تحية للجميع! من يتحدث الاسبانية؟ ! رائع لقد فزنا بهذه الجائزة لأنه في الصباح ، شارك فريقنا ، الفريق الإسباني ، في إحدى دورات كرة القدم وتلقينا هذه الكأس ، لذلك أعتذر للأرجنتين وجنوب إفريقيا عن فوزنا بهذه الجائزة. شكرا لكم جميعا لحضوركم عرضنا. بادئ ذي بدء ، اسمحوا لي أن أقدمكم إلى صديقي خوان كوريدو ، وأنا كيما ألونسو. نحن نعمل في شركة إسبانية صغيرة Informatica64 ، وقبل بدء محادثة حول هذا الموضوع ، أريد أن أعرض بلدنا.
إسبانيا بلد صغير في منتصف كل شيء ، فهو يقع بين أوروبا وأفريقيا وأمريكا الجنوبية ، لأن هذه هي قصتنا. إذا لم تذهب إلى إسبانيا مطلقًا ، فيجب عليك الذهاب إلى هناك. أنا من مدريد ، إنها مدينة جميلة ، وكانت عاصمة إمبراطورية كبيرة قبل 500 عام. إذا أتيت إلى مدريد ، فلن تشعر أنك أجنبي ، لأنه إذا أتيت إلى مدريد ، فأنت بالفعل مدريد. خوانيتو من مدينة أخرى ، من إشبيلية. كانت هذه المدينة عاصمة الإمبراطورية العربية في القرن السابع ، عندما كانت إسبانيا دولة عربية. على الشريحة التي تشاهدها البرج الذهبي ، وهي مبنية من الذهب ، الذي تم إحضاره إلى أوروبا من أمريكا الجنوبية.
إشبيلية مشهورة جدا بالفلامنكو والمهرجانات ومعالمها - على هذه الشريحة أحد أكبر المعالم المعمارية ، Plaza de España ، ربما تعرفها جميعًا. يجب عليك زيارة هذا النصب وستقع في الحب ، لأنه إذا وقع Anakin Skywalker في حب إشبيلية ، يمكنك القيام بذلك أيضًا. لذلك لا تنسى زيارة بلادنا.
خوانيتو من تريانا ، هي جمهورية صغيرة مستقلة في إشبيلية ، مشهورة جدا بالأسبوع المقدس ، لأن سكانها متدينون للغاية ، والآلاف منهم يقيمون عروضا دينية في هذا الوقت ، وبطبيعة الحال ، بعد ذلك يشربون.
لذلك ، نحن نعمل في Informatica64 وربما سمع الكثير منكم عن أداة قمنا بتطويرها تسمى Foca. هذه أداة مجانية يمكنك استخدامها لاختراق المعلومات واختبار الاختراق وما إلى ذلك. غدًا ، سننشر في ورشة العمل الخاصة بنا على الإنترنت في الساعة 8 صباحًا إصدارًا جديدًا ثالثًا من هذا البرنامج ، حتى يتمكن أي منكم من المشاركة في اختباره.
موضوع حديثنا اليوم هو حول التطبيقات عن بعد باستخدام Citrix و Windows Terminal Service. الشركات تضعهم في السحب. في عرضنا التقديمي ، سوف نصف كيفية استخدام التطبيقات ذات الملحق .ica وملفات الخدمة الطرفية ، وأتمتة تحليل البيانات باستخدام FOCA. يسمح هذا للمهاجم بتحديد البرامج الداخلية والشبكات الداخلية والجمع بين المعلومات أثناء فحص PTR وأثناء الهجمات الضارة باستخدام ملفات Excel. نتيجة لذلك ، سوف نستخدم ميزة سياسة الأمان الصعبة لتطبيقات Excel عن بعد ، والتي تمنح المتسللين القدرة على تجاوز قيود الماكرو والوصول إلى معلومات الشركة السرية.
في السابق ، قمنا بإجراء قدر كبير من العمل بشأن هذا الموضوع ، حول موضوع Citrix و Windows Terminal Service ، لكن ما زلنا نعتقد أن هذا مهم ، لأنه حتى الآن لم يزعج أحد هذه المشكلة بشكل خطير. سنبين مدى سهولة اختراق المتسللين لبيانات الشركة باستخدام هذه الأدوات.
من السهل جدًا العثور على نقطة دخول شركة تبحث عن تطبيقات عن بُعد أو اتصالات عن بُعد عبر Google. انهم يبحثون عن ملفات .rdp. يمكنك العثور على ما يقرب من ألفي مكان ، و 2000 خادم ينشرون هذه التطبيقات. يمكنك أيضًا العثور على المواقع الحكومية التي تستخدم تطبيقات "سحابية" عن بُعد ، يمكنك فقط النقر عليها ومعرفة ما يحدث.
يمكنك فعل الشيء نفسه في BING. لا يمكنك استخدام معدّل امتداد الملف ، ولكن يمكنك استخدام نوع الملف .txt والبحث عن أي معدّلات تظهر في جميع الملفات بآلاف التطبيقات البعيدة التي عثرت عليها.
بعض الأماكن التي نكتشفها باستخدام هذه التطبيقات عن بُعد هي مواقع حكومية. على الشريحة ، ترى نظام إدارة أوامر الدوريات الموجود في نطاق .mil في الولايات المتحدة الأمريكية ، وهذا هو موقع الجيش.
كنا بصدد تقديم عرض توضيحي بناءً على هذا الموقع وتحدثنا مع جيف ، لكن اليوم قام بإصلاحه ، ولا نعرف السبب. لكننا على استعداد لنقدم لك تجربة مع موقع حكومي آخر - وزارة النقل في كاليفورنيا.
فقط من خلال قراءة هذه الصفحة ، في أسفل الصفحة ، يمكنك العثور على تطبيق RouteCleaning البعيد ، وهو ملف بامتداد .ica ، وتنزيله بالنقر على الرابط. دعونا نرى ما نحصل عليه. أؤكد لكم ، لقد عملت قبل 5 دقائق. حسنًا ، لم ننجح ، لكن لا تقلق ، لدينا عرض آخر.
في هذه البيئة ، كما سنرى ، هناك العديد من الأشياء التي تقلقك ، ومن الصعب للغاية ضمان أمان جميع التطبيقات. هذه الشريحة مع ليوناردو دي كابريو لا معنى لها ، لأنها تشير إلى مظاهرة فاشلة. آسف مرة أخرى ، ولكن قبل 5 دقائق نجحت حقا.
هل تصر على أن نحاول مرة أخرى؟ حسنًا ، سنكتب في دائرة النقل في كاليفورنيا مرة أخرى في المتصفح. لا ، إنه لا يعمل مرة أخرى. أنها ثابتة عليه! لكن صدقوني ، قبل 5 دقائق كل شيء يعمل من أجلنا. حسنًا ، لا تقلق.
دعنا نستمر. أكبر مشكلة في ملفات التكوين هذه هي لغتها. يمكنك ببساطة قراءة ملفات .txt والعثور فيها على الكثير من جميع أنواع المعلومات ، مثل عنوان IP الداخلي وكلمات مرور المستخدم المشفرة. يمكنك كسر كلمات المرور المشفرة هذه ، ولكن لن تتمكن من الوصول إلى النظام باستخدام حساب مجهول أو حساب مستخدم. المذكورة هنا هي البرامج الداخلية. لذلك فإن هذه الملفات مثالية للهجمات الإلكترونية المستهدفة مثل APT للأشخاص الذين يجمعون المعلومات لتنظيم مثل هذه الهجمات. يتيح البحث البسيط عن ملفات .ica على الإنترنت اكتشاف الملفات باستخدام كلمة مرور لـ Oracle ببساطة في النص.
لهذا لا تحتاج إلى القيام بأي شيء خاص ، فهناك معلومات كافية في هذه الملفات. لذلك ، قررنا إضافة هذا النوع من الملفات إلى أداة FOCA الخاصة بنا ، والتي تستخدم لجمع المعلومات وتحديد مواقع الشركة. ترى بالفعل نسخة جديدة من البرنامج ، والتي ستكون متاحة غدا لأولئك الرجال الذين يبحثون عن هذه الأنواع من الملفات واستخراج المعلومات منها.
المشكلة الكبيرة الثانية هي أنها جميعها ملفات نصية ذات ملحق .txt ، بحيث يمكن للمهاجم تعديل ملفات التكوين بحرية ومن ثم الوصول إلى أجزاء أخرى من نظام التشغيل. يمكنه إنشاء رسائل خطأ على الخادم ، لذلك عند استخدام Citrix ، ستتلقى رسالة مفادها أن هذا الملف أو التطبيق غير موجود على الخادم. سيتمكن القراصنة أيضًا من الحصول على قائمة التطبيقات الكاملة المثبتة على جهاز الكمبيوتر الخاص بك.
من السهل جدًا القيام بذلك مع "الخدمات الطرفية" - في وضع التطبيق عن بُعد ، سيمنح الأمر -0 الوصول إلى سطح المكتب بالكامل ، ولن يمكّن الأمر -1 إلا من الوصول إلى التطبيقات. تنشئ الإصدارات ذات الرقم <6 لبروتوكولات RDP غلافًا بديلًا ، على الرغم من أنها لا تعمل مع Terminal Services تحت 2008. على سبيل المثال ، تتلقى رسائل خطأ متعددة ، مثل "تم رفض الوصول" ، لأن هذا الملف ينتمي إلى نظام التشغيل. ولكن حقيقة أنه لا يمكنك الوصول إلى هذا الملف يعني أنه غير موجود على الخادم ، ولكن موجود على الكمبيوتر.
الشيء الإيجابي هو أنه يمكنك أن تفعل الشيء نفسه في Citrix ، وليس هناك حماية هنا لمنع اتصال واحد ، اتصال آخر ، وآخر ، وهلم جرا ، لا تحتاج حتى إلى إدخال كلمة التحقق.
يمكنك تحسين هذا الإجراء بمساعدة برنامج تم إنشاؤه من قبلنا يسمى CACA ("AS") ، وهو اختصار لعبارة "تطبيقات الكمبيوتر Citrix".
ما عليك سوى فتح "AS" ، وتحديد ملف .ica واحد ، وعلى جانب المفكرة ، ترى قائمة من الإعدادات "لا تتجاوز" ، و "حساب" ، و "عدد التهديدات" ، وهكذا ، تضغط على الزر "ابدأ" ، ويمكنك الحصول على فنجان من القهوة أثناء استخدام CACA هل العمل من أجلك؟ تحاول فتح التطبيق ، أثناء قيامها بلقطات ، لذلك عند الانتهاء من العمل ، يمكنك عرض رسائل الخطأ. وبالتالي ، يمكنك معرفة ما إذا كان هذا التطبيق موجودًا على الخادم أم لا. يمكنك استخدام قائمة كبيرة من التطبيقات. من خلال إطلاق "KAKA" على جهاز الكمبيوتر الخاص بك في بداية اليوم ، ستتلقى في نهاية اليوم قائمة بالتطبيقات في "KAKA".
شيء آخر يمكن القيام به مع الخدمات الطرفية ، أطلقنا عليه "العزف على البيانو". هناك العديد من الروابط في الخدمات الطرفية و Citrix ، خاصة في Windows 2008 ، هناك العديد من المتغيرات ، مثل٪ SystemRoot٪ ،٪ ProgramFiles٪ ،٪ SystemDrive٪ ، العديد من اختصارات لوحة المفاتيح والعديد من الوظائف التي تسمح للمتسلل بالوصول إلى هذه الأجزاء من النظام ، الذي حتى لا يحصل مسؤول النظام.
نحن حقًا نحب Windows Server 2008 ، لأنه سيساعد في كل شيء! إذا طلبت تطبيقًا غير موجود في نظام التشغيل ، فسوف يوفر لك Windows Server 2008 نافذة بها خطأ وزر مساعدة. لماذا لا تستفيد من هذه المجاملة؟ لذلك ، عند النقر فوق زر Help (تعليمات) ، سيقدم لك البرنامج قراءة الدليل مع العديد من الروابط التي تتيح لك فتح IE ، وتنشيط لوحة "Open file" ، وتشغيل نوع من الأوامر ، وهلم جرا.
يسمح لك "العزف على البيانو" باستخدام العديد من اختصارات لوحة المفاتيح للوصول إلى أجزاء مختلفة من نظام التشغيل.
عند استخدامها ، نحصل على المزيد والمزيد من اختصارات لوحة المفاتيح الجديدة.
ميزة مثيرة للاهتمام هي وظيفة مفاتيح لزجة. إذا قمت بالضغط على المفتاح SHIFT ثلاث إلى أربع مرات على التوالي ، فإن نظام التشغيل يعرض قائمة لإعداد وظيفة مفاتيح الالتصاق بلوحة التحكم. لذلك حتى لو لم يكن لديك وصول إلى لوحة التحكم من خلال مفاتيح لاصقة ، يمكنك تكوين جميع لوحات التحكم في نظام التشغيل ببساطة عن طريق النقر فوق "حفظ".
سوف نعرض لك الآن عرضًا تجريبيًا من موقع Citrix. هذا موقع سيتريكس ، لكن هذه الصفحة تهدف إلى إظهار قدرات الخوادم ، لذلك فإن العرض التوضيحي قانوني تمامًا.
نقوم بإدخال اسم المستخدم وكلمة المرور وإدخال بيئة Citrix. ترى الكثير من التطبيقات هنا. سنستخدم Excel لأن موضوع العرض التقديمي هو Excel. لذلك دعونا نذهب إلى التطبيق وتشغيل Excel.
يقوم النظام الآن بتحميل مكونات العميل. كل شيء جاهز ، والآن نستخدم IE. صدقوني ، يعمل Excel ، فقط سرعة الإنترنت منخفضة. هنا ، أخيرًا ، ظهرت نافذة Windows Server 2008 ، نحن نتصل بجهاز Excel البعيد. ببطء شديد ... إذا نفذ شخص ما هجومًا في الوسط على هذه الشبكة ، فيرجى التوقف عن القيام بذلك (ضحك). ماذا حدث للإنترنت؟
بطيئة جدًا ... حسنًا ، أخيرًا! لقد فتحنا اكسل! كما ترون ، ظهرت البيانات المالية السرية للشركة على الشاشة.
يجب حماية هذا الملف بواسطة بيئة Citrix ، فلنحاول استخدام متغيرات البيئة للاتصال بالدليل الجذر. كما ترون ، عندما نحاول فتح مكتبة "المستندات" ، نحصل على رسائل "تم رفض الوصول" ، لكن يمكنك القيام بالعديد من الحيل.
إحدى هذه الحيل هي إنشاء اختصار لأمر cmd ، ثم تشغيله ... لا يعمل! أنها ثابتة عليه. ليس مخيفا ، هناك الكثير من لوحات المفاتيح. إنشاء اختصار بوويرشيل وتشغيله. كما ترون ، عملت! الآن يمكننا الوصول إلى كل ما نحتاجه.
هذا أمر صعب للغاية بالنسبة لنا ، لأن أنظمة التشغيل أصبحت أكثر تعقيدًا كل يوم ، كما أصبحت التطبيقات التي تنشر على الخادم أكثر تعقيدًا. وبالتالي ، فإن كل تطبيق تنشره على "الخدمات الطرفية" يعمل بمثابة وسيلة للوصول إلى نظام التشغيل الخاص بك. بالإضافة إلى ذلك ، كل تطبيق هو وسيلة لزيادة امتيازات الوصول. تعتبر التطبيقات المعقدة مثالية لهذه العمليات ، ويعتبر Excel تطبيقًا معقدًا تنشره الشركات من خلال خدمات للتطبيقات البعيدة.
هذه أداة قوية للغاية ، ويحب الرؤساء Excel ، لأنه يمكنك عمل الكثير من الرسوم البيانية والمخططات المضحكة ، وتحليل مجموعة من البيانات ، وربط Excel بقواعد البيانات ، وإجراء التنقيب عن البيانات ، والقيام بالعديد من الأشياء الأخرى الصديقة للأعمال.
ولكن من أجل القيام بكل هذا ، تحتاج إلى بيئة Visual Basic. يمكنك إزالة Visual Basic من Excel الخاص بك ، ولكن في نفس الوقت سيصبح تطبيقًا مختلفًا تمامًا ، ولن يبقى Excel.
وبالتالي فإن الفكرة هي أنه بفضل إمكانيات Visual Basic ، يمكنك القيام بالكثير من الأشياء باستخدام Excel. دعونا نظهر هذا.
لذلك ، لدينا Windows 2008 مع خدمات المحطة الطرفية ، وفي هذه البيئة ننشر Excel 2007. نستخدمه لأن سياسات الأمان وسياسات تقييد التطبيق هي نفسها إلى حد ما. الفرق الرئيسي بين أمان MS Office 2010 و 2007 هو صندوق الحماية ، أي فيما يتعلق بالملفات التي تقوم بتنزيلها من مصدر غير آمن على الإنترنت. ولكن بمجرد تنزيل الملف على جهاز الكمبيوتر الخاص بك ، ستكون سياسات أمان المجموعة هي نفسها بالنسبة إلى وحدات الماكرو. يمكنك استخدام وحدات الماكرو غير الموقعة ووحدات الماكرو الخارجية.
وبالتالي ، في هذه البيئة ، يمكننا تنفيذ Excel باستخدام وحدات الماكرو. بشكل افتراضي ، تتيح سياسات الأمان للمستخدم إمكانية اختيار ما إذا كان سيتم تمكين وحدات الماكرو أم لا. ومع ذلك ، عند بدء تشغيل Excel على خادم بعيد ، يكون هذا الخيار خيارًا إضافيًا ويتم تمكين وحدات الماكرو افتراضيًا ، لأن Visual Basic for Applications لا يعمل على الكمبيوتر المحلي ، ولكن على الخادم. هذا فرق كبير.
في هذا المثال ، سنقوم بإنشاء لوحة ، وسترى أنه في رسالة سياسة الأمان ، يتم تحديد هذا الخيار للعمل مع الماكرو بواسطة المستخدم - سواء للسماح باستخدام هذا المحتوى أم لا. بالطبع ، نقر على "السماح" ، وبعد ذلك يظهر الرسم البياني مع المؤشرات المالية للشركة على الشاشة.
باستخدام هذا الموقف من التطبيق ، يمكنك القيام بأشياء كثيرة ، على سبيل المثال ، عرض العمليات التي تعمل. باستخدام أدوات إدارة Windows ، يمكنك استخدام الأوامر للحصول على النتائج وعرضها في ملف Excel.
سنغلق هذه النافذة ونعود إلى العرض التقديمي. بعد عرض هذا العرض التوضيحي ، يصبح من الواضح أنك يجب أن تهتم بأمان Excel في بيئة بعيدة. أول شيء يجب على مسؤول النظام الاهتمام به هو تأمين بعض وحدات التحكم الخاصة ، مثل -cmd.exe و -powershell -script -cript. ولكن هناك الكثير من وحدات التحكم هناك ، وهناك نسخة احتياطية في Windows Server 2008 تنشئ نسخًا من كل لوحات التحكم هذه. هذا يخلق مشكلة مزدوجة لأنه يتم تكرار لوحات المفاتيح. في هذه البيئة ، يتم حظر جميع لوحات المفاتيح ، ولهذا استخدمنا قوائم ACL وسياسات الأمان ، ولكن حتى يمكننا استخدام لوحات المفاتيح من نظام تشغيل آخر.
تم طرح هذه الفكرة من قِبل ستيفنز وأنه يمكنك تضمين ملف dll في ملف excel وأن هذا dll هو مترجم واسع النطاق. لذلك ، ببساطة عن طريق الاتصال بالمترجم الفوري من دلل الخاص بك ، سوف تحصل على الوصول إلى الخادم. لذلك دعونا نرى التجريبي الثاني ، الذي يتعامل مع لوحات المفاتيح المحظورة. سنذهب إلى Windows Server 2008 ونحاول تنفيذ cmd.exe ، وهو أمر محظور. ترى أنه لا يوجد شيء مناسب لنا ، لأن وحدة التحكم هذه محظورة - يظهر نقش أن هذا البرنامج محظور بسبب سياسات أمان المجموعة.
لكن ملف Excel الذي نحن على وشك فتحه يحتوي على .dll من ReactOS و .dll لمحرر التسجيل ، وكذلك من ReactOS. لذلك ، نفتح سطر الأوامر عن طريق الضغط على زر "سطر الأوامر" ، والآن يقوم ملف Excel باستخراج .dll لتنفيذه. في الواقع ، سنحصل على مترجم أوامر ReactOS.
ترى على الشاشة أننا حصلنا على مترجم أوامر ReactOS ، وهو لا يختلف عملياً عن مترجم أوامر Windows 2008. لذلك فهذه خدعة جيدة.
في الوقت نفسه ، لا يوجد cmd.exe مرئيًا في مدير المهام ، لأنه ملف .dll داخل ملف Excel ويمكن رؤية تطبيق EXCEL.EXE فقط في مدير المهام ، وبالتالي فإن الشركة التي هاجمتها لن تشك في أي شيء.
دعنا نعود إلى شرائح لدينا. بعد مشاهدة العرض التوضيحي الأخير ، يمكنك القول - حسنًا ، سوف أقوم بإيقاف تشغيل جميع وحدات الماكرو لجهاز الكمبيوتر الخاص بي. ولكن الحقيقة هي أنه وفقًا لسياسات الأمان ، فإن تعطيل Visual Basic يعني حظر استخدامه لجميع تطبيقات Office ، وليس فقط لـ Excel ، أي أنه سيؤثر على Word و PowerPoint و Access وما إلى ذلك.
هناك 4 خيارات أمان الماكرو في إعدادات Excel: لا تستخدم وحدات الماكرو ، واستخدام وحدات الماكرو الموقعة فقط ، واستخدام وحدات الماكرو بناءً على تقدير المستخدم لكل حالة محددة ، واستخدام جميع وحدات الماكرو. إذا كان المستخدم متسللًا ، فسيحدد 3 خيارات. الآن سوف نعرض لك العرض التوضيحي لـ Excel ، والذي اخترناه الخيار الأول - لا تستخدم وحدات الماكرو على الإطلاق.
نستخدم مرة أخرى ملف Excel المنشور عبر البيئة البعيدة ، لذلك نعود إلى Windows 2008 وننهي اتصال الإنترنت غير النشط. بعد ذلك ، نذهب إلى السياسيين ، وحدد مربع الاختيار "تمكين" لتمكين سياسات الأمن وحدد المعلمة الثالثة "لا توجد تحذيرات لجميع وحدات الماكرو ، ولكن مع فرض حظر على جميع وحدات الماكرو" في القائمة المنسدلة.
ثم نضغط على الزرين "Apply" و "OK" ، وننتظر تغيير المعلمات ، والعودة إلى العميل ، وفتح ملف Excel. هذه هي واحدة من الحيل المفضلة لدي. عندما تتمكن من فتح مستند ، ترى أنه لا يمكن القيام بأي شيء لأن كل شيء محظور. , , .
Excel – trusted locations. – , , . , . , – , . , – Excel. , , . , , !
, – ! , – ! , , , . . , .
, 4 . : 1 – , 2- , – , 4 – . « ».
«», «» .
, Excel , , . « », « ».
, . , , . , , Certificate Import Wizard!
, , – « » « » ( ).
, , . , . CRL, CRL HTTP LDAP, HTTP SQL Injection, SQL . Excel -, , , , , CRL.
SQL, , , - CA DHS , . , , FOCA.
:
- DHS;
- ;
- Excel CA;
- URL CRL , , ;
- DHS Excel .
, , , , .
, , , -, , . Excel , . , .
TS Web Access – « TS Web Access». , , , HTTP. , , , .
, , !
:)
, . ? ? , ,
VPS $4.99 ,
entry-level , : VPS (KVM) E5-2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps $19 ? ( RAID1 RAID10, 24 40GB DDR4).
Dell R730xd 2 - Equinix Tier IV ? 2 Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 $199 ! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — $99! . c Dell R730xd 5-2650 v4 9000 ?