العدو بالداخل: كيف دخلت في عملية الحشو من الداخل

كان لدي كل الفوائد. كنت بالفعل داخل الشبكة. كنت خارج الشك. لكنهم اكتشفوا اختراقي ، وطردوا من الشبكة ... وتتبعوا جسديًا.

تبدأ العديد من اختبارات الاختراق في الخارج للتحقق من كيفية التغلب على المحيط. هذه المرة ، أراد العميل أن يرى إلى أي مدى يمكن للمهاجم الذي تمكن بالفعل من أن يكون داخل المنظمة أن يذهب. كيف يمكن أن يوقفوني إذا كنت بالفعل على الإنترنت؟

لذا ، قادوني سراً إلى المكتب ، متنكرين في زي موظف جديد. أعطوني حاسوبًا عاملاً ، وشارة ، وحسابًا في النظام ... الجحيم ، حتى كان لدي كشك خاص به يحمل اسمًا وهميًا عليه. الشخص الوحيد الذي عرف من أنا حقًا هو مدير أمن المعلومات. اعتقد الجميع أنني جيريمي من التسويق.

المخابرات

في صباح اليوم الأول ، كنت مشغولاً بإجراءات التقدم لوظيفة ، والتعرف على زملائي ، وأقوم بعمل قذر. ولكن كان علي التصرف بسرعة. لكل شيء عن كل شيء ، لم يكن لدي سوى أسبوع واحد ، وكان لدي الوقت الكافي لاختراق كل شيء دون التسبب في الشك. لذلك بدأت في العمل.

لتجعلك تفهم: معظم اختبارات الاختراق مباشرة إلى الأمام. أصعب شيء هو اقتحام الشبكة. ولكن بمجرد الدخول ، تحصل على مجموعة واسعة من الأهداف: أجهزة الكمبيوتر القديمة ، وكلمات المرور الافتراضية ، والجميع يجلسون تحت المسؤولين المحليين ... عادةً ما أحصل على حساب مسؤول المجال في يوم أو يومين ، وبعد ذلك بوقت قصير ، مسؤول المؤسسة. يقضي الوقت المتبقي في تغطية المسارات وجمع الأدلة على العواقب المحتملة للهجوم. لكن هذه المرة كانت مختلفة. حان الوقت لتندهش.

أثناء الجلوس على الكمبيوتر ، تظاهرت بأنني أعمل. كنت سأستخدم جهاز الكمبيوتر في مكتبي للبحث ودراسة إعدادات محطات العمل الأخرى ، لكنني لن أهاجمها مباشرة ، حتى لا أترك آثارًا تشير إلي. بدلاً من ذلك ، أحضرت جهازًا منفصلاً للقرصنة: كمبيوتر محمول شخصي مع Linux ومجموعة من أدوات القرصنة. قمت بتوصيله بالشبكة وحصلت على عنوان IP. لم تقم NAC الخاصة بهم بتغطية الشبكة بالكامل: تم الاتصال بأي اتصال من كشك العمل.

بدأت كالمعتاد. اعتراض وتحليل حركة مرور الشبكة من Wireshark ، وتغيير عنوان MAC واسم الكمبيوتر المحمول الخاص بي بحيث تضيع في بنيتها التحتية وتبدو مثل المعدات العادية. ثم - استخدام المستجيب في شبكتك الفرعية للقبض على التجزئات وتكسير كلمات المرور. بسرعة كبيرة ، تمكنت من جمع حفنة كاملة من التجزئة. كنت على شبكة فرعية منتظمة للعاملين ، لذلك كان هناك الكثير من الحسابات المسجلة في المتصفحات المفتوحة التي تبعثر بيانات المصادقة.

المفاجآت الأولى

لقد بدأت في البحث عن تجزئات تم العثور عليها في مجموعتي المكونة من 8 بطاقات فيديو ، ولكن ... حدث خطأ ما. وبسرعة شديدة ، تم التحقق من جميع مجموعات الأحرف الثمانية والأحرف الصغيرة والأرقام والأحرف الخاصة (NetNTLMv2). كلمات المرور الأكثر شيوعًا (كلمة واحدة ، أول حرف كبير ينتهي برقم أو رمز) أخترق على الفور. لكن ليس هنا.

يمكنني تشغيل حسابات صافية على محطة العمل الخاصة بي لرؤية سياسة كلمة المرور مباشرة في م ، لكنني قررت أولاً البحث في مكان آخر. لم أرغب في ترك آثار إضافية. بعد أن بحثت في شبكة ، تمكنت من العثور على متطلبات الأمان. اتضح أن الحد الأدنى لطول كلمة المرور ، والذي كان من المفترض أن يتضمن أحرفًا كبيرة وصغيرة ، أحرفًا وأرقامًا خاصة ، كان 12 حرفًا. وقد بدأوا بالفعل في الانتقال إلى عبارات كلمة المرور ... لقد غيرت مجموعة القواعد الخاصة بي للقوة الغاشمة لاستخدام الكلمات الأطول والأحرف الكبيرة والنهايات من الأرقام والأحرف الخاصة. جلبت لي بعض كلمات المرور!

رائع! دعنا نذهب! حاولت على الفور تسجيل الدخول إلى كمبيوتر المستخدم عن بعد باستخدام كلمة المرور الخاصة به ... ، وتم حظره. ماذا ...؟ عملت دائما. كلمة المرور صحيحة. لكن الوصول مغلق. راجعت نفسي مرتين. ابدأ بالأساسيات. افعلها بشكل صحيح. استغرق الأمر بعض الوقت للبحث عن وحدة تحكم المجال. على هواتف VoIP ، كان هناك تكوينات لصفحات الويب حيث تم تسجيل عنوانه. قمت بسحب خصائص "نهج المجموعة" من وحدة التحكم من خلال LDAP لعرض الامتيازات. بعد عمليات التنقيب الطويلة في كومة الإعدادات ، أدركت أن الوصول عن بعد مسموح به فقط لجزء صغير من متخصصي تكنولوجيا المعلومات ، ولا حتى قسم تكنولوجيا المعلومات بأكمله. وأنا لم أكسر أي من كلمات المرور الخاصة بهم. لقد طبقوا أقل نموذج امتياز ... من يفعل ذلك؟

حسنا ، اذهب إلى الجحيم. سأدير دون الوصول إلى أجهزة الكمبيوتر. سأدخل في مراسلاتهم! لذا فعلت. لقد بحثت عن كلمات المرور في البريد ودردشات Skype والملاحظات والمسودات التي تم فحصها في Outlook. حصلت على مجموعة من كلمات المرور الشخصية من أي شيء ... ولكن ليس كلمة مرور واحدة من حساب الخدمة. ولكني وجدت خطابًا من قسم أمن المعلومات ، ذكر فيه أنهم يخططون لتقديم مصادقة ثنائية للبريد في غضون أسبوع. يبدو أنني ما زلت محظوظًا.

أضعف نقطة في أي نظام

ثم ذهبت إلى بوابة SSO . جميع التطبيقات الداخلية في مكان واحد. حلم القراصنة! نقرت على أحد التطبيقات. يتطلب المصادقة ذات العاملين. المرحلة التالية أيضًا. وما يلي. أي نوع من الكاتراز هذا ؟! كابوس القراصنة!

رأيت أنهم يستخدمون Citrix. إنه وراء المصادقة ذات العاملين ، حسنًا ، ولا يهتم. سأكتشف ذلك. سيتيح لي Citrix الوصول إلى الخادم الداخلي. كنت بحاجة للوصول إلى المضيف الداخلي من أجل إزالة جهاز الكمبيوتر المحمول الخاص بالقرصنة والبدء في التقدم على الشبكة. لقد بدأت Citrix بطلب دبوس مكون من 6 أرقام. يوجد زر يقول "انقر لتلقي رمز مميز" ورقم هاتف تم تعديله قليلاً: (xxx) xxx-5309. بعد البحث في البريد عن "5309" ، عثرت على توقيع المستخدم الذي تمت الإشارة إليه بالكامل لرقم الهاتف. اتصلت به.

أجابت المرأة. "مساء الخير ، بام. أنا جوش من ay. نقوم بترحيل ملف تعريف Citrix الخاص بك إلى الخادم الجديد. سأرسل لك الآن رقمًا مكونًا من 6 أرقام. أريدك أن تقرأ لي. فقط في حالة تذكيرك ، لا نطلب كلمة المرور الخاصة بك. " لقد حصلت بالفعل على كلمة المرور الخاصة بها. ترددت: "Goodooo ..." ضغطت على زر لإرسال رمز مصادقة وقلت: "تم. لقد أرسلت إليك رقمًا ، اقرأه لي ، من فضلك ، عندما تتلقاه ". فأجابت: "أم ... نعم ، فعلت. 9-0-5-2-1-2 ". "شكرا لك! الرجاء عدم تشغيل Citrix لبضع ساعات! " تم ضبط جهاز ضبط الوقت على الشاشة لمدة 60 ثانية. قمت بكتابة الأرقام في نافذة مصادقة ثنائية والنقر على "موافق". تم تسجيل الدخول. اذهب جدعة ، المصادقة الثنائية! مرة واحدة في الداخل ، رأيت ... لا شيء. لا شيء! لم يكن هذا المستخدم بحاجة إلى Citrix ، لذلك لم يكن هناك أي شيء مرتبط به. اخترقت الغرفة الخلفية.

لذا هذا جنون. قد أحصل على كلمة مرور طويلة ، ولكن فقط إذا كنت محظوظًا لألتقط التجزئة الصحيحة. حتى مع وجود كلمة مرور مخترقة ، سيتعين على شخص من مجموعة صغيرة من الأشخاص تجاوز المصادقة الثنائية. كل محاولة ، خاصة مع شخص من هذه المجموعة المحمية ، تزيد من خطر الكشف. اللعنة ...

حاولت كل شيء. لقد أطلقت المزيد والمزيد من عمليات المسح العدوانية ، ما زلت أحاول البقاء تحت الرادار. شعرت بالشبكة بأكملها وجميع الخدمات التي تمكنت من العثور عليها ، مع كل الهجمات التي عرفتها. وعلى الرغم من أنني وجدت هنا بعض الأشياء الصغيرة ، إلا أن هذا لم يكن كافياً للحصول على موطئ قدم في مكان ما. بدأت في اليأس. بالفعل نهاية اليوم الثاني. عادة في هذا الوقت أقوم بالفعل بتثبيت قواعد البيانات ، وأقرأ بريد الرئيس التنفيذي وأقوم بتصوير الأشخاص على كاميرات الويب الخاصة بهم. تبا. حان الوقت لاقتحام مخبأ تكنولوجيا المعلومات. انا ذاهب لسرقة أجهزة الكمبيوتر المحمولة.

غارة ليلية

ظللت باقية بعد العمل. قال الزملاء أنه من الضروري إكمال دورة حول الأمن الوظيفي. أومأوا ورميوا. ثم جاء عمال النظافة. عندما انتهوا ، تركت وحدي. ذهبت إلى مكتب موظفي تكنولوجيا المعلومات. وجدت الباب. بالنظر حولي ، أمسكت بالمقبض ...

قبل ذلك ، جربت بالفعل أشياء مختلفة مع جهاز الكمبيوتر المحمول في مكتبي ، لكنني لم أكن مسؤولًا محليًا ، وكان القرص مشفرًا تمامًا. كان هدفي هو العثور على كمبيوتر محمول قديم غير مشفر به تجزئة كلمة مرور المسؤول المحلي.

راجعت الردهة حتى لا يكون هناك أحد. مسحت سقف الكاميرات الأمنية. فتحت فمي وأملت رأسي لأسمع أن شخصًا ما قادم من الزاوية. لا شيء. كنت على استعداد للعمل. استعدت للتجول في قفل ميكانيكي ، والتعامل مع أنظمة التحكم في الوصول الإلكترونية أو إزالة الباب من المفصلات ، لكنني وجدت أن الباب كان جارياً. محظوظ. كان هناك قفل إلكتروني وقفل ميكانيكي على الباب. حتى الحلقات المحمية. لكن أحدهم تركها مكشوفة في تلك الليلة. فتحت الباب ونظرت فيه ، توقعت أن أصطدم شخص بداخله. لا أحد. تعال. مجرد غبار. ذهبت إلى الداخل.

ليس لدي أي فكرة عن سبب فتح الباب ، ولكن 80٪ من عملي هو أخطاء المستخدم ، و 56٪ من المهارات ، و 63٪ من القدرة على التكيف ، و 90٪ من استخدام الميزات ، و 80٪ من الدهون هو الحظ. وحوالي 1٪ فقط لها علاقة بالرياضيات ...

على أي حال. لم أكن أعرف ما إذا كان أي شخص سيعود إلى هنا في أي لحظة ، لذلك بدأت العمل. في الزاوية تكمن أكوام من أجهزة الكمبيوتر المحمولة من مختلف الأعمار والشركات المصنعة والنماذج. بعد وزن مخاطر الوقوع في مكتب موظفي تكنولوجيا المعلومات أو مع مجموعة من أجهزة الكمبيوتر المحمولة على مكتبي ، اخترت مكتبي. والآن أقوم بسحب أذرع من أجهزة الكمبيوتر المحمولة القديمة من حفرة تكنولوجيا المعلومات إلى حجري ، وأطوي برج بيزا المائل تحت مكتبي. ثم بدأت بشكل منهجي في محاولة تمهيد كل كمبيوتر محمول من محرك أقراص محمول بحثًا عن الكأس المقدسة غير المشفرة.

لدي محرك أقراص فلاش قابل للتشغيل مع كالي وأداة samdump2. أقوم بتوصيله بأحد أجهزة الكمبيوتر المحمولة وتحميله ومحاولة تحميل القرص الصلب. في كل مرة أجد فيها التشفير ، أشعر بالانزعاج أكثر فأكثر. أخيرًا ، بعد 30 جهاز كمبيوتر محمول تم اختباره ، أجد ثلاثة قتلى نصفهم بمحركات غير مشفرة. باستخدام samdump2 ، قمت بسحب تجزئات NTLM المحلية من SAM ومقارنتها. وبالتالي ، من الممكن العثور على حساب غير قياسي لـ "ladm" المسؤول المحلي على جميع الأجهزة الثلاثة. مباراة تجزئات. المجد لإريس ، إنهم لا يستخدمون LAPS . حساب المسؤول المحلي هو نفسه على كافة أجهزة الكمبيوتر. لقد كسرت هذا التجزئة بسهولة تامة. كانت كلمة المرور <اسم الشركة> <عام> ، ومرت هذه السنة قبل عامين. خطأ في إدارة الأصول. أحبه.

حاولت تسجيل الدخول عن بعد تحت الحساب الجديد وحصلت على نفس الخطأ كما كان من قبل. حتى المسؤول المحلي تم منعه من الوصول عن بعد ... حاولت تسجيل الدخول محليًا إلى جهاز الكمبيوتر المحمول في مكتبي ، ونجحت! تجاوز هذا الحساب التشفير الكامل! المفتاح الرئيسي! لذا ... سووو! يمكنك الاستفادة من هذا! ولكن بعد ذلك لاحظت شيئًا غريبًا ... لم يكن لدي حقوق الوصول إلى بيانات المستخدم. ماذا؟ هل تم تقييد وصولهم إلى الإدارة المحلية ؟! الجحيم كان من الضروري زيادة الامتيازات للنظام.

حاولت كل الحيل التي تتبادر إلى الذهن. في النهاية ، بحثت عن نقاط الضعف في مسار الخدمة غير المقتبسة ووجدت زوجين! ولكن كان الاستنتاج هو أن المسؤول المحلي لم يكن لديه إذن الكتابة إلى المجلدات المطلوبة. نعم ، أسقطه! وبحلول ذلك الوقت كنت قد استنفدت بالفعل وكسر. كان نوبتي 17 ساعة تنتهي. لم يعد الدماغ يعمل. كان طريق مسدود آخر. سلسلة أخرى من القتال الشاق والاختراق الناجح من أجل فشل آخر. كان عليه أن يذهب إلى المنزل وينام قليلاً ليبدأ مرة أخرى في اليوم التالي.

اتصل بصديق

في اليوم التالي راجعت كل شيء مرة أخرى للتأكد من أنني لم أفوت أي شيء. راجعت كل ما يمكنني التحقق منه ، وفحصت كل ما يمكنني مسحه ، وفعلت كل ما يتبادر إلى ذهني. يؤدي في كل مكان صغير ، ولكن لا شيء جدير بالاهتمام. اتصلت بزميل من دالاس هاكرز . بعد أن أخبرته عن محناتي ، انتهى بي الأمر إلى آمال متداعية لضعف مسار الخدمة غير المقتبس ، عندما أظهر لي الاستنتاج عدم وجود الامتيازات اللازمة. سأل: "لكنك ما زلت تحاول استغلالها رغم ذلك؟" جمدت. لم أحاول. في تلك الحالة ، صدقت النتيجة ولم أتحقق منها بنفسي. جيد حاولت كتابة البيانات في دليل. نفس الشيء الذي لم يكن لدي ، وفقًا لنظام Windows ، حق الوصول إليه للكتابة إليه. وفعلت ذلك. لعنة النوافذ. لقد خدعت مرة أخرى. لكن حسنًا. هذا سقط ميت. فكرة جديدة.

ألقى لي زميل بسرعة أداة تحميل في C ، والتي أطلقت الحمل على Powershell. لقد تجرأت على فحص الحزمة على جهاز الكمبيوتر الخاص بي ، وبدا أن كل شيء يعمل بشكل جيد. لقد كانت هجمة ضارة. ولكن هذا كل ما لدي. كنت ذاهب إلى:

1. قم بتشغيل المستمع على جهاز الكمبيوتر المحمول الخاص بي
2. تمتع بالوصول الفعلي إلى كمبيوتر محمول في المكتب
3. تسجيل الدخول كمسؤول محلي
4. قم بتنزيل مجموعة Malvari الخاصة بك في مسار الخدمة غير المسعرة
5. اخرج
6. انتظر تسجيل دخول المستخدم وبدء التحميل

استراحة الغداء تقترب. أجبت بابتسامة على دعوات زملائي للذهاب لتناول وجبة خفيفة وبقي قليلا. في البداية ، خططت لزيارة موظفي تكنولوجيا المعلومات والوصول إلى أحد أجهزة الكمبيوتر الخاصة بهم أثناء تناولهم الغداء. ولكن عندما ذهبت إلى مكتبهم ، رأيت أنهم كانوا في مكانهم! تناول طعام الغداء أمام أجهزة الكمبيوتر! لا يعرفون كم هو ضار؟! فكيف يؤدي عدم فصل العمل والراحة وعدم الراحة إلى الإجهاد ؟! لماذا لا يأكلون مثل الناس العاديين ؟!

نعم اذهب. سأقوم باختراق جهاز كمبيوتر. أي جهاز كمبيوتر. تجولت حول المكتب ووجدت مكتبًا لم يكن فيه أحد. الممولين. حسنًا ، اختراق الأموال. أجبت بشيء لامرأة صغيرة لطيفة عادت إلى محفظتها. دعها تعرف أنني فني تكنولوجيا المعلومات أقوم بتحديث أجهزة الكمبيوتر. أومأت برأسها ، وابتسمت بلطف ، غادرت. غاضب ، ووجه مملوء بالكراهية والشماتة ، التفت إلى أحد أجهزة الكمبيوتر الخاصة بزملائها واخترقها.

استغرق أقل من 30 ثانية. أعدت الكرسي والماوس إلى الحالة التي كانت عليها قبل وصولي. مرة أخرى نظرت بسرعة ، وأتأكد من أن كل شيء يبدو عاديًا. وعاد إلى مكان عمله. اجلس حدقًا في مستمعك. في وقت ما ، انتهى الغداء. لم أكن أرغب حتى في التحدث. بدأت بالفعل تفقد الأمل ، رأيت:
> Meterpreter session 1 opened
ثم ...
> Meterpreter session 2 opened
> Meterpreter session 3 opened
...
> Meterpreter session 7 opened
يسارك! قمت بتشغيل GETUID ورأيت NT AUTHORITY \ SYSTEM. الثالث هكتار!

جيد! عظيم! لذا! أم ... دعنا نذهب! نعم فعلا! بعد الإصلاح في النظام ، قمت بتفريغ الذاكرة وبدأت الحفر في نظام الملفات. نوع من المعلومات المالية. بعض كلمات المرور في واضحة. معلومات حساسة ، ولكن لا شيء خطير. لكن حسنًا. هذه هي البداية فقط. الجسر. ثم ...
> Meterpreter session 1 closed

أحاول التشبث بالجلسات ، لكن جميعها مغلقة. أنا بينغ النظام لا يستجيب. سوف أقوم بمسح المنفذ 445. لا شيء. النظام غير متوفر. ذلك. أوه. كثير جدا. أستيقظ وأتوجه مباشرة إلى قسم المالية. ماذا حدث لقذائفي ؟!

عند الدوران ، أرى أن امرأة عجوزًا لطيفة تتحدث إلى شخص تكنولوجيا المعلومات الأكثر ضراوة وشراسة. أفعل بسرعة "أوه ، يو ..." وأستدير عندما تنظر المرأة العجوز في اتجاهي ، وتوجهني بإصبع مباشرة وتصرخ: "هذا كل شيء! كان يعبث بأجهزتنا! " أبعث صرخة دامية القلب وأسرع في الجري. بعد أن أدرت ظهري لمتخصص تكنولوجيا المعلومات الشرس ، ركضت في الاتجاه المعاكس وأتعثر على اثنين من حراس الأمن. إنها تبدو غير ودية للغاية وتوضح أنني تجولت في المنطقة الخاطئة. استيقظت في الدم ، وتم تثبيتي على كرسي المكتب المريح مع روابط الكابلات التي تربط بها الكابلات في غرفة الخادم. رأس DFIR واقفا أمامي ، طرقت مفاصل لها. وراءها ، يبتسم فريق صغير من المحللين من مجموعة كشف التسلل. أنا أضغط على كلمة واحدة ... أريد أن أعرف ... "كيف ...؟" تتكئ على أذني وتهمس: "لا أحد في وزارة المالية يبدأ Powershell ..."

حسنًا ... أضفت القليل من الدراما في النهاية. لكن قصة كيف تعرفت على امرأة عجوز سلمتني لمتخصصي تكنولوجيا المعلومات قصة حقيقية. اعتقلوني هناك. أخذوا حاسوبي المحمول وأبلغوا الإدارة عني. جاء مدير أمن المعلومات وأكد وجودي. والطريقة التي اكتشفوا لي أنها حقيقية أيضًا. تلقوا إخطارًا بأن Powershell كان يعمل على نظام لا ينتمي إلى مجموعة صغيرة من الأشخاص والمطورين في مجال تكنولوجيا المعلومات الذين بدأوا Powershell في الظروف العادية. طريقة بسيطة وموثوقة للكشف عن الشذوذ.

الاستنتاجات

الفريق الأزرق

• نموذج الامتياز الأقل
• المصادقة متعددة العوامل
• قواعد بسيطة للكشف عن الشذوذ
• دفاع عميق

الفريق الأحمر

• استمر في المحاولة
• لا تفترض
• اطلب المساعدة
• أعد محظوظ
• التكيف والتغلب