موږ په منظمه توګه د دې په اړه لیکو چې څنګه هیکران اکثرا په استحصال تکیه کوي
له بلې خوا، زه نه غواړم کارمندان شیطاني کړم ځکه چې هیڅوک نه غواړي د اورویل 1984 څخه مستقیم په سوداګرۍ چاپیریال کې کار وکړي. خوشبختانه ، یو شمیر عملي ګامونه او د ژوند هیکونه شتون لري چې کولی شي د داخلي خلکو لپاره ژوند خورا ستونزمن کړي. موږ به غور وکړو د پټ برید طریقېد ځینو تخنیکي شالید سره د کارمندانو لخوا د هیکرانو لخوا کارول کیږي. او یو څه نور به موږ د دې ډول خطرونو کمولو لپاره په اختیارونو بحث وکړو - موږ به دواړه تخنیکي او تنظیمي اختیارونه مطالعه کړو.
د PsExec سره څه شی دی؟
اډوارډ سنوډن، په سمه یا غلطه توګه، د داخلي معلوماتو غلا سره مترادف شوی. په لاره کې، مه هېروئ چې یو نظر وګورئ
پرځای یې، سنوډن یو څه ټولنیز انجینرۍ وکاروله او د سیسټم مدیر په توګه یې خپل موقف د پاسورډونو راټولولو او اسنادو رامینځته کولو لپاره وکارول. هیڅ شی پیچلی ندی - هیڅ شی
سازماني کارمندان تل د سنوډن په ځانګړي موقعیت کې نه وي، مګر د "څارویو په واسطه د بقا" مفهوم څخه یو شمیر درسونه زده شوي دي ترڅو پوه شي - په کوم ناوړه فعالیت کې ښکیل نه وي چې کشف کیدی شي، او په ځانګړې توګه. د اسنادو په کارولو کې محتاط اوسئ. دا فکر په یاد ولرئ.
Mimikatz د LSASS پروسې څخه د NTLM هش مداخله کوي او بیا د نښه یا اسناد لیږدوي - چې ورته ویل کیږي. د "هیش پاس" برید - په psexec کې، برید کونکي ته اجازه ورکوي چې بل سرور ته ننوځي بل کارن او نوي سرور ته د هر راتلونکي حرکت سره، برید کونکی اضافي اسناد راټولوي، د شته منځپانګو په لټون کې د خپلو وړتیاوو لړۍ پراخوي.
کله چې ما د لومړي ځل لپاره د psexec سره کار پیل کړ دا ماته جادو ښکاري - مننه
د psexec په اړه لومړی په زړه پوری حقیقت دا دی چې دا خورا پیچلي کاروي د SMB شبکې فایل پروتوکول د مایکروسافټ څخه. د SMB په کارولو سره، psexec کوچني لیږدوي بائنری د هدف سیسټم ته فایلونه، په C: وینډوز فولډر کې ځای پرځای کول.
بیا ، psexec د کاپي شوي بائنری په کارولو سره د وینډوز خدمت رامینځته کوي او دا د خورا "غیر متوقع" نوم PSEXECSVC لاندې پرمخ وړي. په ورته وخت کې، تاسو واقعیا دا ټول لیدلی شئ، لکه څنګه چې ما وکړل، د ریموټ ماشین په لیدلو سره (لاندې وګورئ).
د Psexec د زنګ وهلو کارت: "PSEXECSVC" خدمت. دا یو بائنری فایل چلوي چې د SMB له لارې په C: وینډوز فولډر کې ځای په ځای شوی و.
د وروستي ګام په توګه، کاپي شوي بائنری فایل خلاصیږي د RPC پیوستون د هدف سرور ته او بیا د کنټرول کمانډونه مني (د وینډوز cmd شیل له لارې په ډیفالټ) ، دوی یې په لاره اچولي او د برید کونکي کور ماشین ته ان پټ او آوټ پوټ لیږل. په دې حالت کې، برید کوونکی د قوماندې بنسټیز کرښه ګوري - لکه څنګه چې هغه مستقیم وصل شوی.
ډیری برخې او خورا شور لرونکی پروسه!
د psexec پیچلي داخلي هغه پیغام تشریح کوي چې ما څو کاله دمخه زما د لومړي ازموینو په جریان کې حیران کړی و: "د PSEXECSVC پیل کول ..." د کمانډ پرامپټ څرګندیدو دمخه د وقفې وروسته.
د امپیکیټ Psexec واقعیا ښیې چې د هود لاندې څه تیریږي.
د حیرانتیا خبره نده: psexec د هود لاندې خورا لوی کار وکړ. که تاسو د نورو تفصيلي توضیحاتو سره علاقه لرئ ، دلته یې وګورئ
په ښکاره ډول، کله چې د سیسټم اداره کولو وسیله په توګه کارول کیږي، کوم چې و اصلي موخه psexec، د دې ټولو وینډوز میکانیزمونو "بجنګ" سره هیڅ شی نشته. په هرصورت، د برید کونکي لپاره، psexec به پیچلتیاوې رامینځته کړي، او د محتاط او هوښیار داخلي لکه سنوډن لپاره، psexec یا ورته ورته کار به خورا ډیر خطر وي.
او بیا Smbexec راځي
SMB د سرورونو تر مینځ د فایلونو لیږدولو یوه هوښیاره او پټه لاره ده ، او هیکران د پیړیو راهیسې مستقیم SMB ته نفوذ کوي. زه فکر کوم چې هرڅوک دمخه پوهیږي چې دا د دې ارزښت نلري
په Defcon 2013 کې، ایریک ملمن (
د psexec برعکس، smbexec مخنیوی کوي د هدف ماشین ته د احتمالي کشف شوي بائنری فایل لیږدول. پرځای یې، افادیت په بشپړه توګه له څړځای څخه د لانچ له لارې ژوند کوي ځايي د وینډوز کمانډ لاین.
دلته هغه څه دي چې دا یې کوي: دا د برید کونکي ماشین څخه د SMB له لارې ځانګړي ان پټ فایل ته کمانډ لیږدوي ، او بیا د پیچلي کمانډ لاین رامینځته کوي او چلوي (لکه د وینډوز خدمت) چې د لینکس کاروونکو ته پیژندل کیږي. په لنډه توګه: دا د وینډوز اصلي cmd شیل په لاره اچوي، محصول بل فایل ته لیږدوي، او بیا یې د SMB له لارې بیرته د برید کونکي ماشین ته لیږي.
د دې پوهیدو غوره لاره د کمانډ لاین ته کتل دي ، کوم چې ما د پیښې لاګ څخه خپل لاسونه ترلاسه کول (لاندې وګورئ).
ایا دا د I/O د لیږلو ترټولو غوره لاره نه ده؟ په هرصورت ، د خدماتو رامینځته کول د پیښې ID 7045 لري.
د psexec په څیر، دا یو خدمت هم رامینځته کوي چې ټول کار کوي، مګر بیا وروسته خدمت لرې کړل - دا یوازې یو ځل د قوماندې چلولو لپاره کارول کیږي او بیا ورک کیږي! د معلوماتو امنیت افسر چې د قرباني ماشین څارنه کوي نشي کولی کشف کړي ښکاره د برید شاخصونه: هیڅ ناوړه فایل نه دی پیل شوی، هیڅ دوامداره خدمت نه دی نصب شوی، او د RPC کارولو هیڅ شواهد شتون نلري ځکه چې SMB د معلوماتو لیږد یوازینۍ وسیله ده. ګرانه!
د برید کونکي له خوا، یو "سیډو شیل" د قوماندې لیږلو او ځواب ترلاسه کولو ترمنځ ځنډ سره شتون لري. مګر دا د برید کونکي لپاره کافي دی - یا یو داخلي یا یو بهرنی هیکر چې دمخه یې پښه لري - د زړه پورې مینځپانګې په لټه کې پیل کولو لپاره.
د هدف ماشین څخه د برید کونکي ماشین ته د معلوماتو بیرته ورکولو لپاره ، دا کارول کیږي
راځئ چې یو ګام بیرته واخلو او فکر وکړو چې دا د کارمند لپاره څه کولی شي. زما په جعلي سناریو کې، راځئ چې ووایو یو بلاګر، مالي شنونکی یا لوړ معاش لرونکي امنیتي مشاور اجازه لري چې د کار لپاره شخصي لپ ټاپ وکاروي. د ځینې جادو پروسې په پایله کې، هغه په شرکت کې سرغړونه کوي او "ټول خراب کیږي." د لپ ټاپ عملیاتي سیسټم پورې اړه لري، دا یا د اغیزې څخه د Python نسخه کاروي، یا د وینډوز نسخه smbexec یا smbclient د .exe فایل په توګه کاروي.
د سنوډن په څیر، هغه یا د خپل اوږو په کتلو سره د بل کارونکي پاسورډ پیدا کوي، یا هغه خوشحاله کیږي او د پاسورډ سره د متن فایل ته مخه کوي. او د دې اسنادو په مرسته، هغه د نوي امتیازاتو په کچه د سیسټم شاوخوا کیندل پیل کوي.
د DCC هیک کول: موږ هیڅ "احمق" ممیکاټز ته اړتیا نلرو
د پینټیسټینګ په اړه زما په تیرو پوسټونو کې ، ما ډیری وختونه mimikatz کارولي. دا د اعتبارونو د مینځلو لپاره عالي وسیله ده - NTLM هشونه او حتی د لیپټاپ دننه پټ پټ متن پاک کړئ ، یوازې د کارولو لپاره انتظار باسي.
وختونه بدل شوي دي. د څارنې وسیلې د mimikatz په کشف او بندولو کې ښه شوي. د معلوماتو امنیت مدیران هم اوس د هاش (PtH) بریدونو سره تړلي خطرونو کمولو لپاره ډیر اختیارونه لري.
نو یو هوښیار کارمند باید د mimikatz کارولو پرته د اضافي اسنادو راټولولو لپاره څه وکړي؟
د امپاکیټ کټ کې یو استعمال شامل دی چې نوم یې دی
د DCC هشونه دي نه NTML hashes او دوی د PtH برید لپاره نشي کارول کیدی.
ښه، تاسو کولی شئ د اصلي پټنوم ترلاسه کولو لپاره د دوی هیک کولو هڅه وکړئ. په هرصورت، مایکروسافټ د DCC سره هوښیار شوی او د DCC هشونه د کریک کولو خورا ستونزمن شوي. هو، زه لرم
پرځای یې، راځئ چې د سنوډن په څیر فکر وکړو. یو کارمند کولی شي مخامخ ټولنیز انجینرۍ ترسره کړي او ممکن د هغه چا په اړه ځینې معلومات ومومي چې د هغه پاسورډ یې ماتول غواړي. د مثال په توګه، معلومه کړئ چې آیا د چا آنلاین حساب کله هم هک شوی او د هر ډول نښو لپاره د دوی د واضح متن پاسورډ معاینه کړئ.
او دا هغه سناریو ده چې ما پریکړه وکړه چې ورسره لاړ شم. راځئ چې فرض کړو چې یو داخلي پوه شو چې د هغه مالک، کرویلا، په مختلفو ویب سرچینو کې څو ځله هیک شوی و. د دې ډیری پاسورډونو تحلیل کولو وروسته، هغه پوهیږي چې کرویلا غوره کوي چې د بیسبال ټیم نوم "Yankees" بڼه وکاروي چې د روان کال په تعقیب - "Yankees2015".
که تاسو اوس هڅه کوئ چې دا په کور کې بیا تولید کړئ، نو تاسو کولی شئ یو کوچنی ډاونلوډ کړئ، "C"
د داخلي رول په ګوته کولو سره ، ما ډیری مختلف ترکیبونه هڅه وکړه او په پای کې وتوانیدم چې د کرویلا پټنوم "یانکیز 2019" و (لاندې وګورئ). ماموريت بشپړ شو!
یو کوچنی ټولنیز انجینرۍ، د قسمت ویلو یو ډش او د مالټیګو یو څنډه او تاسو د DCC هش کریک کولو په لاره کې یاست.
زه وړاندیز کوم چې موږ دلته پای ته ورسوو. موږ به په نورو پوسټونو کې دې موضوع ته راستون شو او حتی د خورا ورو او پټ برید میتودونو ته به وګورو ، د امپیکیټ غوره اسانتیاو رامینځته کولو ته دوام ورکوو.
سرچینه: www.habr.com