Biz xakerlar qanday qilib ko'pincha ekspluatatsiyaga tayanishi haqida muntazam ravishda yozamiz aniqlashdan qochish uchun. Ular tom ma'noda , standart Windows vositalaridan foydalanish, shu bilan zararli faoliyatni aniqlash uchun antiviruslar va boshqa yordamchi dasturlarni chetlab o'tish. Biz, himoyachilar sifatida, endi bunday aqlli xakerlik usullarining baxtsiz oqibatlari bilan kurashishga majburmiz: yaxshi joylashtirilgan xodim ma'lumotlarni (kompaniyaning intellektual mulki, kredit karta raqamlari) yashirincha o'g'irlash uchun xuddi shunday yondashuvdan foydalanishi mumkin. Va agar u shoshilmasa, lekin sekin va jim ishlasa, bu juda qiyin bo'ladi - lekin agar u to'g'ri yondashuv va tegishli usullardan foydalansa, baribir mumkin. , — bunday faoliyatni aniqlash.
Boshqa tomondan, men xodimlarni shayton qilishni xohlamayman, chunki hech kim Oruellning 1984 yilgi ishbilarmonlik muhitida ishlashni xohlamaydi. Yaxshiyamki, insayderlar uchun hayotni ancha qiyinlashtiradigan bir qator amaliy qadamlar va hayotiy xakerlar mavjud. Biz ko'rib chiqamiz yashirin hujum usullari, ba'zi texnik ma'lumotlarga ega bo'lgan xodimlar tomonidan xakerlar tomonidan qo'llaniladi. Va birozdan keyin biz bunday xavflarni kamaytirish variantlarini muhokama qilamiz - biz texnik va tashkiliy variantlarni o'rganamiz.
PsExec bilan nima bo'ldi?
Edvard Snouden, to'g'ri yoki noto'g'ri, insayder ma'lumotlarini o'g'irlash bilan sinonimga aylandi. Aytgancha, ko'rib chiqishni unutmang ba'zi shon-shuhrat maqomiga loyiq bo'lgan boshqa insayderlar haqida. Snouden qo'llagan usullar haqida alohida ta'kidlash kerak bo'lgan muhim jihat shundaki, biz bilganimizcha, u o'rnatmagan tashqi zararli dastur yo'q!
Buning o'rniga Snouden biroz ijtimoiy muhandislikdan foydalangan va tizim administratori sifatida parollarni yig'ish va hisobga olish ma'lumotlarini yaratish uchun foydalangan. Hech qanday murakkab narsa yo'q - yo'q , hujumlar yoki .
Tashkilot xodimlari har doim ham Snoudenning o'ziga xos pozitsiyasida emas, lekin "o'tlash orqali omon qolish" tushunchasidan bilish kerak bo'lgan bir qator saboqlar mavjud - aniqlanishi mumkin bo'lgan har qanday zararli faoliyat bilan shug'ullanmaslik va ayniqsa hisob ma'lumotlaridan foydalanishda ehtiyot bo'ling. Bu fikrni eslang.
va uning amakivachchasi son-sanoqsiz pentesters, xakerlar va kiberxavfsizlik bloggerlarini hayratda qoldirdi. Va mimikatz bilan birlashganda, psexec tajovuzkorlarga aniq matn parolini bilmasdan tarmoq ichida harakat qilish imkonini beradi.
Mimikatz NTLM xeshini LSASS jarayonidan tutib oladi va keyin token yoki hisob ma'lumotlarini uzatadi - deb atalmish. "xashdan o'tish" hujumi – psexec-da tajovuzkorga boshqa serverga kirish imkonini beradi boshqasining foydalanuvchi. Va har bir keyingi yangi serverga o'tish bilan tajovuzkor qo'shimcha hisobga olish ma'lumotlarini to'playdi va mavjud kontentni qidirishda o'z imkoniyatlarini kengaytiradi.
Men birinchi marta psexec bilan ishlashni boshlaganimda, bu menga sehrli tuyuldi - rahmat , psexec-ning ajoyib dasturchisi - lekin men uning haqida ham bilaman shovqinli komponentlar. U hech qachon yashirin emas!
Pexec haqidagi birinchi qiziqarli fakt shundaki, u juda murakkab foydalanadi SMB tarmoq fayl protokoli Microsoft'dan. SMB-dan foydalanib, psexec kichik o'tkazmalarni amalga oshiradi ikkilik fayllarni maqsadli tizimga joylashtiring, ularni C: Windows jildiga joylashtiring.
Keyinchalik, psexec nusxalangan ikkilik fayldan foydalangan holda Windows xizmatini yaratadi va uni PSEXECSVC o'ta "kutilmagan" nomi ostida boshqaradi. Shu bilan birga, siz bularning barchasini, xuddi men kabi, masofaviy mashinani tomosha qilish orqali ko'rishingiz mumkin (pastga qarang).
Psexecning qo'ng'iroq kartasi: "PSEXECSVC" xizmati. U C: Windows papkasida SMB orqali joylashtirilgan ikkilik faylni boshqaradi.
Yakuniy qadam sifatida nusxalangan ikkilik fayl ochiladi RPC ulanishi maqsadli serverga va keyin boshqaruv buyruqlarini qabul qiladi (sukut bo'yicha Windows cmd qobig'i orqali), ularni ishga tushiradi va kirish va chiqishni tajovuzkorning uy mashinasiga yo'naltiradi. Bunday holda, tajovuzkor asosiy buyruq qatorini ko'radi - xuddi u bevosita ulangandek.
Ko'p komponentlar va juda shovqinli jarayon!
Psexec-ning murakkab ichki qismlari bir necha yil oldin birinchi sinovlarim paytida meni hayratda qoldirgan xabarni tushuntiradi: "PSEXECSVC ishga tushirilmoqda..." va keyin buyruq satri paydo bo'lishidan oldin pauza.
Impacket's Psexec aslida kaput ostida nima bo'layotganini ko'rsatadi.
Buning ajablanarli joyi yo'q: psexec kaput ostida juda ko'p ish qildi. Agar siz batafsilroq tushuntirishga qiziqsangiz, bu yerga qarang ajoyib tavsif.
Shubhasiz, tizim boshqaruvi vositasi sifatida foydalanilganda, qaysi edi asl maqsad psexec, bu barcha Windows mexanizmlarining "jiringlashi" ning hech qanday yomon joyi yo'q. Biroq, tajovuzkor uchun psexec asoratlarni keltirib chiqaradi va Snouden kabi ehtiyotkor va ayyor insayder uchun psexec yoki shunga o'xshash yordamchi dastur juda katta xavf tug'diradi.
Va keyin Smbexec keladi
SMB bu serverlar o'rtasida fayllarni uzatishning aqlli va maxfiy usuli bo'lib, xakerlar asrlar davomida bevosita SMBga kirib kelgan. Menimcha, hamma bunga loyiq emasligini allaqachon biladi SMB portlari 445 va 139 Internetga, to'g'rimi?
Defcon 2013 da Erik Millman () taqdim etdi , shuning uchun pentesters SMB buzib kirishni sinab ko'rishi mumkin. Men butun hikoyani bilmayman, lekin keyin Impacket smbexecni yanada aniqladi. Aslida, sinov uchun men Python-dagi Impacket-dan skriptlarni yuklab oldim .
Psexecdan farqli o'laroq, smbexec oldini oladi potentsial aniqlangan ikkilik faylni maqsadli mashinaga o'tkazish. Buning o'rniga, kommunal to'liq yaylovdan ishga tushirishgacha yashaydi mahalliy Windows buyruq qatori.
Bu shunday qiladi: u SMB orqali hujum qiluvchi mashinadan buyruqni maxsus kiritish fayliga uzatadi va keyin Linux foydalanuvchilariga tanish bo‘lib ko‘rinadigan murakkab buyruq qatorini (Windows xizmati kabi) yaratadi va ishga tushiradi. Muxtasar qilib aytganda, u mahalliy Windows cmd qobig'ini ishga tushiradi, chiqishni boshqa faylga yo'naltiradi va keyin uni SMB orqali tajovuzkorning mashinasiga yuboradi.
Buni tushunishning eng yaxshi usuli - bu voqealar jurnalidan qo'llarimni olishga muvaffaq bo'lgan buyruq qatoriga qarash (pastga qarang).
Bu I/U ni qayta yo'naltirishning eng yaxshi usuli emasmi? Aytgancha, xizmat yaratish hodisa ID 7045 ga ega.
Psexec kabi, u ham barcha ishni bajaradigan xizmatni yaratadi, lekin undan keyin xizmat olib tashlandi - buyruqni bajarish uchun faqat bir marta ishlatiladi va keyin yo'qoladi! Jabrlanuvchining mashinasini kuzatadigan axborot xavfsizligi xodimi aniqlay olmaydi aniq Hujum ko'rsatkichlari: hech qanday zararli fayl ishga tushirilmagan, doimiy xizmat o'rnatilmagan va RPC ishlatilganligi haqida hech qanday dalil yo'q, chunki SMB ma'lumotlarni uzatishning yagona vositasidir. Ajoyib!
Hujumchi tomonidan buyruqni yuborish va javob olish o'rtasidagi kechikishlar bilan "psevdo-qobiq" mavjud. Ammo bu tajovuzkor uchun - yo insayder yoki allaqachon o'z o'rniga ega bo'lgan tashqi xaker - qiziqarli tarkibni qidirishni boshlash uchun etarli.
Ma'lumotni maqsadli mashinadan tajovuzkorning mashinasiga qaytarish uchun u ishlatiladi . Ha, bu xuddi shu Samba , lekin faqat Impacket tomonidan Python skriptiga aylantirildi. Aslida, smbclient sizga SMB orqali FTP o'tkazmalarini yashirin tarzda joylashtirish imkonini beradi.
Keling, bir qadam orqaga qaytaylik va bu xodim uchun nima qilishi mumkinligi haqida o'ylaymiz. Mening xayoliy stsenariyimda, deylik, blogger, moliyaviy tahlilchi yoki yuqori haq to'lanadigan xavfsizlik bo'yicha maslahatchi ish uchun shaxsiy noutbukdan foydalanishi mumkin. Ba'zi sehrli jarayon natijasida u kompaniyadan xafa bo'ladi va "hamma narsa yomonlashadi". Noutbuk operatsion tizimiga qarab, u Impact-ning Python versiyasini yoki smbexec yoki smbclient-ning Windows versiyasini .exe fayli sifatida ishlatadi.
Snouden singari u boshqa foydalanuvchining parolini yo yelkasiga qarab topadi yoki omad kulib boqadi va parol bilan matnli faylga qoqiladi. Va bu hisob ma'lumotlari yordamida u tizimni yangi darajadagi imtiyozlar darajasida qazishni boshlaydi.
Hacking DCC: Bizga hech qanday "ahmoq" Mimikatz kerak emas
Pentesting haqidagi oldingi postlarimda men mimikatzni tez-tez ishlatardim. Bu hisob ma'lumotlarini ushlab qolish uchun ajoyib vosita - NTLM xeshlari va hatto noutbuklar ichida yashiringan aniq matn parollari, faqat foydalanishni kutmoqda.
Zamon o'zgardi. Monitoring vositalari mimikatzni aniqlash va bloklashda yaxshilandi. Axborot xavfsizligi ma'murlari endi hash (PtH) hujumlari bilan bog'liq xavflarni kamaytirish uchun ko'proq imkoniyatlarga ega.
Xo'sh, aqlli xodim mimikatzdan foydalanmasdan qo'shimcha hisob ma'lumotlarini yig'ish uchun nima qilishi kerak?
Impacket to'plami deb nomlangan yordam dasturini o'z ichiga oladi , bu domen hisob ma'lumotlari keshidan yoki qisqacha DCC dan hisob ma'lumotlarini oladi. Mening tushunishimcha, agar domen foydalanuvchisi serverga kirsa, lekin domen boshqaruvchisi mavjud bo'lmasa, DCC serverga foydalanuvchini autentifikatsiya qilish imkonini beradi. Qanday bo'lmasin, secretsdump, agar mavjud bo'lsa, bu barcha xeshlarni tashlashga imkon beradi.
DCC xeshlari NTML xeshlari emas va ular PtH hujumi uchun foydalanilmaydi.
Xo'sh, asl parolni olish uchun ularni buzishga harakat qilishingiz mumkin. Biroq, Microsoft DCC bilan aqlliroq bo'ldi va DCC xeshlarini buzish juda qiyin bo'ldi. Ha bor , "dunyodagi eng tez parolni taxmin qiluvchi", ammo samarali ishlashi uchun GPU kerak.
Buning o'rniga Snouden kabi fikr yuritishga harakat qilaylik. Xodim yuzma-yuz ijtimoiy muhandislik olib borishi va, ehtimol, parolini buzmoqchi bo'lgan shaxs haqida ba'zi ma'lumotlarni bilib olishi mumkin. Masalan, odamning onlayn akkaunti buzib kirilganmi yoki yo'qligini bilib oling va uning aniq matnli parolida biron bir maslahat borligini tekshiring.
Va bu men borishga qaror qilgan stsenariy. Faraz qilaylik, bir insayder uning xo'jayini Kruella turli veb-resurslarda bir necha marta xakerlik hujumiga uchraganini bilib oldi. Ushbu parollarning bir nechtasini tahlil qilgandan so'ng, u Kruella "Yankees" beysbol jamoasi nomi formatidan keyin joriy yil - "Yankees2015" dan foydalanishni afzal ko'rishini tushunadi.
Agar siz hozir buni uyda ko'paytirmoqchi bo'lsangiz, kichik "C" ni yuklab olishingiz mumkin. , bu DCC xesh algoritmini amalga oshiradi va uni kompilyatsiya qiladi. , Aytgancha, DCC uchun qo'llab-quvvatlash qo'shildi, shuning uchun ham foydalanish mumkin. Faraz qilaylik, insayder Jon Ripperni o'rganishni xohlamaydi va eski C kodida "gcc" ni ishlatishni yaxshi ko'radi.
Insayder rolini o'ylab, men bir nechta turli kombinatsiyalarni sinab ko'rdim va oxir-oqibat Cruella paroli "Yankees2019" ekanligini bilib oldim (pastga qarang). Missiya bajarildi!
Bir oz ijtimoiy muhandislik, bir oz folbinlik va bir chimdim Maltego va siz DCC xeshini buzish yo'lidasiz.
Men shu erda tugatishimizni taklif qilaman. Biz boshqa postlarda ushbu mavzuga qaytamiz va Impacket-ning ajoyib yordamchi dasturlari to'plamini yaratishda davom etib, yanada sekinroq va yashirin hujum usullarini ko'rib chiqamiz.
Manba: www.habr.com