Scriem în mod regulat despre modul în care hackerii se bazează adesea pe exploatare
Pe de altă parte, nu aș vrea să demonizez angajații pentru că nimeni nu vrea să lucreze într-un mediu de afaceri chiar din 1984 a lui Orwell. Din fericire, există o serie de pași practici și trucuri de viață care pot face viața mult mai dificilă pentru cei din interior. Vom lua în considerare metode de atac sub acoperire, folosit de hackeri de către angajați cu un anumit bagaj tehnic. Și puțin mai departe vom discuta opțiunile de reducere a unor astfel de riscuri - vom studia atât opțiunile tehnice, cât și cele organizatorice.
Ce este în neregulă cu PsExec?
Edward Snowden, pe drept sau greșit, a devenit sinonim cu furtul de date din interior. Apropo, nu uitați să aruncați o privire la
În schimb, Snowden a folosit un pic de inginerie socială și și-a folosit poziția de administrator de sistem pentru a colecta parole și a crea acreditări. Nimic complicat - niciunul
Angajații organizației nu se află întotdeauna în poziția unică a lui Snowden, dar există o serie de lecții de învățat din conceptul de „supraviețuire prin pășunat” de care trebuie să fie conștienți - să nu se angajeze în nicio activitate rău intenționată care poate fi detectată și să fie mai ales atent la utilizarea acreditărilor. Amintește-ți acest gând.
Mimikatz interceptează hash-ul NTLM din procesul LSASS și apoi transmite simbolul sau acreditările - așa-numitele. atacul „trece hash”. – în psexec, permițând unui atacator să se conecteze la un alt server ca a altuia utilizator. Și cu fiecare mutare ulterioară pe un nou server, atacatorul colectează acreditări suplimentare, extinzându-și gama de capabilități în căutarea conținutului disponibil.
Când am început să lucrez cu psexec, mi s-a părut magic - mulțumesc
Primul fapt interesant despre psexec este că folosește extrem de complex Protocolul fișierelor de rețea SMB de la Microsoft. Folosind SMB, psexec transferă mic binar fișierele către sistemul țintă, plasându-le în folderul C:Windows.
Apoi, psexec creează un serviciu Windows folosind binarul copiat și îl rulează sub numele extrem de „neașteptat” PSEXECSVC. În același timp, puteți vedea toate acestea, ca și mine, urmărind o mașină de la distanță (vezi mai jos).
Cartela de vizită a lui Psexec: serviciul „PSEXECSVC”. Rulează un fișier binar care a fost plasat prin SMB în folderul C:Windows.
Ca pas final, se deschide fișierul binar copiat conexiune RPC către serverul țintă și apoi acceptă comenzi de control (prin shell-ul Windows cmd în mod implicit), lansându-le și redirecționând intrarea și ieșirea către mașina de acasă a atacatorului. În acest caz, atacatorul vede linia de comandă de bază - la fel ca și cum ar fi conectat direct.
O mulțime de componente și un proces foarte zgomotos!
Elementele interne complexe ale psexec explică mesajul care m-a nedumerit în timpul primelor mele teste în urmă cu câțiva ani: „Se pornește PSEXECSVC...” urmat de o pauză înainte să apară promptul de comandă.
Psexecul lui Impacket arată de fapt ce se întâmplă sub capotă.
Nu este surprinzător: psexec a făcut o cantitate imensă de muncă sub capotă. Dacă sunteți interesat de o explicație mai detaliată, consultați aici
Evident, atunci când a fost folosit ca instrument de administrare a sistemului, care a fost scopul original psexec, nu este nimic în neregulă cu „zgomotul” tuturor acestor mecanisme Windows. Pentru un atacator, totuși, psexec ar crea complicații, iar pentru un insider prudent și viclean precum Snowden, psexec sau o utilitate similară ar fi un risc prea mare.
Și apoi vine Smbexec
SMB este o modalitate inteligentă și secretă de a transfera fișiere între servere, iar hackerii s-au infiltrat direct în SMB de secole. Cred că toată lumea știe deja că nu merită
La Defcon 2013, Eric Millman (
Spre deosebire de psexec, smbexec evita transferarea unui fișier binar potențial detectat la mașina țintă. În schimb, utilitatea trăiește în întregime de la pășune până la lansare local Linia de comandă Windows.
Iată ce face: transmite o comandă de la mașina atacatoare prin SMB către un fișier de intrare special, apoi creează și rulează o linie de comandă complexă (cum ar fi un serviciu Windows) care va părea familiară utilizatorilor Linux. Pe scurt: lansează un shell cmd nativ Windows, redirecționează rezultatul către un alt fișier și apoi îl trimite prin SMB înapoi la mașina atacatorului.
Cel mai bun mod de a înțelege acest lucru este să te uiți la linia de comandă, pe care am putut să-mi pun mâna din jurnalul de evenimente (vezi mai jos).
Nu este acesta cel mai bun mod de a redirecționa I/O? Apropo, crearea serviciului are ID de eveniment 7045.
La fel ca psexec, creează și un serviciu care face toată munca, dar serviciul după aceea șters – este folosit o singură dată pentru a rula comanda și apoi dispare! Un ofițer de securitate a informațiilor care monitorizează aparatul unei victime nu va putea detecta evident Indicatori de atac: Nu există niciun fișier rău intenționat care este lansat, nu este instalat niciun serviciu persistent și nu există nicio dovadă că RPC este utilizat, deoarece SMB este singurul mijloc de transfer de date. Sclipitor!
Din partea atacatorului, este disponibilă o „pseudo-shell” cu întârzieri între trimiterea comenzii și primirea răspunsului. Dar acest lucru este suficient pentru ca un atacator - fie un insider sau un hacker extern care are deja un punct de sprijin - să înceapă să caute conținut interesant.
Pentru a scoate date înapoi de la mașina țintă la mașina atacatorului, acestea sunt utilizate
Să facem un pas înapoi și să ne gândim la ce poate face acest lucru pentru angajat. În scenariul meu fictiv, să presupunem că un blogger, un analist financiar sau un consultant de securitate foarte plătit are voie să folosească un laptop personal pentru muncă. Ca rezultat al unui proces magic, ea se jignește în fața companiei și „merge totul rău”. În funcție de sistemul de operare al laptopului, fie folosește versiunea Python de la Impact, fie versiunea Windows a smbexec sau smbclient ca fișier .exe.
La fel ca Snowden, ea află parola unui alt utilizator fie uitându-se peste umăr, fie are noroc și dă peste un fișier text cu parola. Și cu ajutorul acestor acreditări, ea începe să sape în jurul sistemului la un nou nivel de privilegii.
Hacking DCC: Nu avem nevoie de niciun Mimikatz „prost”.
În postările mele anterioare despre pentesting, am folosit mimikatz foarte des. Acesta este un instrument excelent pentru interceptarea acreditărilor - hash-uri NTLM și chiar parole clare ascunse în interiorul laptopurilor, care abia așteaptă să fie folosite.
Vremurile s-au schimbat. Instrumentele de monitorizare au devenit mai bune în detectarea și blocarea mimikatz-ului. Administratorii de securitate a informațiilor au, de asemenea, acum mai multe opțiuni pentru a reduce riscurile asociate cu atacurile pass the hash (PtH).
Deci, ce ar trebui să facă un angajat inteligent pentru a colecta acreditări suplimentare fără a utiliza mimikatz?
Setul lui Impacket include un utilitar numit
Hashe-urile DCC sunt nu hash-uri NTML și lor nu poate fi folosit pentru atacul PtH.
Ei bine, puteți încerca să le piratați pentru a obține parola originală. Cu toate acestea, Microsoft a devenit mai inteligent cu DCC, iar hashurile DCC au devenit extrem de greu de spart. Da, am
În schimb, să încercăm să gândim ca Snowden. Un angajat poate efectua inginerie socială față în față și, eventual, poate afla câteva informații despre persoana a cărei parolă dorește să o spargă. De exemplu, aflați dacă contul online al persoanei a fost piratat vreodată și examinați-i parola în text clar pentru orice indicii.
Și acesta este scenariul pe care am decis să merg. Să presupunem că un insider a aflat că șeful său, Cruella, a fost piratat de mai multe ori pe diferite resurse web. După ce a analizat mai multe dintre aceste parole, își dă seama că Cruella preferă să folosească formatul numelui echipei de baseball „Yankees” urmat de anul curent – „Yankees2015”.
Dacă acum încercați să reproduceți acest lucru acasă, atunci puteți descărca un mic, „C”
Prefăcându-mi rolul unui insider, am încercat mai multe combinații diferite și în cele din urmă am reușit să descopăr că parola lui Cruella era „Yankees2019” (vezi mai jos). Misiune completa!
Puțină inginerie socială, un strop de ghicire și un vârf de Maltego și ești pe cale să spargi hash-ul DCC.
Vă sugerez să încheiem aici. Vom reveni la acest subiect în alte postări și vom analiza metodele de atac și mai lente și mai ascunse, continuând să construim pe setul excelent de utilități Impacket.
Sursa: www.habr.com