Saya memiliki semua manfaatnya. Saya sudah berada di dalam jaringan. Saya sangat curiga. Tetapi mereka menemukan retas saya, dikeluarkan dari jaringan ... dan dilacak secara fisik.
Banyak tes penetrasi dimulai di luar untuk memeriksa bagaimana perimeter dapat diatasi. Kali ini, pelanggan ingin melihat seberapa jauh penyerang yang sudah berhasil berada di dalam organisasi bisa pergi. Bagaimana mereka bisa menghentikan saya jika saya sudah online?
Jadi, mereka diam-diam membawa saya ke kantor, menyamar sebagai karyawan baru. Mereka memberi saya komputer yang berfungsi, lencana, akun di sistem ... sial, saya bahkan punya stan saya sendiri dengan nama fiktif. Satu-satunya orang yang tahu siapa saya sebenarnya adalah direktur keamanan informasi mereka. Semua orang mengira saya Jeremy dari Marketing.
Kecerdasan
Sebagian besar pagi hari pertama saya sibuk dengan prosedur melamar pekerjaan, mengenal rekan kerja, dan melakukan pekerjaan kotor. Tetapi saya harus bertindak cepat. Untuk segalanya tentang segalanya, saya hanya punya waktu satu minggu, dan saya harus punya waktu untuk meretas semuanya tanpa menimbulkan kecurigaan. Jadi saya mulai berbisnis.
Untuk membuat Anda mengerti: sebagian besar pengujian penetrasi cukup mudah. Yang paling sulit adalah membobol jaringan. Tetapi begitu di dalam, Anda mendapatkan berbagai pilihan tujuan: komputer lama, kata sandi default, semua orang duduk di bawah administrator lokal ... Biasanya saya mendapatkan akun admin domain dalam satu atau dua hari, dan segera setelah itu, administrator organisasi. Waktu yang tersisa dihabiskan untuk menutupi jejak dan mengumpulkan bukti tentang kemungkinan konsekuensi dari serangan itu. Tapi kali ini berbeda. Sudah waktunya untuk terkejut.
Duduk di depan komputer, saya pura-pura bekerja. Saya akan menggunakan komputer kantor saya untuk meneliti, mempelajari pengaturan stasiun kerja lain, tetapi saya tidak akan menyerang langsung darinya, agar tidak meninggalkan jejak yang menunjuk kepada saya. Sebagai gantinya, saya membawa perangkat terpisah untuk meretas: laptop pribadi dengan Linux dan banyak alat peretas. Saya menghubungkannya ke jaringan dan mendapat alamat IP.
NAC mereka tidak mencakup seluruh jaringan: koneksi dari stan kerja tepercaya.
Saya mulai seperti biasa. Intersepsi dan analisis lalu lintas jaringan dari Wireshark, mengubah alamat MAC dan nama laptop saya sehingga hilang dalam infrastruktur mereka dan terlihat seperti peralatan biasa. Kemudian - menggunakan Responder di subnet Anda untuk menangkap hash dan memecahkan kata sandi. Cukup cepat, saya berhasil mengumpulkan segenggam penuh hash. Saya menggunakan subnet reguler untuk pekerja, jadi ada banyak akun yang masuk dengan browser terbuka yang menyebarkan data autentikasi.
Kejutan pertama
Saya mulai mencari hash yang ditemukan di peternakan saya 8 kartu video, tapi ... ada yang salah. Cukup cepat, semua kombinasi 8 karakter huruf besar dan kecil, angka dan karakter khusus (NetNTLMv2) diperiksa. Kata sandi yang paling umum (satu kata, huruf besar pertama yang diakhiri dengan angka atau simbol) saya retas secara instan. Tapi tidak disini.
Saya dapat menjalankan akun bersih di workstation saya untuk melihat kebijakan kata sandi secara langsung di AD, tetapi pertama-tama saya memutuskan untuk mencari di tempat lain. Saya tidak ingin meninggalkan jejak ekstra. Setelah mencari-cari di jaringan, saya berhasil menemukan persyaratan Keamanan. Ternyata panjang kata sandi minimum, yang seharusnya mencakup huruf besar dan kecil, karakter dan angka khusus, adalah 12 karakter. Dan mereka sudah memulai transisi ke frasa kata sandi ... Saya mengubah seperangkat aturan saya untuk brute force untuk menggunakan kata-kata yang lebih panjang, huruf kapital dan akhiran dari angka dan karakter khusus. Itu memberi saya beberapa kata sandi!
Keren! Ayo pergi! Saya segera mencoba untuk login ke komputer pengguna dari jarak jauh menggunakan kata sandi ..., dan diblokir. Apa ... Selalu berhasil. Kata sandi itu benar. Tetapi akses ditutup. Saya memeriksa ulang sendiri. Mulailah dengan dasar-dasarnya. Lakukan dengan benar. Butuh beberapa waktu untuk mencari pengontrol domain. Pada telepon VoIP ada konfigurasi halaman web di mana alamatnya terdaftar. Saya mengeluarkan properti Kebijakan Grup dari pengontrol melalui LDAP untuk melihat hak istimewa. Setelah penggalian panjang dalam tumpukan pengaturan, saya menyadari bahwa akses jarak jauh hanya diperbolehkan untuk sebagian kecil spesialis TI, bahkan tidak untuk seluruh departemen TI. Dan saya tidak memecahkan kata sandi mereka. Mereka menerapkan model privilege paling sedikit ... Siapa yang melakukan ini?
Oke, pergilah ke neraka. Saya akan mengelola tanpa akses ke komputer. Saya akan masuk ke korespondensi mereka! Jadi saya lakukan. Saya mencari kata sandi dalam surat, obrolan Skype, catatan yang diperiksa, dan konsep di Outlook. Saya mendapat banyak kata sandi pribadi dari apa pun ... Tapi tidak satu pun dari akun layanan. Tetapi saya menemukan surat dari departemen keamanan informasi, yang mengatakan bahwa mereka berencana untuk memperkenalkan otentikasi dua faktor untuk surat dalam waktu seminggu. Sepertinya saya masih beruntung.
Titik terlemah dari sistem apa pun
Lalu saya pergi ke
portal SSO . Semua aplikasi internal di satu tempat. Mimpi peretas! Saya mengklik salah satu aplikasi. Untuk itu diperlukan otentikasi dua faktor. Yang berikutnya juga. Dan berikut ini. Alcatraz macam apa itu ?! Mimpi buruk peretas!
Saya melihat bahwa mereka menggunakan Citrix. Dia berada di belakang otentikasi dua faktor, yah, dan tidak peduli. Saya akan mencari tahu. Citrix akan memberi saya akses ke server internal. Saya perlu masuk ke host internal untuk menghapus laptop hacker saya dan mulai maju di jaringan. Saya memulai Citrix dengan permintaan pin 6 digit. Ada tombol yang mengatakan "Klik untuk menerima token" dan nomor telepon yang sedikit diedit: (xxx) xxx-5309. Setelah mencari "5309" di surat, saya menemukan tanda tangan pengguna yang menunjukkan nomor telepon ini sepenuhnya. Saya memanggilnya.
Wanita itu menjawab. "Selamat sore, Pam. Saya Josh dari ay. Kami sedang memigrasi profil Citrix Anda ke server baru. Saya sekarang akan mengirimkan Anda nomor 6 digit. Saya ingin Anda membacakannya untuk saya. Untuk jaga-jaga, saya mengingatkan Anda, kami tidak pernah meminta kata sandi Anda. " Saya sudah memiliki kata sandinya. Dia ragu-ragu: "Goodooo ..." Saya menekan tombol untuk mengirim token otentikasi dan berkata: "Selesai. Saya mengirimi Anda sebuah nomor, bacakan untuk saya, tolong, ketika Anda menerimanya. ” Dia menjawab: “Ummm ... Ya, benar. 9-0-5-2-1-2 ". "Terima kasih! Tolong jangan jalankan Citrix selama beberapa jam! " Penghitung waktu berdetak di layar selama 60 detik. Saya mengetik angka-angka di jendela otentikasi dua faktor dan mengklik "Oke". Masuk. Go stump, otentikasi dua faktor! Begitu masuk, saya tidak melihat ... apa-apa. TIDAK ADA! Pengguna ini tidak membutuhkan Citrix, jadi TIDAK ADA yang terlampir padanya. Saya meretas ke ruang belakang.
Jadi Ini gila. Saya dapat mengambil kata sandi yang panjang, tetapi hanya jika saya beruntung menangkap hash yang tepat. Bahkan dengan kata sandi yang diretas, seseorang dari sekelompok kecil orang harus melewati otentikasi dua faktor. Setiap upaya, terutama dengan seseorang dari kelompok yang dilindungi ini, meningkatkan risiko deteksi. Sialan ...
Saya mencoba segalanya. Saya meluncurkan pemindaian yang lebih dan lebih agresif, masih mencoba untuk tetap di bawah radar. Saya merasakan seluruh jaringan dan semua layanan yang dapat saya temukan, dengan semua serangan yang saya tahu. Dan meskipun di sana-sini saya menemukan beberapa hal kecil, ini tidak cukup untuk mendapatkan pijakan di suatu tempat. Saya mulai jatuh dalam keputusasaan. Sudah akhir dari hari kedua. Biasanya pada saat ini saya sudah mengenyahkan basis data, membaca surat CEO dan menembak orang di webcam mereka. Sialan. Sudah waktunya untuk masuk ke sarang orang-orang IT. Saya akan mencuri laptop.
Serangan malam hari
Saya bertahan setelah bekerja. Rekan kerja mengatakan bahwa perlu menyelesaikan kursus tentang keamanan kerja. Mereka mengangguk dan membuang. Kemudian petugas kebersihan datang. Ketika mereka selesai, saya ditinggalkan sendirian. Saya pergi ke kantor orang IT. Menemukan pintunya. Melihat sekeliling, aku meraih pegangannya ...
Sebelum itu, saya sudah mencoba berbagai hal dengan laptop kantor saya, tetapi saya bukan administrator lokal, dan disk sepenuhnya dienkripsi. Tujuan saya adalah menemukan laptop tua yang tidak terenkripsi dengan hash kata sandi admin lokal.
Saya memeriksa lobi sehingga tidak ada orang di sekitar. Saya memindai langit-langit untuk mencari kamera keamanan. Aku membuka mulut dan memiringkan kepalaku untuk mendengar bahwa seseorang datang dari sekitar sudut. Tidak ada Saya siap berakting. Saya bersiap-siap menyodok kunci mekanis, berurusan dengan sistem kontrol akses elektronik atau melepas pintu dari engsel, tetapi saya menemukan bahwa pintu itu terbuka sedikit. Beruntung Ada kunci elektronik dan kunci mekanis di pintu. Bahkan loop terlindungi. Tetapi seseorang meninggalkannya tanpa diketahui malam itu. Saya membuka pintu dan melihat ke dalam, berharap untuk menabrak seseorang di dalam. Tidak ada Ayo Hanya debu. Saya masuk.
Saya tidak tahu mengapa pintu terbuka, tetapi 80% pekerjaan saya adalah kesalahan pengguna, 56% adalah keterampilan, 63% adalah kemampuan beradaptasi, 90% menggunakan fitur dan lemak 80% adalah keberuntungan. Dan hanya sekitar 1% yang terkait dengan matematika ...
Bagaimanapun. Saya tidak tahu apakah ada yang akan kembali ke sini sebentar lagi, jadi saya mulai bekerja. Di sudut meletakkan tumpukan laptop dari berbagai usia, produsen dan model. Setelah mempertimbangkan risiko tertangkap di kantor orang-orang TI atau dengan sekelompok laptop di meja saya, saya memilih meja saya. Dan sekarang saya sudah menyeret setumpuk laptop tua dari lubang TI ke gerai saya, melipat Menara Miring Pisa di bawah meja saya. Kemudian saya mulai secara metodis mencoba mem-boot setiap laptop dari flash drive untuk mencari Holy Grail yang tidak terenkripsi.
Saya memiliki flash drive yang dapat di-boot dengan Kali dan utilitas samdump2. Saya menghubungkannya ke salah satu laptop, memuatnya dan mencoba memasang hard drive. Setiap kali saya menemukan enkripsi, saya menjadi semakin kesal. Akhirnya, setelah 30 laptop yang diuji, saya menemukan tiga setengah mati dengan drive tidak terenkripsi. Dengan samdump2, saya mengeluarkan hash NTLM lokal dari SAM dan membandingkannya. Dengan demikian, dimungkinkan untuk menemukan akun non-standar dari admin lokal “ladm” di ketiga mesin. Pertandingan hash. Glory to
Eris , mereka tidak menggunakan
LAPS . Akun administrator lokal sama di semua komputer. Saya memecahkan hash ini dengan cukup mudah. Kata sandinya adalah <Nama Perusahaan> <Tahun>, dan tahun ini berlalu beberapa tahun yang lalu. Kesalahan dalam manajemen aset. Aku menyukainya.
Saya mencoba masuk jarak jauh di bawah akun baru dan mendapat kesalahan yang sama seperti sebelumnya. Bahkan administrator lokal tidak diberi akses jarak jauh ... Saya mencoba masuk secara lokal ke laptop kantor saya sendiri, dan saya berhasil! Akun ini menghindari enkripsi lengkap! Kunci master! Jadi ... soooo! Anda bisa memanfaatkan ini! Tapi kemudian saya perhatikan satu hal aneh ... Saya tidak punya hak akses ke data pengguna. Apa? Mereka membatasi akses BAHKAN UNTUK PENGADILAN LOKAL?! Neraka Itu perlu untuk meningkatkan hak istimewa ke sistem.
Saya mencoba semua trik yang muncul di benak saya. Pada akhirnya, saya mencari kerentanan
Jalur Layanan Tidak Dikutip dan menemukan pasangan! Tetapi kesimpulannya adalah bahwa administrator lokal saya tidak memiliki izin menulis ke folder yang diinginkan. Ya, jatuhkan! Pada saat itu saya sudah kelelahan dan putus asa. Pergeseran 17 jam saya berakhir. Otak tidak lagi berfungsi. Itu jalan buntu yang lain. Serangkaian pertarungan keras dan sukses lainnya demi kegagalan lainnya. Dia harus pulang dan tidur sedikit untuk memulai lagi keesokan harinya.
Panggil teman
Hari berikutnya saya memeriksa semuanya lagi untuk memastikan bahwa saya tidak melewatkan apa pun. Saya memeriksa semua yang bisa saya periksa, memindai semua yang bisa saya pindai, melakukan semua yang muncul di pikiran saya. Di mana-mana mengarah kecil, tetapi tidak ada yang berharga. Saya menelepon seorang kolega dari
Dallas Hackers . Setelah menceritakan kepadanya tentang cobaan saya, saya berakhir dengan harapan yang hancur untuk kerentanan Jalur Layanan Tanpa Kutipan, ketika kesimpulan menunjukkan kepada saya kurangnya hak istimewa yang diperlukan. Dia bertanya: "Tetapi Anda masih mencoba untuk mengeksploitasinya, meskipun demikian?" Saya membeku. Saya belum mencoba. Dalam keadaan itu, saya percaya kesimpulannya dan tidak memeriksanya sendiri. Bagus Saya mencoba menulis data ke direktori. Yang sama yang, menurut Windows, saya tidak memiliki akses untuk menulis. Dan saya berhasil. Sialan Windows. Saya tertipu lagi. Tapi oke Ini mati. Petunjuk baru.
Seorang kolega dengan cepat melemparkan saya sebuah bootloader di C, yang meluncurkan muatan di Powershell. Saya memberanikan diri untuk memeriksa bundel di komputer saya sendiri, dan semuanya tampak berfungsi dengan baik. Itu adalah serangan sesat. Tapi hanya itu yang saya miliki. Saya akan:
- Jalankan pendengar di laptop hacker saya
- Dapatkan akses fisik ke laptop di kantor
- Masuk sebagai administrator lokal
- Unduh banyak Malvari Anda di Jalur Layanan Tanpa Kutipan
- Keluarlah
- Tunggu login pengguna dan mulai memuat
Istirahat makan siang sudah dekat. Saya menjawab sambil tersenyum pada undangan rekan-rekan saya untuk pergi makan dan ngemil sedikit. Pada awalnya, saya berencana untuk mengunjungi orang-orang IT dan mendapatkan ke salah satu komputer mereka saat mereka sedang makan siang. Tetapi ketika saya pergi ke kantor mereka, saya melihat mereka semua ada di tempat! Makan siangmu di depan komputer! Mereka tidak tahu betapa berbahayanya itu ?! Bagaimana tidak adanya pemisahan pekerjaan dan istirahat dan kurangnya istirahat dapat menyebabkan stres ?! Mengapa mereka tidak makan seperti orang normal ?!
Ya kamu pergi Saya akan meretas komputer. Komputer apa saja. Saya berjalan di sekitar kantor dan menemukan kantor di mana tidak ada orang di sana. Pemodal. Ok, hack keuangan. Saya menjawab sesuatu kepada seorang wanita tua kecil yang lucu yang kembali untuk dompetnya. Biarkan dia tahu bahwa saya adalah seorang teknisi IT yang memperbarui komputer. Dia mengangguk dan, tersenyum manis, pergi. Kesal, dengan wajah penuh kebencian dan gloating, saya menoleh ke salah satu komputer rekan-rekannya dan memecahkannya.
Butuh waktu kurang dari 30 detik. Saya mengembalikan kursi dan mouse ke keadaan di mana mereka sebelum saya tiba. Sekali lagi saya melihat sekeliling dengan cepat, memastikan semuanya terlihat normal. Dan dia kembali ke tempat kerjanya. Duduk menatap pendengar Anda. Pada satu titik, makan siang berakhir. Saya bahkan tidak ingin berbicara. Sudah mulai kehilangan harapan, saya melihat:
> Meterpreter session 1 openedDan kemudian ...
> Meterpreter session 2 opened
> Meterpreter session 3 opened
...
> Meterpreter session 7 openedKiri kamu! Saya menjalankan GETUID dan melihat NT AUTHORITY \ SYSTEM. III ha!
Bagus! Hebat! Jadi! Umm ... ayo pergi! Ya! Setelah diperbaiki di sistem, saya membuang memori dan mulai menggali ke dalam sistem file. Beberapa jenis informasi keuangan. Beberapa kata sandi di hapus. Informasi sensitif, tetapi tidak ada yang serius. Tapi oh baiklah. Ini baru permulaan. Bridgehead. Dan kemudian ...
> Meterpreter session 1 closedSaya mencoba untuk berpegang teguh pada sesi, tetapi semuanya tertutup. Saya ping sistem tidak merespons. Saya akan memindai port 445. Tidak ada Sistem tidak tersedia. Itu Oh Terlalu banyak Saya bangkit dan langsung menuju ke departemen keuangan. Apa yang terjadi dengan cangkang saya ?!
Berbalik, saya melihat seorang wanita tua yang lucu sedang berbicara dengan orang IT yang paling kuat dan paling ganas. Aku cepat-cepat melakukan “Oh, yo ...” dan berbalik ketika wanita tua itu melihat ke arahku, mengarahkan satu jari langsung ke arahku dan berteriak: “Ini dia! Dia mengacaukan komputer kita! " Saya memancarkan jeritan yang menyayat hati dan bergegas untuk berlari. Setelah membalikkan punggung saya pada spesialis IT yang galak, saya berlari ke arah yang berlawanan dan menemukan dua penjaga keamanan. Mereka terlihat sangat tidak ramah dan menjelaskan bahwa saya berjalan ke daerah yang salah. Saya terbangun dengan darah, diikat ke kursi kantor yang ergonomis dengan ikatan kabel, yang mereka tarik bersama kabel di ruang server. Kepala DFIR berdiri di depan saya, buku-buku jarinya dirobohkan. Di belakangnya, sebuah tim analis kecil dari kelompok pendeteksi intrusi menyeringai. Aku memeras satu kata ... aku perlu tahu ... "Bagaimana ...?" Dia mencondongkan telingaku dan berbisik, "Tidak seorang pun di departemen keuangan yang pernah memulai Powershell ..."
Oke ... saya menambahkan sedikit drama di akhir. Tetapi kisah tentang bagaimana saya bertemu seorang wanita tua yang menyerahkan saya kepada spesialis IT adalah nyata. Mereka menahan saya di sana. Mereka mengambil laptop saya dan melaporkan kepada manajemen tentang saya. Direktur keamanan informasi datang dan mengkonfirmasi keberadaan saya. Dan cara mereka menemukan saya juga nyata. Mereka diberitahu bahwa Powershell sedang berjalan pada sistem yang bukan milik sekelompok kecil orang dan pengembang TI yang memulai Powershell dalam kondisi normal. Metode sederhana dan andal untuk mendeteksi anomali.
Kesimpulan
Tim biru
- Model privilege terkecil
- Otentikasi Multi Faktor
- Aturan sederhana untuk mendeteksi anomali
- Pertahanan yang dalam
Tim merah
- Teruslah berusaha
- Jangan berasumsi
- Mencari bantuan
- Beruntung siap
- Adaptasi dan Mengatasi