اسان باقاعده لکندا آهيون ته ڪيئن هيڪرز اڪثر استحصال تي ڀروسو ڪندا آهن ڳولڻ کان بچڻ لاء. اهي لفظي , معياري ونڊوز اوزار استعمال ڪندي، اهڙي طرح اينٽي وائرسز ۽ ٻين يوٽيلٽيز کي نظرانداز ڪندي بدڪاري واري سرگرمي کي ڳولڻ لاءِ. اسان، محافظن جي طور تي، هاڻي اهڙي چالاڪ هيڪنگ ٽيڪنڪ جي بدقسمتي نتيجن سان معاملو ڪرڻ تي مجبور آهيون: هڪ چڱي طرح رکيل ملازم ساڳئي طريقي سان ڊيٽا چوري ڪرڻ لاء استعمال ڪري سگهي ٿو (ڪمپني دانشورانه ملڪيت، ڪريڊٽ ڪارڊ نمبر). ۽ جيڪڏهن هو جلدي نه ٿو ڪري، پر سست ۽ خاموشيء سان ڪم ڪري ٿو، اهو انتهائي ڏکيو ٿيندو - پر اڃا به ممڪن آهي ته هو صحيح طريقي سان استعمال ڪري. , - اهڙي سرگرمي کي سڃاڻڻ لاء.
ٻئي طرف، مان نه ٿو چاهيان ته ملازمن کي بدنام ڪرڻ گهرجي ڇو ته ڪو به ماڻهو نه ٿو چاهي ڪاروبار ماحول ۾ ڪم ڪرڻ سڌو Orwell جي 1984 کان ٻاهر. خوشقسمتيءَ سان، اهڙا ڪيترائي عملي مرحلا ۽ لائف هيڪس آهن جيڪي زندگيءَ کي اندرين لاءِ وڌيڪ ڏکيو بڻائي سگهن ٿيون. اسان غور ڪنداسين ڳجهي حملي جا طريقا، هيڪرز طرفان استعمال ٿيل ملازمن طرفان ڪجهه ٽيڪنيڪل پس منظر سان. ۽ ٿورو اڳتي اسان اهڙن خطرن کي گهٽائڻ لاءِ اختيارن تي بحث ڪنداسين - اسان ٻنهي ٽيڪنيڪل ۽ تنظيمي اختيارن جو مطالعو ڪنداسين.
PsExec سان ڇا غلط آهي؟
ايڊورڊ سنوڊن، صحيح يا غلط، اندروني ڊيٽا چوري سان مترادف بڻجي چڪو آهي. رستي جي ذريعي، هڪ نظر وٺڻ نه وساريو ٻين اندروني بابت جيڪي پڻ ڪجهه شهرت جي حيثيت جا مستحق آهن. سنوڊن جي استعمال ڪيل طريقن جي باري ۾ هڪ اهم نقطو اهو آهي ته، اسان جي بهترين ڄاڻ موجب، هو. انسٽال نه ڪيو ڪوبه خارجي خراب سافٽ ويئر ناهي!
ان جي بدران، سنوڊن ٿورو سوشل انجنيئرنگ استعمال ڪيو ۽ پاسورڊ گڏ ڪرڻ ۽ سندون ٺاهڻ لاءِ هڪ سسٽم ايڊمنسٽريٽر جي حيثيت سان پنهنجي پوزيشن کي استعمال ڪيو. ڪجھ به پيچيده نه آھي - ڪجھ به نه ، حملا يا .
تنظيمي ملازم هميشه سنوڊن جي منفرد پوزيشن ۾ نه هوندا آهن، پر اتي ڪيترائي سبق آهن جن کي "چرڻ جي ذريعي بقا" جي تصور مان سکڻ گهرجي - ڪنهن به بدسلوڪي سرگرمي ۾ ملوث نه ٿيڻ جي باري ۾ ڄاڻڻ لاء، ۽ خاص طور تي اسناد جي استعمال سان محتاط. هن خيال کي ياد رکو.
۽ سندس ousيڻ بيشمار پينٽسٽرز، هيڪرز، ۽ سائبر سيڪيورٽي بلاگرز کي متاثر ڪيو آهي. ۽ جڏهن mimikatz سان گڏ، psexec حملي ڪندڙن کي نيٽ ورڪ ۾ منتقل ڪرڻ جي اجازت ڏئي ٿو بغير واضح ٽيڪسٽ پاسورڊ ڄاڻڻ جي ضرورت آهي.
Mimikatz NTLM هيش کي LSASS پروسيس مان روڪي ٿو ۽ پوءِ ٽوڪن يا سندون پاس ڪري ٿو - جنهن کي سڏيو ويندو آهي. "هش پاس ڪريو" حملو - psexec ۾، هڪ حملي ڪندڙ کي ٻئي سرور ۾ لاگ ان ٿيڻ جي اجازت ڏئي ٿي جيئن ٻيو استعمال ڪندڙ. ۽ هر ايندڙ ايندڙ منتقلي سان نئين سرور ڏانهن، حملو ڪندڙ اضافي سندون گڏ ڪري ٿو، دستياب مواد جي ڳولا ۾ ان جي صلاحيتن جي حد کي وڌايو.
جڏهن مون پهريون ڀيرو psexec سان ڪم ڪرڻ شروع ڪيو ته اهو مون لاءِ جادوئي لڳي - توهان جي مهرباني psexec جو شاندار ڊولپر - پر مان پڻ ڄاڻان ٿو هن جي باري ۾ شور ڪندڙ اجزاء. هو ڪڏهن به راز نه رکندو آهي!
psexec بابت پهرين دلچسپ حقيقت اها آهي ته اهو استعمال ڪري ٿو انتهائي پيچيده SMB نيٽ ورڪ فائل پروٽوڪول Microsoft کان. SMB استعمال ڪندي، psexec ننڍي منتقلي بائنري فائلون ٽارگيٽ سسٽم ڏانهن، انهن کي C: ونڊوز فولڊر ۾ رکڻ.
اڳيون، psexec ڪاپي ٿيل بائنري استعمال ڪندي ونڊوز سروس ٺاهي ٿو ۽ ان کي انتهائي "غير متوقع" نالو PSEXECSVC تحت هلائي ٿو. ساڳئي وقت، توهان اصل ۾ اهو سڀ ڪجهه ڏسي سگهو ٿا، جهڙوڪ مون ڪيو، ريموٽ مشين کي ڏسڻ سان (هيٺ ڏسو).
Psexec جو ڪالنگ ڪارڊ: "PSEXECSVC" سروس. اهو هڪ بائنري فائل هلائي ٿو جيڪا SMB ذريعي رکيل هئي C: ونڊوز فولڊر ۾.
آخري قدم جي طور تي، نقل ٿيل بائنري فائل کلي ٿي آر پي سي ڪنيڪشن ٽارگيٽ سرور ڏانهن ۽ پوء ڪنٽرول حڪمن کي قبول ڪري ٿو (ڊفالٽ طرفان ونڊوز سي ايم ڊي شيل ذريعي)، انهن کي لانچ ڪرڻ ۽ ان پٽ ۽ آئوٽ کي حملو ڪندڙ جي گهر واري مشين ڏانهن منتقل ڪرڻ. انهي حالت ۾، حملو ڪندڙ بنيادي ڪمانڊ لائن ڏسي ٿو - جيئن ته هو سڌو سنئون ڳنڍيل هو.
ڪيترائي اجزاء ۽ تمام گهڻو شور وارو عمل!
psexec جي پيچيده اندروني پيغام کي بيان ڪري ٿو جيڪو مون کي حيران ڪيو ويو منهنجي پهرين ٽيسٽ دوران ڪيترائي سال اڳ: "پي ايس ايڪس اي سي ايس وي سي سي شروع ڪندي ..." بعد ۾ حڪم جي پرامپٹ ظاهر ٿيڻ کان اڳ هڪ وقفو.
Impacket جي Psexec اصل ۾ ڏيکاري ٿو ته هود هيٺ ڇا ٿي رهيو آهي.
تعجب جي ڳالهه ناهي: psexec هود جي تحت ڪم جو هڪ وڏو مقدار ڪيو. جيڪڏهن توهان وڌيڪ تفصيلي وضاحت ۾ دلچسپي رکو ٿا، هتي چيڪ ڪريو شاندار وضاحت.
ظاهر آهي، جڏهن هڪ سسٽم انتظامي اوزار طور استعمال ڪيو ويو، جيڪو هو اصل مقصد psexec، انهن سڀني ونڊوز ميڪانيزم جي "buzzing" سان ڪجھ به غلط ناهي. هڪ حملي آور لاءِ، تنهن هوندي به، psexec پيچيدگيون پيدا ڪندو، ۽ سنوڊن، psexec يا اهڙي ساڳي افاديت وانگر محتاط ۽ چالاڪ اندروني لاءِ تمام گهڻو خطرو هوندو.
۽ پوء اچي ٿو Smbexec
ايس ايم بي سرورز جي وچ ۾ فائلن کي منتقل ڪرڻ لاء هڪ چالاڪ ۽ ڳجهو طريقو آهي، ۽ هيڪرز صدين کان سڌو سنئون ايس ايم بي کي ڦهلائي رهيا آهن. منهنجو خيال آهي ته هرڪو اڳ ۾ ئي ڄاڻي ٿو ته اهو ان جي لائق ناهي SMB بندرگاهن 445 ۽ 139 انٽرنيٽ ڏانهن، صحيح؟
Defcon 2013 تي، Eric Millman () پيش ڪيو ويو ، ته جيئن پينٽيسٽر چوري SMB هيڪنگ کي آزمائي سگهن. مون کي پوري ڪهاڻي جي خبر ناهي، پر پوءِ Impacket وڌيڪ بهتر ڪيو smbexec. حقيقت ۾، منهنجي جاچ لاءِ، مون اسڪرپٽ ڊائون لوڊ ڪيو Impacket مان Python ۾ .
psexec جي برعڪس، smbexec بچي ٿو ھدف واري مشين کي ممڪن طور تي معلوم ٿيل بائنري فائل کي منتقل ڪرڻ. ان جي بدران، افاديت مڪمل طور تي چراگاهن کان لانچ ذريعي رهي ٿو مقامي ونڊوز ڪمان لائن.
هتي اهو آهي جيڪو اهو ڪري ٿو: اهو SMB ذريعي حملي واري مشين کان هڪ خاص ان پٽ فائل ڏانهن هڪ ڪمانڊ پاس ڪري ٿو، ۽ پوء هڪ پيچيده ڪمانڊ لائن ٺاهي ۽ هلائي ٿو (جهڙوڪ ونڊوز سروس) جيڪو لينڪس استعمال ڪندڙن کي واقف نظر ايندو. مختصر ۾: اهو هڪ ڏيهي ونڊوز سي ايم ڊي شيل شروع ڪري ٿو، ٻاڦ کي ٻي فائل ڏانهن ريڊريٽ ڪري ٿو، ۽ پوء ان کي SMB ذريعي واپس حملي واري مشين ڏانهن موڪلي ٿو.
هن کي سمجهڻ جو بهترين طريقو آهي ڏسڻ لاءِ ڪمانڊ لائن، جنهن کي مان حاصل ڪرڻ جي قابل هئس ايونٽ لاگ (هيٺ ڏسو).
ڇا اهو I/O کي ريڊائريڪٽ ڪرڻ جو بهترين طريقو ناهي؟ رستي جي ذريعي، سروس ٺاھڻ ۾ واقعو ID 7045 آھي.
psexec وانگر، اهو پڻ هڪ خدمت ٺاهي ٿو جيڪو سڀ ڪم ڪري ٿو، پر ان کان پوء خدمت ختم ٿيل - اهو صرف هڪ ڀيرو استعمال ڪيو ويندو آهي حڪم هلائڻ لاء ۽ پوء غائب! هڪ انفارميشن سيڪيورٽي آفيسر جيڪو مقتول جي مشين جي نگراني ڪندو، اهو معلوم ڪرڻ جي قابل نه هوندو پڌرو حملي جا اشارا: هتي ڪا به خراب فائل نه آهي لانچ ڪئي پئي وڃي، ڪا مسلسل سروس انسٽال نه ٿي رهي آهي، ۽ RPC جي استعمال جو ڪو ثبوت ناهي ڇو ته SMB ڊيٽا جي منتقلي جو واحد ذريعو آهي. شاندار!
حملي آور جي پاسي کان، حڪم موڪلڻ ۽ جواب حاصل ڪرڻ جي وچ ۾ دير سان "سيڊو شيل" موجود آهي. پر اهو ڪافي آهي هڪ حملي آور لاءِ - يا ته هڪ اندروني يا هڪ خارجي هيڪر جنهن وٽ اڳ ۾ ئي پير آهي - دلچسپ مواد ڳولڻ شروع ڪرڻ لاءِ.
ڊيٽا واپس آڻڻ لاءِ ٽارگيٽ مشين کان حملي آور جي مشين تائين، ان کي استعمال ڪيو ويندو آهي . ها، اهو ساڳيو سامبا آهي ، پر صرف Impacket طرفان Python اسڪرپٽ ۾ تبديل ڪيو ويو. حقيقت ۾، smbclient توهان کي اجازت ڏئي ٿو ڳجھي طور تي ايس ايم بي تي ايف ٽي پي منتقلي جي ميزباني.
اچو ته هڪ قدم پوئتي وٺو ۽ سوچيو ته اهو ملازم لاء ڇا ڪري سگهي ٿو. منهنجي فرضي منظرنامي ۾، اچو ته هڪ بلاگر، مالي تجزيه نگار يا انتهائي ادا ڪيل سيڪيورٽي صلاحڪار کي اجازت آهي ته ڪم لاءِ ذاتي ليپ ٽاپ استعمال ڪري. ڪجھ جادوئي عمل جي نتيجي ۾، هوء ڪمپني تي جرم کڻندي آهي ۽ "سڀ خراب ٿي ويندي آهي." ليپ ٽاپ آپريٽنگ سسٽم تي مدار رکندي، اهو يا ته استعمال ڪري ٿو Python ورجن Impact مان، يا smbexec يا smbclient جو ونڊوز ورزن .exe فائل طور استعمال ڪري ٿو.
سنوڊن وانگر، هوءَ يا ته پنهنجي ڪلهي تي نظر وجهندي ڪنهن ٻئي صارف جو پاسورڊ ڳولي ٿي، يا هوءَ خوش قسمت ٿي وڃي ٿي ۽ پاس ورڊ سان گڏ ٽيڪسٽ فائل تي ڌڪ لڳي ٿي. ۽ انهن سندن جي مدد سان، هوءَ نظام جي چوڌاري هڪ نئين سطح تي استحقاق جي کوٽائي شروع ڪري ٿي.
هيڪنگ ڊي سي سي: اسان کي ڪنهن به "بيوقوف" Mimikatz جي ضرورت ناهي
pentesting تي منهنجي پوئين پوسٽن ۾، مون اڪثر استعمال ڪيو mimikatz. ھي ھڪ بھترين اوزار آھي سندن کي روڪڻ لاءِ - NTLM hashes ۽ حتي ليپ ٽاپ اندر لڪايل ڪليئر ٽيڪسٽ پاسورڊ، صرف استعمال ٿيڻ جي انتظار ۾.
وقت بدلجي ويا آهن. مانيٽرنگ جا اوزار mimikatz کي ڳولڻ ۽ بلاڪ ڪرڻ ۾ بهتر ٿي چڪا آهن. انفارميشن سيڪيورٽي ايڊمنسٽريٽرن وٽ هاڻي پاس هيش (PtH) حملن سان لاڳاپيل خطرن کي گهٽائڻ لاءِ وڌيڪ اختيار آهن.
تنهن ڪري هڪ هوشيار ملازم کي ڇا ڪرڻ گهرجي اضافي سندون گڏ ڪرڻ لاءِ mimikatz استعمال ڪرڻ کان سواءِ؟
Impacket جي کٽ ۾ هڪ افاديت شامل آهي جنهن کي سڏيو ويندو آهي ، جيڪو ڊومين جي تصديق واري ڪيش مان سندون حاصل ڪري ٿو، يا مختصر لاءِ ڊي سي سي. منهنجي سمجھ اها آهي ته جيڪڏهن هڪ ڊومين استعمال ڪندڙ سرور ۾ لاگ ان ٿئي ٿو پر ڊومين ڪنٽرولر دستياب ناهي، ڊي سي سي سرور کي اجازت ڏئي ٿو ته صارف کي تصديق ڪري. بهرحال، secretsdump توهان کي اجازت ڏئي ٿو ته اهي سڀئي هيش ڊمپ ڪريو جيڪڏهن اهي موجود آهن.
DCC hashes آهن نه NTML hashes ۽ اهي PtH حملي لاءِ استعمال نٿو ڪري سگھجي.
خير، توهان اصل پاسورڊ حاصل ڪرڻ لاء کين چيلهه ڪرڻ جي ڪوشش ڪري سگهو ٿا. بهرحال، Microsoft DCC سان هوشيار ٿي چڪو آهي ۽ ڊي سي سي هيش کي ٽوڙڻ تمام ڏکيو ٿي ويو آهي. ها مون وٽ آهي , "دنيا جو تيز ترين پاسورڊ اندازو لڳائيندڙ،" پر ان کي موثر طريقي سان هلائڻ لاءِ GPU جي ضرورت آهي.
ان جي بدران، اچو ته سنوڊن وانگر سوچڻ جي ڪوشش ڪريو. هڪ ملازم روبرو سماجي انجنيئرنگ ڪري سگهي ٿو ۽ ممڪن طور تي ان شخص بابت ڪجهه معلومات ڳولي سگهي ٿو جنهن جو پاسورڊ هو ٽوڙڻ چاهي ٿو. مثال طور، معلوم ڪريو ته ڇا ڪنهن شخص جو آن لائن اڪائونٽ ڪڏهن به هيڪ ڪيو ويو آهي ۽ ڪنهن به اشاري لاءِ انهن جي ڪليئر ٽيڪسٽ پاسورڊ کي جانچيو.
۽ هي اهو منظر آهي جنهن سان مون وڃڻ جو فيصلو ڪيو. اچو ته فرض ڪريو ته هڪ اندروني سکيو ويو ته هن جو باس، ڪرولا، مختلف ويب وسيلن تي ڪيترائي ڀيرا هيڪ ڪيو ويو. انهن مان ڪيترن ئي پاسورڊن جي تجزيو ڪرڻ کان پوء، هن کي اهو احساس آهي ته ڪرولا بيس بال ٽيم جي نالي جي فارميٽ کي استعمال ڪرڻ کي ترجيح ڏئي ٿو "Yankees" جي پٺيان موجوده سال - "Yankees2015".
جيڪڏھن توھان ھاڻي ڪوشش ڪري رھيا آھيو ھن کي گھر ۾ ٻيهر پيدا ڪرڻ، پوءِ توھان ڊائون لوڊ ڪري سگھوٿا ھڪڙو ننڍڙو، "سي" ، جيڪو ڊي سي سي هيشنگ الگورتھم کي لاڳو ڪري ٿو، ۽ ان کي گڏ ڪري ٿو. ، رستي ۾، ڊي سي سي لاءِ سپورٽ شامل ڪئي، تنهنڪري اهو پڻ استعمال ڪري سگهجي ٿو. اچو ته فرض ڪريون ته هڪ اندروني جان جان ريپر کي سکڻ ۾ تڪليف نه ڪرڻ چاهيندو آهي ۽ "gcc" کي ورثي سي ڪوڊ تي هلائڻ پسند ڪندو آهي.
هڪ اندروني جي ڪردار کي ظاهر ڪندي، مون ڪيترن ئي مختلف مجموعن جي ڪوشش ڪئي ۽ آخرڪار اهو دريافت ڪرڻ جي قابل ٿي ويو ته Cruella جو پاسورڊ "Yankees2019" هو (هيٺ ڏسو). مشن مڪمل!
ٿورڙي سماجي انجنيئرنگ، خوش قسمتي ٻڌائڻ جي هڪ ڊش ۽ مالٽيگو جي هڪ چيچ ۽ توهان ڊي سي سي هيش کي ٽوڙڻ جي رستي تي آهيو.
مان صلاح ڏيان ٿو ته اسان هتي ختم ڪريون. اسان ٻين پوسٽن ۾ هن موضوع ڏانهن موٽنداسين ۽ اڃا به وڌيڪ سست ۽ چوري حملي جي طريقن تي نظر ڪنداسين، Impacket جي يوٽيلٽيز جي شاندار سيٽ تي تعمير ڪرڻ جاري رکندي.
جو ذريعو: www.habr.com