Redno pišemo o tem, kako se hekerji pogosto zanašajo na izkoriščanje da bi se izognili odkrivanju. So dobesedno , z uporabo standardnih orodij Windows, s čimer zaobide protivirusne programe in druge pripomočke za zaznavanje zlonamerne dejavnosti. Kot zagovorniki smo se zdaj prisiljeni ukvarjati z nesrečnimi posledicami takšnih premetenih hekerskih tehnik: uslužbenec na dobrem položaju lahko uporabi isti pristop za prikrito krajo podatkov (intelektualne lastnine podjetja, številk kreditnih kartic). In če ne bo hitel, ampak bo delal počasi in tiho, bo to zelo težko – vendar še vedno mogoče, če bo uporabil pravi pristop in ustrezno , — za prepoznavanje take dejavnosti.
Po drugi strani pa ne bi rad demoniziral zaposlenih, ker nihče noče delati v poslovnem okolju naravnost iz Orwellovega 1984. Na srečo obstaja vrsta praktičnih korakov in življenjskih trikov, ki lahko insajderjem precej otežijo življenje. Bomo razmislili prikrite metode napada, ki ga hekerji uporabljajo zaposleni z nekaj tehničnega znanja. In malo naprej bomo razpravljali o možnostih za zmanjšanje takšnih tveganj - preučili bomo tako tehnične kot organizacijske možnosti.
Kaj je narobe s PsExec?
Edward Snowden je, upravičeno ali ne, postal sinonim za krajo notranjih podatkov. Mimogrede, ne pozabite pogledati o drugih insajderjih, ki si prav tako zaslužijo status slave. Ena pomembna točka, ki jo je vredno poudariti glede metod, ki jih je uporabil Snowden, je, da je, kolikor nam je znano, ni nameščen brez zunanje zlonamerne programske opreme!
Namesto tega je Snowden uporabil malo socialnega inženiringa in uporabil svoj položaj sistemskega skrbnika za zbiranje gesel in ustvarjanje poverilnic. Nič zapletenega - nič , napadi ali .
Zaposleni v organizaciji niso vedno v edinstvenem položaju, kot ga ima Snowden, vendar se je treba zavedati številnih lekcij, ki se jih je treba naučiti iz koncepta "preživetja s pašo" – ne sodelovati v zlonamernih dejavnostih, ki jih je mogoče zaznati, in biti še posebej previdni pri uporabi poverilnic. Zapomni si to misel.
in njegov bratranec so navdušili nešteto pentesterjev, hekerjev in blogerjev o kibernetski varnosti. V kombinaciji z mimikatz pa psexec napadalcem omogoča premikanje po omrežju, ne da bi morali poznati geslo z jasnim besedilom.
Mimikatz prestreže NTLM hash iz procesa LSASS in nato posreduje žeton ali poverilnice – t.i. napad "pass the hash". – v psexecu omogoča napadalcu, da se prijavi v drug strežnik kot drugo uporabnik. In z vsakim naslednjim premikom na nov strežnik napadalec zbere dodatne poverilnice, s čimer razširi obseg svojih zmogljivosti pri iskanju razpoložljive vsebine.
Ko sem prvič začel delati s psexecom, se mi je zdelo čarobno - hvala , briljantnega razvijalca psexeca - vem pa tudi za njegovega hrupno komponente. Nikoli ni skrivnosten!
Prvo zanimivo dejstvo o psexecu je, da uporablja izjemno zapletene Datotečni protokol omrežja SMB od Microsofta. Z uporabo SMB psexec prenaša majhne binarno datoteke v ciljni sistem in jih postavite v mapo C:Windows.
Nato psexec ustvari storitev Windows z uporabo kopirane binarne datoteke in jo zažene pod izjemno "nepričakovanim" imenom PSEXECSVC. Hkrati lahko vse to dejansko vidite, kot sem jaz, z opazovanjem oddaljenega stroja (glejte spodaj).
Psexecova klicna kartica: storitev "PSEXECSVC". Zažene binarno datoteko, ki je bila prek SMB postavljena v mapo C:Windows.
Kot zadnji korak se odpre kopirana binarna datoteka povezava RPC na ciljni strežnik in nato sprejme nadzorne ukaze (privzeto prek ukazne lupine Windows cmd), jih zažene in preusmeri vhod in izhod na domači računalnik napadalca. V tem primeru napadalec vidi osnovno ukazno vrstico - enako, kot če bi bil neposredno povezan.
Veliko komponent in zelo hrupen proces!
Zapletena notranjost psexeca pojasnjuje sporočilo, ki me je begalo med mojimi prvimi testi pred nekaj leti: »Zagon PSEXECSVC ...«, ki mu je sledil premor, preden se prikaže ukazni poziv.
Ipacketov Psexec dejansko pokaže, kaj se dogaja pod pokrovom.
Ni presenetljivo: psexec je pod pokrovom opravil ogromno dela. Če vas zanima podrobnejša razlaga, preverite tukaj čudovit opis.
Očitno, ko se uporablja kot orodje za skrbništvo sistema, kar je bilo prvotni namen psexec, nič ni narobe z "brenčanjem" vseh teh Windows mehanizmov. Za napadalca pa bi psexec povzročil zaplete, za previdnega in zvitega insajderja, kot je Snowden, pa bi bil psexec ali podoben pripomoček preveliko tveganje.
In potem pride Smexec
SMB je pameten in skrivnosten način za prenos datotek med strežniki, hekerji pa že stoletja neposredno vdirajo v SMB. Mislim, da že vsi vedo, da se ne splača SMB vrata 445 in 139 za internet, kajne?
Na Defconu 2013 je Eric Millman () predstavljen , tako da lahko pentesterji preizkusijo prikrito hekanje SMB. Ne poznam celotne zgodbe, potem pa je Impacket še izboljšal smbexec. Pravzaprav sem za svoje testiranje prenesel skripte iz Impacketa v Pythonu iz .
Za razliko od psexec, smexec izogiba prenos potencialno zaznane binarne datoteke na ciljni stroj. Namesto tega uporabnost v celoti živi od paše do lansiranja lokalni Windows ukazna vrstica.
Evo, kaj počne: posreduje ukaz iz napadalnega stroja prek SMB v posebno vhodno datoteko, nato pa ustvari in zažene kompleksno ukazno vrstico (kot storitev Windows), ki se bo uporabnikom Linuxa zdela znana. Na kratko: zažene domačo lupino Windows cmd, preusmeri izhod v drugo datoteko in jo nato prek SMB pošlje nazaj v napadalčev stroj.
Najboljši način za razumevanje tega je, da pogledate ukazno vrstico, ki sem jo lahko dobil v roke iz dnevnika dogodkov (glejte spodaj).
Ali ni to najboljši način za preusmeritev V/I? Mimogrede, ustvarjanje storitve ima ID dogodka 7045.
Tako kot psexec tudi ustvari storitev, ki opravi vse delo, vendar storitev za tem odstranjeno – se uporabi samo enkrat za zagon ukaza in nato izgine! Uradnik za informacijsko varnost, ki nadzoruje žrtvin stroj, ne bo mogel odkriti očitno Indikatorji napada: Zlonamerna datoteka se ne zažene, trajna storitev ni nameščena in ni dokazov o uporabi RPC, saj je SMB edino sredstvo za prenos podatkov. Briljantno!
Z napadalčeve strani je na voljo "psevdo-lupina" z zamiki med pošiljanjem ukaza in prejemom odgovora. A to je čisto dovolj, da lahko napadalec – bodisi notranji bodisi zunanji heker, ki že ima oporo – začne iskati zanimivo vsebino.
Uporablja se za pošiljanje podatkov nazaj iz ciljnega računalnika v napadalčev stroj . Ja, to je ista Samba , vendar ga je Impacket pretvoril v skript Python. Pravzaprav vam smbclient omogoča prikrito gostovanje prenosov FTP prek SMB.
Stopimo korak nazaj in pomislimo, kaj lahko to naredi za zaposlenega. V mojem izmišljenem scenariju je recimo blogerju, finančnemu analitiku ali visoko plačanemu svetovalcu za varnost dovoljeno uporabljati osebni prenosni računalnik za delo. Zaradi nekega magičnega procesa se užali nad podjetjem in »gre vse slabo«. Odvisno od operacijskega sistema prenosnega računalnika uporablja različico Python iz Impacta ali različico smbexec ali smbclient za Windows kot datoteko .exe.
Tako kot Snowden najde geslo drugega uporabnika tako, da pogleda čez ramo ali pa ima srečo in naleti na besedilno datoteko z geslom. In s pomočjo teh poverilnic začne kopati po sistemu na novi ravni privilegijev.
Hekanje DCC: Ne potrebujemo nobenega "neumnega" Mimikatza
V prejšnjih objavah o pentestingu sem zelo pogosto uporabljal mimikatz. To je odlično orodje za prestrezanje poverilnic – zgoščenih vrednosti NTLM in celo gesel z jasnim besedilom, skritih v prenosnikih, ki samo čakajo na uporabo.
Časi so se spremenili. Orodja za spremljanje so postala boljša pri odkrivanju in blokiranju mimikatza. Skrbniki za informacijsko varnost imajo zdaj tudi več možnosti za zmanjšanje tveganj, povezanih z napadi Pass The Hash (PtH).
Kaj naj torej pameten zaposleni stori, da zbere dodatne poverilnice brez uporabe mimikatza?
Impacketov komplet vključuje pripomoček, imenovan , ki pridobi poverilnice iz predpomnilnika poverilnic domene ali na kratko DCC. Kolikor razumem, če se uporabnik domene prijavi v strežnik, vendar krmilnik domene ni na voljo, DCC strežniku omogoči avtentikacijo uporabnika. Kakorkoli že, secretsdump vam omogoča, da izpustite vse te zgoščene vrednosti, če so na voljo.
Zgoščene vrednosti DCC so ne NTML hashes in ni mogoče uporabiti za PtH napad.
No, lahko jih poskusite vdreti, da dobite izvirno geslo. Vendar je Microsoft z DCC postal pametnejši in zgoščene vrednosti DCC je postalo izjemno težko razbiti. Ja, jaz imam , "najhitrejši ugibalnik gesel na svetu", vendar za učinkovito delovanje potrebuje GPE.
Namesto tega poskusimo razmišljati kot Snowden. Zaposlena lahko izvaja socialni inženiring iz oči v oči in po možnosti izve nekaj informacij o osebi, katere geslo želi razbiti. Ugotovite na primer, ali je bil spletni račun te osebe kdaj vdrl, in preglejte njeno geslo z jasnim besedilom, da bi našli namige.
In to je scenarij, za katerega sem se odločil. Predpostavimo, da je poznavalec izvedel, da je bila njegova šefica Cruella večkrat vdrta v različne spletne vire. Po analizi več teh gesel ugotovi, da Cruella raje uporablja obliko imena bejzbolske ekipe "Yankees", ki ji sledi tekoče leto - "Yankees2015".
Če zdaj poskušate to reproducirati doma, potem lahko prenesete majhen "C" , ki izvaja algoritem zgoščevanja DCC, in ga prevedite. , mimogrede, dodal podporo za DCC, tako da ga je mogoče tudi uporabljati. Predpostavimo, da se poznavalec ne želi truditi z učenjem Johna Razparača in rad izvaja "gcc" na podedovani kodi C.
Pretvarjal sem se, da sem poznavalec, poskusil sem več različnih kombinacij in na koncu sem odkril, da je Cruellino geslo »Yankees2019« (glej spodaj). Misija končana!
Malo socialnega inženiringa, kanček vedeževanja in ščepec Maltega in že ste na dobri poti, da razbijete DCC hash.
Predlagam, da tukaj končamo. K tej temi se bomo vrnili v drugih objavah in si ogledali še bolj počasne in prikrite metode napadov, pri čemer bomo še naprej gradili na odličnem naboru pripomočkov podjetja Impactet.
Vir: www.habr.com