Oneskorenie podpisu je bežné pre každú veľkú spoločnosť. Výnimkou nebola ani dohoda medzi Tomom Hunterom a jedným obchodným reťazcom o dôkladnom testovaní. Museli sme skontrolovať webovú stránku, internú sieť a dokonca aj fungujúce Wi-Fi.
Niet divu, že ma svrbeli ruky ešte predtým, ako sa vybavili všetky formality. Len pre každý prípad naskenujte stránku, je nepravdepodobné, že taký známy obchod ako „The Hound of the Baskervilles“ tu urobí chyby. O pár dní neskôr Tomovi konečne doručili podpísanú originálnu zmluvu - v tomto čase pri tretej šálke kávy Tom z interného CMS so záujmom zhodnotil stav skladov...
Zdroj:
V CMS však nebolo možné veľa spravovať - správcovia stránok zakázali IP Toma Huntera. Aj keď by bolo možné mať čas generovať bonusy na karte obchodu a kŕmiť svoju milovanú mačku lacno po mnoho mesiacov... „Tentoraz nie, Darth Sidious,“ pomyslel si Tom s úsmevom. Nemenej zaujímavé by bolo prejsť z oblasti webu do lokálnej siete zákazníka, no zrejme tieto segmenty nie sú pre klienta prepojené. Napriek tomu sa to stáva častejšie vo veľmi veľkých spoločnostiach.
Po všetkých formalitách sa Tom Hunter vyzbrojil poskytnutým účtom VPN a odišiel do lokálnej siete zákazníka. Účet sa nachádzal v doméne Active Directory, takže bolo možné vypísať AD bez špeciálnych trikov - vyprázdniť všetky verejne dostupné informácie o používateľoch a pracovných strojoch.
Tom spustil nástroj adfind a začal odosielať požiadavky LDAP na radič domény. S filtrom na triedu objectСategory, špecifikujúc osobu ako atribút. Odpoveď prišla s nasledujúcou štruktúrou:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZOkrem toho tu bolo veľa užitočných informácií, ale najzaujímavejšie boli v poli >popis: >popis. Toto je komentár k účtu - v podstate vhodné miesto na ukladanie drobných poznámok. Správcovia klienta sa však rozhodli, že heslá tam môžu sedieť aj potichu. Koho by napokon všetky tieto bezvýznamné úradné záznamy mohli zaujímať? Takže komentáre, ktoré Tom dostal, boli:
Создал Администратор, 2018.11.16 7po!*VqnNemusíte byť raketovým vedcom, aby ste pochopili, prečo je kombinácia na konci užitočná. Zostávalo len analyzovať veľký súbor odpovedí z CD pomocou poľa >popis: a tu ich bolo - 20 párov prihlasovacie heslo. Navyše takmer polovica má prístupové práva RDP. Nie je to zlé predmostie, je čas rozdeliť útočiace sily.
siete
Prístupné plesy Hounds of the Baskerville pripomínali veľké mesto v celom jeho chaose a nepredvídateľnosti. S užívateľskými a RDP profilmi bol Tom Hunter v tomto meste na mizine, no aj jemu sa podarilo veľa vecí vidieť cez lesklé okná bezpečnostnej politiky.
Časti súborových serverov, účtovné účty a dokonca aj skripty, ktoré sú s nimi spojené, boli zverejnené. V nastaveniach jedného z týchto skriptov Tom našiel MS SQL hash jedného používateľa. Trochu kúzla hrubej sily – a hash používateľa sa zmenil na heslo v obyčajnom texte. Vďaka Johnovi The Ripperovi a Hashcatovi.
Tento kľúč by mal sedieť na hrudi. Našla sa truhlica a navyše s ňou bolo spojených ďalších desať „truhiel“. A vo vnútri šiestich ležal... práva superužívateľa, nt systém autorít! Na dvoch z nich sa nám podarilo spustiť uloženú procedúru xp_cmdshell a odoslať príkazy cmd do systému Windows. Čo viac si priať?
Radiče domén
Tom Hunter pripravil pre doménové radiče druhú ranu. V sieti „Dogs of the Baskervilles“ boli podľa počtu geograficky vzdialených serverov tri. Každý doménový radič má verejný priečinok ako otvorená vitrína v obchode, v blízkosti ktorej sa poflakuje ten istý chudák Tom.
A tentoraz mal chlap opäť šťastie - zabudli odstrániť skript z vitríny, kde bolo napevno zakódované heslo správcu lokálneho servera. Cesta k radiču domény bola teda otvorená. Poď dnu, Tom!
Tu bol vytiahnutý čarovný klobúk , ktorý profitoval z viacerých správcov domén. Tom Hunter získal prístup ku všetkým strojom v lokálnej sieti a diabolský smiech vystrašil mačku z vedľajšej stoličky. Táto trasa bola kratšia, ako sa očakávalo.
Večná modrá
Spomienka na WannaCry a Petya je v mysliach pentesterov stále živá, no zdá sa, že niektorí admini v toku ďalších večerných správ na ransomware zabudli. Tom objavil tri uzly so zraniteľnosťou v protokole SMB – CVE-2017-0144 alebo EternalBlue. Ide o rovnakú zraniteľnosť, ktorá bola použitá na distribúciu ransomvéru WannaCry a Petya, zraniteľnosti, ktorá umožňuje spustenie ľubovoľného kódu na hostiteľovi. Na jednom zo zraniteľných uzlov bola relácia správcu domény – „využiť a získať“. Čo sa dá robiť, čas každého nenaučil.
"Bastervillov pes"
Klasici informačnej bezpečnosti radi opakujú, že najslabším miestom každého systému je človek. Všimli ste si, že nadpis vyššie nezodpovedá názvu obchodu? Možno nie každý je taký pozorný.
V najlepších tradíciách phishingových trhákov si Tom Hunter zaregistroval doménu, ktorá sa líši jedným písmenom od domény „Hounds of the Baskervilles“. Poštová adresa na tejto doméne napodobňovala adresu služby informačnej bezpečnosti obchodu. V priebehu 4 dní od 16:00 do 17:00 bol z falošnej adresy jednotne odoslaný nasledujúci list na 360 adries:
Azda len ich vlastná lenivosť zachránila zamestnancov pred hromadným únikom hesiel. Z 360 listov bolo otvorených len 61 – bezpečnostná služba nie je veľmi populárna. Ale potom to už bolo jednoduchšie.
Phishingová stránka
Na odkaz kliklo 46 ľudí a takmer polovica – 21 zamestnancov – sa nepozrelo do adresného riadku a pokojne zadalo svoje prihlasovacie údaje a heslá. Pekný úlovok, Tom.
Wi-Fi sieť
Teraz nebolo potrebné počítať s pomocou mačky. Tom Hunter hodil niekoľko kusov železa do svojho starého sedanu a odišiel do kancelárie psa Baskervillského. Jeho návšteva nebola dohodnutá: Tom sa chystal otestovať zákazníkovu Wi-Fi. Na parkovisku obchodného centra bolo niekoľko voľných miest, ktoré boli vhodne zaradené do obvodu cieľovej siete. O jeho obmedzení zrejme príliš nepremýšľali – ako keby správcovia náhodne zbierali ďalšie body v reakcii na akúkoľvek sťažnosť na slabé Wi-Fi.
Ako funguje zabezpečenie WPA/WPA2 PSK? Šifrovanie medzi prístupovým bodom a klientmi zabezpečuje kľúč pred reláciou – Pairwise Transient Key (PTK). PTK používa Pre-Shared Key a päť ďalších parametrov – SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), prístupový bod a MAC adresy klienta. Tom zachytil všetkých päť parametrov a teraz chýbal už len predzdieľaný kľúč.
Pomôcka Hashcat stiahla tento chýbajúci odkaz asi za 50 minút – a náš hrdina skončil v sieti pre hostí. Z neho už bolo vidieť to funkčné - napodiv, tu Tom zvládol heslo asi za deväť minút. A to všetko bez opustenia parkoviska, bez akejkoľvek VPN. Pracovná sieť otvorila nášmu hrdinovi priestor na monštruózne aktivity, ale on... nikdy nepridal bonusy na kartu obchodu.
Tom sa odmlčal, pozrel na hodinky, hodil na stôl pár bankoviek a na rozlúčku odišiel z kaviarne. Možno je to opäť pentest, alebo možno je in Napadlo ma napísať...
Zdroj: hab.com