ہم باقاعدگی سے اس بارے میں لکھتے ہیں کہ کس طرح ہیکرز اکثر استحصال پر انحصار کرتے ہیں۔ پتہ لگانے سے بچنے کے لیے۔ وہ لفظی معیاری ونڈوز ٹولز کا استعمال کرتے ہوئے، اس طرح اینٹی وائرسز اور دیگر افادیت کو نظرانداز کرتے ہوئے بدنیتی پر مبنی سرگرمی کا پتہ لگانا۔ ہم، محافظوں کے طور پر، اب ایسی چالاک ہیکنگ تکنیکوں کے بدقسمت نتائج سے نمٹنے پر مجبور ہیں: ایک اچھی پوزیشن والا ملازم خفیہ طور پر ڈیٹا (کمپنی کے دانشورانہ املاک، کریڈٹ کارڈ نمبرز) کو چوری کرنے کے لیے اسی طریقہ کار کو استعمال کر سکتا ہے۔ اور اگر وہ جلدی نہیں کرتا، لیکن آہستہ آہستہ اور خاموشی سے کام کرتا ہے، تو یہ بہت مشکل ہوگا - لیکن پھر بھی ممکن ہے اگر وہ صحیح طریقہ اور مناسب طریقہ استعمال کرے۔ , — ایسی سرگرمی کی نشاندہی کرنے کے لیے۔
دوسری طرف، میں ملازمین کو شیطانی نہیں بنانا چاہتا کیونکہ کوئی بھی Orwell کے 1984 سے باہر کاروباری ماحول میں کام نہیں کرنا چاہتا۔ خوش قسمتی سے، بہت سے عملی اقدامات اور لائف ہیکس ہیں جو اندرونی لوگوں کے لیے زندگی کو زیادہ مشکل بنا سکتے ہیں۔ ہم غور کریں گے۔ خفیہ حملے کے طریقے، کچھ تکنیکی پس منظر والے ملازمین کے ذریعہ ہیکرز کے ذریعہ استعمال کیا جاتا ہے۔ اور تھوڑا آگے ہم اس طرح کے خطرات کو کم کرنے کے اختیارات پر تبادلہ خیال کریں گے - ہم تکنیکی اور تنظیمی دونوں اختیارات کا مطالعہ کریں گے۔
PsExec کے ساتھ کیا غلط ہے؟
ایڈورڈ سنوڈن، صحیح یا غلط، اندرونی ڈیٹا چوری کا مترادف بن گیا ہے۔ ویسے، ایک نظر ڈالنا نہ بھولیں۔ دوسرے اندرونی افراد کے بارے میں جو کچھ شہرت کے مستحق بھی ہیں۔ سنوڈن کے استعمال کردہ طریقوں کے بارے میں ایک اہم نکتہ پر زور دینے کے قابل یہ ہے کہ، ہمارے بہترین علم کے مطابق، وہ انسٹال نہیں کیا؟ کوئی بیرونی بدنیتی پر مبنی سافٹ ویئر نہیں!
اس کے بجائے، سنوڈن نے سوشل انجینئرنگ کا تھوڑا سا استعمال کیا اور پاس ورڈز جمع کرنے اور اسناد بنانے کے لیے بطور سسٹم ایڈمنسٹریٹر اپنی حیثیت کا استعمال کیا۔ کچھ بھی پیچیدہ نہیں - کوئی نہیں۔ ، حملے یا .
تنظیمی ملازمین ہمیشہ سنوڈن کے منفرد مقام پر نہیں ہوتے ہیں، لیکن "چرنے کے ذریعے بقا" کے تصور سے بہت سے اسباق سیکھے جاسکتے ہیں کہ وہ باخبر رہیں - کسی ایسی بدنیتی پر مبنی سرگرمی میں ملوث نہ ہوں جس کا پتہ لگایا جاسکے، اور خاص طور پر اسناد کے استعمال میں محتاط رہیں۔ اس خیال کو یاد رکھیں۔
اور اس کے کزن لاتعداد پینٹسٹرز، ہیکرز، اور سائبرسیکیوریٹی بلاگرز کو متاثر کیا ہے۔ اور جب mimikatz کے ساتھ مل کر، psexec حملہ آوروں کو کلیئر ٹیکسٹ پاس ورڈ جاننے کی ضرورت کے بغیر نیٹ ورک کے اندر جانے کی اجازت دیتا ہے۔
Mimikatz LSASS عمل سے NTLM ہیش کو روکتا ہے اور پھر ٹوکن یا اسناد پاس کرتا ہے - جسے نام نہاد کہا جاتا ہے۔ "ہیش پاس کریں" حملہ - psexec میں، حملہ آور کو دوسرے سرور میں لاگ ان کرنے کی اجازت دیتا ہے۔ کسی اور کی صارف اور نئے سرور کی طرف آنے والے ہر ایک اقدام کے ساتھ، حملہ آور اضافی اسناد جمع کرتا ہے، دستیاب مواد کی تلاش میں اپنی صلاحیتوں کی حد کو بڑھاتا ہے۔
جب میں نے پہلی بار psexec کے ساتھ کام کرنا شروع کیا تو یہ مجھے جادوئی لگ رہا تھا - شکریہ psexec کا شاندار ڈویلپر - لیکن میں اس کے بارے میں بھی جانتا ہوں۔ شور اجزاء وہ کبھی خفیہ نہیں ہوتا!
psexec کے بارے میں پہلی دلچسپ حقیقت یہ ہے کہ یہ انتہائی پیچیدہ استعمال کرتا ہے۔ ایس ایم بی نیٹ ورک فائل پروٹوکول مائیکروسافٹ سے. SMB کا استعمال کرتے ہوئے، psexec چھوٹی منتقلی کرتا ہے۔ بائنری فائلوں کو ٹارگٹ سسٹم میں، انہیں C:Windows فولڈر میں رکھ کر۔
اگلا، psexec کاپی شدہ بائنری کا استعمال کرتے ہوئے ونڈوز سروس بناتا ہے اور اسے انتہائی "غیر متوقع" نام PSEXECSVC کے تحت چلاتا ہے۔ ایک ہی وقت میں، آپ اصل میں یہ سب دیکھ سکتے ہیں، جیسا کہ میں نے کیا، ریموٹ مشین دیکھ کر (نیچے دیکھیں)۔
Psexec کا کالنگ کارڈ: "PSEXECSVC" سروس۔ یہ ایک بائنری فائل چلاتا ہے جسے SMB کے ذریعے C:Windows فولڈر میں رکھا گیا تھا۔
حتمی قدم کے طور پر، کاپی شدہ بائنری فائل کھل جاتی ہے۔ آر پی سی کنکشن ٹارگٹ سرور پر اور پھر کنٹرول کمانڈز کو قبول کرتا ہے (بذریعہ Windows cmd شیل بذریعہ ڈیفالٹ)، انہیں لانچ کرتا ہے اور حملہ آور کی ہوم مشین پر ان پٹ اور آؤٹ پٹ کو ری ڈائریکٹ کرتا ہے۔ اس صورت میں، حملہ آور بنیادی کمانڈ لائن کو دیکھتا ہے - جیسا کہ وہ براہ راست جڑا ہوا تھا۔
بہت سارے اجزاء اور ایک بہت شور والا عمل!
psexec کے پیچیدہ انٹرنل اس پیغام کی وضاحت کرتے ہیں جس نے کئی سال پہلے میرے پہلے ٹیسٹ کے دوران مجھے حیران کر دیا تھا: "PSEXECSVC شروع کرنا..." اس کے بعد کمانڈ پرامپٹ ظاہر ہونے سے پہلے ایک وقفہ۔
Impacket کا Psexec دراصل ظاہر کرتا ہے کہ ہڈ کے نیچے کیا ہو رہا ہے۔
حیرت کی بات نہیں: psexec نے ہڈ کے نیچے بہت زیادہ کام کیا۔ اگر آپ مزید تفصیلی وضاحت میں دلچسپی رکھتے ہیں، تو یہاں چیک کریں۔ شاندار تفصیل.
ظاہر ہے، جب سسٹم ایڈمنسٹریشن ٹول کے طور پر استعمال ہوتا ہے، جو کہ تھا۔ اصل مقصد psexec، ان تمام ونڈوز میکانزم کی "buzzing" میں کوئی حرج نہیں ہے۔ تاہم، ایک حملہ آور کے لیے، psexec پیچیدگیاں پیدا کرے گا، اور سنوڈن، psexec یا اس سے ملتی جلتی افادیت جیسے محتاط اور چالاک اندرونی کے لیے بہت زیادہ خطرہ ہوگا۔
اور پھر Smbexec آتا ہے۔
SMB فائلوں کو سرورز کے درمیان منتقل کرنے کا ایک ہوشیار اور خفیہ طریقہ ہے، اور ہیکرز صدیوں سے براہ راست SMB میں گھس رہے ہیں۔ میرے خیال میں ہر کوئی پہلے ہی جانتا ہے کہ یہ اس کے قابل نہیں ہے۔ SMB 445 اور 139 کو انٹرنیٹ پر پورٹ کرتا ہے، ٹھیک ہے؟
ڈیفکون 2013 میں، ایرک مل مین () پیش کیا گیا۔ ، تاکہ پینٹیسٹر اسٹیلتھ ایس ایم بی ہیکنگ کو آزما سکیں۔ میں پوری کہانی نہیں جانتا، لیکن پھر Impacket نے smbexec کو مزید بہتر کیا۔ درحقیقت، اپنی جانچ کے لیے، میں نے ازگر میں Impacket سے اسکرپٹس ڈاؤن لوڈ کیں۔ .
psexec کے برعکس، smbexec گریز کرتا ہے ممکنہ طور پر پتہ چلنے والی بائنری فائل کو ٹارگٹ مشین میں منتقل کرنا۔ اس کے بجائے، افادیت مکمل طور پر چراگاہ سے لانچ کے ذریعے رہتی ہے۔ مقامی ونڈوز کمانڈ لائن۔
یہ جو کرتا ہے وہ یہ ہے: یہ حملہ کرنے والی مشین سے SMB کے ذریعے ایک خاص ان پٹ فائل میں کمانڈ منتقل کرتا ہے، اور پھر ایک پیچیدہ کمانڈ لائن (جیسے ونڈوز سروس) بناتا اور چلاتا ہے جو لینکس کے صارفین کو مانوس معلوم ہوگا۔ مختصراً: یہ ایک مقامی ونڈوز سی ایم ڈی شیل لانچ کرتا ہے، آؤٹ پٹ کو کسی دوسری فائل میں ری ڈائریکٹ کرتا ہے، اور پھر اسے SMB کے ذریعے حملہ آور کی مشین پر واپس بھیجتا ہے۔
اس کو سمجھنے کا بہترین طریقہ یہ ہے کہ کمانڈ لائن کو دیکھیں، جسے میں ایونٹ لاگ (نیچے ملاحظہ کریں) سے اپنے ہاتھ حاصل کرنے کے قابل تھا۔
کیا یہ I/O کو ری ڈائریکٹ کرنے کا سب سے بڑا طریقہ نہیں ہے؟ ویسے، سروس کی تخلیق میں ایونٹ ID 7045 ہے۔
psexec کی طرح، یہ بھی ایک سروس بناتا ہے جو تمام کام کرتا ہے، لیکن اس کے بعد سروس ہٹا دیا - یہ کمانڈ چلانے کے لیے صرف ایک بار استعمال ہوتا ہے اور پھر غائب ہو جاتا ہے! متاثرہ کی مشین کی نگرانی کرنے والا انفارمیشن سیکیورٹی آفیسر اس کا پتہ نہیں لگا سکے گا۔ واضح حملے کے اشارے: کوئی بدنیتی پر مبنی فائل لانچ نہیں کی جا رہی ہے، کوئی مستقل سروس انسٹال نہیں کی جا رہی ہے، اور RPC کے استعمال ہونے کا کوئی ثبوت نہیں ہے کیونکہ SMB ڈیٹا کی منتقلی کا واحد ذریعہ ہے۔ شاندار!
حملہ آور کی طرف سے، ایک "سیڈو شیل" کمانڈ بھیجنے اور جواب موصول ہونے میں تاخیر کے ساتھ دستیاب ہے۔ لیکن یہ ایک حملہ آور کے لیے کافی ہے - یا تو کوئی اندرونی یا بیرونی ہیکر جس کے پاس پہلے سے ہی قدم ہے - دلچسپ مواد کی تلاش شروع کرنے کے لیے۔
ٹارگٹ مشین سے حملہ آور کی مشین میں ڈیٹا واپس کرنے کے لیے، اسے استعمال کیا جاتا ہے۔ . ہاں، یہ وہی سامبا ہے۔ ، لیکن صرف Impacket کے ذریعہ Python اسکرپٹ میں تبدیل ہوا۔ درحقیقت، smbclient آپ کو خفیہ طور پر SMB پر FTP ٹرانسفرز کی میزبانی کرنے کی اجازت دیتا ہے۔
آئیے ایک قدم پیچھے ہٹیں اور سوچیں کہ یہ ملازم کے لیے کیا کر سکتا ہے۔ میرے فرضی منظر نامے میں، مان لیں کہ ایک بلاگر، مالیاتی تجزیہ کار یا زیادہ معاوضہ دینے والے سیکیورٹی کنسلٹنٹ کو کام کے لیے ذاتی لیپ ٹاپ استعمال کرنے کی اجازت ہے۔ کچھ جادوئی عمل کے نتیجے میں، وہ کمپنی سے ناراض ہو جاتی ہے اور "سب خراب ہو جاتی ہے۔" لیپ ٹاپ آپریٹنگ سسٹم پر منحصر ہے، یہ یا تو Impact سے Python ورژن، یا smbexec یا smbclient کے ونڈوز ورژن کو .exe فائل کے طور پر استعمال کرتا ہے۔
سنوڈن کی طرح، وہ یا تو اپنے کندھے کو دیکھ کر دوسرے صارف کا پاس ورڈ ڈھونڈ لیتی ہے، یا وہ خوش قسمت ہو جاتی ہے اور پاس ورڈ والی ٹیکسٹ فائل سے ٹھوکر کھا جاتی ہے۔ اور ان اسناد کی مدد سے، وہ مراعات کی ایک نئی سطح پر نظام کے ارد گرد کھودنا شروع کر دیتی ہے۔
ہیکنگ ڈی سی سی: ہمیں کسی "بیوقوف" Mimikatz کی ضرورت نہیں ہے۔
پینٹسٹنگ سے متعلق اپنی پچھلی پوسٹس میں، میں نے اکثر mimikatz کا استعمال کیا۔ یہ اسناد کو روکنے کے لیے ایک بہترین ٹول ہے - NTLM ہیشز اور یہاں تک کہ لیپ ٹاپ کے اندر چھپے ہوئے کلیئر ٹیکسٹ پاس ورڈ، بس استعمال ہونے کا انتظار ہے۔
زمانہ بدل گیا ہے۔ مانیٹرنگ ٹولز mimikatz کا پتہ لگانے اور بلاک کرنے میں بہتر ہو گئے ہیں۔ انفارمیشن سیکیورٹی کے منتظمین کے پاس پاس دی ہیش (PtH) حملوں سے وابستہ خطرات کو کم کرنے کے لیے مزید اختیارات بھی ہیں۔
تو ایک ہوشیار ملازم کو mimikatz استعمال کیے بغیر اضافی اسناد جمع کرنے کے لیے کیا کرنا چاہیے؟
امپیکٹ کی کٹ میں ایک افادیت شامل ہے جسے کہا جاتا ہے۔ ، جو ڈومین کریڈینشل کیشے، یا مختصر طور پر DCC سے اسناد بازیافت کرتا ہے۔ میری سمجھ یہ ہے کہ اگر کوئی ڈومین صارف سرور میں لاگ ان ہوتا ہے لیکن ڈومین کنٹرولر دستیاب نہیں ہوتا ہے تو DCC سرور کو صارف کی تصدیق کرنے کی اجازت دیتا ہے۔ بہرحال، سیکرٹ ڈمپ آپ کو ان تمام ہیشوں کو ڈمپ کرنے کی اجازت دیتا ہے اگر وہ دستیاب ہوں۔
ڈی سی سی ہیشز ہیں۔ NTML ہیش نہیں۔ اور انہیں PtH حملے کے لیے استعمال نہیں کیا جا سکتا.
ٹھیک ہے، آپ اصل پاس ورڈ حاصل کرنے کے لیے انہیں ہیک کرنے کی کوشش کر سکتے ہیں۔ تاہم، مائیکروسافٹ DCC کے ساتھ ہوشیار ہو گیا ہے اور DCC ہیشز کو کریک کرنا انتہائی مشکل ہو گیا ہے۔ ہاں میرے پاس ہے , "دنیا کا تیز ترین پاس ورڈ کا اندازہ لگانے والا"، لیکن اسے مؤثر طریقے سے چلانے کے لیے GPU کی ضرورت ہے۔
اس کے بجائے، آئیے سنوڈن کی طرح سوچنے کی کوشش کریں۔ ایک ملازم آمنے سامنے سوشل انجینئرنگ کر سکتا ہے اور ممکنہ طور پر اس شخص کے بارے میں کچھ معلومات حاصل کر سکتا ہے جس کا پاس ورڈ وہ کریک کرنا چاہتی ہے۔ مثال کے طور پر، معلوم کریں کہ آیا اس شخص کا آن لائن اکاؤنٹ کبھی ہیک ہوا ہے اور کسی بھی اشارے کے لیے ان کے کلیئر ٹیکسٹ پاس ورڈ کی جانچ کریں۔
اور یہ وہ منظر ہے جس کے ساتھ میں نے جانے کا فیصلہ کیا۔ آئیے فرض کریں کہ ایک اندرونی کو معلوم ہوا کہ اس کے باس، کرویلا کو مختلف ویب وسائل پر کئی بار ہیک کیا گیا ہے۔ ان میں سے کئی پاس ورڈز کا تجزیہ کرنے کے بعد، اسے احساس ہوا کہ کرویلا بیس بال ٹیم کے نام "Yankees" کے فارمیٹ کو استعمال کرنے کو ترجیح دیتی ہے جس کے بعد موجودہ سال - "Yankees2015"۔
اگر آپ اب اسے گھر پر دوبارہ تیار کرنے کی کوشش کر رہے ہیں، تو آپ ایک چھوٹا سا، "C" ڈاؤن لوڈ کر سکتے ہیں۔ ، جو DCC ہیشنگ الگورتھم کو نافذ کرتا ہے، اور اسے مرتب کرتا ہے۔ ، ویسے، ڈی سی سی کے لیے سپورٹ شامل کیا، تو اسے بھی استعمال کیا جا سکتا ہے۔ آئیے فرض کریں کہ کوئی اندرونی شخص جان دی ریپر کو سیکھنے کی زحمت نہیں کرنا چاہتا اور وہ لیگیسی سی کوڈ پر "gcc" چلانا پسند کرتا ہے۔
ایک اندرونی کے کردار کو ظاہر کرتے ہوئے، میں نے کئی مختلف امتزاجات آزمائے اور آخر کار یہ دریافت کرنے میں کامیاب ہو گیا کہ کرویلا کا پاس ورڈ "Yankees2019" تھا (نیچے ملاحظہ کریں)۔ مشن مکمل!
تھوڑی سی سوشل انجینئرنگ، خوش قسمتی بتانے کا ایک ٹکڑا اور ایک چٹکی مالٹیگو اور آپ DCC ہیش کو کریک کرنے کے راستے پر ہیں۔
میرا مشورہ ہے کہ ہم یہیں ختم کریں۔ ہم دوسری پوسٹس میں اس موضوع پر واپس جائیں گے اور Impacket کے بہترین یوٹیلیٹیز کو تیار کرتے ہوئے مزید سست اور چپکے سے حملے کے طریقوں کو دیکھیں گے۔
ماخذ: www.habr.com