Aħna niktbu regolarment dwar kif il-hackers spiss jiddependu fuq l-isfruttament biex jiġi evitat skoperta. Huma litteralment , billi tuża għodod standard tal-Windows, u b'hekk tevita l-antiviruses u utilitajiet oħra għall-iskoperta ta 'attività malizzjuża. Aħna, bħala difensuri, issa ninsabu sfurzati li nittrattaw il-konsegwenzi sfortunati ta 'tekniki ta' hacking għaqlija bħal dawn: impjegat f'pożizzjoni tajba jista 'juża l-istess approċċ biex jisraq data b'mod moħbi (proprjetà intellettwali tal-kumpanija, numri tal-karti ta' kreditu). U jekk ma jgħaġġelx, iżda jaħdem bil-mod u bil-kwiet, ikun estremament diffiċli - iżda xorta possibbli jekk juża l-approċċ it-tajjeb u l-approprjazzjoni xierqa. , — biex tidentifika tali attività.
Min-naħa l-oħra, ma nixtieqx niddemonizza lill-impjegati għax ħadd ma jrid jaħdem f'ambjent tan-negozju mill-ewwel ta' Orwell tal-1984. Fortunatament, hemm numru ta 'passi prattiċi u hacks tal-ħajja li jistgħu jagħmlu l-ħajja ħafna aktar diffiċli għall-persuni ta' ġewwa. Aħna ser nikkunsidraw metodi ta’ attakk moħbi, użat minn hackers minn impjegati b'xi sfond tekniku. U ftit aktar niddiskutu għażliet biex jitnaqqsu riskji bħal dawn - se nistudjaw kemm għażliet tekniċi kif ukoll organizzattivi.
X'hemm ħażin ma' PsExec?
Edward Snowden, bir-raġun jew ħażin, sar sinonimu mas-serq tad-dejta minn ġewwa. Mill-mod, ma ninsewx li tagħti ħarsa lejn dwar persuni ta’ ġewwa oħra li wkoll jistħoqqilhom xi status ta’ fama. Punt importanti li ta’ min jenfasizza dwar il-metodi li uża Snowden huwa li, sa fejn nafu tagħna, hu ma installax ebda softwer malizzjuż estern!
Minflok, Snowden uża ftit inġinerija soċjali u uża l-pożizzjoni tiegħu bħala amministratur tas-sistemi biex jiġbor passwords u joħloq kredenzjali. Xejn ikkumplikat - xejn , attakki jew .
L-impjegati tal-organizzazzjoni mhux dejjem ikunu fil-pożizzjoni unika ta’ Snowden, iżda hemm għadd ta’ lezzjonijiet li wieħed jista’ jitgħallem mill-kunċett ta’ “sopravivenza bir-ragħa” biex tkun konxju ta’ – biex ma tidħolx f’xi attività malizzjuża li tista’ tiġi skoperta, u biex tkun speċjalment attent bl-użu tal-kredenzjali. Ftakar dan il-ħsieb.
u kuġinu tiegħu impressjonaw għadd ta' pentesters, hackers, u bloggers taċ-ċibersigurtà. U meta kkombinat ma 'mimikatz, psexec jippermetti lill-attakkanti jiċċaqilqu f'netwerk mingħajr ma jkollhom bżonn ikunu jafu l-password tat-test ċar.
Mimikatz jinterċetta l-hash NTLM mill-proċess LSASS u mbagħad jgħaddi t-token jew il-kredenzjali - l-hekk imsejjaħ. attakk "pass the hash". – f'psexec, li jippermetti lil attakkant jidħol f'server ieħor bħala ta 'ieħor utent. U ma' kull ċaqliq sussegwenti għal server ġdid, l-attakkant jiġbor kredenzjali addizzjonali, u jespandi l-firxa tal-kapaċitajiet tiegħu fit-tfittxija għal kontenut disponibbli.
Meta bdejt naħdem mal-psexec għall-ewwel darba deherli maġiku - grazzi , l-iżviluppatur brillanti ta 'psexec - imma naf ukoll dwar tiegħu storbjuż komponenti. Hu qatt mhu sigriet!
L-ewwel fatt interessanti dwar psexec huwa li juża estremament kumpless Protokoll tal-fajl tan-netwerk SMB minn Microsoft. Bl-użu ta 'SMB, trasferimenti psexec żgħar binarju fajls għas-sistema fil-mira, tqegħidhom fil-folder C:Windows.
Sussegwentement, psexec joħloq servizz tal-Windows billi juża l-binarju kkupjat u jmexxih taħt l-isem estremament "mhux mistenni" PSEXECSVC. Fl-istess ħin, tista 'fil-fatt tara dan kollu, bħalma għamilt jien, billi tara magna remota (ara hawn taħt).
Il-karta tas-sejħa ta' Psexec: servizz "PSEXECSVC". Hija tmexxi fajl binarju li tqiegħed permezz ta 'SMB fil-folder C:Windows.
Bħala pass finali, il-fajl binarju kkupjat jiftaħ Konnessjoni RPC lis-server fil-mira u mbagħad jaċċetta kmandi ta 'kontroll (permezz tal-qoxra tal-Windows cmd b'mod awtomatiku), billi jniedihom u jidderieġi l-input u l-output lejn il-magna tad-dar tal-attakkant. F'dan il-każ, l-attakkant jara l-linja tal-kmand bażika - l-istess bħallikieku kien konness direttament.
Ħafna komponenti u proċess storbjuż ħafna!
L-interni kumplessi ta 'psexec jispjegaw il-messaġġ li ħawwadni matul l-ewwel testijiet tiegħi bosta snin ilu: "Nibda PSEXECSVC..." segwit minn pawża qabel ma jidher il-prompt tal-kmand.
Psexec ta 'Impacket fil-fatt juri x'inhu għaddej taħt il-barnuża.
Mhux sorprendenti: psexec għamel ammont kbir ta 'xogħol taħt il-barnuża. Jekk inti interessat fi spjegazzjoni aktar dettaljata, iċċekkja hawn deskrizzjoni mill-isbaħ.
Ovvjament, meta użat bħala għodda ta 'amministrazzjoni tas-sistema, li kien għan oriġinali psexec, m'hemm xejn ħażin bil-"buzzing" ta 'dawn il-mekkaniżmi kollha tal-Windows. Għal attakkant, madankollu, psexec joħloq kumplikazzjonijiet, u għal insider kawt u għaqli bħal Snowden, psexec jew utilità simili tkun wisq ta 'riskju.
U mbagħad jiġi Smbexec
SMB huwa mod għaqlija u sigriet biex jittrasferixxu fajls bejn servers, u l-hackers ilhom jinfiltraw SMB direttament għal sekli sħaħ. Naħseb li kulħadd diġà jaf li mhux worth it Portijiet SMB 445 u 139 għall-Internet, hux?
Fid-Defcon 2013, Eric Millman () ippreżentat , sabiex pentesters ikunu jistgħu jippruvaw hacking SMB stealth. Ma nafx l-istorja kollha, iżda mbagħad Impacket irfinat aktar smbexec. Fil-fatt, għall-ittestjar tiegħi, niżżilt l-iskripts minn Impacket f'Python minn .
B'differenza psexec, smbexec jevita jittrasferixxi fajl binarju potenzjalment skopert għall-magna fil-mira. Minflok, l-utilità tgħix kompletament mill-mergħa sat-tnedija lokali Linja tal-kmand tal-Windows.
Hawn x'tagħmel: tgħaddi kmand mill-magna li tattakka permezz ta 'SMB għal fajl ta' input speċjali, u mbagħad toħloq u tmexxi linja ta 'kmand kumplessa (bħal servizz tal-Windows) li tidher familjari għall-utenti tal-Linux. Fil-qosor: tniedi qoxra nattiva tal-Windows cmd, terġa 'tidderieġi l-output għal fajl ieħor, u mbagħad tibgħatha permezz ta' SMB lura lill-magna tal-attakkant.
L-aħjar mod biex nifhem dan huwa li nħares lejn il-linja tal-kmand, li stajt nikseb idejni fuq mill-ġurnal tal-avvenimenti (ara hawn taħt).
Mhux dan l-aqwa mod biex tirriindirizza l-I/O? Mill-mod, il-ħolqien tas-servizz għandu l-avveniment ID 7045.
Bħal psexec, joħloq ukoll servizz li jagħmel ix-xogħol kollu, iżda s-servizz wara dak imħassra – tintuża darba biss biex tmexxi l-kmand u mbagħad tisparixxi! Uffiċjal tas-sigurtà tal-informazzjoni li jimmonitorja l-magna tal-vittma ma jkunx jista' jiskopri ovvju Indikaturi ta 'attakk: M'hemm l-ebda fajl malizzjuż li qed jitnieda, l-ebda servizz persistenti mhu qed jiġi installat, u m'hemm l-ebda evidenza li RPC qed jintuża peress li SMB huwa l-uniku mezz ta' trasferiment tad-dejta. Brillanti!
Min-naħa tal-attakkant, "psewdo-shell" hija disponibbli b'dewmien bejn li tibgħat il-kmand u tirċievi r-rispons. Iżda dan huwa pjuttost biżżejjed biex attakkant - jew minn ġewwa jew hacker estern li diġà għandu sieq - jibda jfittex kontenut interessanti.
Biex toħroġ id-dejta lura mill-magna fil-mira għall-magna tal-attakkant, tintuża . Iva, huwa l-istess Samba , iżda kkonvertit biss għal skript Python minn Impacket. Fil-fatt, smbclient jippermettilek li tospita b'mod moħbi trasferimenti FTP fuq SMB.
Ejja nieħdu pass lura u naħsbu dwar x'jista' jagħmel dan għall-impjegat. Fix-xenarju fittizju tiegħi, ejja ngħidu blogger, analista finanzjarju jew konsulent tas-sigurtà bi ħlas għoli huwa permess li juża laptop personali għax-xogħol. Bħala riżultat taʼ xi proċess maġiku, hija toffendi l-kumpanija u "tmur ħażin." Skont is-sistema operattiva tal-laptop, jew juża l-verżjoni Python minn Impact, jew il-verżjoni tal-Windows ta 'smbexec jew smbclient bħala fajl .exe.
Bħal Snowden, issir taf il-password ta’ utent ieħor jew billi tħares minn fuq spallejha, jew tiġi xxurtjata u tfixkel fajl ta’ test bil-password. U bl-għajnuna ta 'dawn il-kredenzjali, hi tibda tħaffer madwar is-sistema f'livell ġdid ta' privileġġi.
Hacking DCC: M'għandniex bżonn xi Mimikatz "stupid".
Fil-postijiet preċedenti tiegħi dwar pentesting, użajt mimikatz ħafna drabi. Din hija għodda kbira għall-interċettazzjoni tal-kredenzjali - hashes NTLM u anke passwords ta' test ċar moħbija ġewwa laptops, qed jistennew li jintużaw.
Iż-żminijiet inbidlu. L-għodod ta' monitoraġġ saru aħjar fl-iskoperta u l-imblukkar tal-mimikatz. L-amministraturi tas-sigurtà tal-informazzjoni issa għandhom ukoll aktar għażliet biex inaqqsu r-riskji assoċjati mal-attakki pass the hash (PtH).
Allura x'għandu jagħmel impjegat intelliġenti biex jiġbor kredenzjali addizzjonali mingħajr ma juża mimikatz?
Kit Impacket jinkludi utilità imsejħa , li tirkupra l-kredenzjali mill-Domain Credential Cache, jew DCC fil-qosor. Nifhem li jekk utent tad-dominju jidħol fis-server iżda l-kontrollur tad-dominju ma jkunx disponibbli, DCC jippermetti lis-server jawtentika lill-utent. Xorta waħda, secretsdump jippermettilek li titfa 'dawn il-hashes kollha jekk ikunu disponibbli.
DCC hashes huma mhux hashes NTML u ma jistax jintuża għal attakk PtH.
Ukoll, inti tista 'tipprova Hack minnhom biex tikseb il-password oriġinali. Madankollu, Microsoft saret aktar intelliġenti bid-DCC u l-hashes DCC saru estremament diffiċli biex jitqassmu. Iva għandi , "l-iktar password guesser mgħaġġla fid-dinja," iżda teħtieġ GPU biex taħdem b'mod effettiv.
Minflok, ejja nippruvaw naħsbu bħal Snowden. Impjegat jista 'jwettaq inġinerija soċjali wiċċ imb wiċċ u possibilment issir taf xi informazzjoni dwar il-persuna li trid tixxaqqaq il-password tagħha. Pereżempju, sib jekk il-kont online tal-persuna qattx ġie hacked u eżamina l-password tat-test ċar tagħha għal xi ħjiel.
U dan huwa x-xenarju li ddeċidejt li mmur miegħu. Ejja nassumu li persuna minn ġewwa saret taf li l-kap tiegħu, Cruella, kien ġie hacked diversi drabi fuq riżorsi differenti tal-web. Wara li janalizza bosta minn dawn il-passwords, huwa jirrealizza li Cruella jippreferi juża l-format tal-isem tat-tim tal-baseball "Yankees" segwit mis-sena kurrenti - "Yankees2015".
Jekk issa qed tipprova tirriproduċi dan id-dar, allura tista' tniżżel żgħir, "C" , li jimplimenta l-algoritmu tal-hashing DCC, u jikkompilaha. , mill-mod, żied l-appoġġ għad-DCC, u għalhekk jista 'jintuża wkoll. Ejja nassumu li minn ġewwa ma jridx jiddejjaq jitgħallem lil John the Ripper u jħobb imexxi "gcc" fuq kodiċi C legacy.
Ftit li r-rwol ta 'insider, ippruvajt diversi kombinazzjonijiet differenti u eventwalment stajt niskopri li l-password ta' Cruella kienet "Yankees2019" (ara hawn taħt). Missjoni Tlesti!
Ftit ta’ inġinerija soċjali, daqqa ta’ xorti u niskata Malti u sejjer tajjeb biex tkisser id-DCC hash.
Nissuġġerixxi li nispiċċaw hawn. Ser nerġgħu lura għal dan is-suġġett f'postijiet oħra u nħarsu lejn metodi ta 'attakk saħansitra aktar bil-mod u stealth, u nkomplu nibnu fuq is-sett eċċellenti ta' utilitajiet ta 'Impacket.
Sors: www.habr.com