Chúng tôi viết thường xuyên về cách tin tặc thường dựa vào việc khai thác
Mặt khác, tôi không muốn coi thường nhân viên vì không ai muốn làm việc trong môi trường kinh doanh như thời Orwell năm 1984. May mắn thay, có một số bước thực tế và mẹo vặt cuộc sống có thể khiến cuộc sống của người trong cuộc trở nên khó khăn hơn nhiều. Chúng tôi sẽ xem xét phương pháp tấn công bí mật, được tin tặc sử dụng bởi các nhân viên có kiến thức kỹ thuật nhất định. Và xa hơn một chút, chúng tôi sẽ thảo luận về các phương án để giảm thiểu những rủi ro như vậy - chúng tôi sẽ nghiên cứu cả các phương án kỹ thuật và tổ chức.
Có chuyện gì với PsExec vậy?
Edward Snowden, dù đúng hay sai, đã trở thành đồng nghĩa với hành vi trộm cắp dữ liệu nội bộ. Nhân tiện, đừng quên xem qua
Thay vào đó, Snowden đã sử dụng một chút kỹ thuật xã hội và sử dụng vị trí quản trị viên hệ thống của mình để thu thập mật khẩu và tạo thông tin xác thực. Không có gì phức tạp - không có gì
Các nhân viên của tổ chức không phải lúc nào cũng ở vị trí đặc biệt của Snowden, nhưng có một số bài học cần rút ra từ khái niệm "sống sót nhờ chăn thả" cần lưu ý - không tham gia vào bất kỳ hoạt động độc hại nào có thể bị phát hiện và đặc biệt là cẩn thận với việc sử dụng thông tin xác thực. Hãy nhớ suy nghĩ này.
Mimikatz chặn hàm băm NTLM từ quy trình LSASS và sau đó chuyển mã thông báo hoặc thông tin xác thực - cái gọi là. tấn công "vượt qua hàm băm" – trong psexec, cho phép kẻ tấn công đăng nhập vào máy chủ khác như nữa người dùng. Và với mỗi lần di chuyển tiếp theo đến một máy chủ mới, kẻ tấn công sẽ thu thập thông tin xác thực bổ sung, mở rộng phạm vi khả năng của chúng trong việc tìm kiếm nội dung có sẵn.
Khi tôi mới bắt đầu làm việc với psexec, điều đó đối với tôi thật kỳ diệu - cảm ơn bạn
Sự thật thú vị đầu tiên về psexec là nó sử dụng cực kỳ phức tạp Giao thức tệp mạng SMB từ Microsoft. Sử dụng SMB, psexec chuyển số tiền nhỏ nhị phân các tập tin vào hệ thống đích, đặt chúng vào thư mục C:Windows.
Tiếp theo, psexec tạo một dịch vụ Windows bằng cách sử dụng tệp nhị phân được sao chép và chạy nó dưới cái tên cực kỳ “bất ngờ” PSEXECSVC. Đồng thời, bạn thực sự có thể thấy tất cả những điều này, giống như tôi đã làm, bằng cách xem một máy từ xa (xem bên dưới).
Thẻ điện thoại của Psexec: dịch vụ "PSEXECSVC". Nó chạy một tệp nhị phân được đặt qua SMB trong thư mục C:Windows.
Bước cuối cùng, tệp nhị phân được sao chép sẽ mở ra Kết nối RPC đến máy chủ mục tiêu và sau đó chấp nhận các lệnh điều khiển (thông qua cmd shell của Windows theo mặc định), khởi chạy chúng và chuyển hướng đầu vào và đầu ra đến máy chủ của kẻ tấn công. Trong trường hợp này, kẻ tấn công nhìn thấy dòng lệnh cơ bản - giống như khi hắn được kết nối trực tiếp.
Rất nhiều thành phần và một quá trình rất ồn ào!
Phần bên trong phức tạp của psexec giải thích thông báo khiến tôi bối rối trong những lần thử nghiệm đầu tiên cách đây vài năm: “Đang khởi động PSEXECSVC…” sau đó là một khoảng dừng trước khi dấu nhắc lệnh xuất hiện.
Psexec của Impacket thực sự cho thấy những gì đang diễn ra.
Không có gì đáng ngạc nhiên: psexec đã thực hiện rất nhiều công việc bí mật. Nếu bạn quan tâm đến lời giải thích chi tiết hơn, hãy xem tại đây
Rõ ràng, khi được sử dụng như một công cụ quản trị hệ thống, nó mục đích ban đầu psexec, không có gì sai với sự “ồn ào” của tất cả các cơ chế Windows này. Tuy nhiên, đối với kẻ tấn công, psexec sẽ tạo ra sự phức tạp và đối với một người trong cuộc thận trọng và xảo quyệt như Snowden, psexec hoặc một tiện ích tương tự sẽ có quá nhiều rủi ro.
Và sau đó đến Smbexec
SMB là một cách thông minh và bí mật để truyền tệp giữa các máy chủ và tin tặc đã xâm nhập trực tiếp vào SMB trong nhiều thế kỷ. Tôi nghĩ mọi người đều đã biết rằng điều đó không đáng
Tại Defcon 2013, Eric Millman (
Không giống như psexec, smbexec tránh chuyển một tập tin nhị phân có khả năng bị phát hiện sang máy mục tiêu. Thay vào đó, tiện ích hoạt động hoàn toàn từ đồng cỏ thông qua việc khởi chạy địa phương Dòng lệnh Windows.
Đây là những gì nó thực hiện: nó chuyển lệnh từ máy tấn công thông qua SMB tới một tệp đầu vào đặc biệt, sau đó tạo và chạy một dòng lệnh phức tạp (như dịch vụ Windows) có vẻ quen thuộc với người dùng Linux. Nói tóm lại: nó khởi chạy shell cmd gốc của Windows, chuyển hướng đầu ra sang một tệp khác và sau đó gửi nó qua SMB trở lại máy của kẻ tấn công.
Cách tốt nhất để hiểu điều này là xem dòng lệnh mà tôi có thể sử dụng từ nhật ký sự kiện (xem bên dưới).
Đây không phải là cách tốt nhất để chuyển hướng I/O sao? Nhân tiện, việc tạo dịch vụ có ID sự kiện 7045.
Giống như psexec, nó cũng tạo ra một dịch vụ thực hiện tất cả công việc, nhưng dịch vụ sau đó đã xóa – nó chỉ được sử dụng một lần để chạy lệnh rồi biến mất! Nhân viên an ninh thông tin giám sát máy của nạn nhân sẽ không thể phát hiện được rõ ràng Các dấu hiệu tấn công: Không có tệp độc hại nào được khởi chạy, không có dịch vụ liên tục nào được cài đặt và không có bằng chứng nào về việc RPC được sử dụng vì SMB là phương tiện truyền dữ liệu duy nhất. Xuất sắc!
Từ phía kẻ tấn công, một “pseudo-shell” có sẵn với độ trễ giữa việc gửi lệnh và nhận phản hồi. Nhưng điều này là khá đủ để kẻ tấn công - dù là hacker nội bộ hay hacker bên ngoài đã có chỗ đứng - bắt đầu tìm kiếm nội dung thú vị.
Để xuất dữ liệu từ máy mục tiêu về máy của kẻ tấn công, nó được sử dụng
Hãy lùi lại một bước và suy nghĩ xem điều này có thể mang lại lợi ích gì cho nhân viên. Trong kịch bản hư cấu của tôi, giả sử một blogger, nhà phân tích tài chính hoặc nhà tư vấn bảo mật được trả lương cao được phép sử dụng máy tính xách tay cá nhân để làm việc. Kết quả của một quá trình kỳ diệu nào đó, cô ấy đã xúc phạm công ty và “mọi chuyện trở nên tồi tệ”. Tùy thuộc vào hệ điều hành máy tính xách tay, nó sử dụng phiên bản Python từ Impact hoặc phiên bản Windows của smbexec hoặc smbclient dưới dạng tệp .exe.
Giống như Snowden, cô ấy tìm ra mật khẩu của người dùng khác bằng cách nhìn qua vai cô ấy, hoặc cô ấy gặp may và tình cờ tìm thấy một tệp văn bản có mật khẩu. Và với sự trợ giúp của những thông tin xác thực này, cô bắt đầu tìm hiểu hệ thống ở cấp độ đặc quyền mới.
Hack DCC: Chúng tôi không cần Mimikatz "ngu ngốc" nào
Trong các bài viết trước đây về pentesting, tôi rất thường xuyên sử dụng mimikatz. Đây là một công cụ tuyệt vời để chặn thông tin xác thực - băm NTLM và thậm chí cả mật khẩu văn bản rõ ràng ẩn bên trong máy tính xách tay, chỉ chờ được sử dụng.
Thời gian đã thay đổi. Các công cụ giám sát ngày càng tốt hơn trong việc phát hiện và ngăn chặn mimikatz. Các quản trị viên bảo mật thông tin giờ đây cũng có nhiều lựa chọn hơn để giảm thiểu rủi ro liên quan đến các cuộc tấn công băm (PtH).
Vậy một nhân viên thông minh nên làm gì để thu thập thêm thông tin xác thực mà không cần sử dụng mimikatz?
Bộ công cụ của Impacket bao gồm một tiện ích có tên là
Băm DCC là không phải băm NTML và không thể được sử dụng để tấn công PtH.
Chà, bạn có thể thử hack chúng để lấy mật khẩu ban đầu. Tuy nhiên, Microsoft đã trở nên thông minh hơn với DCC và hàm băm DCC đã trở nên cực kỳ khó bị bẻ khóa. Vâng tôi có
Thay vào đó, chúng ta hãy thử suy nghĩ như Snowden. Một nhân viên có thể tiến hành kỹ thuật xã hội trực tiếp và có thể tìm ra một số thông tin về người có mật khẩu mà cô ấy muốn bẻ khóa. Ví dụ: tìm hiểu xem tài khoản trực tuyến của người đó đã từng bị hack hay chưa và kiểm tra mật khẩu văn bản rõ ràng của họ để tìm manh mối.
Và đây là kịch bản mà tôi quyết định thực hiện. Giả sử rằng một người trong cuộc biết được rằng sếp của anh ta, Cruella, đã bị tấn công nhiều lần trên các tài nguyên web khác nhau. Sau khi phân tích một số mật khẩu này, anh nhận ra rằng Cruella thích sử dụng định dạng tên đội bóng chày "Yankees" theo sau là năm hiện tại - "Yankees2015".
Nếu bây giờ bạn đang cố gắng tái tạo nó ở nhà thì bạn có thể tải xuống một bản ghi "C" nhỏ
Giả vờ là người trong cuộc, tôi đã thử nhiều cách kết hợp khác nhau và cuối cùng phát hiện ra rằng mật khẩu của Cruella là "Yankees2019" (xem bên dưới). Nhiệm vụ hoàn thành!
Một chút kỹ thuật xã hội, một chút bói toán và một chút Maltego và bạn đang trên đường phá vỡ hàm băm DCC.
Tôi đề nghị chúng ta kết thúc ở đây. Chúng ta sẽ quay lại chủ đề này trong các bài đăng khác và xem xét các phương pháp tấn công lén lút và chậm hơn nữa, tiếp tục xây dựng dựa trên bộ tiện ích tuyệt vời của Impacket.
Nguồn: www.habr.com