Pravidelne píšeme o tom, ako sa hackeri často spoliehajú na zneužívanie aby sa zabránilo odhaleniu. Oni doslova pomocou štandardných nástrojov systému Windows, čím obídete antivírusy a iné nástroje na detekciu škodlivej činnosti. My, ako obrancovia, sme teraz nútení vysporiadať sa s neblahými dôsledkami takýchto šikovných hackerských techník: rovnako dobre situovaný zamestnanec môže použiť rovnaký prístup na skrytú krádež údajov (duševné vlastníctvo spoločnosti, čísla kreditných kariet). A ak sa nebude ponáhľať, ale bude pracovať pomaly a potichu, bude to mimoriadne ťažké – ale stále možné, ak použije správny prístup a vhodné — identifikovať takúto činnosť.
Na druhej strane by som nechcel démonizovať zamestnancov, pretože nikto nechce pracovať v podnikateľskom prostredí ako v Orwellovom roku 1984. Našťastie existuje množstvo praktických krokov a životných trikov, ktoré môžu zasväteným značne skomplikovať život. zvážime metódy skrytého útoku, ktorý používajú hackeri zamestnanci s určitým technickým zázemím. A o niečo ďalej budeme diskutovať o možnostiach zníženia takýchto rizík - budeme študovať technické aj organizačné možnosti.
Čo je zlé na PsExec?
Edward Snowden, či už správne alebo neprávom, sa stal synonymom pre krádeže dôverných údajov. Mimochodom, nezabudnite sa pozrieť o ďalších zasvätených, ktorí si tiež zaslúžia nejaký status slávy. Jedným dôležitým bodom, ktorý stojí za to zdôrazniť, o metódach, ktoré Snowden použil, je to, že podľa našich najlepších vedomostí je to on nenainštaloval žiadny externý škodlivý softvér!
Namiesto toho Snowden použil trochu sociálneho inžinierstva a využil svoju pozíciu správcu systému na zbieranie hesiel a vytváranie poverení. Nič zložité – žiadne , útoky alebo .
Organizační zamestnanci nie sú vždy v Snowdenovom jedinečnom postavení, no z konceptu „prežitia pasením“ si treba vziať niekoľko ponaučení – nezapájať sa do žiadnej zákernej činnosti, ktorú možno odhaliť, a najmä opatrne s používaním poverení. Zapamätajte si túto myšlienku.
a jeho bratranec zapôsobili na nespočetné množstvo pentesterov, hackerov a blogerov v oblasti kybernetickej bezpečnosti. A v kombinácii s mimikatz umožňuje psexec útočníkom pohybovať sa v rámci siete bez toho, aby museli poznať heslo vo forme čistého textu.
Mimikatz zachytí NTLM hash z procesu LSASS a následne odovzdá token alebo poverenia – tzv. "pass the hash" útok – v psexec, čo umožňuje útočníkovi prihlásiť sa na iný server ako iného užívateľ. A pri každom ďalšom presune na nový server útočník zbiera ďalšie poverenia, čím rozširuje rozsah svojich možností pri vyhľadávaní dostupného obsahu.
Keď som prvýkrát začal pracovať s psexecom, zdalo sa mi to magické - ďakujem , geniálny vývojár psexec - ale viem aj o jeho hlučný komponentov. Nikdy nie je tajný!
Prvým zaujímavým faktom o psexec je, že používa extrémne komplexné Protokol sieťového súboru SMB od spoločnosti Microsoft. Pri použití SMB je prenos psexec malý dvojitý súbory do cieľového systému a umiestnite ich do priečinka C:Windows.
Ďalej psexec vytvorí službu Windows pomocou skopírovaného binárneho súboru a spustí ju pod extrémne „neočakávaným“ názvom PSEXECSVC. Zároveň to všetko vlastne môžete vidieť, tak ako ja, sledovaním vzdialeného stroja (pozri nižšie).
Vizitka Psexecu: služba "PSEXECSVC". Spustí binárny súbor, ktorý bol umiestnený cez SMB do priečinka C:Windows.
Ako posledný krok sa otvorí skopírovaný binárny súbor RPC pripojenie na cieľový server a potom prijme riadiace príkazy (štandardne cez shell cmd Windows), spustí ich a presmeruje vstup a výstup na domáci počítač útočníka. V tomto prípade útočník vidí základný príkazový riadok – rovnaký, ako keby bol pripojený priamo.
Veľa komponentov a veľmi hlučný proces!
Zložité interné prvky psexec vysvetľujú správu, ktorá ma zmiatla počas mojich prvých testov pred niekoľkými rokmi: „Spúšťa sa PSEXECSVC...“, po ktorom nasleduje pauza pred zobrazením príkazového riadka.
Psexec od Impacket vlastne ukazuje, čo sa deje pod kapotou.
Niet divu: psexec urobil pod kapotou obrovské množstvo práce. Ak máte záujem o podrobnejšie vysvetlenie, pozrite sa sem úžasný popis.
Je zrejmé, že pri použití ako nástroj na správu systému, ktorý bol pôvodný účel psexec, na „bzučení“ všetkých týchto mechanizmov Windowsu nie je nič zlé. Pre útočníka by však psexec spôsobil komplikácie a pre opatrného a prefíkaného insidera ako Snowden by bol psexec alebo podobná utilita príliš veľkým rizikom.
A potom príde Smbexec
SMB je šikovný a tajný spôsob prenosu súborov medzi servermi a hackeri prenikajú priamo do SMB po stáročia. Myslím, že každý už vie, že to nestojí za to Porty SMB 445 a 139 na internet, však?
Na Defcon 2013 Eric Millman () prezentované , aby si pentesteri mohli vyskúšať stealth SMB hacking. Nepoznám celý príbeh, ale potom Impacket ďalej spresnil smbexec. V skutočnosti som si na testovanie stiahol skripty z Impacket v Pythone z .
Na rozdiel od psexec, smbexec vyhýba prenos potenciálne zisteného binárneho súboru do cieľového počítača. Namiesto toho tento nástroj žije výlučne od pastvy až po spustenie miestne Príkazový riadok systému Windows.
Robí to takto: odovzdá príkaz z útočiaceho stroja cez SMB do špeciálneho vstupného súboru a potom vytvorí a spustí zložitý príkazový riadok (ako služba Windows), ktorý sa bude používateľom Linuxu zdať známy. Stručne povedané: spustí natívny Windows cmd shell, presmeruje výstup do iného súboru a potom ho odošle cez SMB späť na počítač útočníka.
Najlepší spôsob, ako to pochopiť, je pozrieť sa na príkazový riadok, ktorý som mal možnosť získať z denníka udalostí (pozri nižšie).
Nie je to najlepší spôsob, ako presmerovať I/O? Mimochodom, vytvorenie služby má ID udalosti 7045.
Rovnako ako psexec vytvára službu, ktorá vykonáva všetku prácu, ale službu až po nej odstránený – použije sa iba raz na spustenie príkazu a potom zmizne! Pracovník informačnej bezpečnosti, ktorý monitoruje stroj obete, nebude schopný odhaliť zrejmé Indikátory útoku: Nespúšťa sa žiadny škodlivý súbor, neinštaluje sa žiadna trvalá služba a neexistuje žiadny dôkaz o použití RPC, pretože SMB je jediným prostriedkom prenosu údajov. Skvelé!
Zo strany útočníka je k dispozícii „pseudoshell“ s oneskorením medzi odoslaním príkazu a prijatím odpovede. To ale úplne stačí na to, aby útočník – či už zasvätený alebo externý hacker, ktorý už má našľapané – začal hľadať zaujímavý obsah.
Používa sa na výstup dát z cieľového stroja späť do stroja útočníka . Áno, je to tá istá Samba , ale konvertovaný iba na skript Python pomocou Imppacket. V skutočnosti vám smbclient umožňuje skryte hostiť prenosy FTP cez SMB.
Urobme krok späť a zamyslime sa nad tým, čo to môže urobiť pre zamestnanca. V mojom fiktívnom scenári, povedzme, bloger, finančný analytik alebo vysoko platený bezpečnostný konzultant môže používať osobný notebook na prácu. V dôsledku nejakého magického procesu sa na spoločnosť urazí a „pokazí sa“. V závislosti od operačného systému prenosného počítača používa buď verziu Python od spoločnosti Impact, alebo verziu smbexec alebo smbclient pre Windows ako súbor .exe.
Rovnako ako Snowden zistí heslo iného používateľa buď pohľadom cez rameno, alebo má šťastie a narazí na textový súbor s heslom. A s pomocou týchto prihlasovacích údajov sa začne prehrabávať v systéme na novej úrovni privilégií.
Hackovanie DCC: Nepotrebujeme žiadneho „hlúpeho“ Mimikatza
Vo svojich predchádzajúcich príspevkoch o pentestingu som veľmi často používal mimikatz. Je to skvelý nástroj na zachytenie prihlasovacích údajov - NTLM hash a dokonca aj heslá s čistým textom skryté vo vnútri notebookov, ktoré čakajú na použitie.
Doba sa zmenila. Monitorovacie nástroje sa zlepšili pri zisťovaní a blokovaní mimikatz. Správcovia informačnej bezpečnosti majú teraz viac možností na zníženie rizík spojených s útokmi typu pass the hash (PtH).
Čo by teda mal inteligentný zamestnanec urobiť, aby získal ďalšie poverenia bez použitia mimikatzu?
Súprava Impacket obsahuje utilitu tzv , ktorý získava poverenia z vyrovnávacej pamäte poverení domény alebo skrátene DCC. Chápem to tak, že ak sa používateľ domény prihlási na server, ale radič domény je nedostupný, DCC umožní serveru overiť používateľa. V každom prípade, secretsdump vám umožňuje vypísať všetky tieto hash, ak sú k dispozícii.
DCC hashe sú nie NTML hash a nemožno použiť na útok PtH.
Môžete sa ich pokúsiť hacknúť, aby ste získali pôvodné heslo. Microsoft sa však s DCC stal múdrejším a DCC hashe je mimoriadne ťažké prelomiť. Áno, mám , „najrýchlejší hádač hesiel na svete“, ale na efektívne fungovanie vyžaduje GPU.
Namiesto toho skúsme myslieť ako Snowden. Zamestnanec môže vykonávať sociálne inžinierstvo tvárou v tvár a prípadne zistiť nejaké informácie o osobe, ktorej heslo chce prelomiť. Napríklad zistite, či bol online účet danej osoby niekedy napadnutý a preskúmajte jej heslo s čistým textom, aby ste našli nejaké stopy.
A toto je scenár, s ktorým som sa rozhodol ísť. Predpokladajme, že zasvätený sa dozvedel, že jeho šéf Cruella bol niekoľkokrát napadnutý na rôznych webových zdrojoch. Po analýze niekoľkých týchto hesiel si uvedomí, že Cruella uprednostňuje použitie formátu názvu bejzbalového tímu „Yankees“, za ktorým nasleduje aktuálny rok – „Yankees2015“.
Ak sa to teraz pokúšate reprodukovať doma, môžete si stiahnuť malé písmeno „C“ , ktorý implementuje algoritmus hash DCC, a skompilovať ho. , mimochodom, pribudla podpora pre DCC, takže sa dá aj použiť. Predpokladajme, že zasvätenec sa nechce obťažovať učením Johna Rozparovača a rád spúšťa „gcc“ na starom kóde C.
Predstieral som rolu insidera a vyskúšal som niekoľko rôznych kombinácií a nakoniec som zistil, že heslo Cruelly bolo „Yankees2019“ (pozri nižšie). Misia ukončená!
Trochu sociálneho inžinierstva, štipka veštenia a štipka Maltega a ste na dobrej ceste prelomiť DCC hash.
Navrhujem, aby sme tu skončili. K tejto téme sa vrátime v ďalších príspevkoch a pozrieme sa na ešte pomalšie a nenápadnejšie spôsoby útoku, pričom budeme naďalej stavať na vynikajúcej sade nástrojov Impacket.
Zdroj: hab.com