Maqaalkan waxaa la qoray iyadoo lagu salaynayo pentest aad u guulaystey oo khabiirada kooxda-IB ay sameeyeen dhowr sano ka hor: sheeko ayaa dhacday taas oo loo habeyn karo filimada Bollywoodka. Hadda, malaha, falcelinta akhristaha ayaa raaci doonta: "Oh, maqaal kale oo PR ah, mar labaad kuwan ayaa la soo bandhigay, sida ay u fiican yihiin, ha ilaawin inaad iibsato pentest." Hagaag, dhanka kale, waa. Si kastaba ha ahaatee, waxaa jira dhowr sababood oo kale oo uu maqaalkani u soo baxay. Waxaan rabay inaan muujiyo waxa dhabta ah ee pentesters ay sameeyaan, sida xiisaha iyo aan waxtarka lahayn ee shaqadani u noqon karto, waxa duruufaha qosolka ah ee ka soo bixi kara mashaariicda, iyo tan ugu muhiimsan, soo bandhig waxyaabo nool oo leh tusaalooyin dhab ah.
Si loo soo celiyo dheelitirka xishoodka adduunka, muddo ka dib waxaan wax ka qori doonaa penest oo aan si fiican u socon. Waxaan tusi doonaa sida habka wanaagsan ee loo qaabeeyey ee shirkaddu ay uga ilaalin karaan dhammaan weerarrada kala duwan, xitaa kuwa si wanaagsan loo diyaariyey, sababtoo ah hababkani way jiraan oo run ahaantii shaqeeyaan.
Macaamiisha ku jira maqaalkan, wax walbaa waxay ahaayeen kuwo guud ahaan aad u fiican, ugu yaraan 95% suuqa Ruushka ee Ruushka, sida laga soo xigtay dareenkeena, laakiin waxaa jiray tiro yar oo nuances ah oo sameeyay silsilad dheer oo dhacdooyin ah, kuwaas oo marka hore. waxay keentay warbixin dheer oo ku saabsan shaqada, ka dibna maqaalkan.
Haddaba, aan kaydsanno salool, oo ku soo dhawaada sheekada dembi-baadhista. Eray- Pavel Suprunyuk, maamulaha farsamada ee waaxda "Hanti-dhawrka iyo La-talinta" ee Kooxda-IB.
Qaybta 1. dhakhtarka Pochkin
2018 Waxaa jira macaamiil - shirkad IT ah oo tiknoolajiyad sare leh, taas oo lafteeda u adeegta macaamiil badan. Ma doonaysaa in aad jawaab u hesho su'aasha: suurtagal ma tahay in la helo xuquuqda maamulka hagaha Active Directory iyada oo aan wax aqoon ah oo bilow ah iyo marin u helin inta aad ka shaqaynayso internetka? Ma xiisaynayo injineernimada bulshada (), ma rabaan inay farageliyaan shaqada iyagoo ula kac ah, laakiin waxay si lama filaan ah u soo celin karaan server-ka shaqada oo yaabka leh, tusaale ahaan. Hadafka dheeraadka ah ayaa ah in la aqoonsado inta badan ee weerarrada kale ee suurtogalka ah ee ka soo horjeeda wareegga dibadda. Shirkadda ayaa si joogto ah u qabata imtixaanada noocaan ah, waxaana hadda la gaaray waqtigii loogu talagalay imtixaan cusub. Xaaladuhu waa kuwo caadi ah, ku filan, la fahmi karo. Aan bilowno.
Waxaa jira magaca macmiilka - ha ahaato "Shirkad", oo leh mareegaha ugu muhiimsan . Dabcan, macmiilka waxaa loogu yeeraa si ka duwan, laakiin maqaalkan wax walba waxay noqon doonaan kuwo aan shakhsi ahayn.
Waxaan sameeyaa sahaminta shabakada - ogow cinwaanada iyo domainsyada ka diiwaan gashan macmiilka, sawir jaantuska shabakada, sida adeegyada loogu qaybiyo ciwaanadan. Waxaan helay natiijada: in ka badan 4000 ciwaan IP live ah. Waxaan eegayaa xayndaabyada shabakadahan: nasiib wanaag, inta badan waa shabakado loogu talagalay macaamiisha macaamiisha, si rasmi ah uma xiisayno iyaga. Macmiilku sidaas oo kale ayuu u fakarayaa.
Waxaa jira hal shabakad oo leh 256 ciwaan, kaas oo xilligan la joogo waxaa jira faham ku saabsan qaybinta domains iyo subdomains ee cinwaannada IP-ga, waxaa jira macluumaad ku saabsan dekedaha la sawiray, taas oo macnaheedu yahay inaad u eegi karto adeegyada kuwa xiisaha leh. Waxaa barbar socda, dhammaan noocyada iskaanka waxaa lagu bilaabay cinwaannada IP-ga ee la heli karo iyo si gooni gooni ah mareegaha internetka.
Waxaa jira adeegyo badan. Caadi ahaan tani waxay farxad u tahay pentester-ka iyo rajada guul degdeg ah, maadaama adeegyada badan ay jiraan, waa weynaanta goobta weerarka, waana sahlan tahay in la helo farshaxan. Si deg deg ah loo eego mareegaha ayaa muujisay in intooda badan ay yihiin shabakado shabakado ah oo ka mid ah alaabooyinka caanka ah ee shirkadaha waaweyn ee caalamiga ah, kuwaas oo muuqaal kasta oo kuu sheegaya in aan la soo dhaweynayn. Waxay waydiiyaan isticmaale-magaca iyo erayga sirta ah, waxay ruxayaan goobta gelitaanka qodobka labaad, waydiiyaan shahaadada macmiilka TLS, ama u diraan Microsoft ADFS. Qaar baa si fudud looga heli karin internetka. Qaar ka mid ah, sida cad waxaad u baahan tahay inaad haysato macmiil gaar ah oo mushahar leh oo saddex mushahar ah ama aad taqaan URL saxda ah si aad u gasho. Aan ka boodno toddobaad kale oo tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib tartiib ah uga no ooda loo dhigayo ay tahay inaad ku qiyaasto ereyada sirta ah ee isticmaalaya iyaga, iyo sidoo kale raadinta macluumaadka qarsoon Sida qodista dayacanka ee mareegaha is-qora - habka, marka loo eego tirakoobyada, tani waa rajada ugu rajada badan ee weerarka dibadda maanta. Waxaan isla markiiba ogaan doonaa qoriga filimka ee markii dambe toogtay.
Markaa, waxaanu helnay laba goobood oo ka soo muuqday boqolaal adeeg. Goobahani waxay lahaayeen hal shay oo ay wadaagaan: haddii aadan ku mashquulin sahaminta shabakadda domain-ka, laakiin u fiirso dekedo furan ama aad beegsato sawir qaadaha nuglaanta iyadoo la adeegsanayo kala duwanaansho IP ah oo la yaqaan, markaa goobahan waxay ka baxsan doonaan iskaanka oo si fudud ma noqon doonaan. muuqda iyadoo aan la garanayn magaca DNS. Waxaa laga yaabaa in ay hore u tabayeen, ugu yaraan, iyo qalabkeena otomaatiga ah wax dhib ah kama helin iyaga, xitaa haddii si toos ah loogu diro kheyraadka.
By habka, ku saabsan wixii hore loo bilaabay iskaanka helay guud ahaan. Aan ku xasuusiyo: dadka qaarkiis, "pentest" waxay u dhigantaa "iskaanka otomaatiga ah". Laakiin sawir-qaadayaasha mashruucan waxba ma sheegin. Hagaag, ugu badnaan waxaa muujiyay dayacanka dhexdhexaadka ah (3 ka mid ah 5 marka loo eego darnaanta): adeega qaar ka mid ah shahaadada TLS ee xun ama algorithms-ka qarsoodiga ah ee duugoobay, iyo inta badan goobaha Clickjacking. Laakiin tani kuma geyn doonto hadafkaaga. Waxaa laga yaabaa in sawir-qaadayaashu ay faa'iido badan u leeyihiin halkan, laakiin aan ku xasuusiyo: macaamilka laftiisa ayaa awood u leh inuu iibsado barnaamijyadan oo kale oo uu tijaabiyo iyaga, iyo, marka la eego natiijooyinka xun, wuxuu horey u hubiyay.
Aan ku soo laabano goobaha "aan caadi ahayn". Midka koowaad waa wax la mid ah Wiki maxalli ah oo ku yaal ciwaan aan caadi ahayn, laakiin maqaalkan ha ahaato wiki.company[.]ru. Waxay sidoo kale isla markiiba codsatay login iyo password, laakiin iyada oo loo marayo NTLM browserka. Isticmaalaha, tani waxay u eg tahay daaqad ascetic ah oo weydiinaysa inay geliso isticmaale-magaca iyo erayga sirta ah. Tanina waa dhaqan xumo.
Qoraal yar. NTLM ee shabakadaha wareega waxay u xun yihiin dhowr sababood. Sababta koowaad waa in magaca domainka Hagaha Active uu shaaca ka qaaday. Tusaalahayaga, waxay sidoo kale u soo baxday inay noqoto company.ru, sida magaca "dibadeed" ee DNS. Ogaanshaha tan, waxaad si taxadar leh u diyaarin kartaa shay xaasidnimo ah si loogu fuliyo kaliya mashiinka domainka ee ururka, oo aan ku jirin sanduuqa ciid. Marka labaad, xaqiijintu waxay si toos ah u dhex martaa maamulaha domainka iyada oo loo sii marayo NTLM (yaab, sax?), Oo leh dhammaan sifooyinka siyaasadaha shabakada "gudaha", oo ay ku jiraan xannibaadda xisaabaadka inay dhaafaan tirada isku dayga sirta ah. Haddi uu qofka soo weeraray uu ogaado galitaanka, waxa uu isku dayi doona furaha sirta ah. Haddii laguu habeeyo inaad ka xidho akoonnada inay geliso ereyada sirta ah ee khaldan, way shaqayn doontaa oo akoontiga waa la xannibi doonaa. Saddex, suurtagal maaha in lagu daro qodob labaad xaqiijinta noocaas ah. Haddii mid ka mid ah akhristayaasha weli yaqaan sida, fadlan ii soo sheeg, runtii waa mid xiiso leh. Afar, u nuglaanshaha weerarrada xashiishka. ADFS waxaa la alifay, iyo waxyaabo kale, si looga ilaaliyo waxaas oo dhan.
Waxaa jira hal hanti oo xun oo ah alaabta Microsoft: xitaa haddii aadan si gaar ah u daabicin NTLM noocaan ah, waxaa si toos ah loogu rakibi doonaa OWA iyo Lync, ugu yaraan.
Jid ahaan, qoraaga maqaalkan ayaa mar si lama filaan ah u xannibay ku dhawaad ββ1000 xisaabaad oo ka mid ah shaqaalaha hal bangi oo weyn hal saac gudaheed isaga oo isticmaalaya hab la mid ah kadibna waxa uu u muuqday mid cirro leh. Adeegyada IT-ga bangiga ayaa sidoo kale ahaa kuwo cirro leh, laakiin wax walba waxay ku dhammaadeen si wanaagsan oo ku filan, xitaa waxaa naloogu ammaanay inaan nahay kuwii ugu horreeyay ee helay dhibaatadan oo kiciyay xal degdeg ah oo degdeg ah.
Goobta labaad waxay lahayd ciwaanka "sida iska cad nooc ka mid ah magaca dambe.company.ru." Waxaa laga helay Google, wax sidan oo kale ah bogga 10. Naqshadu waxay ahayd horraantii-bartamihii XNUMX-meeyadii, qof ixtiraam lehna wuxuu ka eegayay bogga ugu muhiimsan, wax sidan oo kale ah:
Halkan waxaan ka qaatay weli "Wadnaha Eyga", laakiin i rumaysta, waxay ahayd mid la mid ah, xitaa naqshadaynta midabku waxay ku jirtay dhawaaqyo isku mid ah. Meesha ha la yiraahdo preobrazhensky.company.ru.
Waxay ahayd degel shakhsi ah... oo loogu talagalay takhtarka kaadi mareenka. Waxaan la yaabay waxa shabakada urologist ka samaynayso subdomain-ka shirkad tignoolajiyada sare leh. Qodista degdega ah ee Google-ka ayaa muujisay in dhakhtarkani uu ahaa aasaasihii mid ka mid ah hay'adaha sharciga ah ee macaamiisheena oo xitaa ku darsaday ilaa 1000 rubles caasimadda la oggol yahay. Mareegta waxaa laga yaabaa in la sameeyay sanado badan ka hor, iyo agabka serverka macmiilka ayaa loo isticmaalay martigelin ahaan. Mareegtu waxay muddo dheer lumisay muhiimaddeeda, laakiin sababo qaar ayaa looga tagay shaqada muddo dheer.
Xagga baylahda, mareegta lafteedu waa ammaan. Markaan hore u eegayo, waxaan odhan doonaa waxay ahayd xog sugan - bogag HTML ah oo fudud oo leh sawirro qaab kelyo iyo kaadi-haysta ah. Faa'iido ma leh in la "jebiyo" goobtan oo kale.
Laakiin server-ka webka hoostiisa ayaa ahaa mid aad u xiiso badan. Marka la eego cinwaanka HTTP Server, waxay lahayd IIS 6.0, taas oo macnaheedu yahay inay u isticmaashay Windows 2003 nidaamka hawlgalka. Sawir-qaaduhu waxa uu hore u aqoonsaday in website-kan gaarka ah ee urologist, oo ka duwan martigaliyayaasha kale ee isla mareegaha isku midka ah, uu ka jawaabay amarka PROPFIND, taasoo la macno ah in ay ku socoto WebDAV. Jid ahaan, sawir-qaaduhu wuxuu ku soo celiyay macluumaadkan calaamadda macluumaadka (luqada warbixinnada iskaanka, tani waa khatarta ugu yar) - waxyaabahan oo kale badanaa si fudud ayaa looga boodaa. Marka la isku daro, tani waxay siisay saameyn xiiso leh, kaas oo shaaca ka qaaday kaliya ka dib qoddo kale oo Google ah: nuglaanta naadirka ah ee qulqulka qulqulaya ee la xidhiidha Shadow Brokers set, oo ah CVE-2017-7269, kaas oo horey u lahaa ka faa'iidaysi diyaarsan. Si kale haddii loo dhigo, waxaa jiri doona dhibaato haddii aad leedahay Windows 2003 iyo WebDAV wuxuu ku shaqeeyaa IIS. In kasta oo ku shaqaynta Windows 2003 ee wax soo saarka 2018 ay tahay dhibaato lafteeda.
Ka faa'iidaysiga wuxuu ku dhammaaday Metasploit oo isla markiiba waxaa lagu tijaabiyay culeys u diray codsi DNS ah adeeg la kantaroolay - Burp Collaborator waxaa dhaqan ahaan loo isticmaalaa in lagu qabto codsiyada DNS. Si aan la yaabay, waxay shaqeysay markii ugu horreysay: garaacid DNS ayaa la helay. Marka xigta, waxaa jiray isku day lagu abuurayo dib-u-xirnaansho iyada oo loo sii marayo dekedda 80 (taasi waa, isku xirka shabakadda ee server-ka iyo weerarka, oo leh cmd.exe oo ku yaala martigeliyaha dhibbanaha), laakiin markaa fiasco ayaa dhacay. Xidhiidhku ma uusan soo bixin, ka dib isku daygii saddexaad ee isticmaalka goobta, oo ay weheliyaan dhammaan sawirada xiisaha leh, ayaa la waayay weligiis.
Caadi ahaan tan waxaa soo raacda warqad u dhiganta qaabka "macmiil, kac, wax walba waan tuurnay." Laakiin waxa naloo sheegay in goobtaasi aanay wax shaqo ah ku lahayn hab-socodka ganacsiga oo ay uga shaqeyso sinaba sabab laβaan, sida server-ka oo dhan, iyo in aan u isticmaali karno agabkan sidaan doono.
Qiyaastii maalin ka dib goobta ayaa si lama filaan ah u bilowday inay iskeed u shaqeyso. Ka dib markii aan keyd ka dhisay WebDAV ee IIS 6.0, waxaan ogaaday in goobta caadiga ah ay tahay in dib loo bilaabo hababka shaqaalaha IIS 30kii saacadoodba mar. Taasi waa, markii kontoroolku ka baxay koodka qolofka, nidaamka shaqaalaha IIS wuu dhammaaday, ka dibna wuxuu dib isu bilaabay dhowr jeer ka dibna wuxuu nastay 30 saacadood.
Tan iyo markii dambe ee tcp ku guuldareystay markii ugu horeysay, waxaan dhibaatadan u sababeeyay deked xiran. Taasi waa, waxa uu u qaatay joogitaanka nooc ka mid ah dab-damiska oo aan u oggolaan in isku-xiryada baxaya ay dibadda u gudbaan. Waxaan bilaabay in aan ku shaqeeyo shellcodes kuwaas oo ka baaray tcp iyo udp badan oo dekedo ah, ma jirin wax saameyn ah. Culayska isku xirka ee loo maro http(-yada) ee Metasploit ma shaqayn - meterpreter/reverse_http(s). Isla markiiba, isku xirka isla dekedda 80 ayaa la sameeyay, laakiin isla markiiba waa la tuuray. Tan waxaan u aaneeyay ficilka IPS ee wali mala-awaalka ah, kaas oo aan jeclayn taraafikada mitirka. Marka la eego xaqiiqda ah in isku xirka tcp saafiga ah ee dekedda 80 uusan soo marin, laakiin xiriirka http ayaa sameeyay, waxaan ku soo gabagabeeyay in wakiilka http si uun loogu habeeyey nidaamka.
Xitaa waxaan isku dayay meterpreter anigoo adeegsanaya DNS (mahadsanid Dedaalkaaga, waxaad badbaadisay mashruucyo badan), adoo dib u xasuusanaya guushii ugu horeysay, laakiin xitaa kama aysan shaqeyn goobta - koodka sheyga wuxuu ahaa mid aad u weyn nuglaantan.
Xaqiiqda, waxay u egtahay sidan: 3-4 isku dayo weeraro 5 daqiiqo gudahood, ka dibna sugaya 30 saacadood. Iyo wixii la mid ah saddex toddobaad oo isku xigta. Xataa waxaan dhigay xasuusin si aanan waqti isaga lumin. Intaa waxaa dheer, waxaa jiray farqi u dhexeeya hab-dhaqanka tijaabada iyo deegaanka wax-soo-saarka: nuglaanshahan waxaa jiray laba faa'iido oo isku mid ah, mid ka yimid Metasploit, ka labaad ee internetka, oo laga beddelay nooca Brokers Shadow. Markaa, Metasploit kaliya ayaa lagu tijaabiyay dagaalka, kan labaadna kaliya ayaa lagu tijaabiyay kursiga keydka, taas oo ka dhigtay qaladka xitaa mid aad u adag oo maskaxda ku jabiyay.
Dhammaadkii, shellcode-ka soo dejiyay faylka exe ee server-ka la siiyay iyada oo loo sii marayo http oo ku bilaabay nidaamka bartilmaameedka ayaa cadeeyay inuu waxtar leeyahay. Koodhka qolofka ayaa ahaa mid yar oo ku habboon, laakiin ugu yaraan wuu shaqeeyay. Maadaama server-ku aanu jeclayn taraafikada TCP gabi ahaanba iyo http(yada) lagu eegay joogitaanka meterpreter, waxaan go'aansaday in sida ugu dhakhsaha badan ay tahay in la soo dejiyo faylka exe ee ka kooban DNS-meterpreter iyada oo loo marayo shellcode.
Halkan mar kale dhibaato ayaa kacday: markii la soo dejinayay faylka exe iyo, sida isku dayada lagu muujiyay, iyada oo aan loo eegin midka, soo dejinta waa la joojiyay. Mar labaad, qaar ka mid ah aaladaha amniga ee u dhexeeya server-kayga iyo khabiirka kaadi mareenka ma jeclayn taraafikada http oo leh exe gudaha ah. Xalka "dhakhso ah" wuxuu u muuqday inuu yahay in la beddelo koodhka sheyga si uu u qariyo taraafikada http ee duulista, si xogta binary ee aan la taaban karin loo wareejiyo halkii exe. Ugu dambeyntii, weerarku wuxuu ahaa mid guul leh, xakamaynta waxaa laga helay kanaalka khafiifka ah ee DNS:
Isla markiiba waxay caddaatay in aan haysto xuquuqaha socodka shaqada ee IIS ee aasaasiga ah, taas oo ii oggolaanaysa inaan waxba sameeyo. Tani waa sida ay u ekaatay console-ka Metasploit:
Dhammaan hababka pentest waxay si adag u soo jeedinayaan inaad u baahan tahay inaad kordhiso xuquuqda markaad gelayso. Caadi ahaan tan ma sameeyo gudaha, maadaama gelitaanka ugu horreeya loo arko si fudud barta gelitaanka shabakad, iyo wax u dhimista mishiin kale oo isla shabakad isku mid ah ayaa inta badan ka fudud oo ka dhaqso badan kordhinta mudnaanta martigeliyaha jira. Laakiin tani maahan kiiska halkan, maadaama kanaalka DNS uu aad u yar yahay mana u oggolaan doono taraafikada inuu nadiifiyo.
Anigoo u maleynaya in server-kan Windows 2003 aan loo dayactirin nuglaanshiyaha caanka ah ee MS17-010, waxaan tunnelka taraafikada u maraa dekedda 445/TCP iyada oo loo marayo mitirka mitirka DNS tunnel ee localhost (haa, tani sidoo kale waa suurtagal) oo isku day inaad ku socodsiiso exe horay loo soo dejiyey. baylahda. Weerarku wuu shaqeeyaa, waxaan helay xiriir labaad, laakiin leh xuquuqaha NIDAAMKA.
Waxaa xiiso leh in ay wali isku dayeen in ay ka ilaaliyaan server-ka MS17-010 - waxay lahayd adeegyo shabakad nugul oo naafada ah interface-ka dibadda. Tani waxay ka ilaalinaysaa weerarrada ka dhaca shabakadda, laakiin weerarka gudaha ee localhost wuu shaqeeyay, maadaama aanad si dhakhso ah u damin karin SMB ee localhost.
Marka xigta, faahfaahin cusub oo xiiso leh ayaa daaha laga qaaday:
- Lahaanshaha xuquuqaha NIDAAMKA, waxaad si fudud u samayn kartaa xidhiidh danbe oo TCP ah. Sida cad, curyaaminta TCP tooska ah waxay si adag dhibaato ugu tahay isticmaalayaasha IIS ee xaddidan. Qaswadayaasha: taraafikada isticmaalaha IIS waxa si uun loogu duuduubay wakiilka ISA ee labada jiho. Sida saxda ah ee ay u shaqeyso, ma soo saarin.
- Waxaan ku jiraa "DMZ" gaar ah (oo kani ma aha hagaha Active Directory, laakiin waa WORKGROUP) - waxay u egtahay mid macquul ah. Laakiin halkii laga filayo cinwaanka IP-ga gaarka ah ("cawlan"), waxaan haystaa ciwaanka IP-ga gabi ahaanba "caddaan", oo la mid ah kii aan hore u weeraray. Tani waxay ka dhigan tahay in shirkadu aad uga da' weyn tahay adduunka IPv4 oo wax ka qabanaysa inay awoodi karto inay sii wado aagga DMZ ee 128 ciwaan "cad" oo aan lahayn NAT sida ku cad nidaamka, sida lagu muujiyey buug-gacmeedyada Cisco laga soo bilaabo 2005.
Maadaama uu seerfarku duqoobay, Mimikatz waxaa loo dammaanad qaaday inay si toos ah uga shaqeyso xusuusta:
Waxaan helay erayga sirta ah ee maamulaha maxalliga ah, taraafikada RDP tunnel-ka ee TCP oo aan galo miistarka raaxada leh. Maadaama aan wax kasta oo aan rabo ku samayn karo server-ka, waxaan ka saaray fayraska oo aan ogaaday in server-ka laga heli karo internetka oo kaliya iyada oo loo marayo dekedaha TCP 80 iyo 443, iyo 443 ma ahayn mid mashquul ah. Waxaan dhigay server-ka OpenVPN ee 443, ku dar hawlaha NAT ee taraafikadayda VPN oo waxaan si toos ah u gelayaa shabakadda DMZ qaab aan xadidnayn iyada oo loo marayo OpenVPN. Waxaa xusid mudan in ISA, oo haysata qaar ka mid ah hawlaha IPS ee aan naafada ahayn, ay ku xannibtay gaadiidkayga baarista dekedda, taas oo ay ahayd in lagu beddelo RRAS fudud oo dheeraad ah. Markaa denbiilayaasha mararka qaarkood wali waa inay maamulaan dhammaan noocyada kala duwan ee shay.
Akhristaha fiiro gaar ah leh ayaa ku weydiin doona: "Ka warran bogga labaad - wiki leh aqoonsiga NTLM, kaas oo wax badan laga qoray?" Wax badan oo arrintan ku saabsan gadaal.
Qaybta 2. Weli ma sir qarinaysaa? Markaa horeba halkan ayaan kuugu imanaynaa
Markaa, waxaa jira marin loo heli karo qaybta shabakadda DMZ. Waxaad u baahan tahay inaad u tagto maamulaha bogga Waxa ugu horreeya ee maskaxda ku soo dhaca waa in si toos ah loo hubiyo amniga adeegyada gudaha qaybta DMZ, gaar ahaan maadaama qaar badan oo iyaga ka mid ah ay hadda u furan yihiin cilmi-baaris. Sawirka caadiga ah inta lagu jiro tijaabada gelitaanka: wareegga dibedda ayaa si ka wanaagsan uga ilaalinaya adeegyada gudaha, iyo marka la helo wax kasta oo gudaha ah oo kaabayaal weyn ah, aad bay u fududahay in la helo xuquuqaha la dheereeyey ee domainka kaliya sababtoo ah xaqiiqda ah in domainkani uu bilaabo inuu noqdo la heli karo qalabka, iyo marka labaad, Kaabayaasha leh dhowr kun oo martigeliyayaal ah, waxaa had iyo jeer jiri doona dhowr dhibaato oo muhiim ah.
Waxaan ku dalacayaa sawir-qaadayaasha DMZ anigoo isticmaalaya tunnel OpenVPN oo sugo. Waxaan furay warbixinta - mar kale ma jiraan wax halis ah, sida muuqata qof ayaa soo maray hab la mid ah aniga ka hor. Talaabada xigta waa in la baaro sida martigaliyayaasha ku jira shabakada DMZ ay u wada xiriiraan. Si tan loo sameeyo, marka hore billow Wireshark-ka caadiga ah oo dhegayso codsiyada baahinta, ugu horrayn ARP. Baakadaha ARP ayaa la ururiyay maalintii oo dhan. Waxaa soo baxday in dhowr albaab laga soo galo qaybtan. Tani waxay u iman doontaa anfaca dambe. Marka la isku daro xogta codsiyada ARP iyo jawaabaha iyo xogta iskaanka dekeda, waxaan helay meelaha laga baxo taraafikada isticmaalaha gudaha shabakada deegaanka marka lagu daro adeegyadaas hore loo yiqiin, sida webka iyo boostada.
Tan iyo wakhtigan xaadirka ah ma aanan helin wax nidaamyo kale ah oo aanan haysan hal akoon oo loogu talagalay adeegyada shirkadaha, waxaa la go'aamiyay in laga kalluumaysto ugu yaraan qaar ka mid ah xisaabaadka taraafikada iyadoo la adeegsanayo ARP Spoofing.
Qaabiil & Haabiil waxa lagu bilaabay server-ka dhakhtarka kaadi mareenka. Iyadoo la tixgelinayo socodka gaadiidka ee la aqoonsaday, lamaanayaasha ugu rajo-gelinta badan ee weerarka dhex-dhexaadka ah ayaa la doortay, ka dibna qaar ka mid ah taraafikada shabakada waxaa la helay waqti gaaban oo 5-10 daqiiqo ah, oo leh saacad si dib loogu bilaabo server-ka. haddii ay dhacdo baraf. Sida kaftanka, waxaa jiray laba war:
- Wanaagsan: aqoonsiyo badan ayaa la qabtay iyo weerarka guud ahaan wuu shaqeeyay.
- Xumaanta: dhammaan shahaadooyinka waxay ka yimaaddeen macaamiisheeda macaamiisha. Iyadoo la bixinayo adeegyada taageerada, khabiirada macaamiisha ee ku xiran adeegyada macaamiisha aan had iyo jeer lahayn sirta taraafikada habaysan.
Natiijo ahaan, waxaan helay aqoonsiyo badan oo aan faa'iido lahayn marka la eego macnaha mashruuca, laakiin hubaal xiiso leh sida muujinta khatarta weerarka. Rugaha xudduudaha ee shirkadaha waaweyn ee leh telnet, gudbinta debug http ee dekedaha gudaha CRM oo leh dhammaan xogta, si toos ah RDP uga helaan Windows XP shabakadda maxalliga ah iyo mugdi kale. Waxay noqotay sidan .
Waxaan sidoo kale helay fursad qosol leh oo aan ku ururiyo waraaqaha taraafigga, wax sidan oo kale ah. Tani waa tusaale ka mid ah warqad diyaarsan oo ka timid macmiilkayaga oo ku socotay dekedda SMTP ee macmiilkiisa, mar labaad, iyada oo aan qarsoodi ahayn. Qaar ka mid ah Andrey ayaa waydiisanaya magaciisa inuu dib u soo diro dukumeentiga, waxaana lagu dhejiyaa diskka daruuraha leh login, erayga sirta ah iyo isku xirka hal warqad jawaab celin ah:
Tani waa xasuusin kale oo lagu siraynayo dhammaan adeegyada. Lama garanayo cidda iyo goorta akhrin doonta oo isticmaali doonta xogtaada si gaar ah - bixiyaha, maamulaha nidaamka shirkad kale, ama pentester noocan oo kale ah. Waan ka aamusay xaqiiqda ah in dad badani ay si fudud u faragelin karaan taraafikada aan qarsoodi ahayn.
Inkastoo guusha muuqata, tani namay soo dhawayn hadafkii. Waxaa suurtagal ah, dabcan, in la fadhiisto wakhti dheer oo laga kalluumeysto macluumaadka qiimaha leh, laakiin maahan xaqiiqo in ay halkaas ka muuqan doonto, iyo weerarka laftiisa waa mid aad khatar u ah marka la eego daacadnimada shabakada.
Kadib qodis kale oo adeegyadii, fikrad xiiso leh ayaa maskaxda ku soo dhacday. Waxaa jira utility noocaan oo kale ah oo la yiraahdo Responder (waa sahlan tahay in la helo tusaalooyin loo isticmaalo magacan), kaas oo, "sunta" codsiyada baahinta, ka xanaajiso isku xirka borotokoollada kala duwan sida SMB, HTTP, LDAP, iwm. siyaalo kala duwan, ka bacdi wayddiinaysaa qof kasta oo ku xidha inuu xaqiijiyo oo u dejiyo si sugida u dhacdo NTLM iyo qaab hufan oo dhibbanaha. Inta badan, weeraryahanku habkan ayuu u ururiyaa gacan-qaadka NetNTLMv2 iyaga oo isticmaalaya qaamuus, si dhakhso ah ayuu u soo celiyaa ereyada isticmaalaha domainka. Halkan waxaan rabay wax la mid ah, laakiin isticmaalayaashu waxay fadhiisteen "darbi gadaashiisa", ama halkii, waxaa kala saaray dab-damis, waxayna ka galeen WEB-ka iyada oo loo marayo kooxda wakiillada Blue Coat.
Xusuusnow, waxaan caddeeyey in magaca domainka Hagaha Active uu la mid yahay domainka "dibadda", taas oo ah, waxay ahayd company.ru? Marka, Windows, si ka sii saxsan Internet Explorer (iyo Edge iyo Chrome), u oggolow isticmaaluhu inuu si hufan ugu caddeeyo HTTP isagoo sii maraya NTLM haddii ay tixgeliyaan in goobta ay ku taal qaar ka mid ah "Aaga Intranetka". Mid ka mid ah calaamadaha "Intranet" waa gelitaanka ciwaanka IP-ga "cawlan" ama magaca DNS oo gaaban, taas oo ah, bilaa dhibco. Maaddaama ay haysteen server leh "cad" IP iyo magaca DNS preobrazhensky.company.ru, iyo mashiinnada domainka sida caadiga ah waxay helayaan bogga Active Directory iyada oo loo sii marayo DHCP si magac loo fududeeyo, kaliya waxay ku qasbanaadeen inay ku qoraan URL barta ciwaanka. , si ay u helaan dariiqa saxda ah ee server-ka urologist ee la dhibay, iyada oo aan la iloobin in tan hadda loo yaqaan "Intranet". Taasi waa, isla mar ahaantaana i siinaya adeegsadaha NTLM-gacanta isagoon aqoontiisa lahayn. Waxa hadhay oo dhan waa in lagu qasbo daalacayaasha macmiilka inay ka fikiraan baahida degdega ah ee lagula xidhiidho server-kan.
Adeegga yaabka leh ee Intercepter-NG ayaa u soo gurmaday (mahadsanid ). Waxay kuu ogolaatay inaad beddesho taraafikada duulista waxayna si weyn uga shaqeysay Windows 2003. Waxay xitaa lahayd shaqeyn gooni ah oo loogu talagalay wax ka beddelka kaliya faylasha JavaScript ee socodka taraafikada. Nooc ka mid ah qorista-Gogol-dhaafka weyn ayaa la qorsheeyay.
Wakiilada buluuga ah ee Coat, kaas oo ay isticmaalayaashu ka heleen WEB-ga caalamiga ah, waxay kaydin jireen macluumaadka joogtada ah. Dhex galka taraafikada, waxaa caddaatay inay shaqaynayeen habeen iyo maalin, iyagoo si aan dhammaad lahayn u codsanaya static inta badan la isticmaalo si loo dedejiyo muujinta nuxurka saacadaha ugu sarreeya. Intaa waxaa dheer, BlueCoat waxay lahayd isticmaale-Wakiil gaar ah, kaas oo si cad uga soocay isticmaale dhabta ah.
Javascript ayaa la diyaariyey, taas oo, iyadoo la adeegsanayo Intercepter-NG, ayaa la hirgeliyay saacad habeenkii jawaab kasta oo leh faylasha JS ee Coat Blue. Qoraalku wuxuu sameeyay sidan soo socota:
- Waxaa go'aamiyay biraawsarkaaga hadda jira wakiilka isticmaalaha. Haddii ay ahayd Internet Explorer, Edge ama Chrome, way sii waday shaqada.
- Waxaan sugay ilaa DOM ee bogga la sameeyay.
- Geliyey sawir aan la arki karin gudaha DOM oo leh qaabka src ee foomka :8080/NNNNNNN.png, halkaasoo NNN ay yihiin tirooyin aan sabab lahayn si BlueCoat aysan u kaydin.
- Deji doorsoome calan caalami ah si aad u muujiso in cirbaddu dhammaatay oo aan loo baahnayn in sawiro la geliyo.
Barowsarku wuxuu isku dayay inuu ku shubo sawirkan; Dekadda 8080 ee server-ka la jabsaday, tunnel-ka TCP ayaa ku sugayay laptop-kayga, halkaasoo isla jawaab-bixiyehu uu socday, una baahan browser-ku inuu ka soo galo NTLM.
Marka la eego diiwaannada jawaab-celinta, dadku waxay u yimaadeen inay shaqeeyaan subaxdii, waxay shideen goobahooda shaqo, ka dibna si ballaaran oo aan la dareemin waxay bilaabeen inay booqdaan server-ka urologist, iyaga oo aan iloobin inay "daadi" NTLM gacan-qaadka. Gacmaha is-gacan-qaadka ayaa da'ay maalintii oo dhan waxayna si cad u urursadeen walxo loogu talagalay weerar cad oo guul leh si loo soo celiyo furaha sirta ah. Tani waa sida uu u ekaa diiwaanka jawaab-bixiye:
Booqashooyinka qarsoodiga ah ee ballaaran ee isticmaalayaasha serferka urologist
Waxaa laga yaabaa inaad hore u ogaatay in sheekadan oo dhami ay ku dhisan tahay mabda'a "wax walbaa way fiicnaayeen, laakiin markaa waxaa jiray bummer, ka dibna waxaa jiray guulo, ka dibna wax walbaa waxay ku guuleysteen." Markaa, halkan waxaa ka dhacay bummer. Kontonkii gacan-qaadka ee u gaarka ahaa, mid qudha lama muujin. Waxayna tani xisaabta ku dareysaa in xitaa laptop-ka uu ku jiro processor-ka dhintay, NTLMv2-gacanta-gacanta waxaa lagu farsameeyaa xawaare gaaraya dhowr boqol oo milyan oo isku day ilbiriqsikii.
Waxay ahayd inaan isku hubeeyo farsamooyinka beddelka erayga sirta ah, kaarka fiidyowga, qaamuus dhumuc weyn leh oo aan sugo. Muddo dheer ka dib, dhowr akoon oo leh furaha sirta ah ee foomka "Q11111111....1111111q" ayaa la soo bandhigay, taas oo soo jeedinaysa in dhammaan isticmaalayaasha mar lagu qasbay inay la yimaadaan furaha sirta ah ee aad u dheer oo leh kiis kala duwan oo jilayaal ah, kaas oo sidoo kale loo malaynayay noqo mid adag. Laakiin ma khiyaami kartid isticmaale khibrad leh, tanina waa sida uu naftiisa ugu fududeeyay inuu xasuusto. Wadar ahaan, ilaa 5 xisaabood ayaa la jabsaday, oo mid ka mid ah oo kaliya ayaa wax xuquuq ah ku lahaa adeegyada.
Qaybta 3. Roskomnadzor dib ayuu u garaacay
Markaa, akoonnada domain-kii ugu horreeyay ayaa la helay. Haddii aanad ka seexan qodobkan akhrin dheer, waxaad u badan tahay inaad xasuusato inaan xusay adeeg aan u baahnayn qodobka labaad ee xaqiijinta: waa wiki leh aqoonsiga NTLM. Dabcan, waxa ugu horreeya ee la sameeyo waxay ahayd gelitaanka halkaas. Qodista saldhigga aqoonta gudaha waxay si degdeg ah u keentay natiijooyin:
- Shirkadu waxay leedahay shabakad WiFi ah oo leh aqoonsi iyadoo la adeegsanayo xisaabaadka domainka ee marin u helka shabakada deegaanka. Marka la eego xogta hadda jirta, tani waxay horeyba u tahay shaqale weerar ah, laakiin waxaad u baahan tahay inaad cagahaaga la tagto xafiiska oo aad ku taal meel ka mid ah dhulka xafiiska macaamiisha.
- Waxaan helay tilmaamo sida uu qabo adeeg u oggolaaday ... inuu si madax-bannaan u diiwaan geliyo qalab xaqiijinta "qeyb labaad" haddii isticmaaluhu uu ku jiro gudaha shabakad maxalli ah oo uu si kalsooni leh u xasuusto boggiisa login iyo erayga sirta ah. Xaaladdan oo kale, "gudaha" iyo "dibadda" ayaa lagu go'aamiyay gelitaanka dekedda adeeggan ee isticmaalaha. Dekeddu lagama helin internetka, laakiin si fiican ayay u geli jirtay DMZ.
Dabcan, "cunsurka labaad" ayaa isla markiiba lagu daray koontada la jabiyay ee foomka codsiga telefoonkayga. Waxa jiray barnaamij si qaylo ah u soo diri kara codsi riix telefoonka oo wata badhamada "ansixi"/" diidmo" ee ficilka, ama si aamusnaan ah u tusi kara koodka OTP shaashadda si aad u sii madax bannaanaato. Waxaa intaa dheer, habka ugu horreeya waxaa loo malaynayay in tilmaamaha uu yahay midka kaliya ee saxda ah, laakiin ma shaqeyn, si ka duwan habka OTP.
Iyada oo "cunsurka labaad" jabay, waxaan awooday in aan galo fariinta Helitaanka Mareegta ee Outlook iyo gelitaanka fog ee Citrix Netscaler Gateway. La yaab ayaa ku jirtay boostada ee Outlook:
Talaalkan dhifka ah waxaad ku arki kartaa sida Roskomnadzor u caawiyo pentesters
Kuwani waxay ahaayeen bilihii ugu horreeyay ka dib xannibaadda caanka ah ee "taageeraha" ee Telegram, markii dhammaan shabakadaha leh kumanaan ciwaan ay si aan macquul ahayn looga waayay gelitaanka. Waxay caddaatay sababta riixidu aysan isla markiiba u shaqeyn iyo sababta "dhibanaha" aan u dhawaaqin digniinta sababtoo ah waxay bilaabeen isticmaalka akoonkeeda saacadaha furan.
Qof kasta oo aqoon u leh Citrix Netscaler wuxuu qiyaasayaa in sida caadiga ah loo hirgeliyo qaab kaliya oo sawir muuqaal ah loo gudbin karo isticmaalaha, isaga oo isku dayaya inuusan siinin qalabyada uu ku bilaabo codsiyada dhinac saddexaad iyo wareejinta xogta, xaddidaya hab kasta oo suurtagal ah falalka iyada oo loo marayo qolofka xakamaynta caadiga ah. Dhibbanahaygii, shaqadiisa awgeed, waxa uu helay 1C:
Ka dib markii aan ku socday agagaarka interface 1C, waxaan ogaaday in ay jiraan modules processing dibadda halkaas. Waxaa laga soo rari karaa interface-ka, waxaana lagu fulin doonaa macmiilka ama server-ka, iyadoo ku xiran xuquuqda iyo dejinta.
Waxaan ka codsaday saaxiibadeyda barnaamijka 1C inay abuuraan habayn aqbali doona xadhig oo fulinaya. Luuqadda 1C, bilaabista habsocodku waxa ay u eegtahay wax sidan oo kale ah (laga soo qaatay internetka). Ma ku raacsan tahay in ereyga 1C ee luqadda XNUMXC ay ka yaabisay dadka ku hadla luqadda Ruushka?
Nidaaminta si fiican ayaa loo fuliyay; waxay noqotay waxa pentesters ugu yeeraan "Shell" - Internet Explorer ayaa laga dhex bilaabay.
Hadda ka hor, ciwaanka nidaamka kuu ogolaanaya inaad dalbato baasaska dhulka ayaa laga helay boostada. Waxaan dalbaday baas haddii ay dhacdo in aan isticmaalo vector-ka weerarka WiFi.
Waxaa jira hadal ku saabsan internetka in weli ay jirto cuntooyin bilaash ah oo macaan oo ka socda xafiiska macaamiisha, laakiin weli waxaan doorbiday inaan horumariyo weerarka meel fog, way deggan tahay.
AppLocker waxa lagu hawl galiyay adeegaha arjiga ee Citrix ku shaqaynaya, laakiin waa la dhaafay. Isla Meterpreter-ka ayaa lagu shubay oo lagu bilaabay DNS, maadaama noocyada http(-yada) aysan rabin inay isku xiraan, mana aanan aqoon cinwaanka wakiilnimada gudaha wakhtigaas. Jid ahaan, laga bilaabo wakhtigan, pentest dibadda ayaa si buuxda u noqday mid gudaha ah.
Qaybta 4. Xuquuqda maamulka isticmaalayaashu way xun yihiin, sax?
Hawsha ugu horeysa ee pentester-ka marka lahelayo xakamaynta kulanka isticmaalaha domainka waa in la ururiyo dhammaan macluumaadka ku saabsan xuquuqda domainka. Waxaa jira utility BloodHound kaas oo si toos ah kuu ogolaanaya inaad kala soo baxdo macluumaadka ku saabsan isticmaalayaasha, kombuyuutarada, kooxaha amniga iyada oo loo marayo borotokoolka LDAP ee maamulaha domain, iyo SMB - macluumaadka ku saabsan isticmaaleha dhawaan soo galay meesha iyo cidda maamulaha maxalliga ah.
Farsamada caadiga ah ee la wareegida xuquuqaha maamulaha bogga waxay u eegtahay mid la fududeeyay sida wareegtada ficilada kali-taliska ah:
- Waxaan aadnaa kombuyuutarrada domain-ka halkaasoo ay ka jiraan xuquuqaha maamulaha maxalliga ah, oo ku saleysan koontooyinka domain-ka ee horay loo qabsaday.
- Waxaan bilownay Mimikatz oo hel furaha sirta ah ee kaydsan, tigidhada Kerberos iyo hashes NTLM ee akoonnada domainka ee dhawaan soo galay nidaamkan. Ama waxaan ka saareynaa sawirka xusuusta ee habka lsass.exe oo aan sidaas oo kale ka samayno dhinacayada. Tani waxay si fiican ula shaqeysaa Windows ka yar 2012R2/Windows 8.1 oo leh goobaha caadiga ah.
- Waxaan go'aaminnaa halka xisaabaadka la jabsaday ay ku leeyihiin xuquuqda maamulaha deegaanka. Waxaan ku celineynaa qodobka koowaad. Marxalada qaarkood waxaan helnaa xuquuqda maamulaha guud ahaan domainka.
"Dhammaadka Wareegtada,", sida barnaamij-yaqaannada 1C ay halkan ku qori lahaayeen.
Marka, isticmaaleyaasheenu wuxuu u noqday maamule maxalli ah hal marti-geliyaha Windows 7, magaca kaas oo ay ku jiraan ereyga "VDI", ama "Kaabayaasha Desktop Virtual", mashiinnada farsamada shaqsiyeed. Malaha, naqshadeeyaha adeegga VDI-da waxa loola jeedaa maadaama VDI ay tahay nidaamka hawlgalka shakhsi ahaaneed ee isticmaalaha, xitaa haddii isticmaaluhu u beddelo jawiga software sida uu rabo, martida loo yahay wali waa "dib u soo celin". Waxaan sidoo kale u maleeyay in guud ahaan fikraddu ay wanaagsan tahay, waxaan aaday martigeliyaha VDI-ga gaarka ah oo aan buul ka sameeyay halkaas:
- Waxaan ku rakibay macmiil OpenVPN ah halkaas, kaas oo ka sameeyay tunnel intarneedka server-kayga. Macmiilka waa in lagu qasbo inuu dhex maro jaakad buluug ah oo isku mid ah oo leh aqoonsiga domain, laakiin OpenVPN ayaa sameeyay, sida ay yiraahdaan, "ka baxsan sanduuqa."
- Ku rakibay OpenSSH VDI Hagaag, runtii, waa maxay Windows 7 bilaa SSH?
Tani waa sida ay u ekayd si toos ah. Aan ku xasuusiyo in waxaas oo dhan ay tahay in lagu sameeyo Citrix iyo 1C:
Mid ka mid ah farsamada kor u qaadida gelitaanka kombiyuutarada deriska waa in la hubiyo furaha sirta ah ee maamulaha deegaanka ee ciyaarta. Halkan nasiibku isla markiiba waa la sugay: xashiishkii NTLM ee maamulaha maxaliga ah ee caadiga ah (kaas oo si lama filaan ah loogu yeedhay Maamulaha) ayaa lagu soo dhawaaday iyada oo loo marayo weerar xashiish ah oo lagu qaaday martigaliyayaasha VDI-da deriska ah, kuwaas oo ay ahaayeen dhawr boqol. Dabcan, weerarku isla markiiba wuu ku dhacay.
Tani waa halka ay maamulayaasha VDI-da isku toogteen cagta laba jeer:
- Markii ugu horraysay waxay ahayd markii mishiinnada VDI-da aan la hoos keenin LAPS, asal ahaan ka haysta isla lambarka sirta ah ee maamulaha deegaanka ee sawirka si wayn loo geeyay VDI.
- Maamulaha caadiga ah waa koontada kaliya ee maxalli ah ee u nugul weerarada xashiishka. Xataa isla lambarka sirta ah, waxa suurtagal noqon karta in laga fogaado isu tanaasulka ballaaran iyada oo la abuurayo koonto maamuleed labaad oo maxalli ah oo leh furaha sirta ah ee adag oo la xannibo kan caadiga ah.
Waa maxay sababta adeegga SSH ugu jiro Windows-kaas? Aad u fudud: hadda server-ka OpenSSH kaliya ma bixinayo qolof amar ku habboon oo ku habboon iyada oo aan la faragelin shaqada isticmaalaha, laakiin sidoo kale socks5 proxy on VDI. sharabaadadan, waxaan ku xidhay SMB waxaanan ka soo ururiyay xisaabaadyo kaydsan dhamaan boqolaalkan mashiinada VDI, ka dibna waxaan raadiyay dariiqa loo maro maamulaha domainka isagoo isticmaalaya garaafyada BloodHound. Iyadoo boqollaal martigaliyayaasha ah aan gacanta ku hayo, waxaan u helay habkan si degdeg ah. Xuquuqda maamulka domain waa la helay.
Halkan waxaa ah sawir laga soo qaaday internetka oo muujinaya raadin la mid ah. Xidhiidhku wuxuu muujinayaa cidda meesha maamuluhu joogo iyo cidda meesha gashay.
By habka, xusuusnow xaaladda laga bilaabo bilawga mashruuca - "ha isticmaalin injineernimada bulshada." Haddaba, waxaan soo jeedinayaa in aan ka fekero ilaa intee in le'eg oo dhammaan Bollywood-kan saamaynta gaarka ah leh laga jari lahaa haddii ay weli suurtogal tahay in la isticmaalo phishing banal. Laakiin shaqsi ahaan, aad ayay ii xiiso galisay inaan waxan oo dhan sameeyo. Waxaan rajeynayaa inaad ku riyaaqday akhrinta kan. Dabcan, mashruuc kastaa uma eka mid soo jiidasho leh, laakiin shaqada guud ahaan waa mid aad u adag oo aan u oggolaan in ay istaagto.
Malaha qof ayaa su'aal qabo: sida loo ilaaliyo naftaada? Xitaa maqaalkani wuxuu qeexayaa farsamooyin badan, kuwaas oo qaar badan oo ka mid ah maamulayaasha Windows aysan xitaa ogeyn. Si kastaba ha ahaatee, waxaan soo jeedinayaa in iyaga laga eego mabaadi'da la jabsaday iyo tallaabooyinka amniga macluumaadka:
- Ha isticmaalin software duugoobay (xusuus Windows 2003 bilawgii?)
- ha daarin nidaamyada aan loo baahnayn (maxay u jirtay mareegta dhakhtarka kaadi mareenka?)
- iska hubi furaha sirta ah ee isticmaalaha si uu u xoogeysto (haddii kale askarta... pentesters ayaa tan sameyn doona)
- aan isku sir ah u lahayn xisaabaadka kala duwan (VDI compromise)
- iyo kuwo kale
Dabcan, tani aad bay u adag tahay in la fuliyo, laakiin maqaalka soo socda waxaan ku tusi doonaa ficil ahaan inay suurtogal tahay.
Source: www.habr.com