ஹேக்கர்கள் பெரும்பாலும் சுரண்டலை எவ்வாறு நம்பியிருக்கிறார்கள் என்பதைப் பற்றி நாங்கள் தொடர்ந்து எழுதுகிறோம்
மறுபுறம், ஆர்வெல்லின் 1984 இல் இருந்து நேராக வணிகச் சூழலில் யாரும் வேலை செய்ய விரும்பாததால், நான் ஊழியர்களை பேய்த்தனமாக சித்தரிக்க விரும்பவில்லை. அதிர்ஷ்டவசமாக, பல நடைமுறை படிகள் மற்றும் லைஃப் ஹேக்குகள் உள்ளன, அவை உள்ளிருப்பவர்களுக்கு வாழ்க்கையை மிகவும் கடினமாக்கும். நாங்கள் பரிசீலிப்போம் இரகசிய தாக்குதல் முறைகள், சில தொழில்நுட்ப பின்னணி கொண்ட பணியாளர்களால் ஹேக்கர்களால் பயன்படுத்தப்படுகிறது. அத்தகைய அபாயங்களைக் குறைப்பதற்கான விருப்பங்களைப் பற்றி இன்னும் சிறிது நேரம் கழித்து விவாதிப்போம் - தொழில்நுட்ப மற்றும் நிறுவன விருப்பங்களை நாங்கள் படிப்போம்.
PsExec இல் என்ன தவறு?
எட்வர்ட் ஸ்னோடன், சரியாகவோ அல்லது தவறாகவோ, உள் தரவு திருட்டுக்கு ஒத்ததாக மாறியுள்ளார். மூலம், பார்க்க மறக்க வேண்டாம்
அதற்கு பதிலாக, ஸ்னோவ்டென் சமூக பொறியியலைப் பயன்படுத்தினார் மற்றும் கடவுச்சொற்களை சேகரிக்கவும் நற்சான்றிதழ்களை உருவாக்கவும் கணினி நிர்வாகியாக தனது பதவியைப் பயன்படுத்தினார். சிக்கலான எதுவும் இல்லை - இல்லை
நிறுவன ஊழியர்கள் எப்போதும் ஸ்னோவ்டனின் தனித்துவமான நிலையில் இருப்பதில்லை, ஆனால் "மேய்ச்சலினால் உயிர்வாழ்வது" என்ற கருத்தாக்கத்திலிருந்து கற்றுக்கொள்ள வேண்டிய பாடங்கள் பல உள்ளன - கண்டறியக்கூடிய எந்த தீங்கிழைக்கும் செயலிலும் ஈடுபடக்கூடாது, குறிப்பாக இருக்க வேண்டும். நற்சான்றிதழ்களைப் பயன்படுத்துவதில் கவனமாக இருக்க வேண்டும். இந்த எண்ணத்தை நினைவில் கொள்ளுங்கள்.
Mimikatz LSASS செயல்முறையிலிருந்து NTLM ஹாஷை இடைமறித்து டோக்கன் அல்லது நற்சான்றிதழ்களை அனுப்புகிறது - என்று அழைக்கப்படும். "பாஸ் தி ஹாஷ்" தாக்குதல் - psexec இல், தாக்குபவர் மற்றொரு சர்வரில் உள்நுழைய அனுமதிக்கிறது மற்றொரு பயனர். ஒரு புதிய சேவையகத்திற்கு ஒவ்வொரு அடுத்தடுத்த நகர்வின் போதும், தாக்குபவர் கூடுதல் சான்றுகளைச் சேகரித்து, கிடைக்கக்கூடிய உள்ளடக்கத்தைத் தேடுவதில் அதன் திறன்களின் வரம்பை விரிவுபடுத்துகிறார்.
நான் முதன்முதலில் psexec உடன் வேலை செய்யத் தொடங்கியபோது, எனக்கு அது மாயாஜாலமாகத் தோன்றியது - நன்றி
psexec பற்றிய முதல் சுவாரஸ்யமான உண்மை என்னவென்றால், அது மிகவும் சிக்கலானது SMB பிணைய கோப்பு நெறிமுறை மைக்ரோசாப்டில் இருந்து. SMB ஐப் பயன்படுத்தி, psexec சிறிய பரிமாற்றங்கள் பைனரி இலக்கு அமைப்பிற்கு கோப்புகள், அவற்றை C:Windows கோப்புறையில் வைக்கிறது.
அடுத்து, psexec நகலெடுக்கப்பட்ட பைனரியைப் பயன்படுத்தி விண்டோஸ் சேவையை உருவாக்குகிறது மற்றும் அதை மிகவும் "எதிர்பாராத" பெயரான PSEXECSVC இன் கீழ் இயக்குகிறது. அதே நேரத்தில், ரிமோட் மெஷினைப் பார்ப்பதன் மூலம் நான் செய்ததைப் போலவே இதையெல்லாம் நீங்கள் உண்மையில் பார்க்கலாம் (கீழே காண்க).
Psexec இன் அழைப்பு அட்டை: "PSEXECSVC" சேவை. இது C:Windows கோப்புறையில் SMB வழியாக வைக்கப்பட்ட பைனரி கோப்பை இயக்குகிறது.
இறுதி கட்டமாக, நகலெடுக்கப்பட்ட பைனரி கோப்பு திறக்கிறது RPC இணைப்பு இலக்கு சேவையகத்திற்கு பின்னர் கட்டுப்பாட்டு கட்டளைகளை ஏற்றுக்கொள்கிறது (இயல்புநிலையாக Windows cmd ஷெல் வழியாக), அவற்றைத் துவக்கி, தாக்குபவர் வீட்டு இயந்திரத்திற்கு உள்ளீடு மற்றும் வெளியீட்டை திருப்பிவிடும். இந்த வழக்கில், தாக்குபவர் அடிப்படை கட்டளை வரியைப் பார்க்கிறார் - அவர் நேரடியாக இணைக்கப்பட்டதைப் போலவே.
நிறைய கூறுகள் மற்றும் மிகவும் சத்தமில்லாத செயல்முறை!
பல ஆண்டுகளுக்கு முன்பு எனது முதல் சோதனைகளின் போது என்னை குழப்பிய செய்தியை psexec இன் சிக்கலான உள்ளகங்கள் விளக்குகின்றன: "PSEXECSVC ஐத் தொடங்குதல்..." கட்டளை வரியில் தோன்றும் முன் இடைநிறுத்தப்பட்டது.
Impacket's Psexec உண்மையில் ஹூட்டின் கீழ் என்ன நடக்கிறது என்பதைக் காட்டுகிறது.
ஆச்சரியப்படுவதற்கில்லை: psexec பேட்டைக்கு கீழ் ஒரு பெரிய அளவு வேலை செய்தது. நீங்கள் இன்னும் விரிவான விளக்கத்தில் ஆர்வமாக இருந்தால், இங்கே பார்க்கவும்
வெளிப்படையாக, கணினி நிர்வாகக் கருவியாகப் பயன்படுத்தப்படும் போது, அது அசல் நோக்கம் psexec, இந்த அனைத்து விண்டோஸ் பொறிமுறைகளின் "சலசலப்பு" என்பதில் எந்த தவறும் இல்லை. எவ்வாறாயினும், தாக்குபவர்களுக்கு, psexec சிக்கல்களை உருவாக்கும், மேலும் ஸ்னோவ்டென், psexec அல்லது இதேபோன்ற பயன்பாடு போன்ற ஒரு எச்சரிக்கையான மற்றும் தந்திரமான உள் நபருக்கு மிகவும் ஆபத்தை ஏற்படுத்தும்.
பின்னர் Smbexec வருகிறது
SMB என்பது சர்வர்களுக்கிடையே கோப்புகளை மாற்றுவதற்கான புத்திசாலித்தனமான மற்றும் ரகசியமான வழியாகும், மேலும் ஹேக்கர்கள் பல நூற்றாண்டுகளாக SMB க்குள் நேரடியாக ஊடுருவி வருகின்றனர். அது மதிப்புக்குரியது அல்ல என்பது அனைவருக்கும் ஏற்கனவே தெரியும் என்று நினைக்கிறேன்
டெஃப்கான் 2013 இல், எரிக் மில்மேன் (
psexec போலல்லாமல், smbexec தவிர்க்கிறது சாத்தியமான கண்டறியப்பட்ட பைனரி கோப்பை இலக்கு இயந்திரத்திற்கு மாற்றுகிறது. அதற்கு பதிலாக, பயன்பாடு முற்றிலும் மேய்ச்சலில் இருந்து ஏவுதல் வரை வாழ்கிறது உள்ளூர் விண்டோஸ் கட்டளை வரி.
இது என்ன செய்கிறது: இது தாக்கும் இயந்திரத்திலிருந்து SMB வழியாக ஒரு சிறப்பு உள்ளீட்டு கோப்பிற்கு ஒரு கட்டளையை அனுப்புகிறது, பின்னர் லினக்ஸ் பயனர்களுக்கு நன்கு தெரிந்த ஒரு சிக்கலான கட்டளை வரியை (விண்டோஸ் சேவை போன்றது) உருவாக்கி இயக்குகிறது. சுருக்கமாக: இது ஒரு நேட்டிவ் விண்டோஸ் சிஎம்டி ஷெல்லைத் துவக்குகிறது, வெளியீட்டை வேறொரு கோப்பிற்குத் திருப்பிவிடும், பின்னர் அதை SMB வழியாக தாக்குபவர் இயந்திரத்திற்கு அனுப்புகிறது.
இதைப் புரிந்துகொள்வதற்கான சிறந்த வழி, கட்டளை வரியைப் பார்ப்பது, இது நிகழ்வுப் பதிவிலிருந்து என் கைகளைப் பெற முடிந்தது (கீழே காண்க).
I/O ஐ திசைதிருப்ப இதுவே சிறந்த வழி அல்லவா? மூலம், சேவை உருவாக்கம் நிகழ்வு ஐடி 7045 உள்ளது.
psexec ஐப் போலவே, இது அனைத்து வேலைகளையும் செய்யும் ஒரு சேவையை உருவாக்குகிறது, ஆனால் அதன் பிறகு சேவை அகற்றப்பட்டது - இது கட்டளையை இயக்க ஒரு முறை மட்டுமே பயன்படுத்தப்படுகிறது, பின்னர் மறைந்துவிடும்! பாதிக்கப்பட்டவரின் இயந்திரத்தை கண்காணிக்கும் தகவல் பாதுகாப்பு அதிகாரியால் கண்டறிய முடியாது வெளிப்படையானது தாக்குதலின் குறிகாட்டிகள்: தீங்கிழைக்கும் கோப்பு எதுவும் தொடங்கப்படவில்லை, நிலையான சேவை எதுவும் நிறுவப்படவில்லை, மேலும் தரவு பரிமாற்றத்திற்கான ஒரே வழி SMB என்பதால் RPC பயன்படுத்தப்பட்டதற்கான எந்த ஆதாரமும் இல்லை. புத்திசாலித்தனம்!
தாக்குபவரின் தரப்பில் இருந்து, கட்டளையை அனுப்புவதற்கும் பதிலைப் பெறுவதற்கும் இடையே உள்ள தாமதங்களுடன் "போலி-ஷெல்" கிடைக்கிறது. ஆனால் இது ஒரு தாக்குபவர்க்கு போதுமானது - ஒரு உள் நபர் அல்லது ஏற்கனவே காலடி வைத்திருக்கும் வெளிப்புற ஹேக்கர் - சுவாரஸ்யமான உள்ளடக்கத்தைத் தேடத் தொடங்க.
இலக்கு இயந்திரத்திலிருந்து தாக்குபவர்களின் இயந்திரத்திற்குத் தரவை மீண்டும் வெளியிட, இது பயன்படுத்தப்படுகிறது
ஒரு படி பின்வாங்கி, இது ஊழியருக்கு என்ன செய்ய முடியும் என்பதைப் பற்றி சிந்திப்போம். எனது கற்பனையான சூழ்நிலையில், ஒரு பதிவர், நிதி ஆய்வாளர் அல்லது அதிக ஊதியம் பெறும் பாதுகாப்பு ஆலோசகர் ஆகியோர் தனிப்பட்ட மடிக்கணினியை வேலைக்குப் பயன்படுத்த அனுமதிக்கப்படுகிறார்கள் என்று வைத்துக்கொள்வோம். சில மாயாஜால செயல்முறைகளின் விளைவாக, அவள் நிறுவனத்தின் மீது கோபமடைந்து "எல்லாமே மோசமாகிவிடும்." மடிக்கணினி இயக்க முறைமையைப் பொறுத்து, இது தாக்கத்திலிருந்து பைதான் பதிப்பை அல்லது smbexec அல்லது smbclient இன் விண்டோஸ் பதிப்பை .exe கோப்பாகப் பயன்படுத்துகிறது.
ஸ்னோவ்டனைப் போலவே, மற்றொரு பயனரின் கடவுச்சொல்லை அவள் தோள்பட்டைக்கு மேல் பார்த்துக் கண்டுபிடித்தாள், அல்லது அவள் அதிர்ஷ்டம் அடைந்து கடவுச்சொல்லுடன் கூடிய உரைக் கோப்பில் தடுமாறினாள். இந்த நற்சான்றிதழ்களின் உதவியுடன், அவர் ஒரு புதிய அளவிலான சலுகைகளில் அமைப்பைச் சுற்றி தோண்டத் தொடங்குகிறார்.
DCC ஹேக்கிங்: எங்களுக்கு "முட்டாள்" மிமிகாட்ஸ் தேவையில்லை
பென்டெஸ்டிங் பற்றிய எனது முந்தைய இடுகைகளில், நான் அடிக்கடி mimikatz ஐப் பயன்படுத்தினேன். நற்சான்றிதழ்களை இடைமறிக்க இது ஒரு சிறந்த கருவியாகும் - NTLM ஹாஷ்கள் மற்றும் மடிக்கணினிகளுக்குள் மறைந்திருக்கும் தெளிவான உரை கடவுச்சொற்கள், பயன்படுத்துவதற்கு காத்திருக்கின்றன.
காலம் மாறிவிட்டது. மிமிகாட்ஸைக் கண்டறிந்து தடுப்பதில் கண்காணிப்பு கருவிகள் சிறந்து விளங்கியுள்ளன. தகவல் பாதுகாப்பு நிர்வாகிகளும் இப்போது ஹாஷ் (PtH) தாக்குதல்களுடன் தொடர்புடைய அபாயங்களைக் குறைக்க கூடுதல் விருப்பங்களைக் கொண்டுள்ளனர்.
மிமிகாட்ஸைப் பயன்படுத்தாமல் கூடுதல் நற்சான்றிதழ்களைச் சேகரிக்க ஒரு ஸ்மார்ட் ஊழியர் என்ன செய்ய வேண்டும்?
Impacket's kit என்றழைக்கப்படும் ஒரு பயன்பாடு உள்ளது
DCC ஹாஷ்கள் NTML ஹாஷ்கள் அல்ல மற்றும் அவர்களின் PtH தாக்குதலுக்கு பயன்படுத்த முடியாது.
சரி, அசல் கடவுச்சொல்லைப் பெற நீங்கள் அவற்றை ஹேக் செய்ய முயற்சி செய்யலாம். இருப்பினும், மைக்ரோசாப்ட் DCC உடன் சிறந்து விளங்கியுள்ளது மற்றும் DCC ஹாஷ்களை சிதைப்பது மிகவும் கடினமாகிவிட்டது. ஆமாம் என்னிடம் இருக்கிறது
மாறாக, ஸ்னோடனைப் போல சிந்திக்க முயற்சிப்போம். ஒரு ஊழியர் நேருக்கு நேர் சமூகப் பொறியியலை நடத்தலாம் மற்றும் யாருடைய கடவுச்சொல்லை சிதைக்க விரும்புகிறாள் என்பதைப் பற்றிய சில தகவல்களைக் கண்டறியலாம். எடுத்துக்காட்டாக, அந்த நபரின் ஆன்லைன் கணக்கு எப்போதாவது ஹேக் செய்யப்பட்டுள்ளதா என்பதைக் கண்டறிந்து, ஏதேனும் தடயங்கள் உள்ளதா என அவரது தெளிவான உரை கடவுச்சொல்லைச் சரிபார்க்கவும்.
நான் செல்ல முடிவு செய்த காட்சி இதுதான். அவரது முதலாளி க்ரூயெல்லா பல்வேறு வலை ஆதாரங்களில் பல முறை ஹேக் செய்யப்பட்டார் என்பதை ஒரு உள் நபர் அறிந்தார் என்று வைத்துக்கொள்வோம். இந்தக் கடவுச்சொற்களில் பலவற்றைப் பகுப்பாய்வு செய்த பிறகு, க்ரூல்லா பேஸ்பால் அணியின் பெயரான "யாங்கீஸ்" வடிவமைப்பைப் பயன்படுத்த விரும்புகிறார் என்பதை அவர் உணர்ந்தார், அதைத் தொடர்ந்து நடப்பு ஆண்டு - "யாங்கீஸ்2015".
நீங்கள் இப்போது இதை வீட்டிலேயே மீண்டும் உருவாக்க முயற்சிக்கிறீர்கள் என்றால், நீங்கள் ஒரு சிறிய, "C" ஐப் பதிவிறக்கலாம்.
ஒரு உள் நபரின் பங்கைக் காட்டி, நான் பல்வேறு சேர்க்கைகளை முயற்சித்தேன், இறுதியில் க்ரூல்லாவின் கடவுச்சொல் "யாங்கீஸ்2019" என்பதைக் கண்டறிய முடிந்தது (கீழே காண்க). பணி முடிந்தது!
கொஞ்சம் சோஷியல் இன்ஜினியரிங், அதிர்ஷ்டம் சொல்லுதல் மற்றும் ஒரு சிட்டிகை மால்டெகோ மற்றும் டிசிசி ஹாஷை முறியடிக்கும் வழியில் நீங்கள் நன்றாக இருக்கிறீர்கள்.
நாங்கள் இங்கே முடிக்க பரிந்துரைக்கிறேன். மற்ற இடுகைகளில் இந்தத் தலைப்புக்குத் திரும்புவோம், மேலும் மெதுவான மற்றும் திருட்டுத்தனமான தாக்குதல் முறைகளைப் பார்ப்போம், இம்பேக்கட்டின் சிறந்த பயன்பாடுகளின் தொகுப்பைத் தொடர்ந்து உருவாக்குவோம்.
ஆதாரம்: www.habr.com