Мо мунтазам менависем, ки чӣ тавр ҳакерҳо аксар вақт ба истисмор такя мекунанд барои пешгирӣ кардани ошкор. Онҳо айнан , бо истифода аз абзорҳои стандартии Windows ва ба ин васила антивирусҳо ва дигар утилитҳоро барои ошкор кардани фаъолияти зараровар. Мо, ҳамчун муҳофизон, ҳоло маҷбурем, ки бо оқибатҳои нохуши чунин усулҳои ҳакерӣ мубориза барем: корманди хуб ҷойгиршуда метавонад аз ҳамон равиш истифода барад, то маълумотро махфӣ дуздад (моликияти зеҳнии ширкат, рақамҳои корти кредитӣ). Ва агар вай шитоб накунад, балки оҳиста ва оромона кор кунад, ин ниҳоят душвор хоҳад буд - аммо ба ҳар ҳол имконпазир аст, агар ӯ муносибати дуруст ва мувофиқро истифода барад. , — муайян кардани чунин фаъолият.
Аз тарафи дигар, ман намехоҳам, ки кормандонро таҳқир кунам, зеро ҳеҷ кас намехоҳад, ки мустақиман аз соли 1984 Орвелл дар муҳити тиҷорат кор кунад. Хушбахтона, як қатор қадамҳои амалӣ ва ҳакерҳои ҳаёт вуҷуд доранд, ки метавонанд ҳаётро барои инсайдерҳо душвортар кунанд. Мо баррасӣ мекунем усулҳои ҳамлаи пинҳонӣ, аз ҷониби ҳакерҳо аз ҷониби кормандони дорои маълумоти техникӣ истифода мешаванд. Ва каме дигар мо имконоти коҳиш додани чунин хатарҳоро муҳокима хоҳем кард - мо имконоти техникӣ ва ташкилиро меомӯзем.
Дар PsExec чӣ бадӣ дорад?
Эдвард Сноуден, дуруст ё нодуруст, синоними дуздии маълумоти инсайдерӣ шудааст. Дар омади гап, тамошо карданро фаромӯш накунед дар бораи дигар шахсони инсайдер, ки низ сазовори мақоми шӯҳрат ҳастанд. Як нуктаи муҳиме, ки бояд дар бораи усулҳои истифодакардаи Сноуден таъкид кард, ин аст, ки ба қадри маълумоти мо, ӯ насб накардааст ягон нармафзори зараровари беруна!
Ба ҷои ин, Сноуден каме муҳандисии иҷтимоӣ истифода кард ва мавқеи худро ҳамчун мудири система барои ҷамъоварии паролҳо ва эҷоди эътимоднома истифода бурд. Ҳеҷ чиз мураккаб нест - ҳеҷ , ҳамлаҳо ё .
Кормандони созмон на ҳамеша дар мавқеи беназири Сноуден ҳастанд, аммо бояд аз мафҳуми “зинда мондан тавассути чаронидани чорво” як қатор дарсҳо омӯзанд, ки бояд огоҳ бошанд - ба ҳар гуна фаъолияти бадқасдона, ки ошкор карда мешавад, машғул нашаванд ва махсусан боэҳтиёт бо истифода аз эътимоднома. Ин фикрро ба ёд оред.
ва амакаш Пентестерҳои бешумор, ҳакерҳо ва блогнависони киберамниятро ба ҳайрат оварданд. Ва ҳангоми якҷоя шудан бо mimikatz, psexec ба ҳамлагарон имкон медиҳад, ки бидуни донистани пароли равшани матн дар дохили шабака ҳаракат кунанд.
Мимикатз хэши NTLM-ро аз раванди LSASS боздошта ва сипас нишона ё эътимоднома - ба истилоҳро интиқол медиҳад. ҳамлаи "хэшро гузаред" – дар psexec, имкон медиҳад, ки ҳамла ба сервери дигар ҳамчун дигар корбар. Ва бо ҳар як ҳаракати минбаъда ба сервери нав, ҳамлакунанда маълумоти иловагӣ ҷамъоварӣ мекунад ва доираи имкониятҳои худро дар ҷустуҷӯи мундариҷаи дастрас васеъ мекунад.
Вақте ки ман бори аввал бо psexec кор карданро сар кардам, ба ман ҷодугарӣ менамуд - ташаккур , таҳиягари олиҷаноби psexec - аммо ман дар бораи ӯ низ медонам ғавғо ҷузъҳо. Ӯ ҳеҷ гоҳ пинҳон нест!
Аввалин далели ҷолиб дар бораи psexec ин аст, ки он хеле мураккабро истифода мебарад Протоколи файли шабакаи SMB аз Microsoft. Бо истифода аз SMB, psexec хурд интиқол медиҳад бинарй файлҳоро ба системаи мавриди ҳадаф ҷойгир карда, онҳоро дар ҷузвдони C: Windows ҷойгир кунед.
Баъдан, psexec хидмати Windows-ро бо истифода аз дуии нусхабардорӣ эҷод мекунад ва онро бо номи бениҳоят "ғайричашмдошт" PSEXECSVC иҷро мекунад. Ҳамзамон, шумо метавонед ҳамаи инро, мисли ман, тавассути тамошои мошини дурдаст дидан мумкин аст (нигаред ба поён).
Корти занги Psexec: хидмати "PSEXECSVC". Он файли бинариро иҷро мекунад, ки тавассути SMB дар папкаи C: Windows ҷойгир карда шудааст.
Ҳамчун қадами ниҳоӣ, файли дуии нусхабардорӣ кушода мешавад Пайвасти RPC ба сервери мавриди ҳадаф ва сипас фармонҳои идоракуниро қабул мекунад (тавассути қабати Windows cmd ба таври нобаёнӣ), онҳоро оғоз мекунад ва ворид ва баромадро ба мошини хонагии ҳамлагар равона мекунад. Дар ин ҳолат, ҳамлакунанда хати фармони асосиро мебинад - ҳамон тавре ки гӯё бевосита пайваст шуда бошад.
Бисёр ҷузъҳо ва як раванди хеле пурғавғо!
Ҷузъҳои мураккаби psexec паёмеро, ки маро ҳангоми санҷишҳои аввалини ман чанд сол пеш ба ҳайрат овард, шарҳ медиҳанд: "Оғози PSEXECSVC..." ва пас аз таваққуф пеш аз пайдо шудани сатри фармон.
Psexec Impacket воқеан нишон медиҳад, ки дар зери кулоҳ чӣ рӯй дода истодааст.
Тааҷҷубовар нест: psexec дар зери сарпӯш миқдори зиёди корҳоро анҷом дод. Агар шумо ба тавзеҳи муфассал таваҷҷӯҳ дошта бошед, инҷоро санҷед тавсифи аҷиб.
Аён аст, вақте ки ҳамчун воситаи идоракунии система истифода мешавад, ки буд мақсади аслӣ psexec, дар "сағза"-и ҳамаи ин механизмҳои Windows ҳеҷ бадӣ нест. Аммо барои ҳамлагар, psexec мушкилот эҷод мекунад ва барои як шахси эҳтиёткор ва маккоре, ки ба монанди Сноуден, psexec ё утилитаи шабеҳ хатари аз ҳад зиёд хоҳад буд.
Ва он гоҳ Smbexec меояд
SMB як роҳи оқилона ва махфӣ барои интиқоли файлҳо байни серверҳо мебошад ва ҳакерҳо дар тӯли садсолаҳо мустақиман ба SMB ворид мешаванд. Ман фикр мекунам, ки ҳама аллакай медонанд, ки ин арзише надорад Портҳои SMB 445 ва 139 ба Интернет, дуруст?
Дар Defcon 2013, Эрик Миллман () пешниҳод намуд , то ки пентестерҳо ҳакерии SMB-и пинҳониро санҷанд. Ман тамоми ҳикояро намедонам, аммо баъд Impacket smbexec-ро такмил дод. Дарвоқеъ, барои санҷиш ман скриптҳоро аз Impacket дар Python аз зеркашӣ кардам .
Баръакси psexec, smbexec пешгирӣ мекунад интиқол додани файли дуии эҳтимолан ошкоршуда ба мошини мавриди ҳадаф. Ба ҷои ин, хидматрасонӣ пурра аз чарогоҳ то оғози кор зиндагӣ мекунад маҳаллӣ Сатри фармони Windows.
Ин чӣ кор мекунад: он фармонро аз мошини ҳамлакунанда тавассути SMB ба файли вурудии махсус мегузаронад ва сипас хати фармони мураккабро (ба монанди хидмати Windows) эҷод ва иҷро мекунад, ки ба корбарони Linux шинос менамояд. Хулоса: он қабати аслии Windows cmd-ро оғоз мекунад, натиҷаро ба файли дигар равона мекунад ва сипас онро тавассути SMB ба мошини ҳамлагар бармегардонад.
Роҳи беҳтарини фаҳмидани ин ин назар кардан ба сатри фармон аст, ки ман тавонистам онро аз сабти рӯйдодҳо бигирам (ба поён нигаред).
Оё ин роҳи беҳтарини бозгардонидани I/O нест? Дар омади гап, эҷоди хидмат дорои ID 7045 ҳодиса мебошад.
Мисли psexec, он инчунин хидматеро эҷод мекунад, ки ҳама корро иҷро мекунад, аммо хидмат пас аз он хориҷ карда шуд - он танҳо як маротиба барои иҷро кардани фармон истифода мешавад ва сипас нопадид мешавад! Корманди амнияти иттилоотӣ мошини ҷабрдидаро назорат карда наметавонад равшан Нишондиҳандаҳои ҳамла: ягон файли зараровар оғоз карда намешавад, хидмати доимӣ насб карда намешавад ва ягон далели истифодаи RPC вуҷуд надорад, зеро SMB ягона воситаи интиқоли маълумот аст. Олиҷаноб!
Аз ҷониби ҳамлагар, "псевдопласт" бо таъхир байни фиристодани фармон ва гирифтани посух дастрас аст. Аммо ин барои ҳамлагар - хоҳ инсайдер ё як ҳакери беруна, ки аллакай пойгоҳ дорад - кофӣ аст, то ба ҷустуҷӯи мундариҷаи ҷолиб шурӯъ кунад.
Барои баргардонидани маълумот аз мошини мавриди ҳадаф ба мошини ҳамлагар он истифода мешавад . Бале, ин ҳамон Самба аст , аммо танҳо аз ҷониби Impacket ба скрипти Python табдил дода мешавад. Дар асл, smbclient ба шумо имкон медиҳад, ки интиқоли FTP-ро тавассути SMB пинҳон кунед.
Биёед як қадам ба ақиб гузорем ва дар бораи он фикр кунем, ки ин барои корманд чӣ кор карда метавонад. Дар сенарияи тахайюлии ман, биёед бигӯем, ки ба блогер, таҳлилгари молиявӣ ё мушовири баландпояи амният иҷозат дода мешавад, ки ноутбуки шахсиро барои кор истифода барад. Дар натиҷаи як раванди ҷодугарӣ, вай аз ширкат хафа мешавад ва "ҳамааш бад мешавад". Вобаста аз системаи оператсионии ноутбук, он ё версияи Python аз Impact ё версияи Windows smbexec ё smbclient-ро ҳамчун файли .exe истифода мебарад.
Мисли Сноуден гузарвожаи корбари дигарро ё аз болои китф нигоҳ мекунад ё бахташ бахт мешавад ва ба файли матнии дорои парол пешпо мехӯрад. Ва бо кӯмаки ин эътимоднома, вай ба кофтани система дар сатҳи нави имтиёзҳо оғоз мекунад.
Hacking DCC: Мо ба ягон Мимикатз "беақл" лозим нестем
Дар паёмҳои қаблии худ дар бораи пентестинг ман мимикатзро зуд-зуд истифода мебурдам. Ин як воситаи олиҷаноб барои боздоштани маълумоти эътимоднок аст - хэшҳои NTLM ва ҳатто паролҳои равшани матни дар дохили ноутбукҳо пинҳоншуда, танҳо интизори истифода шудан аст.
Замона дигар шудааст. Воситаҳои назорат дар ошкор ва бастани мимикатз беҳтар шудаанд. Маъмурони амнияти иттилоотӣ инчунин ҳоло барои коҳиш додани хатарҳои марбут ба ҳамлаҳои ҳаш (PtH) имконоти бештар доранд.
Пас, як корманди оқил бояд чӣ кор кунад, то маълумоти иловагӣ бидуни истифодаи mimikatz ҷамъоварӣ кунад?
Маҷмӯи Impacket як утилитаеро дар бар мегирад, ки ном дорад , ки маълумоти эътимодномаро аз кэши домени эътимоднома ё кӯтоҳ DCC мегирад. Фаҳмидам ин аст, ки агар корбари домен ба сервер ворид шавад, аммо контролери домен дастрас набошад, DCC ба сервер имкон медиҳад, ки корбарро тасдиқ кунад. Дар ҳар сурат, secretsdump ба шумо имкон медиҳад, ки агар онҳо дастрас бошанд, ҳамаи ин хэшҳоро партоянд.
Хэшҳои DCC мебошанд на хэшҳои NTML ва онҳо барои ҳамлаи PtH истифода намешавад.
Хуб, шумо метавонед кӯшиш кунед, ки онҳоро вайрон кунед, то пароли аслиро ба даст оред. Бо вуҷуди ин, Microsoft бо DCC оқилонатар шуд ва хэшҳои DCC шикастан хеле душвор шуданд. Бале, ман дорам , "тезтарин тахминкунандаи парол дар ҷаҳон", аммо барои самаранок кор кардани он GPU талаб мекунад.
Ба ҷои ин, биёед кӯшиш кунем, ки мисли Сноуден фикр кунем. Корманд метавонад муҳандисии иҷтимоии рӯ ба рӯ гузаронад ва эҳтимолан баъзе маълумотро дар бораи шахсе, ки пароли ӯро шикастан мехоҳад, пайдо кунад. Масалан, бифаҳмед, ки оё аккаунти онлайни ин шахс ягон бор ҳакер шуда бошад ва пароли равшани матнии онҳоро барои ягон нишона тафтиш кунед.
Ва ин сенарияест, ки ман қарор додам, ки бо он равам. Фарз мекунем, ки шахси инсайдер фаҳмид, ки раҳбари ӯ Круелла дар манобеъи мухталифи интернетӣ борҳо рахна шудааст. Пас аз таҳлили чанде аз ин паролҳо, ӯ дарк мекунад, ки Круелла истифодаи формати дастаи бейсбол номи "Yankees" ва пас аз соли ҷорӣ - "Yankees2015" -ро афзалтар медонад.
Агар шумо ҳоло кӯшиш кунед, ки онро дар хона дубора тавлид кунед, пас шумо метавонед хурди "C" -ро зеркашӣ кунед , ки алгоритми hasshing DCC-ро амалӣ мекунад ва онро тартиб медиҳад. , дар омади гап, дастгирии DCC илова карда шуд, бинобар ин онро низ истифода бурдан мумкин аст. Фарз мекунем, ки шахси инсайдер омӯхтани Ҷон Рипперро ташвиш додан намехоҳад ва иҷро кардани "gcc"-ро дар рамзи C меросӣ дӯст медорад.
Нақши шахси инсайдерро баррасӣ карда, ман якчанд комбинатсияи гуногунро санҷидам ва дар ниҳоят тавонистам бифаҳмам, ки пароли Cruella "Yankees2019" аст (нигаред ба поён). Миссия анҷом ёфт!
Каме муҳандисии иҷтимоӣ, як фолбинӣ ва як рози Малтего ва шумо дар роҳи шикастани hash DCC ҳастед.
Ман тавсия медиҳам, ки мо дар ин ҷо хотима ёбем. Мо ба ин мавзӯъ дар мақолаҳои дигар бармегардем ва усулҳои боз ҳам сусттар ва пинҳонтари ҳамларо дида мебароем ва ба сохтани маҷмӯи аълои утилитҳои Impacket идома медиҳем.
Манбаъ: will.com