Бид хакерууд ихэвчлэн мөлжлөгт хэрхэн найдаж байгаа талаар тогтмол бичдэг илрүүлэхээс зайлсхийхийн тулд. Тэд шууд утгаараа , Windows-ийн стандарт хэрэгслүүдийг ашиглан вирусны эсрэг болон бусад хэрэгслийг алгасаж, хортой үйл ажиллагааг илрүүлдэг. Хамгаалагчдын хувьд бид хакердах ийм ухаалаг аргын таагүй үр дагаврыг даван туулахаас өөр аргагүйд хүрч байна: сайн байрласан ажилтан мэдээлэл (компанийн оюуны өмч, зээлийн картын дугаар) нууцаар хулгайлахдаа ижил аргыг ашиглаж болно. Хэрэв тэр яарахгүй, харин удаан, чимээгүй ажиллавал энэ нь маш хэцүү байх болно, гэхдээ тэр зөв арга барил, зөв арга барилыг ашиглавал боломжтой хэвээр байна. , — ийм үйл ажиллагааг тодорхойлох.
Нөгөөтэйгүүр, хэн ч Орвелийн 1984 оны бизнесийн орчинд ажиллахыг хүсэхгүй байгаа тул би ажилчдыг чөтгөр болгохыг хүсэхгүй байна. Аз болоход, дотоод хүмүүсийн амьдралыг илүү хэцүү болгож болох хэд хэдэн практик алхамууд болон лайф хакерууд байдаг. Бид авч үзэх болно далд халдлагын аргууд, зарим техникийн мэдлэгтэй ажилтнууд хакеруудад ашигладаг. Цаашид бид ийм эрсдэлийг бууруулах хувилбаруудын талаар ярилцах болно - техникийн болон зохион байгуулалтын аль алиныг нь судлах болно.
PsExec-д юу нь буруу байна вэ?
Эдвард Сноуден зөв ч бай буруу ч бай дотоод мэдээллийн хулгайтай ижил утгатай болсон. Дашрамд хэлэхэд, үзэхээ бүү мартаарай Алдар нэр хүндтэй байх ёстой бусад хүмүүсийн тухай. Сноудены ашигласан аргуудын талаар онцлох нэг чухал зүйл бол бидний мэдэж байгаагаар тэрээр суулгаагүй гадны хортой програм хангамж байхгүй!
Үүний оронд Сноуден нийгмийн инженерчлэлийг бага зэрэг ашиглаж, системийн администраторын албан тушаалаа ашиглан нууц үг цуглуулж, итгэмжлэл бий болгосон. Ямар ч төвөгтэй зүйл байхгүй - байхгүй , халдлага буюу .
Байгууллагын ажилтнууд үргэлж Сноудены онцгой байр суурьтай байдаггүй ч "бэлчээрээр амьд үлдэх" гэсэн ойлголтоос суралцах хэд хэдэн сургамж байдаг - илрүүлж болох аливаа хортой үйл ажиллагаанд оролцохгүй байх, ялангуяа итгэмжлэлийг ашиглахдаа болгоомжтой байгаарай. Энэ бодлыг санаарай.
болон түүний үеэл тоо томшгүй олон пентестер, хакерууд, кибер аюулгүй байдлын блогчдыг гайхшруулсан. Мөн mimikatz-тай хослуулсан бол psexec нь халдагчдад тодорхой текстийн нууц үгийг мэдэх шаардлагагүйгээр сүлжээ дотор шилжих боломжийг олгодог.
Mimikatz нь LSASS процессоос NTLM хэшийг таслан зогсоож, дараа нь токен эсвэл итгэмжлэлийг дамжуулдаг. "хэшийг давах" халдлага – psexec-д халдагчид өөр сервер рүү нэвтрэх боломжийг олгодог өөр бас нэг хэрэглэгч. Дараа нь шинэ сервер рүү шилжих бүрт халдагчид нэмэлт итгэмжлэл цуглуулж, боломжтой контентыг хайх чадварынхаа хүрээг өргөжүүлдэг.
Би анх psexec-тэй ажиллаж эхлэхэд энэ нь надад ид шидийн мэт санагдаж байсан - баярлалаа , psexec-ийн гайхалтай хөгжүүлэгч - гэхдээ би түүний талаар бас мэддэг шуугиантай бүрэлдэхүүн хэсгүүд. Тэр хэзээ ч нууц биш!
Psexec-ийн талаархи анхны сонирхолтой баримт бол маш нарийн төвөгтэй програмыг ашигладаг SMB сүлжээний файлын протокол Microsoft-аас. SMB ашиглан psexec жижиг шилжүүлэг хийдэг хоёртын зорилтот систем рүү файлуудыг C: Windows хавтсанд байрлуулна.
Дараа нь, psexec нь хуулбарласан хоёртын файлыг ашиглан Windows үйлчилгээг үүсгэж, PSEXECSVC маш "санаагдашгүй" нэрээр ажиллуулдаг. Үүний зэрэгцээ та над шиг алсын машиныг хараад энэ бүгдийг харж болно (доороос харна уу).
Psexec-ийн ярианы карт: "PSEXECSVC" үйлчилгээ. Энэ нь C: Windows хавтсанд SMB-ээр байрлуулсан хоёртын файлыг ажиллуулдаг.
Эцсийн алхам болгон хуулсан хоёртын файл нээгдэнэ RPC холболт зорилтот сервер рүү илгээж, дараа нь хяналтын командуудыг (анхдагчаар Windows cmd бүрхүүлээр дамжуулан) хүлээн авч, тэдгээрийг ажиллуулж, оролт гаралтыг халдагчийн гэрийн машин руу дахин чиглүүлнэ. Энэ тохиолдолд халдагч шууд холбогдсонтой адил үндсэн командын мөрийг хардаг.
Маш олон бүрэлдэхүүн хэсэг, маш их чимээ шуугиантай процесс!
Psexec-ийн нарийн төвөгтэй дотоод хэсгүүд нь хэдэн жилийн өмнө миний анхны туршилтын үеэр миний гайхшралыг төрүүлсэн мессежийг тайлбарлаж байна: "PSEXECSVC-г эхлүүлж байна..." дараа нь тушаал хүлээх мөр гарч ирэхээс өмнө түр зогссон.
Impacket-ийн Psexec нь бүрээсний доор юу болж байгааг харуулж байна.
Гайхах зүйлгүй: psexec бүрээсний доор асар их ажил хийсэн. Хэрэв та илүү дэлгэрэнгүй тайлбарыг сонирхож байвал эндээс үзнэ үү гайхалтай тайлбар.
Системийн удирдлагын хэрэгсэл болгон ашигласан нь ойлгомжтой анхны зорилго psexec, Windows-ийн эдгээр бүх механизмын "шуугиан"-д буруу зүйл байхгүй. Харин халдагчийн хувьд psexec нь хүндрэл үүсгэдэг бөгөөд Сноуден шиг болгоомжтой, зальтай хүний хувьд psexec эсвэл үүнтэй төстэй хэрэгсэл нь хэтэрхий эрсдэлтэй байх болно.
Дараа нь Smbexec ирдэг
SMB нь сервер хооронд файл дамжуулах ухаалаг бөгөөд нууцлаг арга бөгөөд хакерууд олон зууны турш SMB руу шууд нэвтэрсээр ирсэн. Энэ нь үнэ цэнэтэй зүйл биш гэдгийг хүн бүр мэддэг байх гэж бодож байна SMB портууд 445 ба 139 Интернэтэд, тийм үү?
Defcon 2013 дээр Эрик Миллман () танилцуулсан , ингэснээр pentesters SMB нууц хакердах оролдлого хийх боломжтой. Би түүхийг бүхэлд нь мэдэхгүй байна, гэхдээ дараа нь Impacket smbexec-ийг улам боловсронгуй болгосон. Үнэн хэрэгтээ би туршилт хийхдээ Python дахь Impacket-аас скриптүүдийг татаж авсан .
Pexec-ээс ялгаатай нь smbexec зайлсхийдэг илэрсэн байж болзошгүй хоёртын файлыг зорилтот машин руу шилжүүлэх. Үүний оронд аж ахуйн нэгж нь бэлчээрээс хөөргөх хүртэл бүхэлдээ амьдардаг орон нутгийн Windows командын мөр.
Энэ нь юу хийдэг вэ: энэ нь SMB-ээр дамжуулан халдагч машинаас командыг тусгай оролтын файл руу дамжуулж, дараа нь Линукс хэрэглэгчдэд танил мэт санагдах нарийн төвөгтэй командын мөрийг (Windows үйлчилгээ гэх мэт) үүсгэж ажиллуулдаг. Товчхондоо: энэ нь Windows-ийн үндсэн cmd бүрхүүлийг ажиллуулж, гаралтыг өөр файл руу чиглүүлж, SMB-ээр дамжуулан халдагчийн машин руу буцааж илгээдэг.
Үүнийг ойлгох хамгийн сайн арга бол командын мөрийг харах явдал бөгөөд би үйл явдлын бүртгэлээс гартаа авч чадсан (доороос харна уу).
Энэ нь I/O-г дахин чиглүүлэх хамгийн шилдэг арга биш гэж үү? Дашрамд хэлэхэд үйлчилгээ бий болгоход үйл явдлын ID 7045 байна.
Psexec-ийн нэгэн адил энэ нь бүх ажлыг гүйцэтгэдэг үйлчилгээг бий болгодог, гэхдээ дараа нь үйлчилгээ хасагдсан - энэ нь командыг ажиллуулахад зөвхөн нэг удаа ашиглагдаж, дараа нь алга болно! Хохирогчийн машиныг хянаж байгаа мэдээллийн аюулгүй байдлын ажилтан илрүүлж чадахгүй ойлгомжтой Халдлагын үзүүлэлтүүд: Ямар ч хорлонтой файл ажиллуулаагүй, байнгын үйлчилгээ суулгаагүй, SMB нь өгөгдөл дамжуулах цорын ганц хэрэгсэл учраас RPC ашигласан нотлох баримт байхгүй. Гайхалтай!
Халдагчийн талаас команд илгээх болон хариу хүлээн авах хооронд саатал бүхий "псевдо-бүрхүүл"-ийг ашиглах боломжтой. Гэхдээ энэ нь халдагчид - дотоод эсвэл аль хэдийн хөл тавьсан гадны хакеруудад сонирхолтой контент хайж эхлэхэд хангалттай юм.
Зорилтот машинаас халдагчийн машин руу өгөгдөл гаргахын тулд үүнийг ашигладаг . Тиймээ, энэ бол яг л Самба , гэхдээ зөвхөн Impacket-р Python скрипт рүү хөрвүүлсэн. Үнэн хэрэгтээ, smbclient нь SMB дээр FTP дамжуулалтыг нууцаар зохион байгуулах боломжийг олгодог.
Энэ нь ажилтны хувьд юу хийж чадах талаар нэг алхам ухраад бодъё. Миний зохиомол хувилбарт блог хөтлөгч, санхүүгийн шинжээч эсвэл өндөр цалинтай аюулгүй байдлын зөвлөх ажилд хувийн зөөврийн компьютер ашиглахыг зөвшөөрсөн гэж үзье. Ямар нэгэн ид шидийн үйл явцын үр дүнд тэрээр компанидаа гомдож, "бүгд мууддаг". Зөөврийн компьютерын үйлдлийн системээс хамааран Impact-ийн Python хувилбар эсвэл smbexec эсвэл smbclient-ийн Windows хувилбарыг .exe файл болгон ашигладаг.
Сноудены нэгэн адил тэрээр өөр хэрэглэгчийн нууц үгийг мөрөн дээгүүрээ харж байгаад олдог, эсвэл аз таарч нууц үгтэй текст файлтай тааралддаг. Мөн эдгээр итгэмжлэлийн тусламжтайгаар тэрээр эрх ямбаны шинэ түвшинд системийг тойрон ухаж эхэлдэг.
Хакердах DCC: Бидэнд "тэнэг" Мимикатц хэрэггүй
Өмнөх pentesting нийтлэлүүддээ би mimikatz-ийг маш олон удаа ашигладаг байсан. Энэ нь NTLM хэш болон зөөврийн компьютер дотор нуугдаж байгаа, ашиглахыг хүлээж байгаа тодорхой текст нууц үг зэрэг итгэмжлэлийг таслан зогсоох гайхалтай хэрэгсэл юм.
Цаг үе өөрчлөгдсөн. Хяналтын хэрэгслүүд нь мимикатзыг илрүүлэх, хаахдаа илүү сайн болсон. Мэдээллийн аюулгүй байдлын администраторуудад хэш (PtH) халдлагатай холбоотой эрсдлийг бууруулах илүү олон сонголт бий.
Тэгэхээр ухаалаг ажилтан mimikatz ашиглахгүйгээр нэмэлт итгэмжлэл цуглуулахын тулд юу хийх ёстой вэ?
Impacket-ийн иж бүрдэл нь хэрэглүүрийг агуулдаг , энэ нь Домэйн итгэмжлэлийн кэш буюу товчоор DCC-ээс итгэмжлэлүүдийг авдаг. Миний ойлгож байгаагаар хэрэв домайн хэрэглэгч серверт нэвтэрсэн боловч домэйн хянагч боломжгүй бол DCC серверт хэрэглэгчийг баталгаажуулахыг зөвшөөрдөг. Ямар ч байсан secretsdump нь хэрэв боломжтой бол эдгээр бүх хэшийг хаях боломжийг танд олгоно.
DCC хэш нь NTML хэш биш мөн тэдгээрийг PtH халдлагад ашиглах боломжгүй.
За, та анхны нууц үгээ авахын тулд тэднийг хакердахыг оролдож болно. Гэсэн хэдий ч Майкрософт DCC-ийн тусламжтайгаар илүү ухаалаг болж, DCC хэшийг хаахад маш хэцүү болсон. Тиймээ, надад байгаа , "дэлхийн хамгийн хурдан нууц үг таагч" боловч үр дүнтэй ажиллахын тулд GPU шаардлагатай.
Үүний оронд Сноуден шиг сэтгэхийг хичээцгээе. Ажилтан нь нүүр тулан нийгмийн инженерчлэл хийж, нууц үгээ эвдэхийг хүссэн хүнийхээ талаар зарим мэдээллийг олж мэдэх боломжтой. Жишээлбэл, тухайн хүний онлайн данс хакердагдаж байсан эсэхийг олж мэдээд түүний нууц үгэнд ямар нэгэн сэжүүр байгаа эсэхийг шалгаарай.
Энэ бол миний явахаар шийдсэн хувилбар юм. Түүний босс Круелла өөр өөр вэб эх сурвалжууд дээр хэд хэдэн удаа хакердагдсаныг нэгэн мэдээлсэн гэж бодъё. Эдгээр хэд хэдэн нууц үгэнд дүн шинжилгээ хийсний дараа тэрээр Круелла бейсболын багийн "Yankees" нэрийн дараа тухайн жилийн "Yankees2015" гэсэн форматыг ашиглахыг илүүд үздэг болохыг ойлгов.
Хэрэв та одоо үүнийг гэртээ хуулбарлах гэж байгаа бол жижиг "C" татаж авах боломжтой. , DCC хэш алгоритмыг хэрэгжүүлдэг бөгөөд түүнийг эмхэтгэдэг. , дашрамд хэлэхэд, DCC-д дэмжлэг нэмсэн тул үүнийг бас ашиглаж болно. Инсайдер Жон Рипперийг сурахыг хүсэхгүй байгаа бөгөөд хуучин С код дээр "gcc" ажиллуулах дуртай гэж бодъё.
Би дотоод хүний дүрд хувирч хэд хэдэн өөр хослолыг туршиж үзсэн бөгөөд эцэст нь Круеллагийн нууц үг "Yankees2019" гэдгийг олж мэдсэн (доороос үзнэ үү). Даалгавар биелэгдэлээ!
Жаахан нийгмийн инженерчлэл, бага зэрэг аз, нэг чимх Малтего та DCC хэшийг эвдэх замдаа сайн байна.
Энд дуусгахыг санал болгож байна. Бид бусад нийтлэлүүддээ энэ сэдэв рүү буцаж, илүү удаан бөгөөд нууцлаг халдлагын аргуудыг авч үзэх бөгөөд Impacket-ийн маш сайн хэрэгслүүд дээр үргэлжлүүлэн ажиллах болно.
Эх сурвалж: www.habr.com