Regular kaming nagsusulat tungkol sa kung paano madalas umaasa ang mga hacker sa pagsasamantala para maiwasan ang detection. Sila ay literal , gamit ang karaniwang mga tool sa Windows, at sa gayon ay nilalampasan ang mga antivirus at iba pang mga kagamitan para sa pag-detect ng malisyosong aktibidad. Kami, bilang mga tagapagtanggol, ay napipilitan na ngayong harapin ang mga kapus-palad na kahihinatnan ng gayong matalinong mga diskarte sa pag-hack: ang isang mahusay na posisyon na empleyado ay maaaring gumamit ng parehong diskarte upang palihim na magnakaw ng data (intelektwal na ari-arian ng kumpanya, mga numero ng credit card). At kung hindi siya nagmamadali, ngunit gumagana nang dahan-dahan at tahimik, magiging napakahirap - ngunit posible pa rin kung gagamit siya ng tamang diskarte at naaangkop. , β upang matukoy ang naturang aktibidad.
Sa kabilang banda, hindi ko gustong i-demonize ang mga empleyado dahil walang gustong magtrabaho sa isang business environment mula pa noong 1984 ni Orwell. Sa kabutihang palad, mayroong ilang mga praktikal na hakbang at mga hack sa buhay na maaaring gawing mas mahirap ang buhay para sa mga tagaloob. Isasaalang-alang namin mga paraan ng palihim na pag-atake, na ginagamit ng mga hacker ng mga empleyadong may ilang teknikal na background. At kaunti pa ay tatalakayin natin ang mga opsyon para sa pagbabawas ng mga ganitong panganib - pag-aaralan natin ang parehong teknikal at organisasyonal na mga opsyon.
Ano ang mali sa PsExec?
Si Edward Snowden, tama man o mali, ay naging kasingkahulugan ng insider data theft. Siyanga pala, huwag kalimutang tingnan tungkol sa iba pang mga tagaloob na karapat-dapat din ng ilang katayuan sa katanyagan. Isang mahalagang punto na nagkakahalaga ng pagbibigay-diin tungkol sa mga pamamaraan na ginamit ni Snowden ay, sa abot ng aming kaalaman, siya hindi na-install walang panlabas na nakakahamak na software!
Sa halip, gumamit si Snowden ng kaunting social engineering at ginamit ang kanyang posisyon bilang isang system administrator upang mangolekta ng mga password at lumikha ng mga kredensyal. Walang kumplikado - wala , pag-atake o .
Ang mga empleyado ng organisasyon ay hindi palaging nasa kakaibang posisyon ni Snowden, ngunit may ilang mga aral na matututuhan mula sa konsepto ng "survival by feeding" na dapat malaman - huwag makisali sa anumang malisyosong aktibidad na maaaring makita, at lalo na maingat sa paggamit ng mga kredensyal. Tandaan ang kaisipang ito.
at ang kanyang pinsan ay humanga sa hindi mabilang na mga pentester, hacker, at cybersecurity blogger. At kapag isinama sa mimikatz, pinapayagan ng psexec ang mga umaatake na lumipat sa loob ng isang network nang hindi kailangang malaman ang cleartext na password.
Hinarang ni Mimikatz ang NTLM hash mula sa proseso ng LSASS at pagkatapos ay ipinapasa ang token o mga kredensyal - ang tinatawag na. "ipasa ang hash" na pag-atake β sa psexec, na nagpapahintulot sa isang umaatake na mag-log in sa isa pang server bilang ng isa pa gumagamit. At sa bawat kasunod na paglipat sa isang bagong server, nangongolekta ang umaatake ng mga karagdagang kredensyal, na nagpapalawak ng saklaw ng mga kakayahan nito sa paghahanap ng magagamit na nilalaman.
Noong una akong nagsimulang magtrabaho kasama ang psexec, tila nakapagtataka ito sa akin - salamat , ang napakatalino na developer ng psexec - ngunit alam ko rin ang tungkol sa kanya maingay mga bahagi. Hindi siya malihim!
Ang unang kawili-wiling katotohanan tungkol sa psexec ay gumagamit ito ng sobrang kumplikado SMB network file protocol mula sa Microsoft. Gamit ang SMB, maliit ang paglilipat ng psexec doble file sa target na sistema, inilalagay ang mga ito sa C:Windows folder.
Susunod, gagawa ang psexec ng serbisyo sa Windows gamit ang kinopyang binary at pinapatakbo ito sa ilalim ng sobrang "hindi inaasahang" pangalan na PSEXECSVC. Kasabay nito, makikita mo talaga ang lahat ng ito, tulad ng ginawa ko, sa pamamagitan ng panonood ng isang malayuang makina (tingnan sa ibaba).
Ang calling card ng Psexec: "PSEXECSVC" na serbisyo. Nagpapatakbo ito ng binary file na inilagay sa pamamagitan ng SMB sa C:Windows folder.
Bilang pangwakas na hakbang, bubukas ang nakopyang binary file Koneksyon sa RPC sa target na server at pagkatapos ay tumatanggap ng mga control command (sa pamamagitan ng Windows cmd shell bilang default), ilulunsad ang mga ito at i-redirect ang input at output sa home machine ng attacker. Sa kasong ito, nakikita ng umaatake ang pangunahing linya ng command - katulad ng kung direktang konektado siya.
Maraming sangkap at napakaingay na proseso!
Ipinapaliwanag ng mga kumplikadong internals ng psexec ang mensaheng nagpagulo sa akin sa mga unang pagsubok ko ilang taon na ang nakakaraan: "Simulan ang PSEXECSVC..." na sinusundan ng isang pause bago lumabas ang command prompt.
Ang Psexec ng Impacket ay aktwal na nagpapakita kung ano ang nangyayari sa ilalim ng hood.
Hindi nakakagulat: gumawa si psexec ng malaking dami ng trabaho sa ilalim ng hood. Kung interesado ka sa isang mas detalyadong paliwanag, tingnan dito kahanga-hangang paglalarawan.
Malinaw, kapag ginamit bilang isang tool sa pangangasiwa ng system, na orihinal na layunin psexec, walang mali sa "pag-buzz" ng lahat ng mga mekanismo ng Windows na ito. Para sa isang umaatake, gayunpaman, ang psexec ay lilikha ng mga komplikasyon, at para sa isang maingat at tusong tagaloob tulad ni Snowden, psexec o isang katulad na utility ay magiging napakalaking panganib.
At pagkatapos ay dumating ang Smbexec
Ang SMB ay isang matalino at palihim na paraan upang maglipat ng mga file sa pagitan ng mga server, at ang mga hacker ay direktang nakapasok sa SMB sa loob ng maraming siglo. Sa tingin ko alam na ng lahat na hindi ito katumbas ng halaga SMB port 445 at 139 sa Internet, tama ba?
Sa Defcon 2013, si Eric Millman () iniharap , para masubukan ng mga pentester ang stealth SMB hacking. Hindi ko alam ang buong kuwento, ngunit pagkatapos ay mas pinino pa ni Impacket ang smbexec. Sa katunayan, para sa aking pagsubok, na-download ko ang mga script mula sa Impacket sa Python mula sa .
Hindi tulad ng psexec, smbexec umiiwas paglilipat ng isang potensyal na natukoy na binary file sa target na makina. Sa halip, ang utility ay ganap na nabubuhay mula sa pastulan hanggang sa paglulunsad lokal Windows command line.
Narito ang ginagawa nito: nagpapasa ito ng command mula sa attacking machine sa pamamagitan ng SMB sa isang espesyal na input file, at pagkatapos ay gagawa at nagpapatakbo ng isang kumplikadong command line (tulad ng isang serbisyo ng Windows) na tila pamilyar sa mga gumagamit ng Linux. Sa madaling salita: naglulunsad ito ng katutubong Windows cmd shell, nire-redirect ang output sa isa pang file, at pagkatapos ay ipinapadala ito sa pamamagitan ng SMB pabalik sa makina ng umaatake.
Ang pinakamahusay na paraan upang maunawaan ito ay ang pagtingin sa command line, na nakuha ko mula sa log ng kaganapan (tingnan sa ibaba).
Hindi ba ito ang pinakamahusay na paraan upang i-redirect ang I/O? Siyanga pala, may event ID 7045 ang paggawa ng serbisyo.
Tulad ng psexec, lumilikha din ito ng isang serbisyo na gumagawa ng lahat ng gawain, ngunit ang serbisyo pagkatapos nito inalis - ito ay ginagamit nang isang beses lamang upang patakbuhin ang utos at pagkatapos ay mawala! Ang isang opisyal ng seguridad ng impormasyon na sumusubaybay sa makina ng isang biktima ay hindi makaka-detect halata naman Mga tagapagpahiwatig ng pag-atake: Walang malisyosong file na inilulunsad, walang patuloy na serbisyong ini-install, at walang ebidensya ng RPC na ginagamit dahil ang SMB ang tanging paraan ng paglilipat ng data. Napakatalino!
Mula sa panig ng umaatake, may available na "pseudo-shell" na may mga pagkaantala sa pagitan ng pagpapadala ng command at pagtanggap ng tugon. Ngunit ito ay sapat na para sa isang umaatake - alinman sa isang tagaloob o isang panlabas na hacker na mayroon nang saligan - upang magsimulang maghanap ng kawili-wiling nilalaman.
Upang mag-output ng data pabalik mula sa target na makina patungo sa makina ng umaatake, ito ay ginagamit . Oo, ito ay ang parehong Samba , ngunit na-convert lamang sa isang script ng Python ng Impacket. Sa katunayan, pinapayagan ka ng smbclient na palihim na mag-host ng mga paglilipat ng FTP sa SMB.
Bumalik tayo ng isang hakbang at pag-isipan kung ano ang magagawa nito para sa empleyado. Sa aking kathang-isip na senaryo, sabihin nating pinapayagan ang isang blogger, financial analyst o mataas na bayad na security consultant na gumamit ng personal na laptop para sa trabaho. Bilang resulta ng ilang mahiwagang proseso, nagdamdam siya sa kumpanya at "nawawala ang lahat." Depende sa operating system ng laptop, ginagamit nito ang bersyon ng Python mula sa Impact, o ang bersyon ng Windows ng smbexec o smbclient bilang isang .exe file.
Tulad ni Snowden, nalaman niya ang password ng isa pang user sa pamamagitan ng pagtingin sa kanyang balikat, o siya ay mapalad at natitisod sa isang text file na may password. At sa tulong ng mga kredensyal na ito, nagsimula siyang maghukay sa paligid ng system sa isang bagong antas ng mga pribilehiyo.
Pag-hack ng DCC: Hindi namin kailangan ang anumang "hangal" na Mimikatz
Sa mga nakaraang post ko sa pentesting, madalas akong gumamit ng mimikatz. Ito ay isang mahusay na tool para sa pagharang ng mga kredensyal - NTLM hash at kahit na mga cleartext na password na nakatago sa loob ng mga laptop, naghihintay lamang na magamit.
Nagbago ang mga panahon. Ang mga tool sa pagsubaybay ay naging mas mahusay sa pag-detect at pagharang ng mimikatz. Ang mga administrador ng seguridad ng impormasyon ay mayroon na ngayong higit pang mga opsyon upang bawasan ang mga panganib na nauugnay sa pagpasa sa mga pag-atake ng hash (PtH).
Kaya ano ang dapat gawin ng isang matalinong empleyado upang mangolekta ng mga karagdagang kredensyal nang hindi gumagamit ng mimikatz?
Kasama sa kit ng Impacket ang isang utility na tinatawag , na kumukuha ng mga kredensyal mula sa Domain Credential Cache, o DCC sa madaling salita. Ang aking pagkaunawa ay kung ang isang user ng domain ay nag-log in sa server ngunit ang domain controller ay hindi magagamit, ang DCC ay nagpapahintulot sa server na patotohanan ang user. Anyway, pinapayagan ka ng secretsdump na i-dump ang lahat ng mga hash na ito kung available ang mga ito.
Ang mga hash ng DCC ay hindi NTML hash at hindi maaaring gamitin para sa pag-atake ng PtH.
Well, maaari mong subukang i-hack ang mga ito upang makuha ang orihinal na password. Gayunpaman, ang Microsoft ay naging mas matalino sa DCC at ang DCC hash ay naging lubhang mahirap na basagin. Oo meron ako , "ang pinakamabilis na tagahula ng password sa mundo," ngunit nangangailangan ito ng GPU upang gumana nang epektibo.
Sa halip, subukan nating mag-isip tulad ni Snowden. Maaaring magsagawa ng face-to-face social engineering ang isang empleyado at posibleng malaman ang ilang impormasyon tungkol sa taong gusto niyang basagin ang password. Halimbawa, alamin kung na-hack ang online na account ng tao at suriin ang kanilang cleartext na password para sa anumang mga pahiwatig.
At ito ang senaryo na napagpasyahan kong samahan. Ipagpalagay natin na nalaman ng isang insider na ang kanyang amo, si Cruella, ay ilang beses nang na-hack sa iba't ibang mapagkukunan ng web. Matapos suriin ang ilan sa mga password na ito, napagtanto niya na mas gusto ni Cruella na gamitin ang format ng pangalan ng baseball team na "Yankees" na sinusundan ng kasalukuyang taon - "Yankees2015".
Kung sinusubukan mo na ngayong kopyahin ito sa bahay, maaari kang mag-download ng maliit, "C" , na nagpapatupad ng DCC hashing algorithm, at i-compile ito. , siya nga pala, nagdagdag ng suporta para sa DCC, kaya magagamit din ito. Ipagpalagay natin na ang isang insider ay hindi gustong mag-abala sa pag-aaral ng John the Ripper at gustong magpatakbo ng "gcc" sa legacy C code.
Sa pagpapanggap bilang isang insider, sinubukan ko ang ilang iba't ibang kumbinasyon at kalaunan ay natuklasan ko na ang password ni Cruella ay "Yankees2019" (tingnan sa ibaba). Kumpleto na ang Misyon!
Isang maliit na social engineering, isang dash of fortune telling at isang kurot ng Maltego at handa ka na sa pag-crack ng DCC hash.
I suggest dito na tayo magtapos. Babalik kami sa paksang ito sa iba pang mga post at titingnan ang mas mabagal at palihim na paraan ng pag-atake, na patuloy na bumubuo sa mahusay na hanay ng mga utility ng Impacket.
Pinagmulan: www.habr.com