Tunaandika mara kwa mara kuhusu jinsi wadukuzi mara nyingi wanategemea unyonyaji
Kwa upande mwingine, nisingependa kuwachafua wafanyikazi kwa sababu hakuna mtu anayetaka kufanya kazi katika mazingira ya biashara moja kwa moja kutoka kwa Orwell's 1984. Kwa bahati nzuri, kuna idadi ya hatua za vitendo na udukuzi wa maisha ambao unaweza kufanya maisha kuwa magumu zaidi kwa watu wa ndani. Tutazingatia mbinu za mashambulizi ya siri, inayotumiwa na wadukuzi na wafanyakazi walio na usuli fulani wa kiufundi. Na kidogo zaidi tutajadili chaguzi za kupunguza hatari kama hizo - tutasoma chaguzi za kiufundi na za shirika.
PsExec ina shida gani?
Edward Snowden, sawa au vibaya, imekuwa sawa na wizi wa data wa ndani. Kwa njia, usisahau kuangalia
Badala yake, Snowden alitumia uhandisi wa kijamii kidogo na akatumia nafasi yake kama msimamizi wa mfumo kukusanya manenosiri na kuunda kitambulisho. Hakuna ngumu - hakuna
Wafanyikazi wa shirika sio kila wakati katika nafasi ya kipekee ya Snowden, lakini kuna idadi ya mafunzo ya kujifunza kutoka kwa dhana ya "kuishi kwa malisho" kufahamu - kutojihusisha na shughuli yoyote mbaya ambayo inaweza kugunduliwa, na kuwa haswa. makini na matumizi ya vitambulisho. Kumbuka wazo hili.
Mimikatz hukatiza heshi ya NTLM kutoka kwa mchakato wa LSASS na kisha kupitisha ishara au vitambulisho - kinachojulikana. "pita hashi" shambulio - katika psexec, kuruhusu mshambuliaji kuingia kwenye seva nyingine kama nyingine mtumiaji. Na kwa kila uhamishaji unaofuata hadi kwenye seva mpya, mshambulizi hukusanya vitambulisho vya ziada, na kupanua uwezo wake katika kutafuta maudhui yanayopatikana.
Nilipoanza kufanya kazi na psexec mara ya kwanza ilionekana kwangu kuwa ya kichawi - asante
Ukweli wa kwanza wa kupendeza kuhusu psexec ni kwamba hutumia ngumu sana Itifaki ya faili ya mtandao ya SMB kutoka kwa Microsoft. Kwa kutumia SMB, psexec uhamisho ndogo binary faili kwa mfumo unaolengwa, ukiziweka kwenye folda ya C:Windows.
Ifuatayo, psexec huunda huduma ya Windows kwa kutumia binary iliyonakiliwa na kuiendesha chini ya jina "lisilotarajiwa" sana PSEXECSVC. Wakati huo huo, unaweza kuona haya yote, kama nilivyoona, kwa kutazama mashine ya mbali (tazama hapa chini).
Kadi ya kupiga simu ya Psexec: huduma ya "PSEXECCSVC". Inaendesha faili ya binary ambayo iliwekwa kupitia SMB kwenye folda ya C:Windows.
Kama hatua ya mwisho, faili ya binary iliyonakiliwa inafungua Uunganisho wa RPC kwa seva inayolengwa na kisha kukubali amri za udhibiti (kupitia ganda la Windows cmd kwa chaguo-msingi), kuzizindua na kuelekeza pembejeo na matokeo kwa mashine ya nyumbani ya mvamizi. Katika kesi hii, mshambuliaji anaona mstari wa amri ya msingi - sawa na kwamba alikuwa ameunganishwa moja kwa moja.
Vipengele vingi na mchakato wa kelele sana!
Washiriki wa ndani wa psexec wanaelezea ujumbe ambao ulinishangaza wakati wa majaribio yangu ya kwanza miaka kadhaa iliyopita: "Kuanzisha PEXECCSVC ..." ikifuatiwa na pause kabla ya agizo la amri kuonekana.
Psexec ya Impacket inaonyesha kinachoendelea chini ya kofia.
Haishangazi: psexec ilifanya kazi kubwa chini ya kofia. Ikiwa una nia ya maelezo ya kina zaidi, angalia hapa
Ni wazi, wakati kutumika kama chombo cha utawala wa mfumo, ambayo ilikuwa kusudi la asili psexec, hakuna chochote kibaya na "buzzing" ya mifumo hii yote ya Windows. Kwa mshambulizi, hata hivyo, psexec inaweza kuleta matatizo, na kwa mtu wa ndani mwenye tahadhari na mjanja kama Snowden, psexec au shirika kama hilo itakuwa hatari sana.
Na kisha inakuja Smbexec
SMB ni njia ya busara na ya siri ya kuhamisha faili kati ya seva, na wadukuzi wamekuwa wakipenyeza SMB moja kwa moja kwa karne nyingi. Nadhani kila mtu tayari anajua kuwa haifai
Katika Defcon 2013, Eric Millman (
Tofauti na psexec, smbexec huepuka kuhamisha faili ya binary inayoweza kutambuliwa hadi kwa mashine inayolengwa. Badala yake, matumizi huishi kabisa kutoka kwa malisho hadi uzinduzi mtaa Mstari wa amri ya Windows.
Hii ndio inafanya: hupitisha amri kutoka kwa mashine ya kushambulia kupitia SMB hadi faili maalum ya ingizo, na kisha kuunda na kuendesha safu ya amri ngumu (kama huduma ya Windows) ambayo itaonekana kuwa ya kawaida kwa watumiaji wa Linux. Kwa kifupi: inazindua ganda asili la Windows cmd, inaelekeza pato kwa faili nyingine, na kisha kuituma kupitia SMB kurudi kwa mashine ya mshambulizi.
Njia bora ya kuelewa hii ni kuangalia safu ya amri, ambayo niliweza kupata mikono yangu kutoka kwa logi ya tukio (tazama hapa chini).
Je! hii sio njia bora zaidi ya kuelekeza I/O upya? Kwa njia, uundaji wa huduma una kitambulisho cha tukio 7045.
Kama psexec, pia huunda huduma ambayo hufanya kazi yote, lakini huduma baada ya hapo kuondolewa - inatumika mara moja tu kuendesha amri na kisha kutoweka! Afisa wa usalama wa habari anayefuatilia mashine ya mwathirika hataweza kugundua dhahiri Viashirio vya mashambulizi: Hakuna faili hasidi inayozinduliwa, hakuna huduma endelevu inayosakinishwa, na hakuna ushahidi wa RPC kutumika kwa kuwa SMB ndiyo njia pekee ya kuhamisha data. Kipaji!
Kutoka upande wa mshambuliaji, "pseudo-shell" inapatikana kwa ucheleweshaji kati ya kutuma amri na kupokea jibu. Lakini hii inatosha kabisa kwa mshambulizi - ama mtu wa ndani au mdukuzi wa nje ambaye tayari ana nafasi - kuanza kutafuta maudhui ya kuvutia.
Ili kutoa data kutoka kwa mashine inayolengwa hadi kwa mashine ya mshambulizi, hutumiwa
Wacha turudi nyuma na tufikirie ni nini hii inaweza kufanya kwa mfanyakazi. Katika hali yangu ya uwongo, tuseme mwanablogu, mchambuzi wa masuala ya fedha au mshauri wa usalama anayelipwa sana anaruhusiwa kutumia kompyuta ndogo ya kibinafsi kufanya kazi. Kama matokeo ya mchakato fulani wa kichawi, anachukizwa na kampuni na "huenda vibaya." Kulingana na mfumo wa uendeshaji wa kompyuta ndogo, hutumia toleo la Python kutoka kwa Athari, au toleo la Windows la smbexec au smbclient kama faili ya .exe.
Kama Snowden, anapata nenosiri la mtumiaji mwingine kwa kuangalia begani mwake, au anabahatika na kujikwaa kwenye faili ya maandishi yenye nenosiri. Na kwa msaada wa sifa hizi, anaanza kuchimba karibu na mfumo kwa kiwango kipya cha marupurupu.
Hacking DCC: Hatuhitaji Mimikatz "mjinga" yeyote
Katika machapisho yangu ya awali juu ya pentesting, nilitumia mimikatz mara nyingi sana. Hiki ni zana nzuri ya kunasa vitambulisho - heshi za NTLM na hata manenosiri ya maandishi wazi yaliyofichwa ndani ya kompyuta za mkononi, yakingoja tu kutumiwa.
Nyakati zimebadilika. Zana za ufuatiliaji zimekuwa bora katika kugundua na kuzuia mimikatz. Wasimamizi wa usalama wa habari pia sasa wana chaguo zaidi za kupunguza hatari zinazohusiana na kupitisha mashambulizi ya heshi (PtH).
Kwa hivyo mfanyakazi mwerevu anapaswa kufanya nini ili kukusanya stakabadhi za ziada bila kutumia mimikatz?
Seti ya Impacket inajumuisha matumizi yanayoitwa
Hashi za DCC ni sio heshi za NTML na wao haiwezi kutumika kwa shambulio la PtH.
Vizuri, unaweza kujaribu hack yao kupata password asili. Hata hivyo, Microsoft imekuwa nadhifu zaidi na DCC na heshi za DCC zimekuwa ngumu sana kuziweka. Ndio ninayo
Badala yake, wacha tujaribu kufikiria kama Snowden. Mfanyakazi anaweza kufanya uhandisi wa kijamii ana kwa ana na ikiwezekana kupata taarifa fulani kuhusu mtu ambaye nenosiri lake linataka kuvunja. Kwa mfano, fahamu kama akaunti ya mtandaoni ya mtu huyo imewahi kudukuliwa na uchunguze nenosiri lake la maandishi wazi kwa vidokezo vyovyote.
Na hii ndio scenario ambayo niliamua kwenda nayo. Hebu tuchukulie kuwa mtu wa ndani aligundua kuwa bosi wake, Cruella, alikuwa amedukuliwa mara kadhaa kwenye rasilimali tofauti za wavuti. Baada ya kuchambua nywila hizi kadhaa, anagundua kuwa Cruella anapendelea kutumia muundo wa jina la timu ya besiboli "Yankees" ikifuatiwa na mwaka wa sasa - "Yankees2015".
Ikiwa sasa unajaribu kuzaliana hii nyumbani, basi unaweza kupakua ndogo, "C"
Kwa kujifanya kuwa mtu wa ndani, nilijaribu michanganyiko kadhaa tofauti na hatimaye niliweza kugundua kuwa nenosiri la Cruella lilikuwa "Yankees2019" (tazama hapa chini). Dhamira Imekamilika!
Uhandisi mdogo wa kijamii, bahati nasibu na uchache wa Maltego na uko njiani mwako kukabiliana na heshi ya DCC.
Nashauri tuishie hapa. Tutarejea kwenye mada hii katika machapisho mengine na tutazame mbinu za mashambulizi ya polepole na ya siri zaidi, tukiendelea kuunda kwenye seti bora ya huduma za Impacket.
Chanzo: mapenzi.com