Urang nulis rutin ngeunaan kumaha hacker mindeng ngandelkeun exploiting pikeun nyegah deteksi. Aranjeunna sacara harfiah , ngagunakeun parabot Windows standar, kukituna bypassing antipirus jeung utilitas séjén pikeun detecting aktivitas jahat. Urang, salaku pembela, ayeuna kapaksa nungkulan konsékuansi musibah tina téknik Hacking pinter sapertos: pagawe well-ditempatkeun bisa ngagunakeun pendekatan anu sarua pikeun covertly maok data (harta intelektual parusahaan, nomer kartu kiridit). Sareng upami anjeunna henteu rurusuhan, tapi damel lalaunan sareng sepi, éta bakal sesah pisan - tapi tetep mungkin upami anjeunna ngagunakeun pendekatan anu leres sareng anu pas. , - pikeun ngaidentipikasi kagiatan sapertos.
Di sisi anu sanés, kuring henteu hoyong ngaganggu karyawan sabab teu aya anu hoyong damel di lingkungan bisnis langsung tina Orwell's 1984. Untungna, aya sababaraha léngkah praktis sareng hacks hirup anu tiasa ngajantenkeun kahirupan langkung hese pikeun jalma jero. Urang bakal mertimbangkeun métode serangan rahasia, dipaké ku hacker ku pagawé kalawan sababaraha tukang teknis. Sareng sakedik deui urang bakal ngabahas pilihan pikeun ngirangan résiko sapertos kitu - urang bakal diajar pilihan téknis sareng organisasi.
Naon anu lepat sareng PsExec?
Edward Snowden, leres atanapi salah, parantos sinonim sareng maling data insider. Ku jalan kitu, ulah poho pikeun nempo ngeunaan insiders séjén anu ogé pantes sababaraha status Kinérja. Hiji titik penting patut emphasizing ngeunaan métode Snowden dipaké éta, mun pangalusna pangaweruh urang, anjeunna teu dipasang euweuh software jahat éksternal!
Sabalikna, Snowden ngagunakeun sakedik rékayasa sosial sareng nganggo jabatanna salaku administrator sistem pikeun ngumpulkeun kecap akses sareng nyiptakeun kredensial. Euweuh pajeulit - euweuh , serangan atawa .
Karyawan organisasi henteu salawasna dina posisi unik Snowden urang, tapi aya sababaraha palajaran bisa diajar tina konsép "survival ku grazing" janten sadar - teu kalibet dina sagala kagiatan jahat nu bisa dideteksi, sarta jadi utamana. ati-ati nganggo kredensial. Inget pamikiran ieu.
jeung dulurna geus impressed countless pentesters, hacker, sarta blogger cybersecurity. Sareng nalika digabungkeun sareng mimikatz, psexec ngamungkinkeun panyerang pikeun mindahkeun dina jaringan tanpa kedah terang kecap konci téks jelas.
Mimikatz nyegat hash NTLM tina prosés LSASS teras ngalangkungan token atanapi kredensial - anu disebut. serangan "lulus hash". - dina psexec, ngamungkinkeun panyerang asup kana server anu sanés salaku lian pamaké. Sareng unggal pindah ka server énggal, panyerang ngumpulkeun kredensial tambahan, ngalegaan jangkauan kamampuanna dina milarian kontén anu sayogi.
Nalika kuring mimiti damel sareng psexec, éta sigana gaib pikeun kuring - hatur nuhun , pamekar cemerlang psexec - tapi kuring ogé terang ngeunaan na ribut komponén. Anjeunna teu pernah secretive!
Kanyataan metot munggaran ngeunaan psexec nyaéta ngagunakeun pisan kompléks protokol file jaringan SMB ti Microsoft. Ngagunakeun SMB, psexec mindahkeun leutik binér file kana sistem target, nempatkeun aranjeunna dina folder C: Windows.
Salajengna, psexec nyiptakeun layanan Windows nganggo binér anu disalin sareng ngajalankeunana dina nami "teu kaduga" PSEXECSVC. Dina waktos anu sami, anjeun tiasa ningali sadayana ieu, sapertos kuring, ku ningali mesin jauh (tingali di handap).
Kartu telepon Psexec: jasa "PSEXECSVC". Éta ngajalankeun file binér anu disimpen via SMB dina folder C: Windows.
Salaku léngkah ahir, file binér anu disalin dibuka sambungan RPC ka server target teras nampi paréntah kontrol (via cangkang cmd Windows sacara standar), ngaluncurkeunana sareng alihan input sareng kaluaran ka mesin asal panyerang. Dina hal ieu, panyerang ningali garis paréntah dasar - sami sareng upami anjeunna disambungkeun langsung.
Seueur komponén sareng prosés anu ribut pisan!
The internals kompléks psexec ngajelaskeun pesen nu puzzled kuring salila tés munggaran kuring sababaraha taun ka pengker: "Ngamimitian PSEXECSVC ..." dituturkeun ku ngareureuhkeun saméméh paréntah ajakan muncul.
Impacket's Psexec saleresna nunjukkeun naon anu aya di handapeun tiung.
Teu héran: psexec ngalakukeun sajumlah ageung padamelan di handapeun tiung. Upami anjeun kabetot dina katerangan anu langkung rinci, pariksa di dieu pedaran éndah.
Jelas, nalika dianggo salaku alat administrasi sistem, nyaéta tujuan aslina psexec, teu aya anu lepat sareng "buzzing" sadaya mékanisme Windows ieu. Pikeun panyerang, kumaha oge, psexec bakal nyiptakeun komplikasi, sareng pikeun jalma anu ati-ati sareng licik sapertos Snowden, psexec atanapi utilitas anu sami bakal janten résiko teuing.
Lajeng asalna Smbexec
SMB mangrupikeun cara anu pinter sareng rahasia pikeun nransferkeun file antara server, sareng peretas parantos nyusup SMB langsung salami mangabad-abad. Jigana sarerea geus terang yen eta teu patut eta SMB palabuhan 445 sareng 139 ka Internét, leres?
Dina Defcon 2013, Eric Millman () dibere , supados pentesters tiasa nyobian hacking SMB siluman. Kuring henteu weruh sakabeh carita, tapi lajeng Impacket salajengna refined smbexec. Nyatana, pikeun uji kuring, kuring ngaunduh naskah ti Impacket di Python tina .
Teu kawas psexec, smbexec ngahindar nransferkeun file binér anu berpotensi dideteksi ka mesin target. Gantina, utiliti hirup sagemblengna ti barung ngaliwatan peluncuran lokal garis paréntah Windows.
Ieu naon anu dilakukeun: éta ngirimkeun paréntah tina mesin narajang via SMB ka file input khusus, teras nyiptakeun sareng ngajalankeun garis paréntah anu kompleks (sapertos jasa Windows) anu sigana biasa pikeun pangguna Linux. Pondokna: éta ngaluncurkeun cangkang cmd Windows asli, alihan kaluaran ka file anu sanés, teras dikirimkeun deui via SMB ka mesin panyerang.
Cara anu pangsaéna pikeun ngartos ieu nyaéta ningali garis paréntah, anu kuring tiasa kéngingkeun tina log acara (tingali di handap).
Teu ieu cara greatest alihan I / O? Ku jalan kitu, kreasi jasa boga ID acara 7045.
Sapertos psexec, éta ogé nyiptakeun jasa anu ngalaksanakeun sadaya padamelan, tapi jasa saatos éta dipiceun - dianggo ngan sakali pikeun ngajalankeun paréntah teras ngaleungit! Patugas kaamanan inpormasi ngawas mesin korban moal tiasa ngadeteksi atra Indikator serangan: Henteu aya file jahat anu diluncurkeun, henteu aya jasa pengkuh anu dipasang, sareng henteu aya bukti RPC anu dianggo kumargi SMB mangrupikeun hiji-hijina alat transfer data. Herang!
Tina sisi panyerang, "cangkang pseudo" sayogi kalayan telat antara ngirim paréntah sareng nampi réspon. Tapi ieu cukup pikeun panyerang - boh insider atanapi hacker éksternal anu parantos gaduh tapak - pikeun ngamimitian milarian kontén anu pikaresepeun.
Pikeun kaluaran data deui tina mesin target ka mesin panyerang, éta dianggo . Sumuhun, éta Samba sarua , Tapi ngan dirobah jadi Aksara Python ku Impacket. Kanyataanna, smbclient ngidinan Anjeun pikeun covertly host mindahkeun FTP ngaliwatan SMB.
Hayu urang mundur sareng pikirkeun naon anu tiasa dilakukeun pikeun para karyawan. Dina skenario fiktif kuring, hayu urang nyebutkeun blogger, analis finansial atawa konsultan kaamanan dibayar kacida diidinan ngagunakeun laptop pribadi pikeun digawé. Salaku hasil tina sababaraha prosés magis, anjeunna ngalanggar perusahaan sareng "sadayana goréng." Gumantung kana sistem operasi laptop, eta boh ngagunakeun versi Python ti Dampak, atawa versi Windows smbexec atanapi smbclient salaku file .exe.
Sapertos Snowden, anjeunna mendakan kecap konci pangguna anu sanés ku ningali kana taktakna, atanapi anjeunna untung sareng kasandung kana file téks sareng kecap konci éta. Sareng kalayan bantosan kapercayaan ieu, anjeunna mimiti ngagali sistem dina tingkat hak istimewa anu anyar.
Hacking DCC: Kami henteu peryogi Mimikatz "bodo".
Dina tulisan kuring sateuacana ngeunaan pentesting, kuring sering pisan ngagunakeun mimikatz. Ieu mangrupikeun alat anu saé pikeun nyegat kredensial - hashes NTLM komo kecap akses cleartext disumputkeun di jero laptop, ngan ngantosan dianggo.
Jaman geus robah. Alat ngawaskeun parantos langkung saé dina ngadeteksi sareng ngahalangan mimikatz. Pangurus kaamanan inpormasi ogé ayeuna gaduh seueur pilihan pikeun ngirangan résiko anu aya hubunganana sareng serangan serangan hash (PtH).
Janten naon anu kedah dilakukeun ku pagawé pinter pikeun ngumpulkeun kredensial tambahan tanpa nganggo mimikatz?
Kit Impacket kalebet utiliti anu disebut , nu retrieves credentials ti Domain Credential Cache, atawa DCC pondokna. Pamahaman kuring nyaéta yén upami pangguna domain asup kana server tapi controller domain henteu sayogi, DCC ngamungkinkeun server pikeun ngabuktoskeun kaaslianana pangguna. Atoh, secretsdump ngidinan Anjeun pikeun dump sakabéh hashes ieu lamun sadia.
DCC hashes téh sanes hashes NTML sareng maranehna teu bisa dipaké pikeun serangan PtH.
Nya, anjeun tiasa nyobian hack aranjeunna pikeun kéngingkeun kecap konci anu asli. Sanajan kitu, Microsoft geus gotten smarter kalawan DCC jeung DCC hash geus jadi hésé pisan rengat. Sumuhun, abdi gaduh , "Panebak sandi panggancangna di dunya," tapi merlukeun GPU pikeun ngajalankeun éféktif.
Gantina, hayu urang coba mikir kawas Snowden. Karyawan tiasa ngalaksanakeun rékayasa sosial padeukeut sareng kamungkinan mendakan sababaraha inpormasi ngeunaan jalma anu kecap koncina anjeunna hoyong rengat. Contona, panggihan lamun akun online jalma geus kungsi hacked sarta pariksa sandi cleartext maranéhanana pikeun clues nanaon.
Sareng ieu mangrupikeun skenario anu kuring mutuskeun. Anggap hiji insider diajar yén boss na, Cruella, geus hacked sababaraha kali dina sumber web béda. Saatos analisa sababaraha kecap akses ieu, anjeunna nyadar yén Cruella resep ngagunakeun format ngaran tim baseball "Yankees" dituturkeun ku taun ayeuna - "Yankees2015".
Upami anjeun ayeuna nyobian baranahan ieu di bumi, maka anjeun tiasa ngaunduh alit, "C" , anu ngalaksanakeun algoritma hashing DCC, sareng nyusunna. , Ku jalan kitu, ditambahkeun rojongan pikeun DCC, ku kituna ogé bisa dipaké. Hayu urang nganggap yén insider henteu hoyong ganggu diajar John the Ripper sareng resep ngajalankeun "gcc" dina kode C warisan.
Nganggap peran insider, kuring nyobian sababaraha kombinasi anu béda-béda sareng pamustunganana tiasa mendakan yén sandi Cruella nyaéta "Yankees2019" (tingali di handap). Misi Lengkep!
A rékayasa sosial saeutik, dash of rejeki nétélakeun sarta ciwit of Maltego jeung anjeun ogé dina jalan Anjeun pikeun cracking nu DCC hash.
Kuring nyarankeun urang mungkas di dieu. Kami bakal uih deui ka topik ieu dina tulisan anu sanés sareng ningali metode serangan anu langkung laun sareng siluman, teras ngawangun dina set utiliti anu saé pisan Impacket.
sumber: www.habr.com