Geekly articles weekly

Feind drinnen: wie ich zum Insider-Redding kam



Ich hatte alle Vorteile. Ich war bereits im Netzwerk. Ich war nicht zu ahnen. Aber sie haben meinen Hack entdeckt, aus dem Netzwerk geworfen ... und physisch verfolgt.

Viele Penetrationstests beginnen im Freien, um zu überprüfen, wie der Umfang überwunden werden kann. Diesmal wollte der Kunde sehen, wie weit ein Angreifer gehen kann, der es bereits geschafft hat, innerhalb der Organisation zu sein. Wie könnten sie mich aufhalten, wenn ich schon online wäre?

Also führten sie mich heimlich ins Büro, verkleidet als neuer Angestellter. Sie gaben mir einen funktionierenden Computer, ein Abzeichen, einen Account im System ... verdammt, ich hatte sogar einen eigenen Stand mit einem fiktiven Namen darauf. Die einzige Person, die wusste, wer ich wirklich war, war ihr Direktor für Informationssicherheit. Alle anderen dachten, ich wäre Jeremy vom Marketing.

Intelligenz


Den größten Teil des Morgens des ersten Tages war ich mit den Verfahren zur Bewerbung, zum Kennenlernen von Kollegen und zur Erledigung von Drecksarbeiten beschäftigt. Aber ich musste schnell handeln. Für alles über alles hatte ich nur eine Woche Zeit und ich musste Zeit haben, alles zu hacken, ohne Verdacht zu erregen. Also machte ich mich an die Arbeit.

Zum besseren Verständnis: Die meisten Penetrationstests sind ziemlich einfach. Am schwierigsten ist es, in das Netzwerk einzudringen. Aber sobald Sie drinnen sind, erhalten Sie eine große Auswahl an Zielen: alte Computer, Standardkennwörter, jeder sitzt unter lokalen Administratoren ... Normalerweise bekomme ich in ein oder zwei Tagen ein Domänenadministratorkonto und kurz darauf den Organisationsadministrator. Die verbleibende Zeit wird für das Abdecken der Spuren und das Sammeln von Beweisen für die möglichen Folgen des Angriffs aufgewendet. Aber diesmal war es anders. Es ist Zeit, überrascht zu werden.

Ich saß am Computer und gab vor zu arbeiten. Ich wollte meinen Bürocomputer verwenden, um zu recherchieren, die Einstellungen anderer Workstations zu studieren, aber ich würde nicht direkt von dort aus angreifen, um keine Spuren zu hinterlassen, die auf mich hinweisen. Stattdessen habe ich ein separates Gerät zum Hacken mitgebracht: einen persönlichen Laptop mit Linux und eine Reihe von Hacker-Tools. Ich habe es mit dem Netzwerk verbunden und die IP-Adresse erhalten. Ihr NAC deckte nicht das gesamte Netzwerk ab: Jeder Verbindung vom Arbeitsplatz aus wurde vertraut.

Ich habe wie immer angefangen. Abfangen und Analysieren des Netzwerkverkehrs von Wireshark, Ändern der MAC-Adresse und des Namens meines Laptops, damit dieser in der Infrastruktur verloren geht und wie normale Geräte aussieht. Dann - Verwenden Sie den Responder in Ihrem Subnetz, um Hashes abzufangen und Passwörter zu knacken. Ziemlich schnell gelang es mir, eine ganze Handvoll Hashes zu sammeln. Ich war in einem regulären Subnetz für Mitarbeiter, daher gab es viele angemeldete Konten mit offenen Browsern, die Authentifizierungsdaten verteilten.

Erste Überraschungen


Ich habe auf meiner Farm mit 8 Grafikkarten nach gefundenen Hashes gesucht, aber ... etwas ist schief gelaufen. Sehr schnell wurden alle 8-stelligen Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (NetNTLMv2) überprüft. Die häufigsten Passwörter (ein Wort, erster Großbuchstabe, der mit einer Zahl oder einem Symbol endet) hacke ich sofort. Aber nicht hier.

Ich konnte auf meiner Workstation Netzkonten ausführen, um die Kennwortrichtlinie direkt in AD anzuzeigen, aber zuerst entschied ich mich, woanders zu suchen. Ich wollte keine zusätzlichen Spuren hinterlassen. Nachdem ich in einem Netzwerk gestöbert hatte, gelang es mir, Sicherheitsanforderungen zu finden. Es stellte sich heraus, dass die Mindestlänge des Passworts, die Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten sollte, 12 Zeichen betrug. Und sie haben bereits mit dem Übergang zu Passwortphrasen begonnen ... Ich habe meine Regeln für Brute Force geändert, um längere Wörter, Großbuchstaben und Endungen aus Zahlen und Sonderzeichen zu verwenden. Es brachte mir einige Passwörter!

Cool! Lass uns gehen! Ich habe sofort versucht, mich mit seinem Passwort remote beim Computer des Benutzers anzumelden ... und wurde blockiert. Was ...? Es hat immer funktioniert. Das Passwort ist korrekt. Der Zugang ist jedoch geschlossen. Ich habe mich selbst überprüft. Beginnen Sie mit den Grundlagen. Mach es richtig. Die Suche nach einem Domänencontroller dauerte einige Zeit. Auf VoIP-Telefonen gab es Konfigurationen von Webseiten, auf denen seine Adresse registriert war. Ich habe Gruppenrichtlinieneigenschaften über LDAP vom Controller abgerufen, um Berechtigungen anzuzeigen. Nach langen Ausgrabungen im Haufen von Einstellungen wurde mir klar, dass der Fernzugriff nur einem kleinen Teil der IT-Spezialisten gestattet ist, nicht einmal der gesamten IT-Abteilung. Und ich habe keines ihrer Passwörter geknackt. Sie haben das Modell mit den geringsten Privilegien implementiert ... Wer macht das?

Okay, fahr zur Hölle. Ich werde ohne Zugang zu Computern auskommen. Ich werde in ihre Korrespondenz einsteigen! Also habe ich es getan. Ich habe in Outlook nach Passwörtern in E-Mails, Skype-Chats, überprüften Notizen und Entwürfen gesucht. Ich habe ein paar persönliche Passwörter von irgendetwas bekommen ... Aber kein einziges vom Dienstkonto. Ich fand jedoch einen Brief der Abteilung für Informationssicherheit, in dem stand, dass die Zwei-Faktor-Authentifizierung für E-Mails innerhalb einer Woche eingeführt werden soll. Es sieht so aus, als hätte ich immer noch Glück.

Der schwächste Punkt eines Systems


Dann ging ich zum SSO-Portal . Alle internen Anwendungen an einem Ort. Der Traum des Hackers! Ich habe auf eine der Anwendungen geklickt. Es war eine Zwei-Faktor-Authentifizierung erforderlich. Der nächste auch. Und das Folgende. Was für ein Alcatraz ist das ?! Hacker-Albtraum!

Ich habe gesehen, dass sie Citrix verwenden. Er steht hinter der Zwei-Faktor-Authentifizierung und es ist ihm egal. Ich werde es herausfinden. Citrix gibt mir Zugriff auf den internen Server. Ich musste zum internen Host gelangen, um meinen Hacker-Laptop zu entfernen und im Netzwerk voranzukommen. Ich habe Citrix mit einer 6-stelligen Pin-Anfrage gestartet. Es gibt eine Schaltfläche mit der Aufschrift „Klicken, um ein Token zu erhalten“ und eine leicht bearbeitete Telefonnummer: (xxx) xxx-5309. Nachdem ich in der Mail nach "5309" gesucht hatte, fand ich die Unterschrift des Benutzers, in der diese Telefonnummer vollständig angegeben war. Ich habe ihn angerufen.

Die Frau antwortete. „Guten Tag, Pam. Ich bin Josh von ay. Wir migrieren Ihr Citrix-Profil auf den neuen Server. Ich werde Ihnen jetzt eine 6-stellige Nummer senden. Du musst es mir vorlesen. Nur für den Fall, ich erinnere Sie daran, wir fragen nie nach Ihrem Passwort. “ Ich hatte bereits ihr Passwort. Sie zögerte: "Goodooo ..." Ich drückte einen Knopf, um ein Authentifizierungstoken zu senden und sagte: "Fertig. Ich habe dir eine Nummer geschickt, lies sie mir bitte vor, wenn du sie erhältst. “ Sie antwortete: „Ähm ... Ja, das habe ich getan. 9-0-5-2-1-2 ". „Danke! Bitte führen Sie Citrix einige Stunden lang nicht aus! “ Ein Timer tickte 60 Sekunden lang auf dem Bildschirm. Ich habe die Zahlen in ein Zwei-Faktor-Authentifizierungsfenster eingegeben und auf "OK" geklickt. Eingeloggt. Go Stump, Zwei-Faktor-Authentifizierung! Einmal drinnen, sah ich ... nichts. NICHTS! Dieser Benutzer brauchte Citrix nicht, daher war NICHTS daran angehängt. Ich hackte ins Hinterzimmer.

Also Das ist verrückt. Ich kann ein langes Passwort abholen, aber nur, wenn ich das Glück habe, den richtigen Hash zu finden. Selbst mit einem gehackten Passwort muss jemand aus einer kleinen Gruppe von Personen die Zwei-Faktor-Authentifizierung umgehen. Jeder Versuch, insbesondere mit jemandem aus dieser geschützten Gruppe, erhöht das Erkennungsrisiko. Verdammt ...

Ich habe alles versucht. Ich startete immer aggressivere Scans und versuchte immer noch, unter dem Radar zu bleiben. Ich spürte das gesamte Netzwerk und alle Dienste, die ich finden konnte, mit all den Angriffen, die ich kannte. Und obwohl ich hier und da ein paar Kleinigkeiten gefunden habe, war dies nicht genug, um irgendwo Fuß zu fassen. Ich begann zu verzweifeln. Schon das Ende des zweiten Tages. Normalerweise habe ich zu diesem Zeitpunkt bereits die Datenbanken ausgeweidet, die E-Mails des CEO gelesen und Leute auf ihren Webcams erschossen. Verdammt. Es ist Zeit, in das Versteck der IT-Leute einzudringen. Ich werde Laptops stehlen.

Nachtangriff


Ich verweilte nach der Arbeit. Kollegen sagten, dass es notwendig ist, einen Kurs über Arbeitsplatzsicherheit zu absolvieren. Sie nickten und ließen sich fallen. Dann kamen die Reinigungskräfte. Als sie fertig waren, wurde ich allein gelassen. Ich ging ins Büro von IT-Leuten. Hab die Tür gefunden. Als ich mich umsah, packte ich den Griff ...

Vorher habe ich bereits verschiedene Dinge mit meinem Office-Laptop ausprobiert, aber ich war kein lokaler Administrator, und die Festplatte war vollständig verschlüsselt. Mein Ziel war es, einen alten unverschlüsselten Laptop mit einem Passwort-Hash des lokalen Administrators zu finden.

Ich überprüfte die Lobby, damit niemand in der Nähe war. Ich suchte die Decke nach Überwachungskameras ab. Ich öffnete meinen Mund und legte meinen Kopf schief, um zu hören, dass jemand um die Ecke kam. Nichts. Ich war bereit zu handeln. Ich machte mich bereit, in einem mechanischen Schloss herumzustöbern, mich mit elektronischen Zugangskontrollsystemen zu befassen oder die Tür aus den Scharnieren zu entfernen, aber ich stellte fest, dass die Tür angelehnt war. Glück gehabt. Es gab ein elektronisches Schloss und ein mechanisches Schloss an der Tür. Sogar geschützte Schleifen. Aber jemand hat sie in dieser Nacht unbedeckt gelassen. Ich öffnete die Tür und schaute hinein, in der Erwartung, jemanden im Inneren zu treffen. Niemand. Komm schon. Nur ein Staub. Ich ging hinein.

Ich habe keine Ahnung, warum die Tür offen stand, aber 80% meiner Arbeit sind Benutzerfehler, 56% sind Fähigkeiten, 63% sind Anpassungsfähigkeit, 90% sind Funktionen und Fett 80% sind Glück. Und nur etwa 1% beziehen sich auf Mathematik ...

Jedenfalls. Ich wusste nicht, ob irgendjemand jeden Moment hierher zurückkommen würde, also machte ich mich an die Arbeit. In der Ecke lagen Stapel von Laptops unterschiedlichen Alters, Herstellers und Modelle. Nachdem ich das Risiko abgewogen hatte, im Büro von IT-Mitarbeitern oder mit ein paar Laptops auf meinem Schreibtisch erwischt zu werden, entschied ich mich für meinen Schreibtisch. Und jetzt ziehe ich schon Arme voll alter Laptops aus dem IT-Loch in meine Kabine und falte den Schiefen Turm von Pisa unter meinen Schreibtisch. Dann begann ich methodisch zu versuchen, jeden Laptop von einem Flash-Laufwerk zu booten, um nach einem unverschlüsselten Heiligen Gral zu suchen.

Ich habe ein bootfähiges Flash-Laufwerk mit Kali und dem Dienstprogramm samdump2. Ich schließe es an einen der Laptops an, lade es und versuche, die Festplatte zu mounten. Jedes Mal, wenn ich auf Verschlüsselung stoße, ärgere ich mich mehr und mehr. Nach 30 getesteten Laptops finde ich schließlich drei Halbtote mit unverschlüsselten Laufwerken. Mit samdump2 ziehe ich lokale NTLM-Hashes aus SAM heraus und vergleiche sie. Somit ist es möglich, auf allen drei Computern ein nicht standardmäßiges Konto des lokalen Administrators "ladm" zu finden. Hashes passen zusammen. Ehre sei Eris , sie benutzen keine LAPS . Das Konto des lokalen Administrators ist auf allen Computern gleich. Ich habe diesen Hash ziemlich leicht geknackt. Das Passwort war <Firmenname> <Jahr> und dieses Jahr ist vor ein paar Jahren vergangen. Fehler in der Vermögensverwaltung. Ich liebe es

Ich habe versucht, mich remote unter dem neuen Konto anzumelden, und habe den gleichen Fehler wie zuvor erhalten. Sogar dem lokalen Administrator wurde der Remotezugriff verweigert ... Ich habe versucht, mich lokal bei meinem eigenen Office-Laptop anzumelden, und es ist mir gelungen! Dieses Konto hat die vollständige Verschlüsselung umgangen! Hauptschlüssel! Also ... soooo! Sie können dies nutzen! Aber dann bemerkte ich eine seltsame Sache ... Ich hatte keine Zugriffsrechte auf Benutzerdaten. Was? Sie beschränkten den Zugang AUCH FÜR LOKALE ADMINISTEN ?! Hölle Es war notwendig, die Berechtigungen für das System zu erhöhen.

Ich habe alle Tricks ausprobiert, die mir in den Sinn kamen. Am Ende habe ich nach Schwachstellen im nicht zitierten Dienstpfad gesucht und ein paar gefunden! Die Schlussfolgerung war jedoch, dass mein lokaler Administrator keine Schreibberechtigung für die gewünschten Ordner hatte. Ja, lass es fallen! Zu diesem Zeitpunkt war ich bereits erschöpft und gebrochen. Meine 17-Stunden-Schicht endete. Das Gehirn funktionierte nicht mehr. Es war eine weitere Sackgasse. Eine weitere Serie von harten Kämpfen und erfolgreichen Hacks zum Wohle eines anderen scheitert. Er musste nach Hause gehen und ein bisschen schlafen, um am nächsten Tag wieder von vorne zu beginnen.

Freund anrufen


Am nächsten Tag überprüfte ich alles noch einmal, um sicherzustellen, dass ich nichts verpasste. Ich überprüfte alles, was ich überprüfen konnte, scannte alles, was ich scannen konnte, tat alles, was mir in den Sinn kam. Überall kleine Leads, aber nichts, was sich lohnt. Ich habe einen Kollegen von Dallas Hackers angerufen. Nachdem ich ihm von meinen Prüfungen erzählt hatte, machte ich mir große Hoffnungen auf die Sicherheitslücke in Bezug auf den nicht zitierten Dienstpfad, als die Schlussfolgerung mir den Mangel an notwendigen Privilegien zeigte. Er fragte: "Aber Sie haben trotzdem versucht, es auszunutzen?" Ich erstarrte. Ich habe es nicht versucht. In diesem Zustand glaubte ich der Schlussfolgerung und überprüfte sie nicht selbst. Gut. Ich habe versucht, Daten in ein Verzeichnis zu schreiben. Das gleiche, für das ich laut Windows keinen Zugriff zum Schreiben hatte. Und ich habe es geschafft. Verdammte Windows. Ich wurde wieder getäuscht. Aber okay. Das ist umgestürzt. Neuer Hinweis.

Ein Kollege warf mir schnell einen Bootloader in C, der die Ladung auf Powershell startete. Ich wagte es, das Paket auf meinem eigenen Computer zu überprüfen, und alles schien gut zu funktionieren. Es war ein perverser Angriff. Aber das ist alles was ich hatte. Ich wollte:

  1. Führen Sie den Listener auf meinem Hacker-Laptop aus
  2. Erhalten Sie physischen Zugang zu einem Laptop im Büro
  3. Melden Sie sich als lokaler Administrator an
  4. Laden Sie Ihren Malvari-Haufen unter Unquoted Service Path herunter
  5. Geh raus
  6. Warten Sie auf die Benutzeranmeldung und starten Sie das Laden

Die Mittagspause rückte näher. Ich antwortete mit einem Lächeln auf die Einladung meiner Kollegen, einen Snack zu essen, und verweilte ein wenig. Zuerst wollte ich IT-Mitarbeiter besuchen und während des Mittagessens an einen ihrer Computer gehen. Aber als ich in ihr Büro ging, sah ich, dass sie alle an Ort und Stelle waren! Iss dein Mittagessen vor dem Computer! Sie wissen nicht, wie schädlich es ist ?! Wie kann mangelnde Trennung von Arbeit und Ruhe und fehlende Pausen zu Stress führen ?! Warum essen sie nicht wie normale Leute ?!

Ja du gehst Ich werde einen Computer hacken. Jeder Computer. Ich ging im Büro herum und fand ein Büro, in dem niemand da war. Finanziers. Ok, Hack Finanzen. Ich antwortete einer süßen kleinen alten Frau, die für ihre Brieftasche zurückkam. Lassen Sie sie wissen, dass ich ein IT-Techniker bin, der Computer aktualisiert. Sie nickte und ging mit einem süßen Lächeln. Gereizt, mit einem Gesicht voller Hass und Freude, wandte ich mich an einen Computer ihrer Kollegen und hackte hinein.

Es dauerte weniger als 30 Sekunden. Ich brachte den Stuhl und die Maus in den Zustand zurück, in dem sie sich vor meiner Ankunft befanden. Wieder sah ich mich schnell um und vergewisserte mich, dass alles normal aussah. Und er kehrte an seinen Arbeitsplatz zurück. Sitzen Sie und starren Sie Ihren Zuhörer an. Irgendwann war das Mittagessen vorbei. Ich wollte nicht einmal reden. Ich begann bereits die Hoffnung zu verlieren und sah:
> Meterpreter session 1 opened
Und danach…
> Meterpreter session 2 opened
> Meterpreter session 3 opened
...
> Meterpreter session 7 opened
Du bist links! Ich habe GETUID ausgeführt und NT AUTHORITY \ SYSTEM gesehen. III ha!

Gut! Großartig! Also! Ähm ... lass uns gehen! Ja! Nachdem ich das Problem behoben hatte, entleerte ich den Speicher und begann, mich in das Dateisystem zu vertiefen. Eine Art von Finanzinformationen. Einige Passwörter im Klartext. Sensible Informationen, aber nichts Ernstes. Aber na ja. Dies ist nur der Anfang. Brückenkopf. Und danach…
> Meterpreter session 1 closed

Ich versuche, mich an Sitzungen zu klammern, aber sie sind alle geschlossen. Ich pinge das System reagiert nicht. Ich werde Port 445 scannen. Nichts. Das System ist nicht verfügbar. Das. Oh. Zu viel. Ich stehe auf und gehe direkt zur Finanzabteilung. Was ist mit meinen Muscheln passiert ?!

Als ich um die Ecke biege, sehe ich, dass eine süße alte Frau mit der heftigsten und wildesten IT-Person spricht. Ich mache schnell "Oh, yo ..." und drehe mich um, als die alte Frau in meine Richtung schaut, einen Finger direkt auf mich zeigt und schreit: "Das ist es! Er hat mit unseren Computern rumgespielt! “ Ich stoße einen herzzerreißenden Schrei aus und eile zum Lauf. Nachdem ich dem wilden IT-Spezialisten den Rücken gekehrt habe, renne ich in die entgegengesetzte Richtung und stoße auf zwei Sicherheitskräfte. Sie sehen sehr unfreundlich aus und machen deutlich, dass ich in die falsche Gegend gewandert bin. Ich wachte blutig auf und wurde an einem ergonomischen Bürostuhl mit Kabelbindern festgeschnallt, die die Kabel im Serverraum zusammenziehen. Der Kopf des DFIR steht vor mir, die Knöchel niedergeschlagen. Hinter ihr grinst ein kleines Analystenteam der Intrusion Detection Group. Ich drücke ein Wort aus ... Ich muss wissen ... "Wie ...?" Sie beugt sich über mein Ohr und flüstert: "Niemand in der Finanzabteilung startet jemals Powershell ..."

Okay ... ich habe am Ende ein kleines Drama hinzugefügt. Aber die Geschichte, wie ich auf eine alte Frau gestoßen bin, die mich an IT-Spezialisten übergeben hat, ist real. Sie haben mich genau dort festgenommen. Sie nahmen meinen Laptop mit und berichteten dem Management über mich. Der Direktor für Informationssicherheit kam und bestätigte meine Anwesenheit. Und die Art, wie sie mich herausgefunden haben, ist auch real. Sie wurden benachrichtigt, dass Powershell auf einem System ausgeführt wurde, das keiner kleinen Gruppe von IT-Mitarbeitern und Entwicklern gehörte, die Powershell unter normalen Bedingungen gestartet hatten. Eine einfache und zuverlässige Methode zur Erkennung von Anomalien.

Schlussfolgerungen


Blaues Team


  • Modell mit dem geringsten Privileg
  • Multi-Faktor-Authentifizierung
  • Einfache Regeln zum Erkennen von Anomalien
  • Tiefe Verteidigung

Rotes Team


  • Versuche es weiter
  • Nimm nicht an
  • Bitten Sie um Hilfe
  • Glück vorbereitet
  • Anpassung und Überwindung

Source: https://habr.com/ru/post/de430252/

More articles:


All Articles