ایک بار پینٹسٹ پر، یا یورولوجسٹ اور Roskomnadzor کی مدد سے ہر چیز کو کیسے توڑا جائے

یہ مضمون ایک بہت ہی کامیاب پینٹسٹ کی بنیاد پر لکھا گیا تھا جو گروپ-آئی بی کے ماہرین نے چند سال پہلے کیا تھا: ایک کہانی ایسی ہوئی جسے بالی ووڈ میں فلم کے لیے ڈھالا جا سکتا ہے۔ اب، شاید، قارئین کا ردعمل اس کے بعد آئے گا: "اوہ، ایک اور PR آرٹیکل، ان کو دوبارہ پیش کیا جا رہا ہے، یہ کتنے اچھے ہیں، پینٹسٹ خریدنا نہ بھولیں۔" ٹھیک ہے، ایک طرف، یہ ہے. تاہم، اس مضمون کے شائع ہونے کی کئی دوسری وجوہات ہیں۔ میں یہ دکھانا چاہتا تھا کہ پینٹیسٹر بالکل کیا کرتے ہیں، یہ کام کتنا دلچسپ اور غیر معمولی ہوسکتا ہے، پروجیکٹس میں کیا مضحکہ خیز حالات پیدا ہوسکتے ہیں، اور سب سے اہم بات یہ ہے کہ حقیقی مثالوں کے ساتھ لائیو مواد دکھائیں۔

دنیا میں شائستگی کے توازن کو بحال کرنے کے لئے، تھوڑی دیر کے بعد ہم ایک پینٹسٹ کے بارے میں لکھیں گے جو ٹھیک نہیں ہوا. ہم یہ دکھائیں گے کہ کس طرح اچھی طرح سے ڈیزائن کیا گیا عمل کسی کمپنی میں حملوں کی ایک پوری رینج سے بچا سکتا ہے، یہاں تک کہ اچھی طرح سے تیار شدہ بھی، صرف اس وجہ سے کہ یہ عمل موجود ہیں اور حقیقت میں کام کرتے ہیں۔

اس مضمون میں صارف کے لیے، ہر چیز عام طور پر بہترین تھی، کم از کم روسی فیڈریشن کی مارکیٹ کے 95 فیصد سے بہتر، ہمارے احساسات کے مطابق، لیکن اس میں بہت سی چھوٹی چھوٹی باریکیاں تھیں جنہوں نے واقعات کا ایک طویل سلسلہ تشکیل دیا، جو پہلے کام پر ایک طویل رپورٹ کی قیادت کی، اور پھر اس مضمون تک.

تو، آئیے پاپ کارن کا ذخیرہ کریں، اور جاسوسی کہانی میں خوش آمدید۔ لفظ - پاول سپرنیوکگروپ-IB کے "آڈٹ اینڈ کنسلٹنگ" ڈیپارٹمنٹ کے ٹیکنیکل مینیجر۔

حصہ 1. پوچکن ڈاکٹر

2018 ایک گاہک ہے - ایک ہائی ٹیک آئی ٹی کمپنی، جو خود بہت سے گاہکوں کی خدمت کرتی ہے۔ سوال کا جواب حاصل کرنا چاہتا ہے: کیا یہ ممکن ہے، بغیر کسی ابتدائی معلومات اور رسائی کے، انٹرنیٹ کے ذریعے کام کرتے ہوئے، ایکٹو ڈائریکٹری ڈومین ایڈمنسٹریٹر کے حقوق حاصل کرنا؟ مجھے کسی سوشل انجینئرنگ میں دلچسپی نہیں ہے (اوہ، لیکن بیکار میں)، وہ جان بوجھ کر کام میں مداخلت کرنے کا ارادہ نہیں رکھتے، لیکن وہ حادثاتی طور پر - مثال کے طور پر ایک عجیب کام کرنے والے سرور کو دوبارہ لوڈ کر سکتے ہیں۔ ایک اضافی مقصد یہ ہے کہ بیرونی دائرہ کے خلاف زیادہ سے زیادہ دیگر حملہ آور ویکٹروں کی نشاندہی کی جائے۔ کمپنی باقاعدگی سے اس طرح کے ٹیسٹ کرواتی ہے، اور اب نئے ٹیسٹ کی آخری تاریخ آچکی ہے۔ حالات تقریباً عام، مناسب، قابل فہم ہیں۔ آو شروع کریں.

گاہک کا ایک نام ہے - اسے مرکزی ویب سائٹ کے ساتھ "کمپنی" رہنے دیں۔ www.company.ru. بلاشبہ، گاہک کو مختلف طریقے سے کہا جاتا ہے، لیکن اس مضمون میں سب کچھ غیر ذاتی ہو جائے گا.
میں نیٹ ورک کی تحقیق کرتا ہوں - معلوم کریں کہ کون سے پتے اور ڈومینز گاہک کے ساتھ رجسٹرڈ ہیں، نیٹ ورک کا خاکہ بنائیں، ان پتوں پر خدمات کیسے تقسیم کی جاتی ہیں۔ مجھے نتیجہ ملتا ہے: 4000 سے زیادہ لائیو IP پتے۔ میں ان نیٹ ورکس میں ڈومینز کو دیکھتا ہوں: خوش قسمتی سے، زیادہ تر نیٹ ورکس ہیں جو گاہک کے کلائنٹس کے لیے ہیں، اور ہم ان میں باضابطہ طور پر دلچسپی نہیں رکھتے۔ گاہک بھی یہی سوچتا ہے۔

256 پتوں کے ساتھ ایک نیٹ ورک باقی ہے، جس کے لیے اس وقت تک IP پتوں کے ذریعے ڈومینز اور ذیلی ڈومینز کی تقسیم کے بارے میں معلومات موجود ہیں، اسکین شدہ بندرگاہوں کے بارے میں معلومات موجود ہیں، جس کا مطلب ہے کہ آپ دلچسپ لوگوں کے لیے خدمات کو دیکھ سکتے ہیں۔ متوازی طور پر، تمام قسم کے سکینر دستیاب IP پتوں پر اور الگ الگ ویب سائٹس پر شروع کیے جاتے ہیں۔

بہت ساری خدمات ہیں۔ عام طور پر یہ پینٹسٹر کے لیے خوشی اور فوری فتح کی امید ہوتی ہے، کیونکہ جتنی زیادہ خدمات ہوں گی، حملے کا میدان اتنا ہی بڑا ہوگا اور آرٹفیکٹ تلاش کرنا اتنا ہی آسان ہوگا۔ ویب سائٹس پر ایک سرسری نظر ڈالنے سے معلوم ہوا کہ ان میں سے زیادہ تر بڑی عالمی کمپنیوں کی معروف پروڈکٹس کے ویب انٹرفیس ہیں، جو ہر طرح سے آپ کو بتاتے ہیں کہ وہ خوش آئند نہیں ہیں۔ وہ صارف نام اور پاس ورڈ مانگتے ہیں، دوسرا عنصر داخل کرنے کے لیے فیلڈ کو ہلا دیتے ہیں، TLS کلائنٹ سرٹیفکیٹ طلب کرتے ہیں، یا Microsoft ADFS کو بھیجتے ہیں۔ کچھ انٹرنیٹ سے صرف ناقابل رسائی ہیں۔ کچھ لوگوں کے لیے، ظاہر ہے کہ آپ کو تین تنخواہوں کے لیے ایک خصوصی ادا شدہ کلائنٹ کی ضرورت ہے یا داخل کرنے کے لیے صحیح URL جاننا چاہیے۔ آئیے بتدریج مایوسی کے ایک اور ہفتے کو چھوڑ دیتے ہیں کہ معلوم کمزوریوں کے لیے سافٹ ویئر ورژن کو "بریک تھرو" کرنے کی کوشش کرنا، ویب پاتھز میں چھپے ہوئے مواد کی تلاش اور LinkedIn جیسی تھرڈ پارٹی سروسز سے لیک ہونے والے اکاؤنٹس، ان کا استعمال کرتے ہوئے پاس ورڈز کا اندازہ لگانے کی کوشش کرنا، ساتھ ہی۔ خود لکھی ہوئی ویب سائٹس میں کمزوریوں کی کھدائی کے طور پر - ویسے، اعداد و شمار کے مطابق، یہ آج بیرونی حملے کا سب سے امید افزا ویکٹر ہے۔ میں فوری طور پر اس فلم گن کو نوٹ کروں گا جس نے بعد میں فائر کیا۔

لہذا، ہمیں دو سائٹس ملیں جو سینکڑوں خدمات سے الگ تھیں۔ ان سائٹس میں ایک چیز مشترک تھی: اگر آپ ڈومین کے ذریعے نیٹ ورک کی پیچیدہ نگرانی میں مشغول نہیں ہوتے ہیں، لیکن کھلی بندرگاہوں کو تلاش کرتے ہیں یا معلوم IP رینج کا استعمال کرتے ہوئے کسی کمزوری اسکینر کو نشانہ بناتے ہیں، تو یہ سائٹیں اسکیننگ سے بچ جائیں گی اور آسانی سے نہیں ہوں گی۔ DNS کا نام جانے بغیر نظر آتا ہے۔ شاید وہ پہلے ہی چھوٹ گئے تھے، کم از کم، اور ہمارے خودکار ٹولز کو ان کے ساتھ کوئی مسئلہ نہیں ملا، چاہے وہ براہ راست وسائل پر بھیجے گئے ہوں۔

ویسے، اس کے بارے میں جو پہلے اسکینرز عام طور پر پائے جاتے ہیں۔ میں آپ کو یاد دلاتا ہوں: کچھ لوگوں کے لیے، "پینٹیسٹ" "خودکار اسکین" کے مترادف ہے۔ لیکن اس پروجیکٹ پر موجود سکینرز نے کچھ نہیں کہا۔ ٹھیک ہے، زیادہ سے زیادہ درمیانی کمزوریوں (شدت کے لحاظ سے 3 میں سے 5): کچھ سروس پر خراب TLS سرٹیفکیٹ یا پرانے انکرپشن الگورتھم، اور زیادہ تر سائٹس پر کلک جیکنگ۔ لیکن یہ آپ کو اپنے مقصد تک نہیں پہنچائے گا۔ شاید اسکینرز یہاں زیادہ کارآمد ہوں گے، لیکن میں آپ کو یاد دلاتا ہوں: صارف خود اس طرح کے پروگراموں کو خریدنے اور ان کے ساتھ خود کو جانچنے کے قابل ہے، اور مایوس کن نتائج کو دیکھتے ہوئے، اس نے پہلے ہی جانچ لیا ہے۔

آئیے "غیر معمولی" سائٹس پر واپس آتے ہیں۔ پہلا ایک غیر معیاری پتے پر مقامی وکی جیسا ہے، لیکن اس مضمون میں اسے wiki.company[.]ru ہونے دیں۔ اس نے فوری طور پر لاگ ان اور پاس ورڈ بھی مانگا لیکن براؤزر میں NTLM کے ذریعے۔ صارف کے لیے، یہ ایک سنیاسی ونڈو کی طرح لگتا ہے جو صارف نام اور پاس ورڈ درج کرنے کے لیے کہہ رہا ہے۔ اور یہ بری عادت ہے۔

ایک چھوٹا سا نوٹ۔ پیری میٹر ویب سائٹس میں NTLM کئی وجوہات کی بناء پر خراب ہے۔ پہلی وجہ یہ ہے کہ ایکٹو ڈائریکٹری ڈومین کا نام سامنے آیا ہے۔ ہماری مثال میں، یہ بھی "بیرونی" DNS نام کی طرح company.ru نکلا۔ یہ جان کر، آپ احتیاط سے کوئی نقصان دہ چیز تیار کر سکتے ہیں تاکہ اسے صرف تنظیم کی ڈومین مشین پر عمل میں لایا جائے، نہ کہ کسی سینڈ باکس میں۔ دوم، تصدیق براہ راست ڈومین کنٹرولر کے ذریعے NTLM کے ذریعے ہوتی ہے (حیرت، ٹھیک؟)، "اندرونی" نیٹ ورک کی پالیسیوں کی تمام خصوصیات کے ساتھ، بشمول اکاؤنٹس کو پاس ورڈ درج کرنے کی کوششوں کی تعداد سے تجاوز کرنے سے روکنا۔ اگر کسی حملہ آور کو لاگ ان کا پتہ چلتا ہے، تو وہ ان کے لیے پاس ورڈ تلاش کرے گا۔ اگر آپ اکاؤنٹس کو غلط پاس ورڈ داخل کرنے سے روکنے کے لیے کنفیگر کیے گئے ہیں، تو یہ کام کرے گا اور اکاؤنٹ بلاک کر دیا جائے گا۔ تیسرا، اس طرح کی تصدیق میں دوسرا عنصر شامل کرنا ناممکن ہے۔ اگر قارئین میں سے کوئی بھی جانتا ہے کہ کیسے، براہ کرم مجھے بتائیں، یہ واقعی دلچسپ ہے۔ چوتھا، پاس دی ہیش حملوں کا خطرہ۔ ADFS ایجاد کیا گیا تھا، دیگر چیزوں کے ساتھ، ان سب سے بچاؤ کے لیے۔

مائیکروسافٹ پروڈکٹس کی ایک بری خاصیت ہے: یہاں تک کہ اگر آپ نے خاص طور پر ایسا NTLM شائع نہیں کیا ہے، تو یہ کم از کم OWA اور Lync میں بطور ڈیفالٹ انسٹال ہوگا۔

ویسے، اس مضمون کے مصنف نے ایک بار غلطی سے ایک ہی طریقہ استعمال کرتے ہوئے صرف ایک گھنٹے میں ایک بڑے بینک کے ملازمین کے تقریباً 1000 اکاؤنٹس کو بلاک کر دیا اور پھر کچھ پیلا نظر آیا۔ بینک کی آئی ٹی خدمات بھی پیلی تھیں، لیکن سب کچھ ٹھیک اور مناسب طریقے سے ختم ہوا، ہمیں اس مسئلے کو تلاش کرنے اور فوری اور فیصلہ کن حل کرنے والے پہلے شخص ہونے کے لیے بھی سراہا گیا۔

دوسری سائٹ کا پتہ "ظاہر ہے کہ کسی قسم کا آخری نام.company.ru" تھا۔ اسے گوگل کے ذریعے ملا، صفحہ 10 پر کچھ اس طرح۔ یہ ڈیزائن XNUMX کی دہائی کے اوائل کا تھا، اور ایک معزز شخص اسے مرکزی صفحہ سے دیکھ رہا تھا، کچھ اس طرح:

یہاں میں نے "ہارٹ آف اے ڈاگ" سے ایک اسٹیل لیا، لیکن میرا یقین کریں، یہ مبہم طور پر ملتا جلتا تھا، یہاں تک کہ رنگ کا ڈیزائن بھی اسی طرح کے ٹونز میں تھا۔ سائٹ کو بلایا جائے۔ preobrazhensky.company.ru.

یہ ایک ذاتی ویب سائٹ تھی... ایک یورولوجسٹ کے لیے۔ میں حیران تھا کہ یورولوجسٹ کی ویب سائٹ ایک ہائی ٹیک کمپنی کے ذیلی ڈومین پر کیا کر رہی ہے۔ گوگل میں فوری کھوج سے پتہ چلتا ہے کہ یہ ڈاکٹر ہمارے گاہک کے قانونی اداروں میں سے ایک کا شریک بانی تھا اور یہاں تک کہ مجاز کیپیٹل میں تقریباً 1000 روبل کا حصہ ڈالا تھا۔ یہ سائٹ شاید کئی سال پہلے بنائی گئی تھی، اور گاہک کے سرور کے وسائل کو ہوسٹنگ کے طور پر استعمال کیا گیا تھا۔ یہ سائٹ طویل عرصے سے اپنی مطابقت کھو چکی ہے، لیکن کسی وجہ سے یہ طویل عرصے تک کام کرنے سے رہ گئی۔

کمزوریوں کے لحاظ سے، ویب سائٹ خود محفوظ تھی۔ آگے دیکھتے ہوئے، میں کہوں گا کہ یہ جامد معلومات کا ایک مجموعہ تھا - گردوں اور مثانے کی شکل میں داخل کردہ عکاسیوں کے ساتھ سادہ HTML صفحات۔ ایسی سائٹ کو "بریک" کرنا بیکار ہے۔

لیکن نیچے کا ویب سرور زیادہ دلچسپ تھا۔ HTTP سرور ہیڈر کے مطابق، اس میں IIS 6.0 تھا، جس کا مطلب ہے کہ اس نے ونڈوز 2003 کو آپریٹنگ سسٹم کے طور پر استعمال کیا۔ اسکینر نے پہلے شناخت کیا تھا کہ یہ مخصوص یورولوجسٹ ویب سائٹ، اسی ویب سرور پر موجود دیگر ورچوئل میزبانوں کے برعکس، PROPFIND کمانڈ کا جواب دیتی ہے، یعنی یہ WebDAV چلا رہی تھی۔ ویسے، سکینر نے یہ معلومات نشان معلومات کے ساتھ واپس کی ہیں (اسکینر رپورٹس کی زبان میں، یہ سب سے کم خطرہ ہے) - ایسی چیزیں عام طور پر چھوڑ دی جاتی ہیں۔ مجموعہ میں، اس نے ایک دلچسپ اثر دیا، جو گوگل پر ایک اور کھوج کے بعد ہی سامنے آیا: شیڈو بروکرز کے سیٹ کے ساتھ منسلک ایک نایاب بفر اوور فلو کمزوری، یعنی CVE-2017-7269، جس کا پہلے سے تیار شدہ استحصال تھا۔ دوسرے لفظوں میں، اگر آپ کے پاس Windows 2003 ہے اور WebDAV IIS پر چل رہا ہے تو پریشانی ہوگی۔ اگرچہ ونڈوز 2003 کو 2018 میں پیداوار میں چلانا اپنے آپ میں ایک مسئلہ ہے۔

استحصال کا خاتمہ Metasploit میں ہوا اور اس کا فوری طور پر ایک بوجھ کے ساتھ تجربہ کیا گیا جس نے ایک کنٹرولڈ سروس کو DNS کی درخواست بھیجی - Burp Collaborator روایتی طور پر DNS درخواستوں کو پکڑنے کے لیے استعمال کیا جاتا ہے۔ میری حیرت کی بات یہ ہے کہ اس نے پہلی بار کام کیا: DNS ناک آؤٹ موصول ہوا۔ اس کے بعد، پورٹ 80 کے ذریعے بیک کنیکٹ بنانے کی کوشش کی گئی (یعنی سرور سے حملہ آور تک نیٹ ورک کنکشن، متاثرہ میزبان پر cmd.exe تک رسائی کے ساتھ)، لیکن پھر ایک ناکامی ہوئی۔ کنکشن کے ذریعے نہیں آیا، اور سائٹ کو استعمال کرنے کی تیسری کوشش کے بعد، تمام دلچسپ تصاویر کے ساتھ، ہمیشہ کے لئے غائب ہو گیا.

عام طور پر اس کے بعد "گاہک، اٹھو، ہم نے سب کچھ چھوڑ دیا" کے انداز میں ایک خط آتا ہے۔ لیکن ہمیں بتایا گیا کہ اس سائٹ کا کاروباری عمل سے کوئی تعلق نہیں ہے اور وہ بغیر کسی وجہ کے کام کرتی ہے، جیسے پورے سرور، اور یہ کہ ہم اس وسائل کو اپنی مرضی کے مطابق استعمال کر سکتے ہیں۔
تقریباً ایک دن بعد سائٹ نے اچانک اپنے طور پر کام کرنا شروع کر دیا۔ IIS 6.0 پر WebDAV سے ایک بنچ بنانے کے بعد، میں نے پایا کہ پہلے سے طے شدہ ترتیب IIS ورکر کے عمل کو ہر 30 گھنٹے میں دوبارہ شروع کرنا ہے۔ یعنی جب کنٹرول شیل کوڈ سے باہر نکلا تو IIS ورکر کا عمل ختم ہو گیا، پھر اس نے خود کو ایک دو بار دوبارہ شروع کیا اور پھر 30 گھنٹے کے لیے آرام کر لیا۔

چونکہ ٹی سی پی سے بیک کنیکٹ پہلی بار ناکام ہوا، میں نے اس مسئلے کو بند پورٹ سے منسوب کیا۔ یعنی، اس نے کسی قسم کی فائر وال کی موجودگی کو فرض کیا جو باہر جانے والے کنکشن کو باہر سے گزرنے نہیں دیتا تھا۔ میں نے شیل کوڈز چلانا شروع کیے جنہوں نے بہت سے tcp اور udp پورٹس کے ذریعے تلاش کیا، کوئی اثر نہیں ہوا۔ Metasploit سے HTTP(s) کے ذریعے ریورس کنکشن لوڈز نے کام نہیں کیا - meterpreter/reverse_http(s)۔ اچانک، اسی بندرگاہ 80 سے رابطہ قائم ہوا، لیکن فوری طور پر گرا دیا گیا۔ میں نے اسے اب بھی خیالی IPS کی کارروائی سے منسوب کیا، جو میٹرپریٹر ٹریفک کو پسند نہیں کرتا تھا۔ اس حقیقت کی روشنی میں کہ پورٹ 80 سے خالص tcp کنکشن نہیں گزرا، لیکن ایک HTTP کنکشن ہوا، میں نے یہ نتیجہ اخذ کیا کہ سسٹم میں HTTP پراکسی کسی نہ کسی طرح ترتیب دی گئی تھی۔

یہاں تک کہ میں نے DNS کے ذریعے میٹرپریٹر کی کوشش کی (شکریہ d00kie آپ کی کوششوں کے لیے، بہت سے پروجیکٹس کو بچایا)، پہلی کامیابی کو یاد کرتے ہوئے، لیکن اس نے اسٹینڈ پر بھی کام نہیں کیا - اس خطرے کے لیے شیل کوڈ بہت زیادہ تھا۔

حقیقت میں، یہ اس طرح نظر آتا تھا: 3 منٹ کے اندر حملوں کی 4-5 کوششیں، پھر 30 گھنٹے انتظار کرنا۔ اور اسی طرح لگاتار تین ہفتے۔ میں نے ایک یاد دہانی بھی ترتیب دی تاکہ وقت ضائع نہ ہو۔ مزید برآں، ٹیسٹ اور پیداواری ماحول کے رویے میں فرق تھا: اس کمزوری کے لیے دو ملتے جلتے کارنامے تھے، ایک Metasploit سے، دوسرا انٹرنیٹ سے، شیڈو بروکرز ورژن سے تبدیل کیا گیا۔ لہٰذا، لڑائی میں صرف میٹا اسپلائٹ کا تجربہ کیا گیا، اور صرف دوسرے کا ٹیسٹ بینچ پر کیا گیا، جس نے ڈیبگنگ کو اور بھی مشکل بنا دیا اور دماغی خلل پیدا کرنے والا تھا۔

آخر میں، ایک شیل کوڈ جس نے HTTP کے ذریعے دیئے گئے سرور سے ایک exe فائل ڈاؤن لوڈ کی اور اسے ٹارگٹ سسٹم پر لانچ کیا، کارآمد ثابت ہوا۔ شیل کوڈ فٹ ہونے کے لیے کافی چھوٹا تھا، لیکن کم از کم اس نے کام کیا۔ چونکہ سرور TCP ٹریفک کو بالکل پسند نہیں کرتا تھا اور میٹرپریٹر کی موجودگی کے لیے HTTP(s) کا معائنہ کیا گیا تھا، اس لیے میں نے فیصلہ کیا کہ تیز ترین طریقہ یہ ہے کہ اس شیل کوڈ کے ذریعے ایک exe فائل کو ڈاؤن لوڈ کیا جائے جس میں DNS-meterpreter موجود ہو۔

یہاں ایک بار پھر ایک مسئلہ پیدا ہوا: ایک exe فائل کو ڈاؤن لوڈ کرتے وقت اور جیسا کہ کوششوں سے ظاہر ہوا، اس سے کوئی فرق نہیں پڑتا ہے کہ ڈاؤن لوڈ میں خلل پڑا تھا۔ ایک بار پھر، میرے سرور اور یورولوجسٹ کے درمیان کچھ سیکیورٹی ڈیوائس کو HTTP ٹریفک کو پسند نہیں آیا جس کے اندر ایک exe ہے۔ ایسا لگتا ہے کہ "فوری" حل شیل کوڈ کو تبدیل کرنا ہے تاکہ یہ فلائی پر HTTP ٹریفک کو مبہم کر دے، تاکہ خلاصہ بائنری ڈیٹا کو exe کے بجائے منتقل کیا جائے۔ آخر کار، حملہ کامیاب رہا، پتلی DNS چینل کے ذریعے کنٹرول حاصل کیا گیا:

یہ فوری طور پر واضح ہو گیا کہ میرے پاس سب سے بنیادی IIS ورک فلو حقوق ہیں، جو مجھے کچھ نہیں کرنے دیتے۔ Metasploit کنسول پر یہ ایسا ہی لگتا تھا:

تمام پینٹسٹ طریقہ کار سختی سے تجویز کرتے ہیں کہ رسائی حاصل کرتے وقت آپ کو حقوق میں اضافہ کرنے کی ضرورت ہے۔ میں عام طور پر یہ مقامی طور پر نہیں کرتا، کیونکہ پہلی رسائی کو صرف نیٹ ورک انٹری پوائنٹ کے طور پر دیکھا جاتا ہے، اور اسی نیٹ ورک پر کسی دوسری مشین سے سمجھوتہ کرنا عام طور پر موجودہ میزبان پر مراعات بڑھانے سے زیادہ آسان اور تیز ہوتا ہے۔ لیکن یہاں ایسا نہیں ہے، کیونکہ DNS چینل بہت تنگ ہے اور یہ ٹریفک کو صاف نہیں ہونے دے گا۔

یہ فرض کرتے ہوئے کہ ونڈوز 2003 کے اس سرور کو مشہور MS17-010 کمزوری کی وجہ سے ٹھیک نہیں کیا گیا ہے، میں میٹرپریٹر DNS ٹنل کے ذریعے پورٹ 445/TCP کی طرف ٹریفک کو لوکل ہوسٹ تک پہنچاتا ہوں (ہاں، یہ بھی ممکن ہے) اور اس کے ذریعے پہلے ڈاؤن لوڈ کردہ exe کو چلانے کی کوشش کرتا ہوں۔ کمزوری حملہ کام کرتا ہے، مجھے دوسرا کنکشن ملتا ہے، لیکن سسٹم کے حقوق کے ساتھ۔

یہ دلچسپ ہے کہ انہوں نے پھر بھی سرور کو MS17-010 سے بچانے کی کوشش کی - اس میں بیرونی انٹرفیس پر کمزور نیٹ ورک سروسز کو غیر فعال کر دیا گیا تھا۔ یہ نیٹ ورک پر حملوں سے تحفظ فراہم کرتا ہے، لیکن لوکل ہوسٹ پر اندر سے ہونے والے حملے نے کام کیا، کیونکہ آپ لوکل ہوسٹ پر SMB کو فوری طور پر بند نہیں کر سکتے۔

اگلا، نئی دلچسپ تفصیلات سامنے آئی ہیں:

1. سسٹم کے حقوق کے ساتھ، آپ آسانی سے TCP کے ذریعے بیک کنکشن قائم کر سکتے ہیں۔ ظاہر ہے، براہ راست TCP کو غیر فعال کرنا محدود IIS صارف کے لیے سختی سے ایک مسئلہ ہے۔ سپوئلر: IIS صارف ٹریفک کو کسی طرح مقامی ISA پراکسی میں دونوں سمتوں میں لپیٹ دیا گیا تھا۔ یہ کس طرح کام کرتا ہے، میں نے دوبارہ پیش نہیں کیا ہے۔
2. میں ایک مخصوص "DMZ" میں ہوں (اور یہ ایکٹو ڈائریکٹری ڈومین نہیں ہے، بلکہ ایک ورک گروپ ہے) - یہ منطقی لگتا ہے۔ لیکن متوقع پرائیویٹ ("گرے") IP ایڈریس کے بجائے، میرے پاس مکمل طور پر "سفید" IP ایڈریس ہے، بالکل ویسا ہی جیسا کہ میں نے پہلے حملہ کیا تھا۔ اس کا مطلب یہ ہے کہ کمپنی IPv4 ایڈریسنگ کی دنیا میں اتنی پرانی ہے کہ وہ اسکیم کے مطابق NAT کے بغیر 128 "سفید" پتوں کے لیے DMZ زون کو برقرار رکھنے کی متحمل ہو سکتی ہے، جیسا کہ 2005 سے سسکو کے دستورالعمل میں دکھایا گیا ہے۔

چونکہ سرور پرانا ہے، Mimikatz کو براہ راست میموری سے کام کرنے کی ضمانت دی گئی ہے:

مجھے مقامی منتظم کا پاس ورڈ ملتا ہے، RDP ٹریفک کو TCP پر سرنگ کرتا ہوں اور ایک آرام دہ ڈیسک ٹاپ میں لاگ ان ہوتا ہوں۔ چونکہ میں سرور کے ساتھ جو چاہوں کر سکتا تھا، میں نے اینٹی وائرس کو ہٹا دیا اور پتہ چلا کہ سرور انٹرنیٹ سے صرف TCP پورٹ 80 اور 443 کے ذریعے قابل رسائی تھا، اور 443 مصروف نہیں تھا۔ میں نے 443 پر ایک OpenVPN سرور ترتیب دیا، اپنے VPN ٹریفک کے لیے NAT فنکشنز شامل کیے اور اپنے OpenVPN کے ذریعے لامحدود شکل میں DMZ نیٹ ورک تک براہ راست رسائی حاصل کی۔ یہ قابل ذکر ہے کہ ISA، کچھ غیر معذور IPS فنکشنز کے ساتھ، پورٹ اسکیننگ کے ساتھ میری ٹریفک کو بلاک کر دیتا ہے، جس کے لیے اسے ایک آسان اور زیادہ تعمیل والے RRAS سے تبدیل کرنا پڑا۔ لہذا پینٹیسٹروں کو بعض اوقات اب بھی ہر طرح کی چیزوں کا انتظام کرنا پڑتا ہے۔

ایک توجہ دینے والا قاری پوچھے گا: "دوسری سائٹ کے بارے میں کیا ہے - NTLM کی توثیق کے ساتھ ایک ویکی، جس کے بارے میں بہت کچھ لکھا گیا ہے؟" اس پر مزید بعد میں۔

حصہ 2۔ اب بھی خفیہ کاری نہیں ہو رہی؟ پھر ہم یہاں پہلے ہی آپ کے پاس آ رہے ہیں۔

لہذا، DMZ نیٹ ورک سیگمنٹ تک رسائی ہے۔ آپ کو ڈومین ایڈمنسٹریٹر کے پاس جانا ہوگا۔ سب سے پہلی چیز جو ذہن میں آتی ہے وہ یہ ہے کہ ڈی ایم زیڈ سیگمنٹ کے اندر سروسز کی سیکیورٹی کو خود بخود چیک کیا جائے، خاص طور پر چونکہ ان میں سے بہت ساری اب تحقیق کے لیے کھلی ہوئی ہیں۔ دخول کے امتحان کے دوران ایک عام تصویر: بیرونی دائرہ اندرونی خدمات کے مقابلے میں بہتر طور پر محفوظ ہے، اور جب کسی بڑے انفراسٹرکچر کے اندر کوئی بھی رسائی حاصل کی جاتی ہے، تو ڈومین میں توسیعی حقوق حاصل کرنا بہت آسان ہوتا ہے صرف اس حقیقت کی وجہ سے کہ یہ ڈومین ہونا شروع ہو جاتا ہے۔ ٹولز تک قابل رسائی، اور دوسری بات، کئی ہزار میزبانوں والے انفراسٹرکچر میں، ہمیشہ ایک دو اہم مسائل ہوں گے۔

میں اسکینرز کو DMZ کے ذریعے OpenVPN ٹنل کے ذریعے چارج کرتا ہوں اور انتظار کرتا ہوں۔ میں رپورٹ کھولتا ہوں - پھر کچھ بھی سنجیدہ نہیں، بظاہر کوئی مجھ سے پہلے اسی طریقہ سے گزرا تھا۔ اگلا مرحلہ یہ جانچنا ہے کہ DMZ نیٹ ورک کے اندر میزبان کس طرح بات چیت کرتے ہیں۔ ایسا کرنے کے لیے، پہلے معمول کے Wireshark کو لانچ کریں اور نشریاتی درخواستوں کو سنیں، بنیادی طور پر ARP۔ دن بھر اے آر پی پیکٹ جمع ہوتے رہے۔ یہ پتہ چلتا ہے کہ اس سیگمنٹ میں کئی گیٹ وے استعمال ہوتے ہیں۔ یہ بعد میں کام آئے گا۔ اے آر پی کی درخواستوں اور جوابات اور پورٹ اسکیننگ ڈیٹا پر ڈیٹا کو یکجا کرکے، میں نے ان سروسز کے علاوہ مقامی نیٹ ورک کے اندر سے صارف کے ٹریفک کے ایگزٹ پوائنٹس تلاش کیے جو پہلے معلوم تھیں، جیسے ویب اور میل۔

چونکہ اس وقت مجھے دوسرے سسٹمز تک رسائی حاصل نہیں تھی اور کارپوریٹ سروسز کے لیے ایک بھی اکاؤنٹ نہیں تھا، اس لیے یہ فیصلہ کیا گیا کہ کم از کم کچھ اکاؤنٹ ARP سپوفنگ کا استعمال کرتے ہوئے ٹریفک سے نکال دیں۔

کین اینڈ ایبل کو یورولوجسٹ کے سرور پر لانچ کیا گیا تھا۔ شناخت شدہ ٹریفک کے بہاؤ کو مدنظر رکھتے ہوئے، مین-ان-دی مڈل حملے کے لیے سب سے زیادہ امید افزا جوڑے منتخب کیے گئے، اور پھر کچھ نیٹ ورک ٹریفک 5-10 منٹ کے لیے مختصر مدت کے لانچ کے ذریعے موصول ہوئی، سرور کو دوبارہ شروع کرنے کے لیے ٹائمر کے ساتھ۔ منجمد ہونے کی صورت میں. جیسا کہ مذاق میں، دو خبریں تھیں:

1. اچھا: بہت ساری اسناد جمع کی گئیں اور مجموعی طور پر حملے نے کام کیا۔
2. برا: تمام اسناد گاہک کے اپنے گاہکوں کی طرف سے تھیں۔ سپورٹ سروسز فراہم کرنے کے دوران، کسٹمر ماہرین ان کلائنٹس کی خدمات سے منسلک ہوتے ہیں جن کے پاس ہمیشہ ٹریفک انکرپشن کنفیگر نہیں ہوتا تھا۔

نتیجے کے طور پر، میں نے بہت ساری اسناد حاصل کیں جو منصوبے کے تناظر میں بیکار تھیں، لیکن حملے کے خطرے کے مظاہرے کے طور پر یقینی طور پر دلچسپ تھیں۔ ٹیل نیٹ کے ساتھ بڑی کمپنیوں کے بارڈر راؤٹرز، تمام ڈیٹا کے ساتھ ڈیبگ HTTP پورٹس کو اندرونی CRM پر بھیجنا، مقامی نیٹ ورک پر ونڈوز XP سے RDP تک براہ راست رسائی اور دیگر غیر واضح۔ یہ اس طرح نکلا۔ MITER میٹرکس کے مطابق سپلائی چین کا سمجھوتہ.

مجھے ٹریفک سے خطوط جمع کرنے کا ایک مضحکہ خیز موقع بھی ملا، کچھ اس طرح۔ یہ ایک تیار شدہ خط کی ایک مثال ہے جو ہمارے گاہک سے اس کے کلائنٹ کے SMTP پورٹ پر دوبارہ، بغیر خفیہ کاری کے گیا۔ ایک مخصوص آندرے نے اپنے نام کی دستاویزات کو دوبارہ بھیجنے کے لیے کہا، اور اسے ایک جوابی خط میں لاگ ان، پاس ورڈ اور لنک کے ساتھ کلاؤڈ ڈسک پر اپ لوڈ کر دیا گیا:

تمام خدمات کو خفیہ کرنے کے لیے یہ ایک اور یاد دہانی ہے۔ یہ نامعلوم ہے کہ کون اور کب آپ کے ڈیٹا کو خاص طور پر پڑھے گا اور استعمال کرے گا - فراہم کنندہ، کسی دوسری کمپنی کا سسٹم ایڈمنسٹریٹر، یا ایسا کوئی پینٹسٹر۔ میں اس حقیقت کے بارے میں خاموش ہوں کہ بہت سے لوگ آسانی سے غیر خفیہ کردہ ٹریفک کو روک سکتے ہیں۔

بظاہر کامیابی کے باوجود، یہ ہمیں مقصد کے قریب نہیں لایا۔ یقیناً یہ ممکن تھا کہ زیادہ دیر بیٹھ کر قیمتی معلومات حاصل کی جائیں، لیکن یہ حقیقت نہیں ہے کہ یہ وہاں ظاہر ہو گی، اور یہ حملہ خود نیٹ ورک کی سالمیت کے لحاظ سے بہت خطرناک ہے۔

خدمات میں ایک اور کھودنے کے بعد، ایک دلچسپ خیال ذہن میں آیا۔ ریسپونڈر نامی ایک ایسی افادیت ہے (اس نام سے استعمال کی مثالیں تلاش کرنا آسان ہے)، جو "زہریلا" نشریاتی درخواستوں کے ذریعے مختلف قسم کے پروٹوکولز جیسے کہ SMB، HTTP، LDAP وغیرہ کے ذریعے رابطوں کو اکساتی ہے۔ مختلف طریقوں سے، پھر ہر اس شخص سے پوچھتا ہے جو تصدیق سے جڑتا ہے اور اسے ترتیب دیتا ہے تاکہ تصدیق NTLM کے ذریعے اور متاثرہ کے لیے شفاف موڈ میں ہو۔ اکثر، حملہ آور اس طرح سے NetNTLMv2 ہینڈ شیک جمع کرتا ہے اور ان سے، ڈکشنری کا استعمال کرتے ہوئے، صارف کے ڈومین پاس ورڈز کو تیزی سے بازیافت کرتا ہے۔ یہاں میں کچھ ایسا ہی چاہتا تھا، لیکن صارفین "دیوار کے پیچھے" بیٹھے تھے، یا اس کے بجائے، انہیں فائر وال کے ذریعے الگ کیا گیا تھا، اور بلیو کوٹ پراکسی کلسٹر کے ذریعے WEB تک رسائی حاصل کی تھی۔

یاد رکھیں، میں نے واضح کیا تھا کہ ایکٹو ڈائریکٹری ڈومین کا نام "بیرونی" ڈومین کے ساتھ ملتا ہے، یعنی یہ company.ru تھا؟ لہذا، ونڈوز، زیادہ واضح طور پر انٹرنیٹ ایکسپلورر (اور ایج اور کروم)، صارف کو NTLM کے ذریعے HTTP میں شفاف طریقے سے تصدیق کرنے کی اجازت دیتا ہے اگر وہ سمجھتے ہیں کہ سائٹ کسی "انٹرانیٹ زون" میں واقع ہے۔ "انٹرانیٹ" کی نشانیوں میں سے ایک "گرے" IP ایڈریس یا مختصر DNS نام تک رسائی ہے، یعنی بغیر نقطوں کے۔ چونکہ ان کے پاس "سفید" IP اور DNS نام preobrazhensky.company.ru والا سرور تھا، اور ڈومین مشینوں کو عام طور پر ایکٹو ڈائریکٹری ڈومین لاحقہ DHCP کے ذریعے آسان نام کے اندراج کے لیے موصول ہوتا ہے، اس لیے انہیں صرف ایڈریس بار میں URL لکھنا ہوتا تھا۔ preobrazhensky، تاکہ وہ سمجھوتہ شدہ یورولوجسٹ کے سرور کا صحیح راستہ تلاش کریں، یہ نہ بھولیں کہ اسے اب "انٹرانیٹ" کہا جاتا ہے۔ یعنی، ایک ہی وقت میں مجھے صارف کا NTLM-اس کے علم کے بغیر ہینڈ شیک دینا۔ باقی صرف یہ ہے کہ کلائنٹ براؤزرز کو اس سرور سے رابطہ کرنے کی فوری ضرورت کے بارے میں سوچنے پر مجبور کیا جائے۔

حیرت انگیز Intercepter-NG یوٹیلیٹی بچاؤ میں آئی (شکریہ انٹرسیپٹر)۔ اس نے آپ کو فلائی پر ٹریفک کو تبدیل کرنے کی اجازت دی اور ونڈوز 2003 پر بہت اچھا کام کیا۔ یہاں تک کہ ٹریفک کے بہاؤ میں صرف JavaScript فائلوں میں ترمیم کرنے کے لیے اس میں علیحدہ فعالیت موجود تھی۔ ایک طرح کی بڑے پیمانے پر کراس سائٹ اسکرپٹنگ کی منصوبہ بندی کی گئی تھی۔

بلیو کوٹ پراکسیز، جن کے ذریعے صارفین عالمی ویب تک رسائی حاصل کرتے ہیں، وقتاً فوقتاً جامد مواد کو محفوظ کرتے ہیں۔ ٹریفک کو روکنے سے، یہ واضح تھا کہ وہ چوبیس گھنٹے کام کر رہے ہیں، مسلسل استعمال کیے جانے والے جامد کی درخواست کر رہے ہیں تاکہ چوٹی کے اوقات میں مواد کی نمائش کو تیز کیا جا سکے۔ اس کے علاوہ، بلیو کوٹ کا ایک مخصوص صارف ایجنٹ تھا، جو اسے حقیقی صارف سے واضح طور پر ممتاز کرتا تھا۔

جاوا اسکرپٹ تیار کیا گیا تھا، جسے، Intercepter-NG کا استعمال کرتے ہوئے، بلیو کوٹ کے لیے JS فائلوں کے ساتھ ہر جواب کے لیے رات کو ایک گھنٹے کے لیے لاگو کیا گیا تھا۔ اسکرپٹ نے مندرجہ ذیل کام کیا:

• موجودہ براؤزر کا تعین User-Agent کے ذریعے کیا گیا۔ اگر یہ انٹرنیٹ ایکسپلورر، ایج یا کروم تھا، تو یہ کام کرتا رہا۔
• میں صفحہ کا DOM بننے تک انتظار کرتا رہا۔
• فارم کے src وصف کے ساتھ DOM میں ایک غیر مرئی تصویر داخل کی گئی۔ preobrazhensky:8080/NNNNNNN.png، جہاں NNN صوابدیدی نمبر ہیں تاکہ بلیو کوٹ اسے کیش نہ کرے۔
• یہ بتانے کے لیے ایک عالمی پرچم متغیر سیٹ کریں کہ انجکشن مکمل ہو گیا ہے اور اب تصاویر ڈالنے کی ضرورت نہیں ہے۔

براؤزر نے اس تصویر کو لوڈ کرنے کی کوشش کی؛ کمپرومائزڈ سرور کے پورٹ 8080 پر، میرے لیپ ٹاپ پر ایک TCP ٹنل اس کا انتظار کر رہی تھی، جہاں وہی ریسپانڈر چل رہا تھا، جس کے لیے براؤزر کو NTLM کے ذریعے لاگ ان کرنے کی ضرورت تھی۔

جواب دہندگان کے نوشتہ جات کو دیکھتے ہوئے، لوگ صبح کے وقت کام پر آئے، اپنے ورک سٹیشن کو آن کر دیا، پھر بڑے پیمانے پر اور کسی کا دھیان نہ جانے والے یورولوجسٹ کے سرور پر جانا شروع کر دیا، NTLM مصافحہ کو "ڈرین" کرنا نہیں بھولے۔ سارا دن مصافحہ کی بارش ہوتی رہی اور پاس ورڈز کی بازیافت کے لیے واضح طور پر کامیاب حملے کے لیے واضح طور پر مواد جمع ہو گیا۔ جواب دہندہ لاگ اس طرح نظر آتے تھے:

صارفین کی طرف سے یورولوجسٹ سرور پر بڑے پیمانے پر خفیہ دورے

آپ نے شاید پہلے ہی دیکھا ہو گا کہ یہ ساری کہانی اس اصول پر بنی ہے کہ "سب کچھ ٹھیک تھا، لیکن پھر ایک جھنجھلاہٹ ہوئی، پھر وہاں پر قابو پایا، اور پھر سب کچھ کامیاب ہو گیا۔" تو، یہاں ایک بومر تھا. پچاس منفرد مصافحہ میں سے ایک بھی سامنے نہیں آیا۔ اور یہ اس حقیقت کو مدنظر رکھتا ہے کہ ڈیڈ پروسیسر والے لیپ ٹاپ پر بھی، یہ NTLMv2 ہینڈ شیکس فی سیکنڈ کئی سو ملین کوششوں کی رفتار سے پروسیس ہوتے ہیں۔

مجھے اپنے آپ کو پاس ورڈ کی تبدیلی کی تکنیک، ایک ویڈیو کارڈ، ایک موٹی لغت اور انتظار کرنا پڑا۔ ایک طویل عرصے کے بعد، "Q11111111....1111111q" فارم کے پاس ورڈ والے متعدد اکاؤنٹس سامنے آئے، جس سے اندازہ ہوتا ہے کہ تمام صارفین کو ایک بار ایک بہت طویل پاس ورڈ کے ساتھ آنے پر مجبور کیا گیا تھا جس میں حروف کی مختلف صورتیں تھیں، جس کے بارے میں خیال کیا جاتا تھا۔ پیچیدہ ہو لیکن آپ ایک تجربہ کار صارف کو بے وقوف نہیں بنا سکتے، اور اس طرح اس نے اپنے لیے یاد رکھنا آسان بنا دیا۔ مجموعی طور پر، تقریباً 5 اکاؤنٹس سے سمجھوتہ کیا گیا، اور ان میں سے صرف ایک کے پاس خدمات کے کوئی قیمتی حقوق تھے۔

حصہ 3۔ Roskomnadzor نے جوابی وار کیا۔

تو، پہلے ڈومین اکاؤنٹس موصول ہوئے۔ اگر آپ طویل پڑھنے کے بعد اس وقت تک سو نہیں پائے ہیں، تو آپ کو شاید یاد ہوگا کہ میں نے ایک ایسی سروس کا ذکر کیا تھا جس کے لیے تصدیق کے دوسرے عنصر کی ضرورت نہیں تھی: یہ NTLM تصدیق کے ساتھ ایک ویکی ہے۔ یقینا، سب سے پہلے وہاں داخل ہونا تھا۔ داخلی علم کی بنیاد میں کھودنے سے تیزی سے نتائج برآمد ہوئے:

• کمپنی کے پاس مقامی نیٹ ورک تک رسائی کے ساتھ ڈومین اکاؤنٹس کا استعمال کرتے ہوئے تصدیق کے ساتھ ایک وائی فائی نیٹ ورک ہے۔ ڈیٹا کے موجودہ سیٹ کے ساتھ، یہ پہلے سے ہی ایک ورکنگ اٹیک ویکٹر ہے، لیکن آپ کو اپنے پیروں کے ساتھ دفتر جانے کی ضرورت ہے اور گاہک کے دفتر کے علاقے میں کہیں واقع ہونا ضروری ہے۔
• مجھے ایک ہدایت ملی جس کے مطابق ایک ایسی سروس تھی جس نے... آزادانہ طور پر ایک "سیکنڈ فیکٹر" توثیق کرنے والے آلے کو رجسٹر کرنے کی اجازت دی اگر صارف مقامی نیٹ ورک کے اندر ہے اور اعتماد کے ساتھ اپنا ڈومین لاگ ان اور پاس ورڈ یاد رکھتا ہے۔ اس صورت میں، "اندر" اور "باہر" کا تعین صارف کے لیے اس سروس کی بندرگاہ کی رسائی سے کیا گیا تھا۔ بندرگاہ انٹرنیٹ سے قابل رسائی نہیں تھی، لیکن DMZ کے ذریعے کافی قابل رسائی تھی۔

بلاشبہ، میرے فون پر ایک درخواست کی صورت میں سمجھوتہ شدہ اکاؤنٹ میں فوری طور پر ایک "دوسرا عنصر" شامل کر دیا گیا تھا۔ ایک ایسا پروگرام تھا جو یا تو فون پر "منظوری"/" نامنظور" بٹنوں کے ساتھ ایکشن کے لیے زور سے پش ریکوئسٹ بھیج سکتا تھا، یا خاموشی سے مزید آزاد اندراج کے لیے اسکرین پر OTP کوڈ دکھا سکتا تھا۔ مزید یہ کہ ہدایات کے مطابق پہلا طریقہ صرف صحیح سمجھا جاتا تھا، لیکن OTP طریقہ کے برعکس اس نے کام نہیں کیا۔

"دوسرے عنصر" کے ٹوٹ جانے کے ساتھ، میں آؤٹ لک ویب ایکسیس میل اور Citrix Netscaler Gateway میں ریموٹ رسائی تک رسائی حاصل کرنے کے قابل تھا۔ آؤٹ لک میں میل میں ایک حیرت تھی:

اس نایاب شاٹ میں آپ دیکھ سکتے ہیں کہ Roskomnadzor کس طرح پینٹسٹرز کی مدد کرتا ہے۔

یہ ٹیلیگرام کے مشہور "فین" بلاک ہونے کے بعد کے پہلے مہینے تھے، جب ہزاروں پتوں والے پورے نیٹ ورکس تک رسائی سے غیرمعمولی طور پر غائب ہو گئے۔ یہ واضح ہو گیا کہ دھکا کیوں فوری طور پر کام نہیں کرتا تھا اور میری "شکار" نے خطرے کی گھنٹی کیوں نہیں بجائی تھی کیونکہ انہوں نے کھلے اوقات کے دوران اس کا اکاؤنٹ استعمال کرنا شروع کر دیا تھا۔

Citrix Netscaler سے واقف کوئی بھی تصور کرتا ہے کہ اسے عام طور پر اس طرح لاگو کیا جاتا ہے کہ صارف کو صرف ایک تصویری انٹرفیس پہنچایا جا سکتا ہے، کوشش کی جاتی ہے کہ اسے تھرڈ پارٹی ایپلی کیشنز لانچ کرنے اور ڈیٹا کی منتقلی کے ٹولز نہ دیے جائیں، ہر ممکن طریقے سے کارروائیوں کو محدود کرتے ہوئے معیاری کنٹرول گولوں کے ذریعے۔ میرے "شکار" کو، اس کے قبضے کی وجہ سے، صرف 1C ملا:

1C انٹرفیس کے ارد گرد تھوڑا سا چلنے کے بعد، میں نے محسوس کیا کہ وہاں بیرونی پروسیسنگ ماڈیولز موجود ہیں. انہیں انٹرفیس سے لوڈ کیا جا سکتا ہے، اور حقوق اور ترتیبات کے لحاظ سے انہیں کلائنٹ یا سرور پر لاگو کیا جائے گا۔

میں نے اپنے 1C پروگرامر دوستوں سے ایک ایسی پروسیسنگ بنانے کو کہا جو اسٹرنگ کو قبول کرے اور اس پر عمل کرے۔ 1C زبان میں، عمل شروع کرنا کچھ اس طرح لگتا ہے (انٹرنیٹ سے لیا گیا)۔ کیا آپ اس بات سے اتفاق کرتے ہیں کہ 1C زبان کا نحو روسی بولنے والے لوگوں کو اپنی بے ساختگی سے حیران کر دیتا ہے؟

پروسیسنگ کو مکمل طور پر انجام دیا گیا تھا؛ یہ وہی نکلا جسے پینٹیسٹر "شیل" کہتے ہیں - انٹرنیٹ ایکسپلورر اس کے ذریعے شروع کیا گیا تھا.

اس سے پہلے، ایک ایسے سسٹم کا پتہ جو آپ کو علاقے کے پاس آرڈر کرنے کی اجازت دیتا ہے میل میں پایا گیا تھا۔ اگر مجھے وائی فائی اٹیک ویکٹر استعمال کرنا پڑا تو میں نے پاس آرڈر کیا۔

انٹرنیٹ پر بات ہو رہی ہے کہ گاہک کے دفتر میں اب بھی مزیدار مفت کیٹرنگ موجود تھی، لیکن میں نے پھر بھی حملے کو دور سے تیار کرنے کو ترجیح دی، یہ پرسکون ہے۔

AppLocker کو Citrix چلانے والے ایپلیکیشن سرور پر چالو کیا گیا تھا، لیکن اسے نظرانداز کر دیا گیا تھا۔ اسی میٹرپریٹر کو DNS کے ذریعے لوڈ اور لانچ کیا گیا تھا، چونکہ http(s) ورژنز جوڑنا نہیں چاہتے تھے، اور میں اس وقت اندرونی پراکسی ایڈریس نہیں جانتا تھا۔ ویسے، اس لمحے سے، بیرونی پینٹسٹ بنیادی طور پر مکمل طور پر ایک اندرونی میں بدل گیا.

حصہ 4. صارفین کے لیے منتظم کے حقوق خراب ہیں، ٹھیک ہے؟

ڈومین صارف کے سیشن کا کنٹرول حاصل کرنے پر پینٹسٹر کا پہلا کام ڈومین میں حقوق کے بارے میں تمام معلومات اکٹھا کرنا ہے۔ ایک بلڈ ہاؤنڈ یوٹیلیٹی ہے جو آپ کو ڈومین کنٹرولر سے LDAP پروٹوکول کے ذریعے صارفین، کمپیوٹرز، سیکیورٹی گروپس کے بارے میں معلومات، اور SMB کے ذریعے خود بخود ڈاؤن لوڈ کرنے کی اجازت دیتی ہے - اس بارے میں معلومات کہ کس صارف نے حال ہی میں کہاں سے لاگ ان کیا ہے اور کون مقامی ایڈمنسٹریٹر ہے۔

ڈومین ایڈمنسٹریٹر کے حقوق کو ضبط کرنے کی ایک عام تکنیک نیرس اعمال کے ایک چکر کے طور پر آسان نظر آتی ہے:

• ہم ڈومین کمپیوٹرز پر جاتے ہیں جہاں پہلے سے پکڑے گئے ڈومین اکاؤنٹس کی بنیاد پر مقامی منتظم کے حقوق ہوتے ہیں۔
• ہم Mimikatz لانچ کرتے ہیں اور کیشڈ پاس ورڈز، Kerberos ٹکٹس اور ڈومین اکاؤنٹس کے NTLM ہیش حاصل کرتے ہیں جنہوں نے حال ہی میں اس سسٹم میں لاگ ان کیا ہے۔ یا ہم lsass.exe عمل کی میموری امیج کو ہٹا دیتے ہیں اور اپنی طرف سے بھی ایسا ہی کرتے ہیں۔ یہ پہلے سے طے شدہ ترتیبات کے ساتھ 2012R2/Windows 8.1 سے چھوٹے ونڈوز کے ساتھ اچھی طرح کام کرتا ہے۔
• ہم اس بات کا تعین کرتے ہیں کہ سمجھوتہ کیے گئے اکاؤنٹس کے مقامی منتظم کے حقوق کہاں ہیں۔ ہم پہلا نکتہ دہراتے ہیں۔ کسی مرحلے پر ہم پورے ڈومین کے منتظم کے حقوق حاصل کر لیتے ہیں۔

"سائیکل کا اختتام؛"، جیسا کہ 1C پروگرامر یہاں لکھیں گے۔

لہذا، ہمارا صارف ونڈوز 7 کے ساتھ صرف ایک میزبان پر مقامی منتظم نکلا، جس کے نام میں لفظ "VDI"، یا "ورچوئل ڈیسک ٹاپ انفراسٹرکچر"، ذاتی ورچوئل مشینیں شامل تھیں۔ شاید، VDI سروس کے ڈیزائنر کا مطلب یہ تھا کہ چونکہ VDI صارف کا ذاتی آپریٹنگ سسٹم ہے، یہاں تک کہ اگر صارف سافٹ ویئر کے ماحول کو اپنی مرضی کے مطابق تبدیل کرتا ہے، تب بھی میزبان کو "دوبارہ لوڈ" کیا جا سکتا ہے۔ میں نے یہ بھی سوچا کہ عام طور پر یہ خیال اچھا تھا، میں اس ذاتی VDI میزبان کے پاس گیا اور وہاں ایک گھونسلہ بنایا:

• میں نے وہاں ایک OpenVPN کلائنٹ انسٹال کیا، جس نے انٹرنیٹ کے ذریعے میرے سرور تک ایک سرنگ بنائی۔ کلائنٹ کو ڈومین کی توثیق کے ساتھ اسی بلیو کوٹ سے گزرنے پر مجبور ہونا پڑا، لیکن اوپن وی پی این نے ایسا کیا، جیسا کہ وہ کہتے ہیں، "باکس سے باہر"۔
• VDI پر OpenSSH انسٹال کیا گیا۔ ٹھیک ہے، واقعی، SSH کے بغیر ونڈوز 7 کیا ہے؟

یہ وہی ہے جو لائیو کی طرح لگ رہا تھا. میں آپ کو یاد دلاتا ہوں کہ یہ سب کچھ Citrix اور 1C کے ذریعے کیا جانا ہے:

پڑوسی کمپیوٹرز تک رسائی کو فروغ دینے کی ایک تکنیک میچ کے لیے مقامی منتظم کے پاس ورڈز کی جانچ کرنا ہے۔ یہاں قسمت کا فوری طور پر انتظار تھا: پہلے سے طے شدہ مقامی منتظم (جسے اچانک ایڈمنسٹریٹر کہا گیا) کے NTLM ہیش کو پاس-دی-ہیش حملے کے ذریعے پڑوسی VDI میزبانوں سے رابطہ کیا گیا، جن میں سے کئی سو تھے۔ یقیناً یہ حملہ ان پر فوراً ہوا۔

یہ وہ جگہ ہے جہاں VDI منتظمین نے خود کو دو بار پاؤں میں گولی ماری:

• پہلی بار جب VDI مشینوں کو LAPS کے تحت نہیں لایا گیا تھا، بنیادی طور پر تصویر سے وہی مقامی ایڈمنسٹریٹر پاس ورڈ برقرار رکھتا تھا جو VDI میں بڑے پیمانے پر تعینات کیا گیا تھا۔
• ڈیفالٹ ایڈمنسٹریٹر واحد مقامی اکاؤنٹ ہے جو پاس دی ہیش حملوں کا شکار ہے۔ ایک ہی پاس ورڈ کے ساتھ بھی، پیچیدہ رینڈم پاس ورڈ کے ساتھ دوسرا مقامی ایڈمنسٹریٹر اکاؤنٹ بنا کر اور پہلے سے طے شدہ کو بلاک کرکے بڑے پیمانے پر سمجھوتہ سے بچنا ممکن ہوگا۔

اس ونڈوز پر SSH سروس کیوں ہے؟ بہت آسان: اب OpenSSH سرور نے صارف کے کام میں مداخلت کیے بغیر نہ صرف ایک آسان انٹرایکٹو کمانڈ شیل فراہم کیا ہے بلکہ VDI پر ایک socks5 پراکسی بھی فراہم کی ہے۔ اس جرابوں کے ذریعے، میں نے SMB کے ذریعے منسلک کیا اور ان تمام سینکڑوں VDI مشینوں سے کیشڈ اکاؤنٹس جمع کیے، پھر انہیں BloodHound گرافس میں استعمال کرتے ہوئے ڈومین ایڈمنسٹریٹر کا راستہ تلاش کیا۔ میرے اختیار میں سینکڑوں میزبانوں کے ساتھ، میں نے یہ راستہ بہت جلد پایا۔ ڈومین ایڈمنسٹریٹر کے حقوق حاصل کر لیے گئے ہیں۔

یہاں انٹرنیٹ سے ایک تصویر ہے جس میں اسی طرح کی تلاش دکھائی گئی ہے۔ کنکشن دکھاتے ہیں کہ ایڈمنسٹریٹر کون ہے اور کون کہاں لاگ ان ہے۔

ویسے، پراجیکٹ کے آغاز سے ہی شرط یاد رکھیں - "سوشل انجینئرنگ کا استعمال نہ کریں۔" لہذا، میں یہ سوچنے کی تجویز پیش کرتا ہوں کہ اسپیشل ایفیکٹس کے ساتھ یہ تمام بالی ووڈ کتنا منقطع ہو جائے گا اگر یہ اب بھی بینل فشنگ کا استعمال ممکن ہوتا۔ لیکن ذاتی طور پر یہ سب کرنا میرے لیے بہت دلچسپ تھا۔ مجھے امید ہے کہ آپ کو یہ پڑھ کر لطف آیا۔ بلاشبہ، ہر پروجیکٹ اتنا دلچسپ نہیں لگتا، لیکن مجموعی طور پر کام بہت مشکل ہے اور اسے جمود کا شکار نہیں ہونے دیتا۔

شاید کسی کو ایک سوال ہوگا: اپنے آپ کو کیسے بچایا جائے؟ یہاں تک کہ یہ مضمون بہت سی تکنیکوں کی وضاحت کرتا ہے، جن میں سے بہت سے ونڈوز کے منتظمین کو بھی معلوم نہیں ہے۔ تاہم، میں ان کو ہیکنی اصولوں اور معلوماتی حفاظتی اقدامات کے تناظر میں دیکھنے کی تجویز کرتا ہوں:

• فرسودہ سافٹ ویئر استعمال نہ کریں (شروع میں ونڈوز 2003 یاد رکھیں؟)
• غیر ضروری نظاموں کو آن نہ رکھیں (یورولوجسٹ کی ویب سائٹ کیوں تھی؟)
• طاقت کے لیے خود صارف کے پاس ورڈ چیک کریں (ورنہ فوجی... پینٹسٹر ایسا کریں گے)
• مختلف اکاؤنٹس کے لیے ایک جیسے پاس ورڈ نہیں ہیں (VDI سمجھوتہ)
• اور دیگر

بلاشبہ، اس پر عمل درآمد کرنا بہت مشکل ہے، لیکن اگلے مضمون میں ہم عملی طور پر دکھائیں گے کہ یہ بالکل ممکن ہے۔

ماخذ: www.habr.com