Bilgisayar korsanlarının sıklıkla istismar etmeye nasıl başvurdukları hakkında düzenli olarak yazıyoruz. tespit edilmekten kaçınmak için. Kelimenin tam anlamıyla , standart Windows araçlarını kullanarak, antivirüsleri ve kötü amaçlı etkinlikleri tespit etmeye yönelik diğer yardımcı programları atlar. Savunmacılar olarak biz artık bu tür akıllı hackleme tekniklerinin talihsiz sonuçlarıyla uğraşmak zorunda kalıyoruz: iyi konumdaki bir çalışan aynı yaklaşımı gizlice verileri (şirketin fikri mülkiyeti, kredi kartı numaraları) çalmak için kullanabilir. Acele etmezse, yavaş ve sessizce çalışırsa, bu son derece zor olacaktır; ancak doğru yaklaşımı ve uygun yöntemi kullanırsa yine de mümkündür. , — bu tür bir etkinliği tanımlamak için.
Öte yandan, çalışanları şeytanlaştırmak istemem çünkü hiç kimse doğrudan Orwell'in 1984'teki gibi bir iş ortamında çalışmak istemez. Neyse ki, içeriden öğrenenler için hayatı çok daha zorlaştırabilecek bir dizi pratik adım ve hayat tüyosu var. dikkate alacağız gizli saldırı yöntemleri, bilgisayar korsanları tarafından teknik geçmişi olan çalışanlar tarafından kullanılır. Ve biraz daha ileride bu tür riskleri azaltmaya yönelik seçenekleri tartışacağız - hem teknik hem de organizasyonel seçenekleri inceleyeceğiz.
PsExec'in sorunu ne?
Edward Snowden, doğru ya da yanlış, içeriden bilgi hırsızlığıyla eş anlamlı hale geldi. Bu arada bir göz atmayı unutmayın şöhret statüsünü hak eden diğer içerdekiler hakkında. Snowden'ın kullandığı yöntemler hakkında vurgulamaya değer önemli bir nokta da, bildiğimiz kadarıyla, yüklenmedi harici kötü amaçlı yazılım yok!
Bunun yerine Snowden, şifreleri toplamak ve kimlik bilgileri oluşturmak için biraz sosyal mühendislik kullandı ve sistem yöneticisi pozisyonunu kullandı. Karmaşık bir şey yok - yok , saldırılar veya .
Organizasyon çalışanları her zaman Snowden'ın benzersiz konumunda olmayabilir, ancak "otlayarak hayatta kalma" kavramından farkında olunması - tespit edilebilecek herhangi bir kötü niyetli faaliyette bulunmamak ve özellikle dikkatli olmak için öğrenilmesi gereken bir takım dersler vardır. kimlik bilgilerinin kullanımına dikkat edin. Bu düşünceyi unutmayın.
ve kuzeni sayısız pentester'ı, bilgisayar korsanını ve siber güvenlik blog yazarını etkiledi. Mimikatz ile birleştirildiğinde psexec, saldırganların açık metin şifresini bilmeye gerek kalmadan ağ içinde hareket etmesine olanak tanır.
Mimikatz, LSASS sürecinden NTLM karma değerini yakalar ve ardından belirteci veya kimlik bilgilerini (buna sözde) aktarır. "hash'i geç" saldırısı – psexec'te, bir saldırganın başka bir sunucuda oturum açmasına olanak tanır başka bir kullanıcı. Ve yeni bir sunucuya yapılan sonraki her geçişte, saldırgan ek kimlik bilgileri toplayarak mevcut içeriği arama konusundaki yeteneklerinin kapsamını genişletir.
psexec ile çalışmaya ilk başladığımda bana büyülü göründü - teşekkür ederim , psexec'in parlak geliştiricisi - ama onun hakkında da bilgim var gürültülü bileşenler. O asla gizli değildir!
Psexec ile ilgili ilk ilginç gerçek, son derece karmaşık SMB ağ dosya protokolü Microsoft'tan. SMB'yi kullanarak psexec küçük aktarımlar yapar ikili Dosyaları hedef sisteme aktarın ve bunları C:Windows klasörüne yerleştirin.
Daha sonra psexec, kopyalanan ikili dosyayı kullanarak bir Windows hizmeti oluşturur ve bunu son derece "beklenmeyen" PSEXECSVC adı altında çalıştırır. Aynı zamanda, uzaktaki bir makineyi izleyerek aslında tüm bunları benim yaptığım gibi görebilirsiniz (aşağıya bakın).
Psexec'in arama kartı: "PSEXECSVC" hizmeti. SMB aracılığıyla C:Windows klasörüne yerleştirilen bir ikili dosyayı çalıştırır.
Son adım olarak kopyalanan ikili dosya açılır RPC bağlantısı hedef sunucuya gönderilir ve ardından kontrol komutlarını kabul eder (varsayılan olarak Windows cmd kabuğu aracılığıyla), bunları başlatır ve giriş ve çıkışı saldırganın ev makinesine yeniden yönlendirir. Bu durumda saldırgan, sanki doğrudan bağlıymış gibi temel komut satırını görür.
Çok sayıda bileşen ve çok gürültülü bir süreç!
Psexec'in karmaşık iç yapısı, birkaç yıl önceki ilk testlerimde kafamı karıştıran mesajı açıklıyor: "PSEXECSVC başlatılıyor..." ve ardından komut istemi görünmeden önce bir duraklama.
Impacket'in Psexec'i aslında kaputun altında neler olduğunu gösteriyor.
Şaşırtıcı değil: psexec gizli planda çok fazla iş yaptı. Daha ayrıntılı bir açıklamayla ilgileniyorsanız, buraya göz atın harika bir açıklama.
Açıkçası, bir sistem yönetim aracı olarak kullanıldığında asıl amaç psexec, tüm bu Windows mekanizmalarının "uğultusunda" yanlış bir şey yok. Ancak bir saldırgan için psexec komplikasyon yaratacaktır ve Snowden gibi dikkatli ve kurnaz bir içeriden biri için psexec veya benzeri bir yardımcı program çok fazla risk oluşturacaktır.
Ve sonra Smbexec geliyor
SMB, sunucular arasında dosya aktarmanın akıllı ve gizli bir yoludur ve bilgisayar korsanları yüzyıllardır doğrudan SMB'ye sızmaktadır. Bence herkes buna değmediğini zaten biliyor SMB'nin 445 ve 139 numaralı bağlantı noktaları internete bağlanıyor, değil mi?
Defcon 2013'te Eric Millman () sunuldu , böylece pentester'lar gizli SMB hacklemeyi deneyebilir. Hikayenin tamamını bilmiyorum ama Impacket smbexec'i daha da geliştirdi. Aslında testlerim için komut dosyalarını Python'daki Impacket'ten indirdim. .
Psexec'in aksine, smbexec kaçınır Potansiyel olarak algılanan bir ikili dosyanın hedef makineye aktarılması. Bunun yerine, hizmet tamamen meradan lansmana kadar yaşıyor yerel Windows komut satırı.
Yaptığı şey şu: Saldıran makineden SMB aracılığıyla bir komutu özel bir girdi dosyasına iletir ve ardından Linux kullanıcılarına tanıdık gelecek karmaşık bir komut satırı (bir Windows hizmeti gibi) oluşturup çalıştırır. Kısacası: yerel bir Windows cmd kabuğunu başlatır, çıktıyı başka bir dosyaya yönlendirir ve ardından SMB aracılığıyla saldırganın makinesine geri gönderir.
Bunu anlamanın en iyi yolu, olay günlüğünden edinebildiğim komut satırına bakmaktır (aşağıya bakınız).
Bu, G/Ç'yi yeniden yönlendirmenin en iyi yolu değil mi? Bu arada, hizmet oluşturmanın olay kimliği 7045'tir.
psexec gibi, aynı zamanda tüm işi yapan bir hizmet yaratır, ancak bundan sonraki hizmet silindi – komutu çalıştırmak için yalnızca bir kez kullanılır ve sonra kaybolur! Bir kurbanın makinesini izleyen bir bilgi güvenliği görevlisi, kurbanın makinesini tespit edemeyecek bariz Saldırı göstergeleri: Başlatılan kötü amaçlı bir dosya yok, kalıcı bir hizmet kurulmuyor ve SMB veri aktarımının tek yolu olduğundan RPC'nin kullanıldığına dair bir kanıt yok. Muhteşem!
Saldırganın tarafında, komutun gönderilmesi ile yanıtın alınması arasındaki gecikmeleri içeren bir "sözde kabuk" mevcuttur. Ancak bu, bir saldırganın (içeriden biri veya halihazırda bir dayanağı olan harici bir bilgisayar korsanı) ilginç içerik aramaya başlaması için oldukça yeterlidir.
Hedef makineden saldırganın makinesine veri çıkışı sağlamak için kullanılır. . Evet, aynı Samba , ancak yalnızca Impacket tarafından bir Python betiğine dönüştürüldü. Aslında smbclient, SMB üzerinden FTP aktarımlarını gizlice barındırmanıza olanak tanır.
Bir adım geriye gidelim ve bunun çalışan için neler yapabileceğini düşünelim. Benim hayali senaryomda, diyelim ki bir blog yazarının, finansal analistin veya yüksek maaşlı bir güvenlik danışmanının iş için kişisel bir dizüstü bilgisayar kullanmasına izin veriliyor. Sihirli bir sürecin sonucu olarak şirkete gücenir ve "kötüye gider." Dizüstü bilgisayar işletim sistemine bağlı olarak, Impact'in Python sürümünü veya .exe dosyası olarak smbexec veya smbclient'in Windows sürümünü kullanır.
Snowden gibi o da başka bir kullanıcının şifresini ya omzunun üzerinden bakarak bulur ya da şansı yaver gider ve şifreyi içeren bir metin dosyasına rastlar. Ve bu kimlik bilgilerinin yardımıyla sistemi yeni bir ayrıcalık düzeyine doğru araştırmaya başlar.
DCC'yi hacklemek: "Aptal" Mimikatz'a ihtiyacımız yok
Pentest ile ilgili daha önceki yazılarımda mimikatz'ı çok sık kullanmıştım. Bu, kimlik bilgilerine - NTLM karmalarına ve hatta dizüstü bilgisayarların içine gizlenmiş, kullanılmayı bekleyen açık metin şifrelerine - müdahale etmek için harika bir araçtır.
Zaman değişti. İzleme araçları, mimikatz'ı tespit etme ve engelleme konusunda daha iyi hale geldi. Bilgi güvenliği yöneticileri artık karma (PtH) saldırılarını geçirmeyle ilişkili riskleri azaltmak için daha fazla seçeneğe sahip.
Peki akıllı bir çalışan, mimikatz kullanmadan ek kimlik bilgileri toplamak için ne yapmalıdır?
Impacket'in kiti adı verilen bir yardımcı program içerir Etki Alanı Kimlik Bilgisi Önbelleğinden veya kısaca DCC'den kimlik bilgilerini alan . Anladığım kadarıyla, bir etki alanı kullanıcısı sunucuda oturum açarsa ancak etki alanı denetleyicisi kullanılamıyorsa, DCC, sunucunun kullanıcının kimliğini doğrulamasına izin verir. Neyse, secretsdump, mevcutsa tüm bu karmaları boşaltmanıza olanak tanır.
DCC karmaları NTML karmaları değil ve onların PtH saldırısı için kullanılamaz.
Orijinal şifreyi almak için onları hacklemeyi deneyebilirsiniz. Ancak Microsoft, DCC ile daha akıllı hale geldi ve DCC karmalarının kırılması son derece zor hale geldi. Evet bende var , "dünyanın en hızlı şifre tahmin aracıdır", ancak etkili bir şekilde çalışması için bir GPU gerektirir.
Bunun yerine Snowden gibi düşünmeye çalışalım. Bir çalışan, yüz yüze sosyal mühendislik yaparak şifresini kırmak istediği kişi hakkında bazı bilgilere ulaşabilir. Örneğin, kişinin çevrimiçi hesabının saldırıya uğrayıp uğramadığını öğrenin ve herhangi bir ipucu için açık metin şifresini inceleyin.
Ve bu benim de devam etmeye karar verdiğim senaryo. İçeriden birinin patronu Cruella'nın farklı web kaynakları üzerinden birkaç kez saldırıya uğradığını öğrendiğini varsayalım. Bu şifrelerden birkaçını analiz ettikten sonra, Cruella'nın beyzbol takımı adı olan "Yankees" ve ardından cari yıl olan "Yankees2015" formatını kullanmayı tercih ettiğini fark eder.
Şimdi bunu evde yeniden üretmeye çalışıyorsanız, küçük bir "C" indirebilirsiniz. DCC karma algoritmasını uygulayan ve onu derleyen. Bu arada DCC desteği eklendi, böylece o da kullanılabilir. İçeriden birinin Karındeşen John'u öğrenmekle uğraşmak istemediğini ve eski C kodunda "gcc"yi çalıştırmayı sevdiğini varsayalım.
İçeriden biri gibi davranarak birkaç farklı kombinasyon denedim ve sonunda Cruella'nın şifresinin "Yankees2019" olduğunu keşfetmeyi başardım (aşağıya bakın). Görev tamamlandı!
Biraz sosyal mühendislik, biraz falcılık ve bir tutam Maltego ile DCC karmakarışıklığını kırma yolunda ilerleyeceksiniz.
Burada bitirmemizi öneriyorum. Bu konuya diğer yazılarımızda döneceğiz ve Impacket'in mükemmel yardımcı programlarını geliştirmeye devam ederek daha yavaş ve gizli saldırı yöntemlerine bakacağız.
Kaynak: habr.com