موږ په منظمه توګه د دې په اړه لیکو چې څنګه هیکران اکثرا په استحصال تکیه کوي د کشف څخه مخنیوي لپاره. دوی په لفظي توګه دي ، د معیاري وینډوز وسیلو په کارولو سره ، په دې توګه د ناوړه فعالیت کشف کولو لپاره د انټي ویروسونو او نورو اسانتیاو څخه تیریږي. موږ، د مدافعینو په توګه، اوس مجبور یو چې د داسې چالاک هیکنګ تخنیکونو بدبختانه پایلو سره معامله وکړو: یو ښه کارمند کولی شي د پټو معلوماتو غلا کولو لپاره ورته طریقه وکاروي (د شرکت فکري ملکیت، د کریډیټ کارت شمیرې). او که چیرې هغه بیړه ونه کړي ، مګر په ورو او خاموشۍ سره کار وکړي ، نو دا به خورا ستونزمن وي - مګر بیا هم ممکنه وي که چیرې هغه سمه لاره او مناسبه وکاروي. ، - د دې ډول فعالیت پیژندلو لپاره.
له بلې خوا، زه نه غواړم کارمندان شیطاني کړم ځکه چې هیڅوک نه غواړي د اورویل 1984 څخه مستقیم په سوداګرۍ چاپیریال کې کار وکړي. خوشبختانه ، یو شمیر عملي ګامونه او د ژوند هیکونه شتون لري چې کولی شي د داخلي خلکو لپاره ژوند خورا ستونزمن کړي. موږ به غور وکړو د پټ برید طریقېد ځینو تخنیکي شالید سره د کارمندانو لخوا د هیکرانو لخوا کارول کیږي. او یو څه نور به موږ د دې ډول خطرونو کمولو لپاره په اختیارونو بحث وکړو - موږ به دواړه تخنیکي او تنظیمي اختیارونه مطالعه کړو.
د PsExec سره څه شی دی؟
اډوارډ سنوډن، په سمه یا غلطه توګه، د داخلي معلوماتو غلا سره مترادف شوی. په لاره کې، مه هېروئ چې یو نظر وګورئ د نورو داخلي کسانو په اړه چې د یو څه شهرت حیثیت هم مستحق دي. یو مهم ټکی چې د سنوډن لخوا کارول شوي میتودونو په اړه د ټینګار وړ دی دا دی چې زموږ د غوره پوهې سره سم، هغه نه دی نصب کړی هیڅ بهرنی ناوړه سافټویر نشته!
پرځای یې، سنوډن یو څه ټولنیز انجینرۍ وکاروله او د سیسټم مدیر په توګه یې خپل موقف د پاسورډونو راټولولو او اسنادو رامینځته کولو لپاره وکارول. هیڅ شی پیچلی ندی - هیڅ شی ، بریدونه او یا .
سازماني کارمندان تل د سنوډن په ځانګړي موقعیت کې نه وي، مګر د "څارویو په واسطه د بقا" مفهوم څخه یو شمیر درسونه زده شوي دي ترڅو پوه شي - په کوم ناوړه فعالیت کې ښکیل نه وي چې کشف کیدی شي، او په ځانګړې توګه. د اسنادو په کارولو کې محتاط اوسئ. دا فکر په یاد ولرئ.
او د تره زوی بې شمیره پینټیسټران، هیکران، او د سایبر امنیت بلاګران اغیزمن کړي. او کله چې د mimikatz سره یوځای شي، psexec برید کونکو ته اجازه ورکوي چې په شبکه کې حرکت وکړي پرته لدې چې د کلیر متن پټنوم پوهیدو ته اړتیا ولري.
Mimikatz د LSASS پروسې څخه د NTLM هش مداخله کوي او بیا د نښه یا اسناد لیږدوي - چې ورته ویل کیږي. د "هیش پاس" برید - په psexec کې، برید کونکي ته اجازه ورکوي چې بل سرور ته ننوځي بل کارن او نوي سرور ته د هر راتلونکي حرکت سره، برید کونکی اضافي اسناد راټولوي، د شته منځپانګو په لټون کې د خپلو وړتیاوو لړۍ پراخوي.
کله چې ما د لومړي ځل لپاره د psexec سره کار پیل کړ دا ماته جادو ښکاري - مننه ، د psexec عالي پراختیا کونکی - مګر زه د هغه په اړه هم پوهیږم شور اجزا. هغه هیڅکله پټ نه دی!
د psexec په اړه لومړی په زړه پوری حقیقت دا دی چې دا خورا پیچلي کاروي د SMB شبکې فایل پروتوکول د مایکروسافټ څخه. د SMB په کارولو سره، psexec کوچني لیږدوي بائنری د هدف سیسټم ته فایلونه، په C: وینډوز فولډر کې ځای پرځای کول.
بیا ، psexec د کاپي شوي بائنری په کارولو سره د وینډوز خدمت رامینځته کوي او دا د خورا "غیر متوقع" نوم PSEXECSVC لاندې پرمخ وړي. په ورته وخت کې، تاسو واقعیا دا ټول لیدلی شئ، لکه څنګه چې ما وکړل، د ریموټ ماشین په لیدلو سره (لاندې وګورئ).
د Psexec د زنګ وهلو کارت: "PSEXECSVC" خدمت. دا یو بائنری فایل چلوي چې د SMB له لارې په C: وینډوز فولډر کې ځای په ځای شوی و.
د وروستي ګام په توګه، کاپي شوي بائنری فایل خلاصیږي د RPC پیوستون د هدف سرور ته او بیا د کنټرول کمانډونه مني (د وینډوز cmd شیل له لارې په ډیفالټ) ، دوی یې په لاره اچولي او د برید کونکي کور ماشین ته ان پټ او آوټ پوټ لیږل. په دې حالت کې، برید کوونکی د قوماندې بنسټیز کرښه ګوري - لکه څنګه چې هغه مستقیم وصل شوی.
ډیری برخې او خورا شور لرونکی پروسه!
د psexec پیچلي داخلي هغه پیغام تشریح کوي چې ما څو کاله دمخه زما د لومړي ازموینو په جریان کې حیران کړی و: "د PSEXECSVC پیل کول ..." د کمانډ پرامپټ څرګندیدو دمخه د وقفې وروسته.
د امپیکیټ Psexec واقعیا ښیې چې د هود لاندې څه تیریږي.
د حیرانتیا خبره نده: psexec د هود لاندې خورا لوی کار وکړ. که تاسو د نورو تفصيلي توضیحاتو سره علاقه لرئ ، دلته یې وګورئ په زړه پورې توضیحات.
په ښکاره ډول، کله چې د سیسټم اداره کولو وسیله په توګه کارول کیږي، کوم چې و اصلي موخه psexec، د دې ټولو وینډوز میکانیزمونو "بجنګ" سره هیڅ شی نشته. په هرصورت، د برید کونکي لپاره، psexec به پیچلتیاوې رامینځته کړي، او د محتاط او هوښیار داخلي لکه سنوډن لپاره، psexec یا ورته ورته کار به خورا ډیر خطر وي.
او بیا Smbexec راځي
SMB د سرورونو تر مینځ د فایلونو لیږدولو یوه هوښیاره او پټه لاره ده ، او هیکران د پیړیو راهیسې مستقیم SMB ته نفوذ کوي. زه فکر کوم چې هرڅوک دمخه پوهیږي چې دا د دې ارزښت نلري SMB انټرنیټ ته 445 او 139 بندرونه، سمه ده؟
په Defcon 2013 کې، ایریک ملمن () وړاندې کړي ، نو د دې لپاره چې پینټیسټران کولی شي د SMB هیکنګ غلا هڅه وکړي. زه ټوله کیسه نه پوهیږم، مګر بیا Impacket smbexec نور هم ښه کړ. په حقیقت کې ، زما د ازموینې لپاره ، ما له Python کې د امپیکیټ څخه سکریپټونه ډاونلوډ کړل .
د psexec برعکس، smbexec مخنیوی کوي د هدف ماشین ته د احتمالي کشف شوي بائنری فایل لیږدول. پرځای یې، افادیت په بشپړه توګه له څړځای څخه د لانچ له لارې ژوند کوي ځايي د وینډوز کمانډ لاین.
دلته هغه څه دي چې دا یې کوي: دا د برید کونکي ماشین څخه د SMB له لارې ځانګړي ان پټ فایل ته کمانډ لیږدوي ، او بیا د پیچلي کمانډ لاین رامینځته کوي او چلوي (لکه د وینډوز خدمت) چې د لینکس کاروونکو ته پیژندل کیږي. په لنډه توګه: دا د وینډوز اصلي cmd شیل په لاره اچوي، محصول بل فایل ته لیږدوي، او بیا یې د SMB له لارې بیرته د برید کونکي ماشین ته لیږي.
د دې پوهیدو غوره لاره د کمانډ لاین ته کتل دي ، کوم چې ما د پیښې لاګ څخه خپل لاسونه ترلاسه کول (لاندې وګورئ).
ایا دا د I/O د لیږلو ترټولو غوره لاره نه ده؟ په هرصورت ، د خدماتو رامینځته کول د پیښې ID 7045 لري.
د psexec په څیر، دا یو خدمت هم رامینځته کوي چې ټول کار کوي، مګر بیا وروسته خدمت لرې کړل - دا یوازې یو ځل د قوماندې چلولو لپاره کارول کیږي او بیا ورک کیږي! د معلوماتو امنیت افسر چې د قرباني ماشین څارنه کوي نشي کولی کشف کړي ښکاره د برید شاخصونه: هیڅ ناوړه فایل نه دی پیل شوی، هیڅ دوامداره خدمت نه دی نصب شوی، او د RPC کارولو هیڅ شواهد شتون نلري ځکه چې SMB د معلوماتو لیږد یوازینۍ وسیله ده. ګرانه!
د برید کونکي له خوا، یو "سیډو شیل" د قوماندې لیږلو او ځواب ترلاسه کولو ترمنځ ځنډ سره شتون لري. مګر دا د برید کونکي لپاره کافي دی - یا یو داخلي یا یو بهرنی هیکر چې دمخه یې پښه لري - د زړه پورې مینځپانګې په لټه کې پیل کولو لپاره.
د هدف ماشین څخه د برید کونکي ماشین ته د معلوماتو بیرته ورکولو لپاره ، دا کارول کیږي . هو، دا هماغه سامبا دی ، مګر یوازې د Impacket لخوا Python سکریپټ ته بدل شوی. په حقیقت کې، smbclient تاسو ته اجازه درکوي چې په پټه توګه د SMB په اړه د FTP لیږد کوربه کړي.
راځئ چې یو ګام بیرته واخلو او فکر وکړو چې دا د کارمند لپاره څه کولی شي. زما په جعلي سناریو کې، راځئ چې ووایو یو بلاګر، مالي شنونکی یا لوړ معاش لرونکي امنیتي مشاور اجازه لري چې د کار لپاره شخصي لپ ټاپ وکاروي. د ځینې جادو پروسې په پایله کې، هغه په شرکت کې سرغړونه کوي او "ټول خراب کیږي." د لپ ټاپ عملیاتي سیسټم پورې اړه لري، دا یا د اغیزې څخه د Python نسخه کاروي، یا د وینډوز نسخه smbexec یا smbclient د .exe فایل په توګه کاروي.
د سنوډن په څیر، هغه یا د خپل اوږو په کتلو سره د بل کارونکي پاسورډ پیدا کوي، یا هغه خوشحاله کیږي او د پاسورډ سره د متن فایل ته مخه کوي. او د دې اسنادو په مرسته، هغه د نوي امتیازاتو په کچه د سیسټم شاوخوا کیندل پیل کوي.
د DCC هیک کول: موږ هیڅ "احمق" ممیکاټز ته اړتیا نلرو
د پینټیسټینګ په اړه زما په تیرو پوسټونو کې ، ما ډیری وختونه mimikatz کارولي. دا د اعتبارونو د مینځلو لپاره عالي وسیله ده - NTLM هشونه او حتی د لیپټاپ دننه پټ پټ متن پاک کړئ ، یوازې د کارولو لپاره انتظار باسي.
وختونه بدل شوي دي. د څارنې وسیلې د mimikatz په کشف او بندولو کې ښه شوي. د معلوماتو امنیت مدیران هم اوس د هاش (PtH) بریدونو سره تړلي خطرونو کمولو لپاره ډیر اختیارونه لري.
نو یو هوښیار کارمند باید د mimikatz کارولو پرته د اضافي اسنادو راټولولو لپاره څه وکړي؟
د امپاکیټ کټ کې یو استعمال شامل دی چې نوم یې دی ، کوم چې د ډومین کریډنشل کیچ څخه اسناد ترلاسه کوي ، یا د لنډ لپاره DCC. زما پوهه دا ده چې که د ډومین کاروونکي سرور ته ننوځي مګر د ډومین کنټرولر شتون نلري، DCC سرور ته اجازه ورکوي چې کاروونکي تصدیق کړي. په هرصورت، راز ډمپ تاسو ته اجازه درکوي چې دا ټول هشونه ډمپ کړئ که دوی شتون ولري.
د DCC هشونه دي نه NTML hashes او دوی د PtH برید لپاره نشي کارول کیدی.
ښه، تاسو کولی شئ د اصلي پټنوم ترلاسه کولو لپاره د دوی هیک کولو هڅه وکړئ. په هرصورت، مایکروسافټ د DCC سره هوښیار شوی او د DCC هشونه د کریک کولو خورا ستونزمن شوي. هو، زه لرم ، "د نړۍ ترټولو ګړندۍ پاسورډ اټکل کونکی" مګر دا د مؤثره چلولو لپاره GPU ته اړتیا لري.
پرځای یې، راځئ چې د سنوډن په څیر فکر وکړو. یو کارمند کولی شي مخامخ ټولنیز انجینرۍ ترسره کړي او ممکن د هغه چا په اړه ځینې معلومات ومومي چې د هغه پاسورډ یې ماتول غواړي. د مثال په توګه، معلومه کړئ چې آیا د چا آنلاین حساب کله هم هک شوی او د هر ډول نښو لپاره د دوی د واضح متن پاسورډ معاینه کړئ.
او دا هغه سناریو ده چې ما پریکړه وکړه چې ورسره لاړ شم. راځئ چې فرض کړو چې یو داخلي پوه شو چې د هغه مالک، کرویلا، په مختلفو ویب سرچینو کې څو ځله هیک شوی و. د دې ډیری پاسورډونو تحلیل کولو وروسته، هغه پوهیږي چې کرویلا غوره کوي چې د بیسبال ټیم نوم "Yankees" بڼه وکاروي چې د روان کال په تعقیب - "Yankees2015".
که تاسو اوس هڅه کوئ چې دا په کور کې بیا تولید کړئ، نو تاسو کولی شئ یو کوچنی ډاونلوډ کړئ، "C" ، کوم چې د DCC هیشینګ الګوریتم پلي کوي او تالیف کوي. په لاره کې، د DCC لپاره ملاتړ اضافه شوی، نو دا هم کارول کیدی شي. راځئ چې فرض کړو چې یو داخلي نه غواړي د جان ریپر زده کړې ځوروي او په میراثي C کوډ کې "gcc" چلول خوښوي.
د داخلي رول په ګوته کولو سره ، ما ډیری مختلف ترکیبونه هڅه وکړه او په پای کې وتوانیدم چې د کرویلا پټنوم "یانکیز 2019" و (لاندې وګورئ). ماموريت بشپړ شو!
یو کوچنی ټولنیز انجینرۍ، د قسمت ویلو یو ډش او د مالټیګو یو څنډه او تاسو د DCC هش کریک کولو په لاره کې یاست.
زه وړاندیز کوم چې موږ دلته پای ته ورسوو. موږ به په نورو پوسټونو کې دې موضوع ته راستون شو او حتی د خورا ورو او پټ برید میتودونو ته به وګورو ، د امپیکیټ غوره اسانتیاو رامینځته کولو ته دوام ورکوو.
سرچینه: www.habr.com