pārsūtīšanas līdzeklis. Izcili!

No uzbrucēja puses ir pieejams “pseidoapvalks” ar aizkavi starp komandas nosūtīšanu un atbildes saņemšanu. Taču ar to pilnīgi pietiek, lai uzbrucējs – vai nu iekšējais, vai ārējs hakeris, kuram jau ir pamats – sāktu meklēt interesantu saturu.

Lai izvadītu datus atpakaļ no mērķa mašīnas uz uzbrucēja iekārtu, tas tiek izmantots smbclient. Jā, tā ir tā pati Samba lietderība, bet tikai Impacket pārveidots par Python skriptu. Faktiski smbclient ļauj slēpti mitināt FTP pārsūtīšanu, izmantojot SMB.

Atkāpsimies soli atpakaļ un padomāsim, ko tas var nodarīt darbinieka labā. Manā fiktīvajā scenārijā pieņemsim, ka emuāru autors, finanšu analītiķis vai augsti apmaksāts drošības konsultants drīkst izmantot personīgo klēpjdatoru darbam. Kāda maģiska procesa rezultātā viņa apvainojas uz uzņēmumu un “iet slikti”. Atkarībā no klēpjdatora operētājsistēmas tā izmanto vai nu Impact Python versiju, vai smbexec vai smbclient Windows versiju kā .exe failu.

Tāpat kā Snoudena, viņa uzzina cita lietotāja paroli, vai nu paskatoties pār plecu, vai arī viņai paveicas un uzduras teksta failam ar paroli. Un ar šo akreditācijas datu palīdzību viņa sāk meklēt sistēmu jaunā privilēģiju līmenī.

DCC uzlaušana: mums nav vajadzīgs neviens "stulbs" Mimikatz

Savos iepriekšējos ierakstos par pentestēšanu es ļoti bieži izmantoju mimikatz. Šis ir lielisks rīks akreditācijas datu pārtveršanai — NTLM jaucējkodi un pat skaidrā teksta paroles, kas paslēptas klēpjdatoros, tikai gaida, kad tās tiks izmantotas.
Laiki ir mainījušies. Uzraudzības rīki ir kļuvuši labāki, lai noteiktu un bloķētu mimikatz. Informācijas drošības administratoriem tagad ir arī vairāk iespēju samazināt riskus, kas saistīti ar jaucējkrānu (PtH) uzbrukumiem.
Tātad, kas būtu jādara gudram darbiniekam, lai savāktu papildu akreditācijas datus, neizmantojot mimikatz?

Impaket komplektā ir iekļauta utilīta ar nosaukumu noslēpumu izgāztuve, kas izgūst akreditācijas datus no domēna akreditācijas datu kešatmiņas jeb saīsināti DCC. Es saprotu, ka, ja domēna lietotājs piesakās serverī, bet domēna kontrolleris nav pieejams, DCC ļauj serverim autentificēt lietotāju. Jebkurā gadījumā Secretsdump ļauj izmest visus šos jaucējus, ja tie ir pieejami.

DCC jaucējvērtības ir nevis NTML jaucējkodi un nevar izmantot PtH uzbrukumam.

Nu, jūs varat mēģināt uzlauzt tos, lai iegūtu sākotnējo paroli. Tomēr Microsoft ir kļuvis gudrāks ar DCC, un DCC jaucējfailus ir kļuvis ārkārtīgi grūti uzlauzt. Jā, man ir hashcat, "pasaulē ātrākais paroļu uzminētājs", taču tā efektīvai darbībai ir nepieciešams GPU.

Tā vietā mēģināsim domāt kā Snoudens. Darbinieks var veikt klātienes sociālo inženieriju un, iespējams, uzzināt kādu informāciju par personu, kuras paroli viņa vēlas uzlauzt. Piemēram, noskaidrojiet, vai personas tiešsaistes konts jebkad ir ticis uzlauzts, un pārbaudiet, vai viņa skaidrā teksta parole nav uzlauzta.

Un tas ir scenārijs, kuru es nolēmu ievērot. Pieņemsim, ka kāds iekšējās informācijas lietotājs uzzināja, ka viņa priekšnieks Cruella ir vairākas reizes uzlauzts dažādos tīmekļa resursos. Izanalizējis vairākas no šīm parolēm, viņš saprot, ka Cruella izvēlas izmantot beisbola komandas nosaukuma formātu "Yankees", kam seko kārtējais gads - "Yankees2015".

Ja tagad mēģināt to reproducēt mājās, varat lejupielādēt nelielu "C" kods, kas ievieš DCC jaukšanas algoritmu, un apkopo to. John Ripper, starp citu, pievienoja DCC atbalstu, tāpēc to var arī izmantot. Pieņemsim, ka kāds iekšējs nevēlas apgrūtināt Džona Uzšķērdēja apguvi un viņam patīk palaist "gcc" uz mantotā C koda.

Izliekoties iekšējās informācijas lomā, es izmēģināju vairākas dažādas kombinācijas un galu galā atklāju, ka Cruella parole ir "Yankees2019" (skatiet tālāk). Misija pabeigta!

Nedaudz sociālās inženierijas, mazliet zīlēšanas un šķipsniņa Maltego, un jūs esat ceļā uz DCC jaucējkoda uzlaušanu.

Es iesaku beigt šeit. Mēs atgriezīsimies pie šīs tēmas citos ierakstos un apskatīsim vēl lēnākas un slēptākas uzbrukuma metodes, turpinot veidot Impacket lielisko utilītu komplektu.

Avots: www.habr.com