פאַרבאָרגן פּאַראָל כאַקינג מיט Smbexec

מיר שרייַבן קעסיידער וועגן ווי כאַקערז אָפט פאַרלאָזנ אויף עקספּלויטינג כאַקינג מעטהאָדס אָן בייזע קאָדצו ויסמיידן דיטעקשאַן. זיי זענען ממש "לעבן אויף פּאַסטשער", ניצן נאָרמאַל Windows מכשירים, דערמיט בייפּאַסינג אַנטיווירוס און אנדערע יוטילאַטיז פֿאַר דיטעקטינג בייזע טעטיקייט. מיר, ווי דיפענדערז, זענען איצט געצווונגען צו האַנדלען מיט די נעבעך קאַנסאַקווענסאַז פון אַזאַ קלוג כאַקינג טעקניקס: אַ געזונט-געשטעלט אָנגעשטעלטער קענען נוצן די זעלבע צוגאַנג צו געהיים גאַנווענען דאַטן (פֿירמע אינטעלעקטואַל פאַרמאָג, קרעדיט קאַרטל נומערן). און אויב ער וועט נישט קאַמיש, אָבער אַרבעט פּאַמעלעך און שטיל, עס וועט זיין גאָר שווער - אָבער נאָך מעגלעך אויב ער ניצט די רעכט צוגאַנג און די צונעמען מכשירים, — צו אידענטיפיצירן אזא טעטיקײט.

אויף די אנדערע האַנט, איך וואָלט נישט וועלן צו דעמאָניזירן עמפּלוייז ווייַל קיין איינער וויל צו אַרבעטן אין אַ געשעפט סוויווע גלייך פֿון אָרוועל ס 1984. צומ גליק, עס זענען אַ נומער פון פּראַקטיש סטעפּס און לעבן כאַקס וואָס קענען מאַכן לעבן פיל מער שווער פֿאַר ינסידערז. מיר וועלן באַטראַכטן געהיים באַפאַלן מעטהאָדס, געניצט דורך כאַקערז דורך עמפּלוייז מיט עטלעכע טעכניש הינטערגרונט. און אַ ביסל ווייַטער מיר וועלן דיסקוטירן אָפּציעס פֿאַר רידוסינג אַזאַ ריסקס - מיר וועלן לערנען ביידע טעכניש און אָרגאַנאַזיישאַנאַל אָפּציעס.

וואָס איז פאַלש מיט PsExec?

עדוואַרד סנאָוודען, רעכט אָדער ראָנגלי, איז געווארן סאַנאַנאַמאַס מיט ינסיידער דאַטן גנייווע. דורך דעם וועג, טאָן ניט פאַרגעסן צו נעמען אַ קוק אין דעם צעטל וועגן אנדערע ינסידערז וואָס אויך פאַרדינען עטלעכע רום סטאַטוס. איין וויכטיק פונט וואָס איז ווערט אונטערשטרייכן וועגן די מעטהאָדס וואָס Snowden געוויינט איז אַז, לויט אונדזער בעסטער וויסן, ער האט נישט אינסטאַלירן קיין פונדרויסנדיק בייזע ווייכווארג!

אַנשטאָט, Snowden געוויינט אַ ביסל פון געזעלשאַפטלעך ינזשעניעריע און געוויינט זיין שטעלע ווי אַ סיסטעם אַדמיניסטראַטאָר צו זאַמלען פּאַסווערדז און שאַפֿן קראַדענטשאַלז. גאָרנישט קאָמפּליצירט - גאָרניט מימיקאטז, אנפאלן מענטש-אין-דעם-מיטן אָדער מעטאַספּלאָיט.

אָרגאַנאַזיישאַנאַל עמפּלוייז זענען נישט שטענדיק אין סנאָוודען ס יינציק שטעלע, אָבער עס זענען אַ נומער פון לעקציעס צו זיין געלערנט פון דעם באַגריף פון "ניצול דורך גרייזינג" צו זיין אַווער פון - נישט צו אָנטייל נעמען אין קיין בייזע טעטיקייט וואָס קענען זיין דיטעקטאַד, און צו זיין ספּעציעל אָפּגעהיט מיט די נוצן פון קראַדענטשאַלז. געדענקט דעם געדאַנק.

פּסעקסעק און זיין קוזין קראַקמאַפּעקסעק האָבן ימפּרעסט קאַונטלאַס פּענטעסטערס, כאַקערז און סייבערסעקוריטי בלאָגגערס. און ווען קאַמביינד מיט מימיקאַטז, פּסעקסעק אַלאַוז אַטאַקערז צו רירן אין אַ נעץ אָן דאַרפֿן צו וויסן די קלאָר טעקסט פּאַראָל.

מימיקאַץ ינטערסעפּט די NTLM האַש פון די LSASS פּראָצעס און דערנאָך פאָרן די טאָקען אָדער קראַדענטשאַלז - די אַזוי גערופענע. "פאָרן די האַש" באַפאַלן - אין פּסעקסעק, אַלאַוינג אַ אַטאַקער צו קלאָץ אין אן אנדער סערווער ווי פון אנדערן באַניצער. און מיט יעדער סאַבסאַקוואַנט מאַך צו אַ נייַ סערווער, די אַטאַקער קאַלעקץ נאָך קראַדענטשאַלז, יקספּאַנדיד די קייט פון זייַן קייפּאַבילאַטיז אין זוכן פֿאַר בנימצא אינהאַלט.

ווען איך ערשטער סטאַרטעד ארבעטן מיט פּסעקסעק, עס געווען מאַדזשיקאַל צו מיר - דאַנקען דיר מארק רוססינאוויטש, די בריליאַנט דעוועלאָפּער פון פּסעקסעק - אָבער איך אויך וויסן וועגן זיין טומלדיק קאַמפּאָונאַנץ. ער איז קיינמאָל סוד!

דער ערשטער טשיקאַווע פאַקט וועגן פּסעקסעק איז אַז עס ניצט גאָר קאָמפּלעקס סמב נעץ טעקע פּראָטאָקאָל פֿון מייקראָסאָפֿט. ניצן SMB, פּסעקסעק טראַנספערס קליין ביינערי טעקעס צו די ציל סיסטעם, פּלייסינג זיי אין די C: Windows טעקע.

דערנאָך, פּסעקסעק קריייץ אַ Windows דינסט ניצן די קאַפּיד ביינערי און לויפט עס אונטער די גאָר "אומגעריכט" נאָמען PSEXECSVC. אין דער זעלביקער צייט, איר קענען אַקטשאַוואַלי זען אַלע דעם, ווי איך האָב, דורך וואַטשינג אַ ווייַט מאַשין (זען ווייטער).

Psexec ס פאַך קאָרט: "PSEXECSVC" דינסט. עס לויפט אַ ביינערי טעקע וואָס איז געשטעלט דורך SMB אין די C: Windows טעקע.

ווי אַ לעצט שריט, די קאַפּיד ביינערי טעקע אָפּענס RPC קשר צו די ציל סערווער און אַקסעפּץ קאָנטראָל קאַמאַנדז (דורך די Windows cmd שאָל דורך פעליקייַט), קאַטער זיי און רידערעקטינג אַרייַנשרייַב און רעזולטאַט צו די אַטאַקער ס היים מאַשין. אין דעם פאַל, די אַטאַקער זעט די יקערדיק באַפֿעלן שורה - די זעלבע ווי אויב ער איז געווען קאָננעקטעד גלייַך.

פילע קאַמפּאָונאַנץ און אַ זייער טומלדיק פּראָצעס!

די קאָמפּלעקס ינטערנאַלס פון פּסעקסעק דערקלערן דעם אָנזאָג וואָס פּאַזאַלד מיר בעשאַס מיין ערשטער טעסץ עטלעכע יאָר צוריק: "סטאַרטינג PSEXECSVC ..." נאכגעגאנגען דורך אַ פּויזע איידער די באַפֿעל פּינטלעך.

Impacket's Psexec אַקטשאַוואַלי ווייַזן וואָס איז געשעעניש אונטער די קאַפּטער.

ניט חידוש: פּסעקסעק האט אַ ריזיק סומע פון ​​אַרבעט אונטער די קאַפּטער. אויב איר זענט אינטערעסירט אין אַ מער דיטיילד דערקלערונג, טשעק אויס דאָ דורך דעם ווונדערלעך באַשרייַבונג.

דאָך, ווען געוויינט ווי אַ סיסטעם אַדמיניסטראַציע געצייַג, וואָס איז געווען אָריגינעל ציל פּסעקסעק, עס איז גאָרנישט פאַלש מיט די "באַזינג" פון אַלע די Windows מעקאַניזאַמז. פֿאַר אַן אַטאַקער, אָבער, פּסעקסעק וואָלט מאַכן קאַמפּלאַקיישאַנז, און פֿאַר אַ אָפּגעהיט און כיטרע ינסיידער ווי סנאָוודען, פּסעקסעק אָדער אַ ענלעך נוצן וואָלט זיין צו פיל פון אַ ריזיקירן.

און דערנאָך קומט סמבעקסעק

SMB איז אַ קלוג און געהיים וועג צו אַריבערפירן טעקעס צווישן סערווערס, און כאַקערז האָבן ינפילטרייטיד SMB גלייַך פֿאַר סענטשעריז. איך טראַכטן אַלעמען שוין וויסן אַז עס איז נישט ווערט עס עפענען סמב פּאָרץ 445 און 139 צו די אינטערנעט, רעכט?

אין Defcon 2013, Eric Millman (brav0hax) דערלאנגט smbexec, אַזוי אַז פּענטעסטערס קענען פּרובירן סטעלט סמב כאַקינג. איך ווייס נישט די גאנצע מעשה, אבער דאן האט Impacket ווייטער פארפינצטערט סמבעקסעק. אין פאַקט, פֿאַר מיין טעסטינג, איך דאַונלאָודיד די סקריפּס פֿון Impacket אין Python פֿון גיטהוב.

ניט ענלעך פּסעקסעק, smbexec אַוווידז טראַנספערינג אַ פּאַטענטשאַלי דיטעקטאַד ביינערי טעקע צו די ציל מאַשין. אַנשטאָט, די נוצן לעבן לעגאַמרע פון ​​פּאַסטשער צו קאַטער היגע Windows באַפֿעלן שורה.

דאָ ס וואָס עס טוט: עס פּאַסיז אַ באַפֿעל פון די אַטאַקינג מאַשין דורך SMB צו אַ ספּעציעל אַרייַנשרייַב טעקע, און דעמאָלט קריייץ און לויפט אַ קאָמפּלעקס באַפֿעל שורה (ווי אַ Windows דינסט) וואָס וועט ויסקומען באַקאַנט פֿאַר לינוקס יוזערז. אין קורץ: עס לאָנטשיז אַ געבוירן Windows cmd שאָל, רידערעקץ די רעזולטאַט צו אן אנדער טעקע און סענדז עס דורך SMB צוריק צו די אַטאַקער ס מאַשין.

דער בעסטער וועג צו פֿאַרשטיין דעם איז צו קוקן אין די באַפֿעלן שורה, וואָס איך איז געווען ביכולת צו באַקומען מיין הענט אויף פֿון די געשעעניש קלאָץ (זען ווייטער).

איז דאָס נישט דער בעסטער וועג צו רידערעקט I/O? דורך דעם וועג, די שאַפונג פון די סערוויס האט אַ געשעעניש שייַן 7045.

ווי פּסעקסעק, עס אויך קריייץ אַ דינסט וואָס טוט אַלע די אַרבעט, אָבער די דינסט נאָך אויסגעמעקט - עס איז געניצט בלויז אַמאָל צו לויפן די באַפֿעל און דעמאָלט פארשווינדט! אַן אינפֿאָרמאַציע זיכערהייט אָפיציר מאָניטאָרינג די מאַשין פון אַ קאָרבן וועט נישט קענען צו דעטעקט קלאָר ווי דער טאָג ינדיקאַטאָרס פון באַפאַלן: עס איז קיין בייזע טעקע איז לאָנטשט, קיין פּערסיסטענט דינסט איז אינסטאַלירן, און עס איז קיין זאָגן פון RPC איז געניצט זינט SMB איז דער בלויז מיטל פון דאַטן אַריבערפירן. בריליאַנט!

פֿון די אַטאַקער ס זייַט, אַ "פּסעוודאָ-שאָל" איז בנימצא מיט דילייז צווישן שיקן די באַפֿעל און באַקומען די ענטפער. אָבער דאָס איז גאַנץ גענוג פֿאַר אַ אַטאַקער - אָדער אַן ינסיידער אָדער אַ פונדרויסנדיק העקער וואָס האט שוין אַ פוטכאָולד - צו אָנהייבן קוקן פֿאַר טשיקאַווע אינהאַלט.

צו רעזולטאַט דאַטן צוריק פון די ציל מאַשין צו די אַטאַקער ס מאַשין, עס איז געניצט סמבקליענט. יאָ, דאָס איז דער זעלביקער סאַמבאַ נוצן, אָבער בלויז קאָנווערטעד צו אַ פּיטהאָן שריפט דורך Impacket. אין פאַקט, smbclient אַלאַוז איר צו קאָווערס פטפּ טראַנספערס איבער סמב.

לאָמיר נעמען אַ שריט צוריק און טראַכטן וועגן וואָס דאָס קען טאָן פֿאַר דער אָנגעשטעלטער. אין מיין פיקטישאַס סצענאַר, לאָזן ס זאָגן אַ בלאָגגער, פינאַנציעל אַנאַליסט אָדער העכסט באַצאָלט זיכערהייט קאָנסולטאַנט איז ערלויבט צו נוצן אַ פּערזענלעך לאַפּטאַפּ פֿאַר אַרבעט. ווי אַ רעזולטאַט פון אַ מאַדזשיקאַל פּראָצעס, זי נעמט העט אין די פירמע און "גייט אַלע שלעכט." דעפּענדינג אויף די לאַפּטאַפּ אָפּערייטינג סיסטעם, עס ניצט די Python ווערסיע פֿון ימפּאַקט, אָדער די Windows ווערסיע פון ​​smbexec אָדער smbclient ווי אַן. עקסע טעקע.

אזוי ווי סנאָוודען, דערפינט זי אן אנדער באנוצער'ס פּאַראָל אָדער דורך קוקן איבער איר אַקסל, אָדער זי האָט מאַזלדיק און טרעפט אויף אַ טעקסט טעקע מיט דעם פּאַראָל. און מיט די הילף פון די קראַדענטשאַלז, זי הייבט צו גראָבן אַרום די סיסטעם אין אַ נייַע מדרגה פון פּריווילאַדזשאַז.

כאַק דקק: מיר דאַרפֿן נישט קיין "נאַריש" מימיקאַץ

אין מיינע פריערדיקע אַרטיקלען אויף פּענטעסטינג, איך געוויינט Mimikaz זייער אָפט. דאָס איז אַ גרויס געצייַג פֿאַר ינטערסעפּטינג קראַדענטשאַלז - NTLM האַשעס און אפילו קלאָר טעקסט פּאַסווערדז פאַרבאָרגן ין לאַפּטאַפּס, נאָר ווארטן צו זיין געוויינט.
צייטן האָבן געביטן. מאָניטאָרינג מכשירים האָבן באַקומען בעסער אין דיטעקטינג און בלאַקינג מימיקאַטז. אינפֿאָרמאַציע זיכערהייט אַדמיניסטראַטאָרס אויך איצט האָבן מער אָפּציעס צו רעדוצירן די ריסקס פֿאַרבונדן מיט די האַש (PtH) אנפאלן.
אַזוי וואָס זאָל אַ קלוג אָנגעשטעלטער טאָן צו זאַמלען נאָך קראַדענטשאַלז אָן ניצן מימיקאַטז?

ימפּאַקקעט ס ינווענטאַר כולל אַ נוצן גערופן secretsdump, וואָס ריטריווז קראַדענטשאַלז פון די פעלד קרעדענשאַל קאַש, אָדער DCC פֿאַר קורץ. מיין פארשטאנד איז אַז אויב אַ פעלד באַניצער לאָגס אין די סערווער אָבער די פעלד קאַנטראָולער איז אַנאַוויילאַבאַל, DCC אַלאַוז די סערווער צו אָטענטאַקייט דעם באַניצער. סייַ ווי סייַ, secretsdump אַלאַוז איר צו דאַמפּ אַלע די האַשעס אויב זיי זענען בנימצא.

DCC האַשעס זענען נישט נטמל האַשעס און זיי קענען ניט זיין געוויינט פֿאַר PTH באַפאַלן.

נו, איר קענען פּרובירן צו כאַק זיי צו באַקומען די אָריגינעל פּאַראָל. אָבער, מייקראָסאָפֿט איז געווארן סמאַרטער מיט DCC און DCC האַשעס האָבן ווערן גאָר שווער צו פּלאַצן. יא איך האב האַשקאַט, "די וועלט 'ס פאַסטאַסט פּאַראָל געסער," אָבער עס ריקווייערז אַ גפּו צו לויפן יפעקטיוולי.

אַנשטאָט, לאָמיר פּרובירן צו טראַכטן ווי סנאָוודען. אַן אָנגעשטעלטער קענען אָנפירן געזעלשאַפטלעך ינזשעניעריע פּנים-צו-פּנים און עפשער געפֿינען עטלעכע אינפֿאָרמאַציע וועגן דעם מענטש וועמענס פּאַראָל זי וויל צו פּלאַצן. פֿאַר בייַשפּיל, געפינען אויס אויב דער מענטש ס אָנליין חשבון איז אלץ כאַקט און ונטערזוכן זייער קלערטעקסט פּאַראָל פֿאַר קיין קלוז.

און דאָס איז דער סצענאַר וואָס איך באַשלאָסן צו גיין מיט. לאָמיר יבערנעמען אַז אַן ינסיידער געלערנט אַז זיין באַלעבאָס, Cruella, איז געווען כאַקט עטלעכע מאָל אויף פאַרשידענע וועב רעסורסן. נאָך אַנאַלייזינג עטלעכע פון ​​​​די פּאַסווערדז, ער ריאַלייזיז אַז Cruella פּראַפערז צו נוצן די פֿאָרמאַט פון די בייסבאָל מאַנשאַפֿט נאָמען "Yankees" נאכגעגאנגען דורך די קראַנט יאָר - "Yankees2015".

אויב איר זענט איצט טריינג צו רעפּראָדוצירן דעם אין שטוב, איר קענען אראפקאפיע אַ קליין "C" קאָדעקס, וואָס ימפּלאַמאַנץ די DCC כאַשינג אַלגערידאַם, און צונויפנעמען עס. יוחנן די ריפּער, דורך דעם וועג, צוגעלייגט שטיצן פֿאַר DCC, אַזוי עס קענען אויך זיין געוויינט. לאָמיר יבערנעמען אַז אַ ינסיידער וויל נישט אַרן לערנען יוחנן די ריפּער און לייקס צו לויפן "gcc" אויף לעגאַט C קאָד.

איך האָב געמאַכט די ראָלע פון ​​אַן ינסיידער, איך געפרוווט עטלעכע פאַרשידענע קאַמבאַניישאַנז און יווענטשאַוואַלי קענען צו אַנטדעקן אַז די פּאַראָל פון Cruella איז "Yankees2019" (זען ווייטער). מיסיע געענדיגט!

א ביסל געזעלשאַפטלעך ינזשעניעריע, אַ לאָך פון מאַזל זאָגן און אַ קניפּ פון Maltego און איר זענט געזונט אויף דיין וועג צו קראַקינג די DCC האַש.

איך פֿאָרשלאָגן מיר ענדיקן דאָ. מיר וועלן צוריקקומען צו דעם טעמע אין אנדערע הודעות און קוק אין אפילו מער פּאַמעלעך און סטעלטי באַפאַלן מעטהאָדס, פאָרזעצן צו בויען אויף די ויסגעצייכנט גאַנג פון יוטילאַטיז פון Impacket.

מקור: www.habr.com