Biz xakerlar qanday qilib ko'pincha ekspluatatsiyaga tayanishi haqida muntazam ravishda yozamiz
Boshqa tomondan, men xodimlarni shayton qilishni xohlamayman, chunki hech kim Oruellning 1984 yilgi ishbilarmonlik muhitida ishlashni xohlamaydi. Yaxshiyamki, insayderlar uchun hayotni ancha qiyinlashtiradigan bir qator amaliy qadamlar va hayotiy xakerlar mavjud. Biz ko'rib chiqamiz yashirin hujum usullari, ba'zi texnik ma'lumotlarga ega bo'lgan xodimlar tomonidan xakerlar tomonidan qo'llaniladi. Va birozdan keyin biz bunday xavflarni kamaytirish variantlarini muhokama qilamiz - biz texnik va tashkiliy variantlarni o'rganamiz.
PsExec bilan nima bo'ldi?
Edvard Snouden, to'g'ri yoki noto'g'ri, insayder ma'lumotlarini o'g'irlash bilan sinonimga aylandi. Aytgancha, ko'rib chiqishni unutmang
Buning o'rniga Snouden biroz ijtimoiy muhandislikdan foydalangan va tizim administratori sifatida parollarni yig'ish va hisobga olish ma'lumotlarini yaratish uchun foydalangan. Hech qanday murakkab narsa yo'q - yo'q
Tashkilot xodimlari har doim ham Snoudenning o'ziga xos pozitsiyasida emas, lekin "o'tlash orqali omon qolish" tushunchasidan bilish kerak bo'lgan bir qator saboqlar mavjud - aniqlanishi mumkin bo'lgan har qanday zararli faoliyat bilan shug'ullanmaslik va ayniqsa hisob ma'lumotlaridan foydalanishda ehtiyot bo'ling. Bu fikrni eslang.
Mimikatz NTLM xeshini LSASS jarayonidan tutib oladi va keyin token yoki hisob ma'lumotlarini uzatadi - deb atalmish. "xashdan o'tish" hujumi – psexec-da tajovuzkorga boshqa serverga kirish imkonini beradi boshqasining foydalanuvchi. Va har bir keyingi yangi serverga o'tish bilan tajovuzkor qo'shimcha hisobga olish ma'lumotlarini to'playdi va mavjud kontentni qidirishda o'z imkoniyatlarini kengaytiradi.
Men birinchi marta psexec bilan ishlashni boshlaganimda, bu menga sehrli tuyuldi - rahmat
Pexec haqidagi birinchi qiziqarli fakt shundaki, u juda murakkab foydalanadi SMB tarmoq fayl protokoli Microsoft'dan. SMB-dan foydalanib, psexec kichik o'tkazmalarni amalga oshiradi ikkilik fayllarni maqsadli tizimga joylashtiring, ularni C: Windows jildiga joylashtiring.
Keyinchalik, psexec nusxalangan ikkilik fayldan foydalangan holda Windows xizmatini yaratadi va uni PSEXECSVC o'ta "kutilmagan" nomi ostida boshqaradi. Shu bilan birga, siz bularning barchasini, xuddi men kabi, masofaviy mashinani tomosha qilish orqali ko'rishingiz mumkin (pastga qarang).
Psexecning qo'ng'iroq kartasi: "PSEXECSVC" xizmati. U C: Windows papkasida SMB orqali joylashtirilgan ikkilik faylni boshqaradi.
Yakuniy qadam sifatida nusxalangan ikkilik fayl ochiladi RPC ulanishi maqsadli serverga va keyin boshqaruv buyruqlarini qabul qiladi (sukut bo'yicha Windows cmd qobig'i orqali), ularni ishga tushiradi va kirish va chiqishni tajovuzkorning uy mashinasiga yo'naltiradi. Bunday holda, tajovuzkor asosiy buyruq qatorini ko'radi - xuddi u bevosita ulangandek.
Ko'p komponentlar va juda shovqinli jarayon!
Psexec-ning murakkab ichki qismlari bir necha yil oldin birinchi sinovlarim paytida meni hayratda qoldirgan xabarni tushuntiradi: "PSEXECSVC ishga tushirilmoqda..." va keyin buyruq satri paydo bo'lishidan oldin pauza.
Impacket's Psexec aslida kaput ostida nima bo'layotganini ko'rsatadi.
Buning ajablanarli joyi yo'q: psexec kaput ostida juda ko'p ish qildi. Agar siz batafsilroq tushuntirishga qiziqsangiz, bu yerga qarang
Shubhasiz, tizim boshqaruvi vositasi sifatida foydalanilganda, qaysi edi asl maqsad psexec, bu barcha Windows mexanizmlarining "jiringlashi" ning hech qanday yomon joyi yo'q. Biroq, tajovuzkor uchun psexec asoratlarni keltirib chiqaradi va Snouden kabi ehtiyotkor va ayyor insayder uchun psexec yoki shunga o'xshash yordamchi dastur juda katta xavf tug'diradi.
Va keyin Smbexec keladi
SMB bu serverlar o'rtasida fayllarni uzatishning aqlli va maxfiy usuli bo'lib, xakerlar asrlar davomida bevosita SMBga kirib kelgan. Menimcha, hamma bunga loyiq emasligini allaqachon biladi
Defcon 2013 da Erik Millman (
Psexecdan farqli o'laroq, smbexec oldini oladi potentsial aniqlangan ikkilik faylni maqsadli mashinaga o'tkazish. Buning o'rniga, kommunal to'liq yaylovdan ishga tushirishgacha yashaydi mahalliy Windows buyruq qatori.
Bu shunday qiladi: u SMB orqali hujum qiluvchi mashinadan buyruqni maxsus kiritish fayliga uzatadi va keyin Linux foydalanuvchilariga tanish bo‘lib ko‘rinadigan murakkab buyruq qatorini (Windows xizmati kabi) yaratadi va ishga tushiradi. Muxtasar qilib aytganda, u mahalliy Windows cmd qobig'ini ishga tushiradi, chiqishni boshqa faylga yo'naltiradi va keyin uni SMB orqali tajovuzkorning mashinasiga yuboradi.
Buni tushunishning eng yaxshi usuli - bu voqealar jurnalidan qo'llarimni olishga muvaffaq bo'lgan buyruq qatoriga qarash (pastga qarang).
Bu I/U ni qayta yo'naltirishning eng yaxshi usuli emasmi? Aytgancha, xizmat yaratish hodisa ID 7045 ga ega.
Psexec kabi, u ham barcha ishni bajaradigan xizmatni yaratadi, lekin undan keyin xizmat olib tashlandi - buyruqni bajarish uchun faqat bir marta ishlatiladi va keyin yo'qoladi! Jabrlanuvchining mashinasini kuzatadigan axborot xavfsizligi xodimi aniqlay olmaydi aniq Hujum ko'rsatkichlari: hech qanday zararli fayl ishga tushirilmagan, doimiy xizmat o'rnatilmagan va RPC ishlatilganligi haqida hech qanday dalil yo'q, chunki SMB ma'lumotlarni uzatishning yagona vositasidir. Ajoyib!
Hujumchi tomonidan buyruqni yuborish va javob olish o'rtasidagi kechikishlar bilan "psevdo-qobiq" mavjud. Ammo bu tajovuzkor uchun - yo insayder yoki allaqachon o'z o'rniga ega bo'lgan tashqi xaker - qiziqarli tarkibni qidirishni boshlash uchun etarli.
Ma'lumotni maqsadli mashinadan tajovuzkorning mashinasiga qaytarish uchun u ishlatiladi
Keling, bir qadam orqaga qaytaylik va bu xodim uchun nima qilishi mumkinligi haqida o'ylaymiz. Mening xayoliy stsenariyimda, deylik, blogger, moliyaviy tahlilchi yoki yuqori haq to'lanadigan xavfsizlik bo'yicha maslahatchi ish uchun shaxsiy noutbukdan foydalanishi mumkin. Ba'zi sehrli jarayon natijasida u kompaniyadan xafa bo'ladi va "hamma narsa yomonlashadi". Noutbuk operatsion tizimiga qarab, u Impact-ning Python versiyasini yoki smbexec yoki smbclient-ning Windows versiyasini .exe fayli sifatida ishlatadi.
Snouden singari u boshqa foydalanuvchining parolini yo yelkasiga qarab topadi yoki omad kulib boqadi va parol bilan matnli faylga qoqiladi. Va bu hisob ma'lumotlari yordamida u tizimni yangi darajadagi imtiyozlar darajasida qazishni boshlaydi.
Hacking DCC: Bizga hech qanday "ahmoq" Mimikatz kerak emas
Pentesting haqidagi oldingi postlarimda men mimikatzni tez-tez ishlatardim. Bu hisob ma'lumotlarini ushlab qolish uchun ajoyib vosita - NTLM xeshlari va hatto noutbuklar ichida yashiringan aniq matn parollari, faqat foydalanishni kutmoqda.
Zamon o'zgardi. Monitoring vositalari mimikatzni aniqlash va bloklashda yaxshilandi. Axborot xavfsizligi ma'murlari endi hash (PtH) hujumlari bilan bog'liq xavflarni kamaytirish uchun ko'proq imkoniyatlarga ega.
Xo'sh, aqlli xodim mimikatzdan foydalanmasdan qo'shimcha hisob ma'lumotlarini yig'ish uchun nima qilishi kerak?
Impacket to'plami deb nomlangan yordam dasturini o'z ichiga oladi
DCC xeshlari NTML xeshlari emas va ular PtH hujumi uchun foydalanilmaydi.
Xo'sh, asl parolni olish uchun ularni buzishga harakat qilishingiz mumkin. Biroq, Microsoft DCC bilan aqlliroq bo'ldi va DCC xeshlarini buzish juda qiyin bo'ldi. Ha bor
Buning o'rniga Snouden kabi fikr yuritishga harakat qilaylik. Xodim yuzma-yuz ijtimoiy muhandislik olib borishi va, ehtimol, parolini buzmoqchi bo'lgan shaxs haqida ba'zi ma'lumotlarni bilib olishi mumkin. Masalan, odamning onlayn akkaunti buzib kirilganmi yoki yo'qligini bilib oling va uning aniq matnli parolida biron bir maslahat borligini tekshiring.
Va bu men borishga qaror qilgan stsenariy. Faraz qilaylik, bir insayder uning xo'jayini Kruella turli veb-resurslarda bir necha marta xakerlik hujumiga uchraganini bilib oldi. Ushbu parollarning bir nechtasini tahlil qilgandan so'ng, u Kruella "Yankees" beysbol jamoasi nomi formatidan keyin joriy yil - "Yankees2015" dan foydalanishni afzal ko'rishini tushunadi.
Agar siz hozir buni uyda ko'paytirmoqchi bo'lsangiz, kichik "C" ni yuklab olishingiz mumkin.
Insayder rolini o'ylab, men bir nechta turli kombinatsiyalarni sinab ko'rdim va oxir-oqibat Cruella paroli "Yankees2019" ekanligini bilib oldim (pastga qarang). Missiya bajarildi!
Bir oz ijtimoiy muhandislik, bir oz folbinlik va bir chimdim Maltego va siz DCC xeshini buzish yo'lidasiz.
Men shu erda tugatishimizni taklif qilaman. Biz boshqa postlarda ushbu mavzuga qaytamiz va Impacket-ning ajoyib yordamchi dasturlari to'plamini yaratishda davom etib, yanada sekinroq va yashirin hujum usullarini ko'rib chiqamiz.
Manba: www.habr.com