Redno pišemo o tem, kako se hekerji pogosto zanašajo na izkoriščanje
Po drugi strani pa ne bi rad demoniziral zaposlenih, ker nihče noče delati v poslovnem okolju naravnost iz Orwellovega 1984. Na srečo obstaja vrsta praktičnih korakov in življenjskih trikov, ki lahko insajderjem precej otežijo življenje. Bomo razmislili prikrite metode napada, ki ga hekerji uporabljajo zaposleni z nekaj tehničnega znanja. In malo naprej bomo razpravljali o možnostih za zmanjšanje takšnih tveganj - preučili bomo tako tehnične kot organizacijske možnosti.
Kaj je narobe s PsExec?
Edward Snowden je, upravičeno ali ne, postal sinonim za krajo notranjih podatkov. Mimogrede, ne pozabite pogledati
Namesto tega je Snowden uporabil malo socialnega inženiringa in uporabil svoj položaj sistemskega skrbnika za zbiranje gesel in ustvarjanje poverilnic. Nič zapletenega - nič
Zaposleni v organizaciji niso vedno v edinstvenem položaju, kot ga ima Snowden, vendar se je treba zavedati številnih lekcij, ki se jih je treba naučiti iz koncepta "preživetja s pašo" – ne sodelovati v zlonamernih dejavnostih, ki jih je mogoče zaznati, in biti še posebej previdni pri uporabi poverilnic. Zapomni si to misel.
Mimikatz prestreže NTLM hash iz procesa LSASS in nato posreduje žeton ali poverilnice – t.i. napad "pass the hash". – v psexecu omogoča napadalcu, da se prijavi v drug strežnik kot drugo uporabnik. In z vsakim naslednjim premikom na nov strežnik napadalec zbere dodatne poverilnice, s čimer razširi obseg svojih zmogljivosti pri iskanju razpoložljive vsebine.
Ko sem prvič začel delati s psexecom, se mi je zdelo čarobno - hvala
Prvo zanimivo dejstvo o psexecu je, da uporablja izjemno zapletene Datotečni protokol omrežja SMB od Microsofta. Z uporabo SMB psexec prenaša majhne binarno datoteke v ciljni sistem in jih postavite v mapo C:Windows.
Nato psexec ustvari storitev Windows z uporabo kopirane binarne datoteke in jo zažene pod izjemno "nepričakovanim" imenom PSEXECSVC. Hkrati lahko vse to dejansko vidite, kot sem jaz, z opazovanjem oddaljenega stroja (glejte spodaj).
Psexecova klicna kartica: storitev "PSEXECSVC". Zažene binarno datoteko, ki je bila prek SMB postavljena v mapo C:Windows.
Kot zadnji korak se odpre kopirana binarna datoteka povezava RPC na ciljni strežnik in nato sprejme nadzorne ukaze (privzeto prek ukazne lupine Windows cmd), jih zažene in preusmeri vhod in izhod na domači računalnik napadalca. V tem primeru napadalec vidi osnovno ukazno vrstico - enako, kot če bi bil neposredno povezan.
Veliko komponent in zelo hrupen proces!
Zapletena notranjost psexeca pojasnjuje sporočilo, ki me je begalo med mojimi prvimi testi pred nekaj leti: »Zagon PSEXECSVC ...«, ki mu je sledil premor, preden se prikaže ukazni poziv.
Ipacketov Psexec dejansko pokaže, kaj se dogaja pod pokrovom.
Ni presenetljivo: psexec je pod pokrovom opravil ogromno dela. Če vas zanima podrobnejša razlaga, preverite tukaj
Očitno, ko se uporablja kot orodje za skrbništvo sistema, kar je bilo prvotni namen psexec, nič ni narobe z "brenčanjem" vseh teh Windows mehanizmov. Za napadalca pa bi psexec povzročil zaplete, za previdnega in zvitega insajderja, kot je Snowden, pa bi bil psexec ali podoben pripomoček preveliko tveganje.
In potem pride Smexec
SMB je pameten in skrivnosten način za prenos datotek med strežniki, hekerji pa že stoletja neposredno vdirajo v SMB. Mislim, da že vsi vedo, da se ne splača
Na Defconu 2013 je Eric Millman (
Za razliko od psexec, smexec izogiba prenos potencialno zaznane binarne datoteke na ciljni stroj. Namesto tega uporabnost v celoti živi od paše do lansiranja lokalni Windows ukazna vrstica.
Evo, kaj počne: posreduje ukaz iz napadalnega stroja prek SMB v posebno vhodno datoteko, nato pa ustvari in zažene kompleksno ukazno vrstico (kot storitev Windows), ki se bo uporabnikom Linuxa zdela znana. Na kratko: zažene domačo lupino Windows cmd, preusmeri izhod v drugo datoteko in jo nato prek SMB pošlje nazaj v napadalčev stroj.
Najboljši način za razumevanje tega je, da pogledate ukazno vrstico, ki sem jo lahko dobil v roke iz dnevnika dogodkov (glejte spodaj).
Ali ni to najboljši način za preusmeritev V/I? Mimogrede, ustvarjanje storitve ima ID dogodka 7045.
Tako kot psexec tudi ustvari storitev, ki opravi vse delo, vendar storitev za tem odstranjeno – se uporabi samo enkrat za zagon ukaza in nato izgine! Uradnik za informacijsko varnost, ki nadzoruje žrtvin stroj, ne bo mogel odkriti očitno Indikatorji napada: Zlonamerna datoteka se ne zažene, trajna storitev ni nameščena in ni dokazov o uporabi RPC, saj je SMB edino sredstvo za prenos podatkov. Briljantno!
Z napadalčeve strani je na voljo "psevdo-lupina" z zamiki med pošiljanjem ukaza in prejemom odgovora. A to je čisto dovolj, da lahko napadalec – bodisi notranji bodisi zunanji heker, ki že ima oporo – začne iskati zanimivo vsebino.
Uporablja se za pošiljanje podatkov nazaj iz ciljnega računalnika v napadalčev stroj
Stopimo korak nazaj in pomislimo, kaj lahko to naredi za zaposlenega. V mojem izmišljenem scenariju je recimo blogerju, finančnemu analitiku ali visoko plačanemu svetovalcu za varnost dovoljeno uporabljati osebni prenosni računalnik za delo. Zaradi nekega magičnega procesa se užali nad podjetjem in »gre vse slabo«. Odvisno od operacijskega sistema prenosnega računalnika uporablja različico Python iz Impacta ali različico smbexec ali smbclient za Windows kot datoteko .exe.
Tako kot Snowden najde geslo drugega uporabnika tako, da pogleda čez ramo ali pa ima srečo in naleti na besedilno datoteko z geslom. In s pomočjo teh poverilnic začne kopati po sistemu na novi ravni privilegijev.
Hekanje DCC: Ne potrebujemo nobenega "neumnega" Mimikatza
V prejšnjih objavah o pentestingu sem zelo pogosto uporabljal mimikatz. To je odlično orodje za prestrezanje poverilnic – zgoščenih vrednosti NTLM in celo gesel z jasnim besedilom, skritih v prenosnikih, ki samo čakajo na uporabo.
Časi so se spremenili. Orodja za spremljanje so postala boljša pri odkrivanju in blokiranju mimikatza. Skrbniki za informacijsko varnost imajo zdaj tudi več možnosti za zmanjšanje tveganj, povezanih z napadi Pass The Hash (PtH).
Kaj naj torej pameten zaposleni stori, da zbere dodatne poverilnice brez uporabe mimikatza?
Impacketov komplet vključuje pripomoček, imenovan
Zgoščene vrednosti DCC so ne NTML hashes in ni mogoče uporabiti za PtH napad.
No, lahko jih poskusite vdreti, da dobite izvirno geslo. Vendar je Microsoft z DCC postal pametnejši in zgoščene vrednosti DCC je postalo izjemno težko razbiti. Ja, jaz imam
Namesto tega poskusimo razmišljati kot Snowden. Zaposlena lahko izvaja socialni inženiring iz oči v oči in po možnosti izve nekaj informacij o osebi, katere geslo želi razbiti. Ugotovite na primer, ali je bil spletni račun te osebe kdaj vdrl, in preglejte njeno geslo z jasnim besedilom, da bi našli namige.
In to je scenarij, za katerega sem se odločil. Predpostavimo, da je poznavalec izvedel, da je bila njegova šefica Cruella večkrat vdrta v različne spletne vire. Po analizi več teh gesel ugotovi, da Cruella raje uporablja obliko imena bejzbolske ekipe "Yankees", ki ji sledi tekoče leto - "Yankees2015".
Če zdaj poskušate to reproducirati doma, potem lahko prenesete majhen "C"
Pretvarjal sem se, da sem poznavalec, poskusil sem več različnih kombinacij in na koncu sem odkril, da je Cruellino geslo »Yankees2019« (glej spodaj). Misija končana!
Malo socialnega inženiringa, kanček vedeževanja in ščepec Maltega in že ste na dobri poti, da razbijete DCC hash.
Predlagam, da tukaj končamo. K tej temi se bomo vrnili v drugih objavah in si ogledali še bolj počasne in prikrite metode napadov, pri čemer bomo še naprej gradili na odličnem naboru pripomočkov podjetja Impactet.
Vir: www.habr.com