Salam untuk semuanya! Siapa yang bisa berbahasa Spanyol? Hebat! Kami memenangkan hadiah ini karena pada pagi hari tim kami, tim Spanyol, mengambil bagian dalam turnamen sepak bola dan menerima trofi ini, jadi saya minta maaf kepada Argentina dan Afrika Selatan bahwa kami memenangkan hadiah ini. Terima kasih semua telah datang ke presentasi kami. Pertama-tama, izinkan saya memperkenalkan Anda kepada teman saya Juan Corrido, dan saya Chema Alonso. Kami bekerja di sebuah perusahaan kecil Spanyol Informatica64, dan sebelum memulai pembicaraan tentang topik tersebut, saya ingin memperkenalkan negara kami.
Spanyol adalah negara kecil di tengah segalanya, terletak di antara Eropa, Afrika, dan Amerika Selatan, karena ini adalah kisah kami. Jika Anda belum pernah ke Spanyol, Anda harus pergi ke sana. Saya dari Madrid, itu adalah kota yang indah, itu adalah ibukota kerajaan besar 500 tahun yang lalu. Jika Anda datang ke Madrid, Anda tidak akan merasa seperti orang asing, karena jika Anda datang ke Madrid, maka Anda sudah menjadi Madrid. Juanito dari kota lain, dari Seville. Kota ini adalah ibu kota Kekaisaran Arab pada abad ke-7, ketika Spanyol adalah negara Arab. Pada slide Anda melihat Menara Emas, itu dibangun dari emas, yang dibawa ke Eropa dari Amerika Selatan.
Seville sangat terkenal dengan flamenco, festival dan monumennya - pada slide ini salah satu monumen arsitektur terbesar, Plaza de España, Anda mungkin semua tahu. Anda harus mengunjungi monumen ini dan Anda akan jatuh cinta, karena jika Anakin Skywalker jatuh cinta pada Seville, Anda dapat melakukannya juga. Jadi jangan lupa untuk mengunjungi negara kita.
Juanito dari Triana, adalah sebuah republik kecil independen di Seville, sangat terkenal dengan Pekan Suci, karena penduduknya sangat religius dan ribuan dari mereka mengadakan pertunjukan keagamaan pada saat ini, dan tentu saja, setelah itu mereka minum.
Jadi, kami bekerja di Informatica64 dan mungkin banyak dari Anda telah mendengar tentang alat yang kami kembangkan bernama Foca. Ini adalah alat gratis yang dapat Anda gunakan untuk meretas informasi, pengujian penetrasi dan sebagainya. Besok kami akan memposting di bengkel online kami pada jam 8 versi baru, ketiga dari program ini, sehingga siapa pun dari Anda dapat mengambil bagian dalam mengujinya.
Topik pembicaraan kami hari ini adalah tentang aplikasi jarak jauh menggunakan Citrix dan Layanan Terminal Windows. Perusahaan menempatkan mereka di awan. Dalam presentasi kami, kami akan menjelaskan cara menggunakan aplikasi dengan ekstensi .ica dan file Layanan Terminal, mengotomatisasi analisis data menggunakan FOCA. Ini memungkinkan penyerang untuk mengidentifikasi perangkat lunak internal, jaringan internal, dan menggabungkan informasi selama pemindaian PTR dan selama serangan berbahaya menggunakan file Excel. Sebagai hasilnya, kami akan menggunakan fitur kebijakan keamanan yang rumit dari aplikasi Excel jarak jauh, yang memberi para peretas kemampuan untuk melewati batasan makro dan mendapatkan informasi rahasia perusahaan.
Sebelumnya, kami melakukan banyak pekerjaan pada topik ini, pada topik Citrix dan Layanan Terminal Windows, tetapi kami masih percaya bahwa ini penting, karena sejauh ini tidak ada yang serius peduli dengan masalah ini. Kami akan menunjukkan betapa mudahnya bagi peretas untuk menyusup ke data perusahaan menggunakan alat-alat ini.
Sangat mudah untuk menemukan titik masuk perusahaan yang mencari aplikasi jarak jauh atau koneksi jarak jauh melalui Google. Mereka mencari file .rdp. Anda dapat menemukan hampir dua ribu tempat, 2000 server yang menerbitkan aplikasi semacam itu. Anda juga dapat menemukan situs pemerintah yang menggunakan aplikasi "cloud" jarak jauh, Anda cukup mengekliknya dan melihat apa yang terjadi.
Anda dapat melakukan hal yang sama di BING. Anda tidak dapat menggunakan pengubah ekstensi file, tetapi Anda dapat menggunakan tipe file .txt dan mencari pengubah apa pun yang muncul di semua file dalam ribuan aplikasi jarak jauh yang Anda temukan.
Beberapa tempat yang kami temukan menggunakan aplikasi jarak jauh ini adalah situs pemerintah. Pada slide, Anda melihat sistem manajemen pesanan patroli yang terletak di domain .mil di AS, ini adalah situs militer.
Kami akan membuat demo berdasarkan situs ini dan berbicara dengan Jeff, tetapi hari ini ia memperbaikinya, dan kami tidak tahu mengapa. Tetapi kami siap menunjukkan eksperimen kepada Anda dengan situs pemerintah lain - Departemen Transportasi California.
Hanya dengan membaca halaman ini, di bagian bawah Anda dapat menemukan aplikasi RouteCleaning jarak jauh, yang merupakan file dengan ekstensi .ica, dan mengunduhnya dengan mengklik tautan. Mari kita lihat apa yang kita dapatkan. Saya yakinkan Anda, itu berhasil 5 menit yang lalu. Ya, kami tidak berhasil, tapi jangan khawatir, kami punya demo lain.
Dalam lingkungan ini, seperti yang akan kita lihat, ada begitu banyak hal yang perlu dikhawatirkan, dan sangat sulit untuk memastikan keamanan semua aplikasi. Slide dengan Leonardo DiCaprio ini tidak masuk akal, karena ini mengacu pada demonstrasi yang gagal. Maaf sekali lagi, tapi 5 menit yang lalu itu benar-benar berhasil.
Apakah Anda bersikeras agar kami mencoba lagi? Baiklah, kita akan mengetik lagi di Departemen Transportasi California di browser. Tidak, itu tidak berfungsi lagi. Mereka memperbaikinya! Tapi percayalah, 5 menit yang lalu semuanya berhasil untuk kita. Yah, jangan khawatir.
Mari kita lanjutkan. Masalah terbesar dengan file-file konfigurasi ini adalah verbositasnya. Anda cukup membaca file .txt dan menemukan di dalamnya banyak semua jenis informasi, seperti alamat IP internal dan kata sandi pengguna terenkripsi. Anda dapat memecahkan kata sandi terenkripsi ini, tetapi Anda tidak akan dapat mengakses sistem menggunakan akun anonim atau akun pengguna. Yang disebutkan di sini adalah perangkat lunak internal. Jadi file-file ini ideal untuk serangan cyber yang ditargetkan seperti APT untuk orang yang mengumpulkan informasi untuk mengatur serangan tersebut. Pencarian sederhana untuk file .ica di Internet memungkinkan untuk mendeteksi file dengan kata sandi untuk Oracle hanya dalam teks.
Untuk ini, Anda tidak perlu melakukan sesuatu yang istimewa, ada cukup informasi dalam file-file ini. Oleh karena itu, kami memutuskan untuk menambahkan jenis file ini ke alat FOCA kami, yang digunakan untuk mengumpulkan informasi dan mengidentifikasi situs web perusahaan. Anda sudah melihat versi baru dari program ini, yang akan tersedia besok untuk orang-orang yang mencari jenis file ini dan mengekstrak informasi dari mereka.
Masalah besar kedua adalah bahwa itu semua file teks dengan ekstensi .txt, sehingga penyerang dapat dengan bebas memodifikasi file konfigurasi dan sampai ke bagian lain dari sistem operasi. Ini dapat menghasilkan pesan kesalahan di server, jadi saat menggunakan Citrix Anda akan menerima pesan bahwa file atau aplikasi ini tidak ada di server. Seorang hacker juga akan bisa mendapatkan seluruh daftar aplikasi yang terinstal di komputer Anda.
Sangat mudah untuk melakukan ini dengan Terminal Services - dalam mode aplikasi jarak jauh, perintah -0 akan memberikan akses ke seluruh desktop, dan perintah -1 hanya akan memberikan akses ke aplikasi. Versi dengan angka <6 untuk protokol RDP membuat shell alternatif, meskipun mereka tidak bekerja dengan Layanan Terminal di bawah 2008. Misalnya, Anda menerima berbagai pesan kesalahan, seperti "Akses ditolak", karena file ini milik OS. Tetapi fakta bahwa Anda tidak dapat mengakses file ini berarti tidak terletak di server, tetapi terletak di komputer.
Yang positif adalah Anda dapat melakukan hal yang sama di Citrix, dan tidak ada perlindungan di sini untuk mencegah satu koneksi, koneksi lain, lainnya dan seterusnya, Anda bahkan tidak perlu memasukkan captcha.
Anda dapat mengoptimalkan prosedur ini menggunakan program yang kami buat bernama CACA ("AS"), yang merupakan singkatan dari frase "Aplikasi Komputer Citrix".
Anda hanya perlu membuka "AS", pilih satu file .ica, di sisi notepad Anda melihat daftar pengaturan "jangan melebihi", "menghitung", "jumlah ancaman" dan sebagainya, Anda menekan tombol Start dan Anda dapat minum kopi sambil CACA melakukan pekerjaan untuk Anda. Dia mencoba membuka aplikasi, sambil melakukan snapshot, jadi ketika dia selesai bekerja, Anda dapat melihat pesan kesalahan. Dengan demikian, Anda dapat mengetahui apakah aplikasi ini ada di server atau tidak. Anda dapat menggunakan daftar aplikasi yang sangat besar. Dengan meluncurkan "KAKA" di komputer Anda di awal hari, pada akhirnya Anda akan menerima daftar aplikasi di "KAKA".
Hal lain yang dapat dilakukan dengan Layanan Terminal, kami menyebutnya "Memainkan Piano." Ada banyak tautan di Terminal Services dan Citrix, terutama di Windows 2008, terlalu banyak variabel, seperti% SystemRoot%,% ProgramFiles%,% SystemDrive%, terlalu banyak pintasan keyboard, dan banyak fungsi yang memungkinkan seorang peretas untuk mencapai bagian sistem seperti itu, untuk yang bahkan tidak mendapatkan administrator sistem.
Kami benar-benar menyukai Windows Server 2008, karena ini akan membantu semuanya! Jika Anda meminta aplikasi yang tidak ada dalam OS, Windows Server 2008 akan memberi Anda jendela dengan kesalahan dan tombol bantuan. Mengapa tidak memanfaatkan kesopanan seperti itu? Jadi, ketika Anda mengklik tombol Bantuan, program akan menawarkan Anda untuk membaca manual dengan banyak tautan yang memungkinkan Anda untuk membuka IE, mengaktifkan panel "Open File", menjalankan beberapa jenis perintah, dan sebagainya.
"Playing the piano" memungkinkan Anda menggunakan banyak pintasan keyboard untuk mencapai berbagai bagian sistem operasi.
Saat menggunakannya, kami mendapatkan lebih banyak dan lebih banyak cara pintas keyboard baru.
Fitur yang menarik adalah fungsi tombol lengket. Jika Anda menekan tombol SHIFT tiga hingga empat kali berturut-turut, sistem operasi menampilkan menu untuk mengatur fungsi tombol rekat dengan panel kontrol. Jadi, bahkan jika Anda tidak memiliki akses ke panel kontrol melalui kunci lengket, Anda dapat mengonfigurasi semua panel kontrol sistem operasi hanya dengan mengklik "Simpan".
Kami sekarang akan menunjukkan kepada Anda demo dari situs web Citrix. Ini adalah situs web Sitrix, tetapi halaman ini dimaksudkan untuk menunjukkan kemampuan server, sehingga demo kami sepenuhnya legal.
Kami memasukkan nama pengguna dan kata sandi dan memasuki lingkungan Citrix. Anda melihat banyak aplikasi di sini. Kami akan menggunakan Excel, karena tema presentasi kami adalah Excel. Jadi mari kita masuk ke aplikasi dan menjalankan Excel.
Sistem sekarang memuat komponen klien. Semuanya sudah siap, sekarang kita menggunakan IE. Percayalah, Excel berfungsi, hanya kecepatan internet yang rendah. Di sini, akhirnya, jendela Windows Server 2008 muncul, kami terhubung ke Excel jarak jauh. Sangat lambat ... jika seseorang melakukan serangan pria-di-tengah di jaringan ini, tolong berhenti melakukan ini (tertawa). Apa yang terjadi dengan internet?
Sangat, sangat lambat ... well, akhirnya! Kami telah membuka Excel! Seperti yang Anda lihat, data keuangan rahasia perusahaan muncul di layar.
File ini harus dilindungi oleh lingkungan Citrix, mari kita coba menggunakan variabel lingkungan untuk terhubung ke direktori root. Seperti yang Anda lihat, ketika kami mencoba membuka perpustakaan "Dokumen Saya", kami mendapat pesan "Akses ditolak", tetapi Anda dapat melakukan banyak trik.
Salah satu trik ini adalah membuat pintasan untuk perintah cmd, lalu jalankan ... tidak berfungsi! Mereka memperbaikinya. Tidak menakutkan, ada banyak konsol. Buat pintasan untuk PowerShell dan jalankan. Seperti yang Anda lihat, itu berhasil! Sekarang kita dapat mengakses semua yang kita butuhkan.
Ini sangat sulit bagi kami, karena setiap hari sistem operasi menjadi lebih rumit, dan aplikasi yang mempublikasikan di server juga menjadi lebih rumit. Dengan demikian, setiap aplikasi yang Anda terbitkan ke Layanan Terminal berfungsi sebagai cara untuk mengakses sistem operasi Anda. Selain itu, setiap aplikasi adalah cara untuk meningkatkan hak akses. Aplikasi kompleks adalah optimal untuk operasi seperti itu, dan Excel adalah aplikasi yang sedemikian kompleks yang diterbitkan perusahaan melalui layanan untuk aplikasi jarak jauh.
Ini adalah alat yang sangat kuat, dan bos menyukai Excel, karena Anda dapat membuat banyak grafik dan bagan lucu, menganalisis banyak data, menghubungkan Excel ke basis data, melakukan penambangan data, dan melakukan banyak hal lain yang berguna untuk bisnis.
Tetapi untuk melakukan semua ini, Anda memerlukan lingkungan Visual Basic. Anda dapat menghapus Visual Basic dari Excel Anda, tetapi pada saat yang sama itu akan menjadi aplikasi yang sama sekali berbeda, itu tidak akan tetap menjadi Excel.
Jadi idenya adalah bahwa berkat kemampuan Visual Basic, Anda dapat melakukan banyak hal dengan Excel. Mari kita tunjukkan ini.
Jadi, kami memiliki Windows 2008 dengan layanan terminal, dan dalam lingkungan ini kami menerbitkan Excel 2007. Kami menggunakannya karena kebijakan keamanan, kebijakan pembatasan aplikasi kurang lebih sama. Perbedaan utama antara keamanan MS Office 2010 dan 2007 adalah kotak pasir, yaitu, terkait dengan file yang Anda unduh dari sumber tidak aman di Internet. Tetapi begitu Anda telah mengunduh file ke komputer Anda, kebijakan keamanan grup akan sama untuk makro. Anda dapat menggunakan makro yang tidak ditandatangani dan makro pihak ketiga.
Dengan demikian, dalam lingkungan ini, kita dapat menjalankan Excel dengan makro. Secara default, kebijakan keamanan memberi pengguna kemampuan untuk memilih apakah akan mengaktifkan makro atau tidak. Namun, ketika memulai Excel di server jarak jauh, pilihan ini adalah opsi tambahan dan makro diaktifkan secara default, karena Visual Basic for Applications tidak berfungsi di komputer lokal, tetapi di server. Ini perbedaan besar.
Dalam contoh ini, kami akan membuat panel, dan Anda melihat bahwa dalam pesan kebijakan keamanan opsi ini untuk bekerja dengan makro dipilih oleh pengguna - apakah akan mengizinkan konten ini digunakan atau tidak. Tentu saja, kami mengklik "Izinkan", setelah grafik dengan indikator keuangan perusahaan muncul di layar.
Dengan sikap ini terhadap aplikasi, Anda dapat melakukan banyak hal, misalnya, melihat proses yang sedang berjalan. Menggunakan Instrumentasi Manajemen Windows, Anda bisa menggunakan perintah untuk mendapatkan hasil dan menampilkannya dalam file Excel.
Kami akan menutup jendela ini dan kembali ke presentasi. Setelah melihat demo ini, menjadi jelas bahwa Anda harus menjaga keamanan Excel di lingkungan yang jauh. Hal pertama yang harus dijaga administrator sistem adalah mengunci beberapa konsol khusus, seperti -cmd.exe, -powershell, -script, -cscript. Tetapi ada terlalu banyak konsol di sana, dan cadangan di Windows Server 2008 membuat salinan dari semua panel kontrol ini. Ini menciptakan masalah ganda karena konsol digandakan. Dalam lingkungan ini, semua konsol dilarang, untuk ini kami menggunakan ACL ACL dan kebijakan keamanan, tetapi kami bahkan dapat menggunakan konsol dari sistem operasi lain.
Ide ini dikemukakan oleh Stevens dan Anda dapat menanamkan dll dalam file excel dan bahwa dll ini adalah juru bahasa yang tersebar luas. Oleh karena itu, cukup dengan memanggil juru bahasa dari dll Anda, Anda akan mendapatkan akses ke server. Jadi mari kita lihat demo kedua, yang berhubungan dengan konsol yang dilarang. Kami akan masuk ke Windows Server 2008 dan mencoba menjalankan cmd.exe, yang dilarang. Anda melihat bahwa tidak ada yang berhasil bagi kami, karena konsol ini dilarang - sebuah tulisan muncul bahwa program ini diblokir oleh kebijakan keamanan grup.
Tetapi file Excel yang akan kita buka berisi .dll dari ReactOS dan .dll untuk editor registri, juga dari ReactOS. Oleh karena itu, kami membuka baris perintah dengan menekan tombol "Baris perintah", dan sekarang file Excel mengekstrak .dll untuk menjalankannya. Bahkan, kita akan mendapatkan juru bahasa perintah ReactOS.
Anda lihat di layar bahwa kita mendapat juru bahasa perintah ReactOS, yang praktis tidak berbeda dengan juru bahasa perintah Windows 2008. Jadi ini adalah trik yang bagus.
Pada saat yang sama, cmd.exe tidak terlihat di task manager, karena itu adalah .dll di dalam file Excel dan hanya aplikasi EXCEL.EXE yang dapat dilihat di task manager, sehingga perusahaan yang Anda serang tidak akan curiga.
Mari kita kembali ke slide kita. Setelah melihat demo terakhir, Anda dapat mengatakan - ok, saya akan mematikan semua makro untuk komputer saya. Tetapi kenyataannya adalah bahwa menurut kebijakan keamanan, menonaktifkan Visual Basic berarti melarang penggunaannya untuk semua aplikasi kantor, dan tidak hanya untuk Excel, yaitu, itu akan mempengaruhi Word, PowerPoint, Access, dan sebagainya.
Ada 4 opsi keamanan makro dalam pengaturan Excel: jangan gunakan makro, gunakan hanya makro yang ditandatangani, gunakan makro atas kebijakan pengguna untuk setiap kasus tertentu, dan gunakan semua makro. Jika pengguna adalah seorang peretas, ia akan memilih 3 opsi. Sekarang kami akan menunjukkan kepada Anda demo Excel, di mana kami telah memilih opsi pertama - jangan gunakan makro sama sekali.
Kami kembali menggunakan file Excel yang diterbitkan melalui lingkungan jarak jauh, jadi kami kembali ke Windows 2008 dan keluar dari koneksi Internet yang tidak aktif. Selanjutnya, kita pergi ke politisi, pilih kotak centang "Aktifkan" untuk mengaktifkan kebijakan keamanan dan pilih parameter ketiga "Tidak ada peringatan untuk semua makro, tetapi dengan larangan semua makro" di menu drop-down.
Kemudian kita klik tombol “Terapkan” dan “OK”, tunggu hingga parameternya berubah, kembali ke klien dan buka file Excel. Ini adalah salah satu trik favorit saya. Ketika Anda berhasil membuka dokumen, Anda melihat bahwa tidak ada yang dapat dilakukan karena semuanya dilarang. , , .
Excel – trusted locations. – , , . , . , – , . , – Excel. , , . , , !
, – ! , – ! , , , . . , .
, 4 . : 1 – , 2- , – , 4 – . « ».
«», «» .
, Excel , , . « », « ».
, . , , . , , Certificate Import Wizard!
, , – « » « » ( ).
, , . , . CRL, CRL HTTP LDAP, HTTP SQL Injection, SQL . Excel -, , , , , CRL.
SQL, , , - CA DHS , . , , FOCA.
:
- DHS;
- ;
- Excel CA;
- URL CRL , , ;
- DHS Excel .
, , , , .
, , , -, , . Excel , . , .
TS Web Access – « TS Web Access». , , , HTTP. , , , .
, , !
:)
, . ? ? , ,
VPS $4.99 ,
entry-level , : VPS (KVM) E5-2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps $19 ? ( RAID1 RAID10, 24 40GB DDR4).
Dell R730xd 2 - Equinix Tier IV ? 2 Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 $199 ! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — $99! . c Dell R730xd 5-2650 v4 9000 ?