Tuve todos los beneficios. Ya estaba dentro de la red. Estaba más allá de toda sospecha. Pero descubrieron mi pirateo, fueron expulsados de la red ... y rastreados físicamente.
Muchas pruebas de penetración comienzan afuera para verificar cómo se puede superar el perímetro. Esta vez, el cliente quería ver hasta dónde podía llegar un atacante que ya lograba estar dentro de la organización. ¿Cómo podrían detenerme si ya estaba en línea?
Entonces, en secreto me llevaron a la oficina, disfrazado de un nuevo empleado. Me dieron una computadora que funcionaba, una insignia, una cuenta en el sistema ... demonios, incluso tenía mi propia cabina con un nombre ficticio. La única persona que sabía quién era realmente era su director de seguridad de la información. Todos los demás pensaron que era Jeremy de Marketing.
Inteligencia
La mayor parte de la mañana del primer día estuve ocupado con los procedimientos para solicitar un trabajo, conocer colegas y hacer trabajos sucios. Pero tuve que actuar rápidamente. Para todo sobre todo, solo tenía una semana, y tenía que tener tiempo para hackear todo sin causar sospechas. Así que me puse manos a la obra.
Para hacerle entender: la mayoría de las pruebas de penetración son bastante sencillas. Lo más difícil es entrar en la red. Pero una vez dentro, obtienes una amplia selección de objetivos: computadoras viejas, contraseñas predeterminadas, todos están bajo administradores locales ... Por lo general, obtengo una cuenta de administrador de dominio en un día o dos, y poco después, un administrador de la organización. El tiempo restante se dedica a cubrir las huellas y recoger pruebas de las posibles consecuencias del ataque. Pero esta vez fue diferente. Es hora de sorprenderse.
Sentado frente a la computadora, fingí estar trabajando. Iba a usar la computadora de mi oficina para investigar, estudiar la configuración de otras estaciones de trabajo, pero no atacaría directamente desde ella, para no dejar rastros apuntando hacia mí. En cambio, traje un dispositivo separado para hackear: una computadora portátil personal con Linux y un montón de herramientas de hackers. Lo conecté a la red y obtuve la dirección IP. Su
NAC no cubría toda la red: se confiaba en cualquier conexión desde la cabina de trabajo.
Empecé como siempre. Intercepción y análisis del tráfico de red desde Wireshark, cambiando la dirección MAC y el nombre de mi computadora portátil para que se pierda en su infraestructura y se vea como un equipo ordinario. Luego, use el Respondedor en su subred para capturar hashes y descifrar contraseñas. Bastante rápido, logré recolectar un puñado completo de hashes. Estaba en una subred regular para trabajadores, por lo que había muchas cuentas conectadas con navegadores abiertos que dispersaban datos de autenticación.
Primeras sorpresas
Comencé una búsqueda de hashes encontrados en mi granja de 8 tarjetas de video, pero ... algo salió mal. Muy rápidamente, se verificaron todas las combinaciones de 8 caracteres de letras mayúsculas y minúsculas, números y caracteres especiales (NetNTLMv2). Contraseñas más comunes (una palabra, la primera letra mayúscula que termina en un número o símbolo) Hackeo instantáneamente. Pero no aqui.
Podía ejecutar cuentas netas en mi estación de trabajo para ver la política de contraseña directamente en AD, pero primero decidí buscar en otro lado. No quería dejar rastros adicionales. Habiendo hurgado en una red, logré encontrar los requisitos de seguridad. Resultó que la longitud mínima de la contraseña, que se suponía debía incluir letras mayúsculas y minúsculas, caracteres especiales y números, era de 12 caracteres. Y ya han comenzado la transición a frases de contraseña ... Cambié mi conjunto de reglas para la fuerza bruta para usar palabras más largas, mayúsculas y terminaciones de números y caracteres especiales. Me trajo algunas contraseñas!
Genial! Vamos! Inmediatamente intenté iniciar sesión de forma remota en la computadora del usuario usando su contraseña ..., y me bloquearon. Que ... Siempre funcionó. La contraseña es correcta Pero el acceso está cerrado. Yo mismo lo revisé dos veces. Comience con lo básico. Hazlo bien Tomó algún tiempo buscar un controlador de dominio. En los teléfonos VoIP había configuraciones de páginas web donde estaba registrada su dirección. Saqué las propiedades de la directiva de grupo del controlador a través de LDAP para ver los privilegios. Después de largas excavaciones en el montón de configuraciones, me di cuenta de que el acceso remoto solo está permitido a una pequeña parte de los especialistas de TI, ni siquiera a todo el departamento de TI. Y no descifré ninguna de sus contraseñas. Implementaron el modelo de menor privilegio ... ¿Quién hace esto?
De acuerdo, vete al infierno. Me las arreglaré sin acceso a las computadoras. ¡Entraré en su correspondencia! Entonces lo hice. Busqué contraseñas en el correo, chats de Skype, revisé notas y borradores en Outlook. Obtuve un montón de contraseñas personales de cualquier cosa ... Pero ni una sola de la cuenta de servicio. Pero encontré una carta del departamento de seguridad de la información, que decía que planean introducir la autenticación de dos factores para el correo dentro de una semana. Parece que todavía tengo suerte.
El punto más débil de cualquier sistema.
Luego fui al
portal de SSO . Todas las aplicaciones internas en un solo lugar. El sueño del hacker! Hice clic en una de las aplicaciones. Se requiere autenticación de dos factores. El siguiente también. Y lo siguiente. ¿Qué tipo de Alcatraz es ese? Pesadilla hacker!
Vi que están usando Citrix. Él está detrás de la autenticación de dos factores, bueno, y no me importa. Lo resolveré. Citrix me dará acceso al servidor interno. Necesitaba llegar al host interno para quitar mi computadora portátil hacker y comenzar a avanzar en la red. Comencé Citrix con una solicitud de pin de 6 dígitos. Hay un botón que dice "Haga clic para recibir un token" y un número de teléfono ligeramente editado: (xxx) xxx-5309. Después de buscar en el correo "5309", encontré la firma del usuario en la que este número de teléfono estaba completamente indicado. Lo llamé
La mujer respondió. “Buenas tardes, Pam. Soy Josh de ay. Estamos migrando su perfil de Citrix al nuevo servidor. Ahora te enviaré un número de 6 dígitos. Necesito que me lo leas. Por si acaso, le recuerdo, nunca le pedimos su contraseña. Ya tenía su contraseña. Ella dudó: "Goodooo ..." Presioné un botón para enviar un token de autenticación y dije: "Hecho. Te envié un número, léelo, por favor, cuando lo recibas. Ella respondió: "Ummm ... Sí, lo hice. 9-0-5-2-1-2 ". "Gracias! ¡No ejecute Citrix durante un par de horas! Un temporizador marcó en la pantalla durante 60 segundos. Escribí los números en una ventana de autenticación de dos factores e hice clic en "Aceptar". Conectado Ir tocón, autenticación de dos factores! Una vez dentro, vi ... nada. NADA! Este usuario no necesitaba Citrix, por lo que no había NADA adjunto. Me metí en la trastienda.
Entonces Esto es una locura Puedo obtener una contraseña larga, pero solo si tengo la suerte de atrapar el hash correcto. Incluso con una contraseña pirateada, alguien de un pequeño grupo de personas tendrá que omitir la autenticación de dos factores. Cada intento, especialmente con alguien de este grupo protegido, aumenta el riesgo de detección. Maldita sea ...
Lo intenté todo Lancé escaneos cada vez más agresivos, aún tratando de permanecer por debajo del radar. Sentí toda la red y todos los servicios que pude encontrar, con todos los ataques que conocía. Y aunque aquí y allá encontré algunas pequeñas cosas, esto no fue suficiente para afianzarme en alguna parte. Comencé a caer en la desesperación. Ya al final del segundo día. Por lo general, en este momento ya elimino las bases de datos, leo el correo del CEO y disparo a las personas en sus cámaras web. Maldita sea Es hora de entrar en la guarida de las personas de TI. Voy a robar computadoras portátiles.
Incursión nocturna
Me demoré después del trabajo. Los colegas dijeron que es necesario completar un curso sobre seguridad laboral. Asintieron y tiraron. Luego vinieron los limpiadores. Cuando terminaron, me quedé solo. Fui a la oficina de personas de TI. Encontré la puerta. Mirando a mi alrededor, agarré el mango ...
Antes de eso, ya había intentado cosas diferentes con la computadora portátil de mi oficina, pero no era un administrador local y el disco estaba completamente encriptado. Mi objetivo era encontrar una vieja computadora portátil sin cifrar con un hash de contraseña del administrador local.
Revisé el vestíbulo para que no hubiera nadie cerca. Escaneé el techo en busca de cámaras de seguridad. Abrí la boca e incliné la cabeza para escuchar que venía alguien de la esquina. Nada Estaba listo para actuar. Me preparé para hurgar en una cerradura mecánica, manejar sistemas de control de acceso electrónico o quitar la puerta de las bisagras, pero descubrí que la puerta estaba entreabierta. Afortunado Había una cerradura electrónica y una cerradura mecánica en la puerta. Incluso bucles protegidos. Pero alguien la dejó descubierta esa noche. Abrí la puerta y miré adentro, esperando toparme con alguien adentro. Nadie Vamos Solo un polvo. Entré
No tengo idea de por qué la puerta estaba abierta, pero el 80% de mi trabajo son errores del usuario, el 56% son habilidades, el 63% es adaptabilidad, el 90% es uso de funciones y el 80% es suerte. Y solo alrededor del 1% están relacionados con las matemáticas ...
De todos modos No sabía si alguien volvería aquí en cualquier momento, así que me puse a trabajar. En la esquina hay montones de computadoras portátiles de diferentes edades, fabricantes y modelos. Después de sopesar los riesgos de quedar atrapado en la oficina de personas de TI o con un montón de computadoras portátiles en mi escritorio, elegí mi escritorio. Y ahora ya estoy arrastrando un puñado de computadoras portátiles viejas del agujero de TI a mi cabina, doblando la Torre Inclinada de Pisa debajo de mi escritorio. Luego comencé metódicamente a intentar arrancar cada computadora portátil desde una unidad flash en busca de un Santo Grial sin cifrar.
Tengo una unidad flash de arranque con Kali y la utilidad samdump2. Lo conecto a una de las computadoras portátiles, lo cargo e intento montar el disco duro. Cada vez que me encuentro con el cifrado, me enojo cada vez más. Finalmente, después de 30 computadoras portátiles probadas, encuentro tres medio muertos con unidades sin cifrar. Con samdump2, extraigo los hash NTLM locales de SAM y los comparo. Por lo tanto, es posible encontrar una cuenta no estándar del administrador local "ladm" en las tres máquinas. Hashes coinciden. Gloria a
Eris , no usan
LAPS . La cuenta del administrador local es la misma en todas las computadoras. Rompí este hash con bastante facilidad. La contraseña era <Nombre de la empresa> <Año>, y este año pasó hace un par de años. Error en la gestión de activos. Me encanta
Traté de iniciar sesión de forma remota con la nueva cuenta y obtuve el mismo error que antes. Incluso al administrador local se le negó el acceso remoto ... Traté de iniciar sesión localmente en mi computadora portátil de la oficina, ¡y lo logré! ¡Esta cuenta evitó el cifrado completo! Llave maestra! Entonces ... muuuy! ¡Puedes aprovechar esto! Pero luego noté una cosa extraña ... No tenía derechos de acceso a los datos del usuario. Que? ¿Restringieron el acceso AÚN PARA LOS ADMINISTRADORES LOCALES? El infierno Era necesario aumentar los privilegios al sistema.
Intenté todos los trucos que me vinieron a la mente. Al final, busqué vulnerabilidades de
ruta de servicio sin comillas y encontré un par. Pero la conclusión fue que mi administrador local no tenía permiso de escritura en las carpetas deseadas. Sí, déjalo! Para entonces ya estaba exhausto y roto. Mi turno de 17 horas estaba terminando. El cerebro ya no funcionaba. Era otro callejón sin salida. Otra serie de duros combates y hacks exitosos en aras de otro fracaso. Tuvo que irse a casa y dormir un poco para comenzar de nuevo al día siguiente.
Llamar amigo
Al día siguiente revisé todo nuevamente para asegurarme de que no me perdiera nada. Revisé todo lo que podía verificar, escaneé todo lo que podía escanear, hice todo lo que se me ocurrió. En todas partes pequeñas pistas, pero nada que valga la pena. Llamé a un colega de
Dallas Hackers . Después de contarle sobre mis pruebas, terminé desmoronándome con las esperanzas de la vulnerabilidad de Ruta de servicio no citada, cuando la conclusión me mostró la falta de privilegios necesarios. Él preguntó: "¿Pero aún trataste de explotarlo, a pesar de esto?" Me congelé No lo he intentado. En ese estado, creí en la conclusión y no lo comprobé yo mismo. Bueno Traté de escribir datos en un directorio. El mismo para el que, según Windows, no tenía acceso para escribir. Y lo hice Malditas ventanas. Fui engañado de nuevo. Pero esta bien. Esto es caer muerto. Nueva pista
Un colega me lanzó rápidamente un gestor de arranque en C, que lanzó la carga en Powershell. Me aventuré a revisar el paquete en mi propia computadora, y todo parecía funcionar bien. Fue un ataque perverso. Pero eso es todo lo que tenía. Yo iba a:
- Ejecutar oyente en mi computadora portátil hacker
- Obtenga acceso físico a una computadora portátil en la oficina
- Inicie sesión como administrador local
- Descargue su grupo Malvari en Ruta de servicio sin comillas
- Salir
- Espere el inicio de sesión del usuario y cargue el inicio
Se acercaba la hora del almuerzo. Respondí con una sonrisa a las invitaciones de mis colegas para ir a comer algo y me quedé un poco. Al principio, planeaba visitar a personas de TI y acceder a una de sus computadoras mientras almorzaban. Pero cuando fui a su oficina, ¡vi que estaban todos en su lugar! ¡Come tu almuerzo frente a las computadoras! ¿No saben lo dañino que es? ¿Cómo puede la falta de separación del trabajo y el descanso y la falta de descansos provocar estrés? ¿Por qué no cenan como personas normales?
Si tu vas. Voy a hackear una computadora. Cualquier computadora Caminé por la oficina y encontré una oficina donde no había nadie. Financiadores. Ok, hackear las finanzas. Respondí algo a una linda viejita que regresó por su billetera. Hágale saber que soy un técnico de TI que actualiza las computadoras. Ella asintió y, sonriendo dulcemente, se fue. Irritado, con una cara llena de odio y regodeo, me dirigí a una de las computadoras de sus colegas y la pirateé.
Tomó menos de 30 segundos. Regresé la silla y el mouse al estado en que estaban antes de llegar. Una vez más, miré a mi alrededor rápidamente, asegurándome de que todo parecía normal. Y volvió a su lugar de trabajo. Siéntate mirando a tu oyente. En un momento, el almuerzo había terminado. Ni siquiera quería hablar. Ya comenzando a perder la esperanza, vi:
> Meterpreter session 1 openedY luego ...
> Meterpreter session 2 opened
> Meterpreter session 3 opened
...
> Meterpreter session 7 openedTu izquierda! Ejecuté GETUID y vi NT AUTHORITY \ SYSTEM. III ha!
Bueno! Genial Entonces! Umm ... vamos! Si! Después de arreglarlo en el sistema, volqué la memoria y comencé a cavar en el sistema de archivos. Algún tipo de información financiera. Algunas contraseñas en claro. Información sensible, pero nada grave. Pero bueno. Esto es solo el comienzo. Cabeza de puente. Y luego ...
> Meterpreter session 1 closedIntento aferrarme a las sesiones, pero todas están cerradas. Hago ping al sistema no responde. Escanearé el puerto 445. Nada El sistema no está disponible. Eso. Oh Demasiado Me levanto y me dirijo directamente al departamento de finanzas. ¿Qué pasó con mis conchas?
Al doblar la esquina, veo que una anciana linda está hablando con la persona de TI más fuerte y feroz. Rápidamente hago "Oh, yo ..." y me doy la vuelta cuando la anciana mira en mi dirección, me señala con el dedo directamente y grita: "¡Esto es! ¡Estaba jugando con nuestras computadoras! Emití un grito desgarrador y corrí a la carrera. Después de darle la espalda al feroz especialista de TI, corro en la dirección opuesta y me encuentro con dos guardias de seguridad. Se ven muy hostiles y dejan en claro que me metí en el área equivocada. Me desperté ensangrentado, atado a una silla ergonómica de oficina con ataduras de cables, que juntan los cables en la sala de servidores. La cabeza del DFIR está parada frente a mí, sus nudillos caídos. Detrás de ella, un pequeño equipo de analistas del grupo de detección de intrusos sonríe. Estoy exprimiendo una palabra ... Necesito saber ... "¿Cómo ...?" Se inclina sobre mi oreja y susurra: "Nadie en el departamento de finanzas comienza Powershell ..."
Bien ... agregué un pequeño drama al final. Pero la historia de cómo me encontré con una anciana que me entregó a especialistas en TI es real. Me detuvieron allí mismo. Se llevaron mi computadora portátil e informaron a la gerencia sobre mí. El director de seguridad de la información vino y confirmó mi presencia. Y la forma en que me descubrieron también es real. Se les notificó que Powershell se estaba ejecutando en un sistema que no pertenecía a un pequeño grupo de personas de TI y desarrolladores que iniciaron Powershell en condiciones normales. Un método simple y confiable para detectar anomalías.
Conclusiones
Equipo azul
- Modelo de menor privilegio
- Autenticación multifactorial
- Reglas simples para detectar anomalías
- Defensa profunda
Equipo rojo
- Sigue intentándolo
- No asumas
- Buscar ayuda
- Lucky preparado
- Adaptación y Superación