Tunaandika mara kwa mara kuhusu jinsi wadukuzi mara nyingi wanategemea unyonyaji ili kuepuka kutambuliwa. Wao halisi , kwa kutumia zana za kawaida za Windows, na hivyo kupitisha antivirus na huduma zingine za kugundua shughuli mbaya. Sisi, kama watetezi, sasa tunalazimika kukabiliana na matokeo mabaya ya mbinu hizo za ujanja za udukuzi: mfanyakazi aliyewekwa vizuri anaweza kutumia mbinu hiyo hiyo kuiba data kwa siri (mali ya uvumbuzi ya kampuni, nambari za kadi ya mkopo). Na ikiwa hatakimbilia, lakini anafanya kazi polepole na kimya, itakuwa ngumu sana - lakini bado inawezekana ikiwa atatumia njia sahihi na inayofaa. , - kutambua shughuli hiyo.
Kwa upande mwingine, nisingependa kuwachafua wafanyikazi kwa sababu hakuna mtu anayetaka kufanya kazi katika mazingira ya biashara moja kwa moja kutoka kwa Orwell's 1984. Kwa bahati nzuri, kuna idadi ya hatua za vitendo na udukuzi wa maisha ambao unaweza kufanya maisha kuwa magumu zaidi kwa watu wa ndani. Tutazingatia mbinu za mashambulizi ya siri, inayotumiwa na wadukuzi na wafanyakazi walio na usuli fulani wa kiufundi. Na kidogo zaidi tutajadili chaguzi za kupunguza hatari kama hizo - tutasoma chaguzi za kiufundi na za shirika.
PsExec ina shida gani?
Edward Snowden, sawa au vibaya, imekuwa sawa na wizi wa data wa ndani. Kwa njia, usisahau kuangalia kuhusu watu wengine wa ndani ambao pia wanastahili hadhi ya umaarufu. Jambo moja muhimu linalostahili kusisitizwa kuhusu mbinu alizotumia Snowden ni kwamba, kwa kadiri ya ufahamu wetu, yeye haikusakinisha hakuna programu hasidi ya nje!
Badala yake, Snowden alitumia uhandisi wa kijamii kidogo na akatumia nafasi yake kama msimamizi wa mfumo kukusanya manenosiri na kuunda kitambulisho. Hakuna ngumu - hakuna , mashambulizi au .
Wafanyikazi wa shirika sio kila wakati katika nafasi ya kipekee ya Snowden, lakini kuna idadi ya mafunzo ya kujifunza kutoka kwa dhana ya "kuishi kwa malisho" kufahamu - kutojihusisha na shughuli yoyote mbaya ambayo inaweza kugunduliwa, na kuwa haswa. makini na matumizi ya vitambulisho. Kumbuka wazo hili.
na binamu yake zimewavutia watu wengi wanaopenda kuingia kwenye akaunti, wadukuzi, na wanablogu wa usalama wa mtandao. Na ikiunganishwa na mimikatz, psexec huwaruhusu washambuliaji kusogea ndani ya mtandao bila kuhitaji kujua nenosiri la maandishi wazi.
Mimikatz hukatiza heshi ya NTLM kutoka kwa mchakato wa LSASS na kisha kupitisha ishara au vitambulisho - kinachojulikana. "pita hashi" shambulio - katika psexec, kuruhusu mshambuliaji kuingia kwenye seva nyingine kama nyingine mtumiaji. Na kwa kila uhamishaji unaofuata hadi kwenye seva mpya, mshambulizi hukusanya vitambulisho vya ziada, na kupanua uwezo wake katika kutafuta maudhui yanayopatikana.
Nilipoanza kufanya kazi na psexec mara ya kwanza ilionekana kwangu kuwa ya kichawi - asante , msanidi mzuri wa psexec - lakini pia najua yake kelele vipengele. Yeye hafichi kamwe!
Ukweli wa kwanza wa kupendeza kuhusu psexec ni kwamba hutumia ngumu sana Itifaki ya faili ya mtandao ya SMB kutoka kwa Microsoft. Kwa kutumia SMB, psexec uhamisho ndogo binary faili kwa mfumo unaolengwa, ukiziweka kwenye folda ya C:Windows.
Ifuatayo, psexec huunda huduma ya Windows kwa kutumia binary iliyonakiliwa na kuiendesha chini ya jina "lisilotarajiwa" sana PSEXECSVC. Wakati huo huo, unaweza kuona haya yote, kama nilivyoona, kwa kutazama mashine ya mbali (tazama hapa chini).
Kadi ya kupiga simu ya Psexec: huduma ya "PSEXECCSVC". Inaendesha faili ya binary ambayo iliwekwa kupitia SMB kwenye folda ya C:Windows.
Kama hatua ya mwisho, faili ya binary iliyonakiliwa inafungua Uunganisho wa RPC kwa seva inayolengwa na kisha kukubali amri za udhibiti (kupitia ganda la Windows cmd kwa chaguo-msingi), kuzizindua na kuelekeza pembejeo na matokeo kwa mashine ya nyumbani ya mvamizi. Katika kesi hii, mshambuliaji anaona mstari wa amri ya msingi - sawa na kwamba alikuwa ameunganishwa moja kwa moja.
Vipengele vingi na mchakato wa kelele sana!
Washiriki wa ndani wa psexec wanaelezea ujumbe ambao ulinishangaza wakati wa majaribio yangu ya kwanza miaka kadhaa iliyopita: "Kuanzisha PEXECCSVC ..." ikifuatiwa na pause kabla ya agizo la amri kuonekana.
Psexec ya Impacket inaonyesha kinachoendelea chini ya kofia.
Haishangazi: psexec ilifanya kazi kubwa chini ya kofia. Ikiwa una nia ya maelezo ya kina zaidi, angalia hapa maelezo ya ajabu.
Ni wazi, wakati kutumika kama chombo cha utawala wa mfumo, ambayo ilikuwa kusudi la asili psexec, hakuna chochote kibaya na "buzzing" ya mifumo hii yote ya Windows. Kwa mshambulizi, hata hivyo, psexec inaweza kuleta matatizo, na kwa mtu wa ndani mwenye tahadhari na mjanja kama Snowden, psexec au shirika kama hilo itakuwa hatari sana.
Na kisha inakuja Smbexec
SMB ni njia ya busara na ya siri ya kuhamisha faili kati ya seva, na wadukuzi wamekuwa wakipenyeza SMB moja kwa moja kwa karne nyingi. Nadhani kila mtu tayari anajua kuwa haifai SMB bandari 445 na 139 kwenye mtandao, sivyo?
Katika Defcon 2013, Eric Millman () iliyowasilishwa , ili pentesters waweze kujaribu udukuzi wa siri wa SMB. Sijui hadithi nzima, lakini basi Impacket iliyosafishwa zaidi smbexec. Kwa kweli, kwa majaribio yangu, nilipakua maandishi kutoka kwa Impacket huko Python kutoka .
Tofauti na psexec, smbexec huepuka kuhamisha faili ya binary inayoweza kutambuliwa hadi kwa mashine inayolengwa. Badala yake, matumizi huishi kabisa kutoka kwa malisho hadi uzinduzi mtaa Mstari wa amri ya Windows.
Hii ndio inafanya: hupitisha amri kutoka kwa mashine ya kushambulia kupitia SMB hadi faili maalum ya ingizo, na kisha kuunda na kuendesha safu ya amri ngumu (kama huduma ya Windows) ambayo itaonekana kuwa ya kawaida kwa watumiaji wa Linux. Kwa kifupi: inazindua ganda asili la Windows cmd, inaelekeza pato kwa faili nyingine, na kisha kuituma kupitia SMB kurudi kwa mashine ya mshambulizi.
Njia bora ya kuelewa hii ni kuangalia safu ya amri, ambayo niliweza kupata mikono yangu kutoka kwa logi ya tukio (tazama hapa chini).
Je! hii sio njia bora zaidi ya kuelekeza I/O upya? Kwa njia, uundaji wa huduma una kitambulisho cha tukio 7045.
Kama psexec, pia huunda huduma ambayo hufanya kazi yote, lakini huduma baada ya hapo kuondolewa - inatumika mara moja tu kuendesha amri na kisha kutoweka! Afisa wa usalama wa habari anayefuatilia mashine ya mwathirika hataweza kugundua dhahiri Viashirio vya mashambulizi: Hakuna faili hasidi inayozinduliwa, hakuna huduma endelevu inayosakinishwa, na hakuna ushahidi wa RPC kutumika kwa kuwa SMB ndiyo njia pekee ya kuhamisha data. Kipaji!
Kutoka upande wa mshambuliaji, "pseudo-shell" inapatikana kwa ucheleweshaji kati ya kutuma amri na kupokea jibu. Lakini hii inatosha kabisa kwa mshambulizi - ama mtu wa ndani au mdukuzi wa nje ambaye tayari ana nafasi - kuanza kutafuta maudhui ya kuvutia.
Ili kutoa data kutoka kwa mashine inayolengwa hadi kwa mashine ya mshambulizi, hutumiwa . Ndiyo, ni Samba sawa , lakini imebadilishwa tu kuwa hati ya Python na Impacket. Kwa hakika, smbclient hukuruhusu kupangisha uhamishaji wa FTP kwa siri kupitia SMB.
Wacha turudi nyuma na tufikirie ni nini hii inaweza kufanya kwa mfanyakazi. Katika hali yangu ya uwongo, tuseme mwanablogu, mchambuzi wa masuala ya fedha au mshauri wa usalama anayelipwa sana anaruhusiwa kutumia kompyuta ndogo ya kibinafsi kufanya kazi. Kama matokeo ya mchakato fulani wa kichawi, anachukizwa na kampuni na "huenda vibaya." Kulingana na mfumo wa uendeshaji wa kompyuta ndogo, hutumia toleo la Python kutoka kwa Athari, au toleo la Windows la smbexec au smbclient kama faili ya .exe.
Kama Snowden, anapata nenosiri la mtumiaji mwingine kwa kuangalia begani mwake, au anabahatika na kujikwaa kwenye faili ya maandishi yenye nenosiri. Na kwa msaada wa sifa hizi, anaanza kuchimba karibu na mfumo kwa kiwango kipya cha marupurupu.
Hacking DCC: Hatuhitaji Mimikatz "mjinga" yeyote
Katika machapisho yangu ya awali juu ya pentesting, nilitumia mimikatz mara nyingi sana. Hiki ni zana nzuri ya kunasa vitambulisho - heshi za NTLM na hata manenosiri ya maandishi wazi yaliyofichwa ndani ya kompyuta za mkononi, yakingoja tu kutumiwa.
Nyakati zimebadilika. Zana za ufuatiliaji zimekuwa bora katika kugundua na kuzuia mimikatz. Wasimamizi wa usalama wa habari pia sasa wana chaguo zaidi za kupunguza hatari zinazohusiana na kupitisha mashambulizi ya heshi (PtH).
Kwa hivyo mfanyakazi mwerevu anapaswa kufanya nini ili kukusanya stakabadhi za ziada bila kutumia mimikatz?
Seti ya Impacket inajumuisha matumizi yanayoitwa , ambayo hurejesha kitambulisho kutoka kwa Akiba ya Kidhibiti cha Kikoa, au DCC kwa ufupi. Uelewa wangu ni kwamba ikiwa mtumiaji wa kikoa ataingia kwenye seva lakini kidhibiti cha kikoa hakipatikani, DCC inaruhusu seva kudhibitisha mtumiaji. Hata hivyo, utupaji wa siri hukuruhusu kutupa heshi hizi zote ikiwa zinapatikana.
Hashi za DCC ni sio heshi za NTML na wao haiwezi kutumika kwa shambulio la PtH.
Vizuri, unaweza kujaribu hack yao kupata password asili. Hata hivyo, Microsoft imekuwa nadhifu zaidi na DCC na heshi za DCC zimekuwa ngumu sana kuziweka. Ndio ninayo , "kadiriaji nenosiri la haraka zaidi duniani," lakini inahitaji GPU ili kufanya kazi kwa ufanisi.
Badala yake, wacha tujaribu kufikiria kama Snowden. Mfanyakazi anaweza kufanya uhandisi wa kijamii ana kwa ana na ikiwezekana kupata taarifa fulani kuhusu mtu ambaye nenosiri lake linataka kuvunja. Kwa mfano, fahamu kama akaunti ya mtandaoni ya mtu huyo imewahi kudukuliwa na uchunguze nenosiri lake la maandishi wazi kwa vidokezo vyovyote.
Na hii ndio scenario ambayo niliamua kwenda nayo. Hebu tuchukulie kuwa mtu wa ndani aligundua kuwa bosi wake, Cruella, alikuwa amedukuliwa mara kadhaa kwenye rasilimali tofauti za wavuti. Baada ya kuchambua nywila hizi kadhaa, anagundua kuwa Cruella anapendelea kutumia muundo wa jina la timu ya besiboli "Yankees" ikifuatiwa na mwaka wa sasa - "Yankees2015".
Ikiwa sasa unajaribu kuzaliana hii nyumbani, basi unaweza kupakua ndogo, "C" , ambayo hutekeleza algorithm ya hashing ya DCC, na kuikusanya. , kwa njia, aliongeza msaada kwa DCC, hivyo inaweza pia kutumika. Wacha tuchukue kuwa mtu wa ndani hataki kujisumbua kujifunza John the Ripper na anapenda kuendesha "gcc" kwenye nambari ya C ya urithi.
Kwa kujifanya kuwa mtu wa ndani, nilijaribu michanganyiko kadhaa tofauti na hatimaye niliweza kugundua kuwa nenosiri la Cruella lilikuwa "Yankees2019" (tazama hapa chini). Dhamira Imekamilika!
Uhandisi mdogo wa kijamii, bahati nasibu na uchache wa Maltego na uko njiani mwako kukabiliana na heshi ya DCC.
Nashauri tuishie hapa. Tutarejea kwenye mada hii katika machapisho mengine na tutazame mbinu za mashambulizi ya polepole na ya siri zaidi, tukiendelea kuunda kwenye seti bora ya huduma za Impacket.
Chanzo: mapenzi.com