Ne shkruajmë rregullisht se si hakerët shpesh mbështeten në shfrytëzimin për të shmangur zbulimin. Ata fjalë për fjalë , duke përdorur mjete standarde të Windows, duke anashkaluar kështu antiviruset dhe shërbimet e tjera për zbulimin e aktivitetit me qëllim të keq. Ne, si mbrojtës, tani jemi të detyruar të përballemi me pasojat fatkeqe të teknikave të tilla të zgjuara të hakerimit: një punonjës i vendosur mirë mund të përdorë të njëjtën qasje për të vjedhur fshehurazi të dhëna (pronë intelektuale të kompanisë, numrat e kartave të kreditit). Dhe nëse ai nuk nxiton, por punon ngadalë dhe në heshtje, do të jetë jashtëzakonisht e vështirë - por gjithsesi e mundur nëse ai përdor qasjen e duhur dhe të përshtatshme , — për të identifikuar një aktivitet të tillë.
Nga ana tjetër, nuk do të doja të demonizoja punonjësit sepse askush nuk dëshiron të punojë në një mjedis biznesi që nga viti 1984 i Orwellit. Për fat të mirë, ka një sërë hapash praktike dhe mashtrime të jetës që mund ta bëjnë jetën shumë më të vështirë për personat e brendshëm. Ne do të shqyrtojmë metodat e sulmit të fshehtë, i përdorur nga hakerat nga punonjës me njëfarë sfondi teknik. Dhe pak më tej do të diskutojmë opsionet për zvogëlimin e rreziqeve të tilla - do të studiojmë opsionet teknike dhe organizative.
Çfarë nuk shkon me PsExec?
Edward Snowden, me të drejtë ose gabimisht, është bërë sinonim i vjedhjes së të dhënave të brendshme. Meqë ra fjala, mos harroni t'i hidhni një sy për të brendshëm të tjerë që gjithashtu meritojnë një status famë. Një pikë e rëndësishme që ia vlen të theksohet në lidhje me metodat e përdorura nga Snowden është se, sipas njohurive tona, ai nuk u instalua asnjë softuer i jashtëm me qëllim të keq!
Në vend të kësaj, Snowden përdori pak inxhinieri sociale dhe përdori pozicionin e tij si administrator sistemi për të mbledhur fjalëkalime dhe për të krijuar kredencialet. Asgjë e komplikuar - asnjë , sulme ose .
Punonjësit e organizatës nuk janë gjithmonë në pozicionin unik të Snowden-it, por ka një sërë mësimesh që duhen mësuar nga koncepti i "mbijetesës nga kullotja" për të qenë të vetëdijshëm - të mos përfshihen në ndonjë aktivitet keqdashës që mund të zbulohet dhe të jenë veçanërisht kujdes me përdorimin e kredencialeve. Mbani mend këtë mendim.
dhe kushëriri i tij kanë bërë përshtypje pentestues të panumërt, hakerë dhe blogerë të sigurisë kibernetike. Dhe kur kombinohet me mimikatz, psexec lejon sulmuesit të lëvizin brenda një rrjeti pa pasur nevojë të dinë fjalëkalimin e tekstit të pastër.
Mimikatz përgjon hash-in NTLM nga procesi LSASS dhe më pas kalon tokenin ose kredencialet - të ashtuquajturat. sulmi "kaloni hash". – në psexec, duke lejuar një sulmues të hyjë në një server tjetër si të një tjetri përdorues. Dhe me çdo lëvizje të mëvonshme në një server të ri, sulmuesi mbledh kredenciale shtesë, duke zgjeruar gamën e aftësive të tij në kërkimin e përmbajtjes së disponueshme.
Kur fillova të punoja për herë të parë me psexec më dukej magjike - faleminderit , zhvilluesi i shkëlqyer i psexec - por unë gjithashtu di për të tijin e zhurmshme komponentët. Ai nuk është kurrë i fshehtë!
Fakti i parë interesant në lidhje me psexec është se ai përdor jashtëzakonisht komplekse Protokolli i skedarit të rrjetit SMB nga Microsoft. Duke përdorur SMB, psexec transferon të vogla dyjor skedarë në sistemin e synuar, duke i vendosur ato në dosjen C:Windows.
Më pas, psexec krijon një shërbim Windows duke përdorur binarin e kopjuar dhe e drejton atë nën emrin jashtëzakonisht "të papritur" PSEXECSVC. Në të njëjtën kohë, ju mund t'i shihni të gjitha këto, si unë, duke parë një makinë në distancë (shih më poshtë).
Karta telefonike e Psexec: Shërbimi "PSEXECSVC". Ai drejton një skedar binar që është vendosur nëpërmjet SMB në dosjen C:Windows.
Si hap i fundit, hapet skedari binar i kopjuar Lidhja RPC në serverin e synuar dhe më pas pranon komandat e kontrollit (nëpërmjet guaskës cmd të Windows si parazgjedhje), duke i lëshuar ato dhe duke ridrejtuar hyrjen dhe daljen në makinën e shtëpisë së sulmuesit. Në këtë rast, sulmuesi sheh linjën bazë të komandës - njësoj sikur të ishte i lidhur drejtpërdrejt.
Shumë komponentë dhe një proces shumë i zhurmshëm!
Të brendshmet komplekse të psexec shpjegojnë mesazhin që më hutoi gjatë testeve të mia të para disa vite më parë: "Fillimi i PSEXECSVC..." i ndjekur nga një pauzë përpara se të shfaqet komanda.
Psexec i Impacket në fakt tregon se çfarë po ndodh nën kapuç.
Nuk është për t'u habitur: psexec bëri një punë të madhe nën kapuç. Nëse jeni të interesuar për një shpjegim më të detajuar, shikoni këtu përshkrim i mrekullueshëm.
Natyrisht, kur përdoret si një mjet administrimi i sistemit, i cili ishte qëllimi origjinal psexec, nuk ka asgjë të keqe me "gumëzhitjen" e të gjithë këtyre mekanizmave të Windows. Megjithatë, për një sulmues, psexec do të krijonte komplikime, dhe për një person të brendshëm të kujdesshëm dhe dinak si Snowden, psexec ose një mjet i ngjashëm do të ishte një rrezik i madh.
Dhe pastaj vjen Smbexec
SMB është një mënyrë e zgjuar dhe e fshehtë për të transferuar skedarë midis serverëve dhe hakerët kanë depërtuar direkt në SMB për shekuj me radhë. Unë mendoj se të gjithë tashmë e dinë se nuk ia vlen Portat SMB 445 dhe 139 në internet, apo jo?
Në Defcon 2013, Eric Millman () paraqitur , në mënyrë që pentestuesit të mund të provojnë hakimin e fshehtë të SMB-ve. Unë nuk e di të gjithë historinë, por më pas Impacket e rafinoi më tej smbexec. Në fakt, për testimin tim, shkarkova skriptet nga Impacket në Python nga .
Ndryshe nga psexec, smbexec shmanget transferimi i një skedari binar potencialisht të zbuluar në makinën e synuar. Në vend të kësaj, shoqëria jeton tërësisht nga kullota deri në nisje lokal Linja e komandës së Windows.
Ja çfarë bën: ai kalon një komandë nga makina sulmuese nëpërmjet SMB në një skedar të posaçëm të hyrjes, dhe më pas krijon dhe ekzekuton një linjë komandimi komplekse (si një shërbim Windows) që do të duket e njohur për përdoruesit e Linux. Shkurtimisht: lëshon një guaskë amtare të Windows cmd, e ridrejton daljen në një skedar tjetër dhe më pas e dërgon atë nëpërmjet SMB përsëri në makinën e sulmuesit.
Mënyra më e mirë për ta kuptuar këtë është të shikosh linjën e komandës, të cilën munda ta kuptoja nga regjistri i ngjarjeve (shih më poshtë).
A nuk është kjo mënyra më e mirë për të ridrejtuar I/O? Nga rruga, krijimi i shërbimit ka ID-në e ngjarjes 7045.
Ashtu si psexec, edhe ai krijon një shërbim që bën të gjithë punën, por shërbimin pas kësaj hiqen – përdoret vetëm një herë për të ekzekutuar komandën dhe më pas zhduket! Një oficer i sigurisë së informacionit që monitoron makinën e viktimës nuk do të jetë në gjendje ta zbulojë e dukshme Treguesit e sulmit: Nuk ka asnjë skedar me qëllim të keq duke u nisur, asnjë shërbim i vazhdueshëm nuk është duke u instaluar dhe nuk ka asnjë provë të përdorimit të RPC pasi SMB është mjeti i vetëm i transferimit të të dhënave. E shkëlqyer!
Nga ana e sulmuesit, një "pseudo-predhë" është në dispozicion me vonesa midis dërgimit të komandës dhe marrjes së përgjigjes. Por kjo është mjaft e mjaftueshme që një sulmues - qoftë një haker i brendshëm ose një haker i jashtëm që tashmë ka një terren - të fillojë të kërkojë përmbajtje interesante.
Për të nxjerrë të dhëna nga makina e synuar në makinën e sulmuesit, ajo përdoret . Po, është e njëjta Samba , por konvertuar vetëm në një skript Python nga Impacket. Në fakt, smbclient ju lejon të organizoni në mënyrë të fshehtë transferime FTP mbi SMB.
Le të bëjmë një hap prapa dhe të mendojmë se çfarë mund të bëjë kjo për punonjësin. Në skenarin tim fiktiv, le të themi se një bloger, analist financiar ose konsulent sigurie me pagesë të lartë lejohet të përdorë një laptop personal për punë. Si rezultat i një procesi magjik, ajo ofendohet në kompani dhe "shkon keq". Në varësi të sistemit operativ të laptopit, ai ose përdor versionin Python nga Impact, ose versionin Windows të smbexec ose smbclient si skedar .exe.
Ashtu si Snowden, ajo zbulon fjalëkalimin e një përdoruesi tjetër ose duke parë mbi supe, ose ka fat dhe ngec në një skedar teksti me fjalëkalim. Dhe me ndihmën e këtyre kredencialeve, ajo fillon të gërmojë rreth sistemit në një nivel të ri privilegjesh.
Hakerimi i DCC: Ne nuk kemi nevojë për ndonjë Mimikatz "budalla".
Në postimet e mia të mëparshme mbi pentesting, kam përdorur mimikatz shumë shpesh. Ky është një mjet i shkëlqyeshëm për përgjimin e kredencialeve - hash NTLM dhe madje edhe fjalëkalime të tekstit të pastër të fshehura brenda laptopëve, vetëm duke pritur për t'u përdorur.
Kohët kanë ndryshuar. Mjetet e monitorimit janë përmirësuar në zbulimin dhe bllokimin e mimikatz. Administratorët e sigurisë së informacionit gjithashtu tani kanë më shumë opsione për të reduktuar rreziqet që lidhen me kalimin e sulmeve hash (PtH).
Pra, çfarë duhet të bëjë një punonjës i zgjuar për të mbledhur kredenciale shtesë pa përdorur mimikatz?
Kompleti i Impacket përfshin një mjet të quajtur , i cili merr kredencialet nga Domain Credential Cache, ose shkurt DCC. Kuptimi im është se nëse një përdorues domeni hyn në server, por kontrolluesi i domenit nuk është i disponueshëm, DCC lejon serverin të vërtetojë përdoruesin. Gjithsesi, secretsdump ju lejon të hidhni të gjitha këto hash nëse janë të disponueshme.
Hashet e DCC janë jo hash NTML dhe të tyre nuk mund të përdoret për sulm PtH.
Epo, mund të provoni t'i hakoni për të marrë fjalëkalimin origjinal. Sidoqoftë, Microsoft është bërë më i zgjuar me DCC dhe haset DCC janë bërë jashtëzakonisht të vështira për t'u thyer. Po, kam , "gjuhësuesi më i shpejtë i fjalëkalimit në botë", por kërkon një GPU për të ekzekutuar në mënyrë efektive.
Në vend të kësaj, le të përpiqemi të mendojmë si Snowden. Një punonjës mund të kryejë inxhinieri sociale ballë për ballë dhe ndoshta të zbulojë disa informacione për personin, fjalëkalimin e të cilit ajo dëshiron të thyejë. Për shembull, zbuloni nëse llogaria në internet e personit është hakuar ndonjëherë dhe ekzaminoni fjalëkalimin e tij të tekstit të pastër për ndonjë të dhënë.
Dhe ky është skenari me të cilin vendosa të shkoj. Le të supozojmë se një person i brendshëm mësoi se shefi i tij, Cruella, ishte hakuar disa herë në burime të ndryshme të internetit. Pasi ka analizuar disa prej këtyre fjalëkalimeve, ai kupton se Cruella preferon të përdorë formatin e emrit të ekipit të bejsbollit "Yankees" i ndjekur nga viti aktual - "Yankees2015".
Nëse tani po përpiqeni ta riprodhoni këtë në shtëpi, atëherë mund të shkarkoni një "C" të vogël. , i cili zbaton algoritmin e hashimit DCC dhe e përpilon atë. , nga rruga, shtoi mbështetje për DCC, kështu që mund të përdoret gjithashtu. Le të supozojmë se një person i brendshëm nuk dëshiron të shqetësojë të mësojë John the Ripper dhe i pëlqen të ekzekutojë "gcc" në kodin e vjetër C.
Duke e shtirë rolin e një personi të brendshëm, provova disa kombinime të ndryshme dhe përfundimisht arrita të zbuloja se fjalëkalimi i Cruella ishte "Yankees2019" (shih më poshtë). Misioni u kompletua!
Pak inxhinieri sociale, një tregim fati dhe pak Maltego dhe jeni në rrugë të mbarë për të thyer hash-in e DCC.
Unë sugjeroj të përfundojmë këtu. Ne do t'i kthehemi kësaj teme në postime të tjera dhe do të shikojmë metoda edhe më të ngadalta dhe më të fshehta të sulmit, duke vazhduar të ndërtojmë grupin e shkëlqyer të shërbimeve të Impacket.
Burimi: www.habr.com