Бид хакерууд ихэвчлэн мөлжлөгт хэрхэн найдаж байгаа талаар тогтмол бичдэг
Нөгөөтэйгүүр, хэн ч Орвелийн 1984 оны бизнесийн орчинд ажиллахыг хүсэхгүй байгаа тул би ажилчдыг чөтгөр болгохыг хүсэхгүй байна. Аз болоход, дотоод хүмүүсийн амьдралыг илүү хэцүү болгож болох хэд хэдэн практик алхамууд болон лайф хакерууд байдаг. Бид авч үзэх болно далд халдлагын аргууд, зарим техникийн мэдлэгтэй ажилтнууд хакеруудад ашигладаг. Цаашид бид ийм эрсдэлийг бууруулах хувилбаруудын талаар ярилцах болно - техникийн болон зохион байгуулалтын аль алиныг нь судлах болно.
PsExec-д юу нь буруу байна вэ?
Эдвард Сноуден зөв ч бай буруу ч бай дотоод мэдээллийн хулгайтай ижил утгатай болсон. Дашрамд хэлэхэд, үзэхээ бүү мартаарай
Үүний оронд Сноуден нийгмийн инженерчлэлийг бага зэрэг ашиглаж, системийн администраторын албан тушаалаа ашиглан нууц үг цуглуулж, итгэмжлэл бий болгосон. Ямар ч төвөгтэй зүйл байхгүй - байхгүй
Байгууллагын ажилтнууд үргэлж Сноудены онцгой байр суурьтай байдаггүй ч "бэлчээрээр амьд үлдэх" гэсэн ойлголтоос суралцах хэд хэдэн сургамж байдаг - илрүүлж болох аливаа хортой үйл ажиллагаанд оролцохгүй байх, ялангуяа итгэмжлэлийг ашиглахдаа болгоомжтой байгаарай. Энэ бодлыг санаарай.
Mimikatz нь LSASS процессоос NTLM хэшийг таслан зогсоож, дараа нь токен эсвэл итгэмжлэлийг дамжуулдаг. "хэшийг давах" халдлага – psexec-д халдагчид өөр сервер рүү нэвтрэх боломжийг олгодог өөр бас нэг хэрэглэгч. Дараа нь шинэ сервер рүү шилжих бүрт халдагчид нэмэлт итгэмжлэл цуглуулж, боломжтой контентыг хайх чадварынхаа хүрээг өргөжүүлдэг.
Би анх psexec-тэй ажиллаж эхлэхэд энэ нь надад ид шидийн мэт санагдаж байсан - баярлалаа
Psexec-ийн талаархи анхны сонирхолтой баримт бол маш нарийн төвөгтэй програмыг ашигладаг SMB сүлжээний файлын протокол Microsoft-аас. SMB ашиглан psexec жижиг шилжүүлэг хийдэг хоёртын зорилтот систем рүү файлуудыг C: Windows хавтсанд байрлуулна.
Дараа нь, psexec нь хуулбарласан хоёртын файлыг ашиглан Windows үйлчилгээг үүсгэж, PSEXECSVC маш "санаагдашгүй" нэрээр ажиллуулдаг. Үүний зэрэгцээ та над шиг алсын машиныг хараад энэ бүгдийг харж болно (доороос харна уу).
Psexec-ийн ярианы карт: "PSEXECSVC" үйлчилгээ. Энэ нь C: Windows хавтсанд SMB-ээр байрлуулсан хоёртын файлыг ажиллуулдаг.
Эцсийн алхам болгон хуулсан хоёртын файл нээгдэнэ RPC холболт зорилтот сервер рүү илгээж, дараа нь хяналтын командуудыг (анхдагчаар Windows cmd бүрхүүлээр дамжуулан) хүлээн авч, тэдгээрийг ажиллуулж, оролт гаралтыг халдагчийн гэрийн машин руу дахин чиглүүлнэ. Энэ тохиолдолд халдагч шууд холбогдсонтой адил үндсэн командын мөрийг хардаг.
Маш олон бүрэлдэхүүн хэсэг, маш их чимээ шуугиантай процесс!
Psexec-ийн нарийн төвөгтэй дотоод хэсгүүд нь хэдэн жилийн өмнө миний анхны туршилтын үеэр миний гайхшралыг төрүүлсэн мессежийг тайлбарлаж байна: "PSEXECSVC-г эхлүүлж байна..." дараа нь тушаал хүлээх мөр гарч ирэхээс өмнө түр зогссон.
Impacket-ийн Psexec нь бүрээсний доор юу болж байгааг харуулж байна.
Гайхах зүйлгүй: psexec бүрээсний доор асар их ажил хийсэн. Хэрэв та илүү дэлгэрэнгүй тайлбарыг сонирхож байвал эндээс үзнэ үү
Системийн удирдлагын хэрэгсэл болгон ашигласан нь ойлгомжтой анхны зорилго psexec, Windows-ийн эдгээр бүх механизмын "шуугиан"-д буруу зүйл байхгүй. Харин халдагчийн хувьд psexec нь хүндрэл үүсгэдэг бөгөөд Сноуден шиг болгоомжтой, зальтай хүний хувьд psexec эсвэл үүнтэй төстэй хэрэгсэл нь хэтэрхий эрсдэлтэй байх болно.
Дараа нь Smbexec ирдэг
SMB нь сервер хооронд файл дамжуулах ухаалаг бөгөөд нууцлаг арга бөгөөд хакерууд олон зууны турш SMB руу шууд нэвтэрсээр ирсэн. Энэ нь үнэ цэнэтэй зүйл биш гэдгийг хүн бүр мэддэг байх гэж бодож байна
Defcon 2013 дээр Эрик Миллман (
Pexec-ээс ялгаатай нь smbexec зайлсхийдэг илэрсэн байж болзошгүй хоёртын файлыг зорилтот машин руу шилжүүлэх. Үүний оронд аж ахуйн нэгж нь бэлчээрээс хөөргөх хүртэл бүхэлдээ амьдардаг орон нутгийн Windows командын мөр.
Энэ нь юу хийдэг вэ: энэ нь SMB-ээр дамжуулан халдагч машинаас командыг тусгай оролтын файл руу дамжуулж, дараа нь Линукс хэрэглэгчдэд танил мэт санагдах нарийн төвөгтэй командын мөрийг (Windows үйлчилгээ гэх мэт) үүсгэж ажиллуулдаг. Товчхондоо: энэ нь Windows-ийн үндсэн cmd бүрхүүлийг ажиллуулж, гаралтыг өөр файл руу чиглүүлж, SMB-ээр дамжуулан халдагчийн машин руу буцааж илгээдэг.
Үүнийг ойлгох хамгийн сайн арга бол командын мөрийг харах явдал бөгөөд би үйл явдлын бүртгэлээс гартаа авч чадсан (доороос харна уу).
Энэ нь I/O-г дахин чиглүүлэх хамгийн шилдэг арга биш гэж үү? Дашрамд хэлэхэд үйлчилгээ бий болгоход үйл явдлын ID 7045 байна.
Psexec-ийн нэгэн адил энэ нь бүх ажлыг гүйцэтгэдэг үйлчилгээг бий болгодог, гэхдээ дараа нь үйлчилгээ хасагдсан - энэ нь командыг ажиллуулахад зөвхөн нэг удаа ашиглагдаж, дараа нь алга болно! Хохирогчийн машиныг хянаж байгаа мэдээллийн аюулгүй байдлын ажилтан илрүүлж чадахгүй ойлгомжтой Халдлагын үзүүлэлтүүд: Ямар ч хорлонтой файл ажиллуулаагүй, байнгын үйлчилгээ суулгаагүй, SMB нь өгөгдөл дамжуулах цорын ганц хэрэгсэл учраас RPC ашигласан нотлох баримт байхгүй. Гайхалтай!
Халдагчийн талаас команд илгээх болон хариу хүлээн авах хооронд саатал бүхий "псевдо-бүрхүүл"-ийг ашиглах боломжтой. Гэхдээ энэ нь халдагчид - дотоод эсвэл аль хэдийн хөл тавьсан гадны хакеруудад сонирхолтой контент хайж эхлэхэд хангалттай юм.
Зорилтот машинаас халдагчийн машин руу өгөгдөл гаргахын тулд үүнийг ашигладаг
Энэ нь ажилтны хувьд юу хийж чадах талаар нэг алхам ухраад бодъё. Миний зохиомол хувилбарт блог хөтлөгч, санхүүгийн шинжээч эсвэл өндөр цалинтай аюулгүй байдлын зөвлөх ажилд хувийн зөөврийн компьютер ашиглахыг зөвшөөрсөн гэж үзье. Ямар нэгэн ид шидийн үйл явцын үр дүнд тэрээр компанидаа гомдож, "бүгд мууддаг". Зөөврийн компьютерын үйлдлийн системээс хамааран Impact-ийн Python хувилбар эсвэл smbexec эсвэл smbclient-ийн Windows хувилбарыг .exe файл болгон ашигладаг.
Сноудены нэгэн адил тэрээр өөр хэрэглэгчийн нууц үгийг мөрөн дээгүүрээ харж байгаад олдог, эсвэл аз таарч нууц үгтэй текст файлтай тааралддаг. Мөн эдгээр итгэмжлэлийн тусламжтайгаар тэрээр эрх ямбаны шинэ түвшинд системийг тойрон ухаж эхэлдэг.
Хакердах DCC: Бидэнд "тэнэг" Мимикатц хэрэггүй
Өмнөх pentesting нийтлэлүүддээ би mimikatz-ийг маш олон удаа ашигладаг байсан. Энэ нь NTLM хэш болон зөөврийн компьютер дотор нуугдаж байгаа, ашиглахыг хүлээж байгаа тодорхой текст нууц үг зэрэг итгэмжлэлийг таслан зогсоох гайхалтай хэрэгсэл юм.
Цаг үе өөрчлөгдсөн. Хяналтын хэрэгслүүд нь мимикатзыг илрүүлэх, хаахдаа илүү сайн болсон. Мэдээллийн аюулгүй байдлын администраторуудад хэш (PtH) халдлагатай холбоотой эрсдлийг бууруулах илүү олон сонголт бий.
Тэгэхээр ухаалаг ажилтан mimikatz ашиглахгүйгээр нэмэлт итгэмжлэл цуглуулахын тулд юу хийх ёстой вэ?
Impacket-ийн иж бүрдэл нь хэрэглүүрийг агуулдаг
DCC хэш нь NTML хэш биш мөн тэдгээрийг PtH халдлагад ашиглах боломжгүй.
За, та анхны нууц үгээ авахын тулд тэднийг хакердахыг оролдож болно. Гэсэн хэдий ч Майкрософт DCC-ийн тусламжтайгаар илүү ухаалаг болж, DCC хэшийг хаахад маш хэцүү болсон. Тиймээ, надад байгаа
Үүний оронд Сноуден шиг сэтгэхийг хичээцгээе. Ажилтан нь нүүр тулан нийгмийн инженерчлэл хийж, нууц үгээ эвдэхийг хүссэн хүнийхээ талаар зарим мэдээллийг олж мэдэх боломжтой. Жишээлбэл, тухайн хүний онлайн данс хакердагдаж байсан эсэхийг олж мэдээд түүний нууц үгэнд ямар нэгэн сэжүүр байгаа эсэхийг шалгаарай.
Энэ бол миний явахаар шийдсэн хувилбар юм. Түүний босс Круелла өөр өөр вэб эх сурвалжууд дээр хэд хэдэн удаа хакердагдсаныг нэгэн мэдээлсэн гэж бодъё. Эдгээр хэд хэдэн нууц үгэнд дүн шинжилгээ хийсний дараа тэрээр Круелла бейсболын багийн "Yankees" нэрийн дараа тухайн жилийн "Yankees2015" гэсэн форматыг ашиглахыг илүүд үздэг болохыг ойлгов.
Хэрэв та одоо үүнийг гэртээ хуулбарлах гэж байгаа бол жижиг "C" татаж авах боломжтой.
Би дотоод хүний дүрд хувирч хэд хэдэн өөр хослолыг туршиж үзсэн бөгөөд эцэст нь Круеллагийн нууц үг "Yankees2019" гэдгийг олж мэдсэн (доороос үзнэ үү). Даалгавар биелэгдэлээ!
Жаахан нийгмийн инженерчлэл, бага зэрэг аз, нэг чимх Малтего та DCC хэшийг эвдэх замдаа сайн байна.
Энд дуусгахыг санал болгож байна. Бид бусад нийтлэлүүддээ энэ сэдэв рүү буцаж, илүү удаан бөгөөд нууцлаг халдлагын аргуудыг авч үзэх бөгөөд Impacket-ийн маш сайн хэрэгслүүд дээр үргэлжлүүлэн ажиллах болно.
Эх сурвалж: www.habr.com