خرید vpn خوب

برداشت اعتبار معتبر با Smbexec و Secretsump

همانطور که ما برای همیشه می نویسیم ، هکرها برای پرواز در زیر رادار بیشتر به تکنیک های بدون بدافزار تکیه می کنند. آنها از "نرم افزار استاندارد Windows" برای "زندگی در خارج از زمین" استفاده می کنند و از تحریک AV یا سایر نرم افزارهای کنترل ضد بدافزار جلوگیری می کنند. حال ما به عنوان مدافع باید با یک نتیجه ناگوار برخورد کنیم: یک کارمند با موقعیت مناسب نیز می تواند از همین ایده ها برای سرقت داده ها استفاده کند (IP شرکت ها ، شماره کارت های اعتباری). و در واقع ، آنها وقت خود را می گذرانند ، و کم و آهسته می روند ، بسیار دشوار است – غیرممکن نیست اگر شما از طرز فکر و نرم افزار مناسبی برخوردار باشید – برای امنیت فناوری اطلاعات برای شناسایی فعالیت های آنها.

من نمی خواهم کارمندان را شیطانی کنم. و از طرف دیگر ، هیچ کس نمی خواهد از سال 1984 در یک محیط تجاری کار کند. با این وجود ، اقدامات معقول و منطقی برای تهدیدهای خودی برای برداشتن دشوارتر وجود دارد. در این مجموعه چند قسمتی ، ابتدا به برخی از تکنیک های قدرتمند که می توان به راحتی توسط کارمندان با پیشینه فناوری درک کرد ، نگاهی بیندازیم. بعداً ما به روشهایی برای کاهش ریسک خواهیم پرداخت – کاوش در هر دو رویکرد فنی و اداری.

چه مشکلی با Psexec وجود دارد؟

ادوارد اسنودن ، درست یا غلط ، با سرقت داده های خودی مترادف شد. به هر حال ، نگاهی به این نوشتن سایر خودی ها بیندازید ، که آنها نیز سزاوار برخی از شهرت هستند!

نکته بسیار مهم برای تأکید در مورد تکنیک های اسنودن این است که ، تا آنجا که می دانیم ، او نه ] بدافزارهای خارجی را وارد کنید. در عوض ، اسنودن کمی مهندسی اجتماعی به کار برد و از موقعیت خود به عنوان مدیر سیستم برای جمع آوری گذرواژه‌ها و ایجاد اعتبار استفاده کرد. هیچ چیز بسیار پیچیده ای – بدون تقلید ، حملات در وسط انسان یا متاسپلویت.

ممکن است کارمندان در موقعیت منحصر به فرد اسنودن نباشند ، اما درسهایی در رابطه با "زندگی در خارج از زمین" وجود دارد ، و نه تولید آشکارگر. وقایع ، و به ویژه در استفاده هوشمندانه از اعتبارنامه هایی که ارزش دانستن آنها را دارید. فکر کن.

Psexec و پسر عموی نزدیکش ، crackmapexec باعث شده است که تعداد زیادی از آزمایش کنندگان قلم ، هکرها و وبلاگ نویسان از جمله من تحت تأثیر قرار بگیرند. psexec در ترکیب با mimikatz ، به مهاجمان اجازه می دهد بدون نیاز به رمزعبور ساده ، حرکت جانبی انجام دهند. ، به مهاجم اجازه می دهد تا به عنوان کاربر متفاوت به یک سرور دیگر وارد شود. در هر حرکت بعدی به سرور بعدی ، مهاجم اطلاعات بیشتری را جمع آوری می کند ، و امکانات بیشتری را برای یافتن محتوای قابل دسترسی باز می کند.

اگر با دقت بیشتری به psexec نگاه کنید ، می فهمید که ابزاری مخفی نیست . هنگامی که من برای اولین بار با psexec شروع کردم ، به نظر می رسید مارک راسینوویچ ، توسعه دهنده درخشان psexec ، مشتاقانه جادویی است – اما اکنون چرخ دنده های پر سر و صدا را بیشتر بدانید. خلوت نیست!

اولین نکته جالب در مورد psexec این است که از پروتکل فایل شبکه SMB مایکروسافت بسیار پیچیده استفاده می کند. با استفاده از SMB ، psexec یک باینری کوچک را به سیستم مورد نظر منتقل می کند ، آن را در فهرست C: windows قرار می دهد.

نکته جالب بعدی این است که psexec با استفاده از دودویی کپی شده ، یک سرویس Windows ایجاد می کند. سپس خدمات را با نام PSEXECSVC با شگفت آور تکان دهنده خدمات راه اندازی می کند. شما واقعاً همه اینها را ، مانند من ، می توانید از نقطه نظر برتری دستگاه از راه دور (پایین) مشاهده کنید.

سرانجام ، باینری کپی شده یک اتصال RPC را به هدف باز می کند و سپس یک فرمان ( پوسته cmd ویندوز به طور پیش فرض) ، آن را با ورودی و خروجی که به دستگاه خانه مهاجم هدایت می شود ، اجرا می کنید. مهاجم یک فوریت اساسی پوسته را مشاهده می کند – دقیقاً مثل اینکه ما مستقیماً وارد آن شدیم.

بسیاری از چرخ دنده ها و یک روند بسیار پر سر و صدا!

ماشین آلات پیچیده تحت عنوان psexec پیامی را توضیح می دهد که من را در طی تست اولیه ام گیج کرده است. چند سال به عقب رانده ، "شروع PSEXECSVC …" ، و سپس مکث قابل توجه قبل از نمایش سریع فرمان.

جای تعجب نیست: psexec کارهای باورنکردنی را در زیر هود انجام می داد. اگر می خواهید توضیحی خوب با جزئیات بیشتر از آنچه که می توانم در این پست کوتاه وارد شوم ، توضیحی شگفت انگیز در اینجا آورده شده است.

بدیهی است که به عنوان یک ابزار مدیریت sys ، که هدف را که هدف آن بوده است ، وجود دارد.

اگرچه ، برای مهاجمان به طور کلی ، psexec مشکل ساز است و برای یک خودی دقیق و باهوش ، مانند Snowden ، psexec و ابزارهای مشابه ، بسیار پرخطر تلقی می شوند.

در کنار Sbmexec

اهرم SMB برای هک کردن مدت طولانی است. در سال 2013 در Defcon ، اریک میلمن (@ brav0hax) smbexec را معرفی کرد تا آزمایش کنندگان قلم اجازه دهند این ایده ها را برای خودشان امتحان کنند. من از سابقه کامل ابزار اطمینان ندارم ، اما متعاقبا توسط Impacket انتخاب و تصحیح شد. در حقیقت ، من اسکریپت های پایتون Impacket را از Github برای آزمایش خودم بارگیری کردم.

smbexec یونیکس ، پس از انتقال یک باینری به سایت مورد نظر ، خودداری می کند. در عوض ، این برنامه با اجرای پوسته فرمان ویندوز محلی محلی ، زندگی می کند و این وظیفه را به شکلی زیر رادار انجام می دهد.

در اینجا کاری انجام می شود. این دستورات را از دستگاه حمله کننده از طریق SMB به یک پرونده ویژه منتقل می کند ، و سپس یک خط فرمان پیچیده را ایجاد می کند که باید برای افراد لینوکس آشنا باشد. این نرم افزار پوسته بومی ویندوز cmd را هدایت می کند ، ورودی و خروجی را به این پرونده های ویژه هدایت می کند و سپس SMB خروجی را به دستگاه مهاجم هدایت می کند.

بهترین راه برای درک این موضوع نگاه به خط فرمان (زیر) است.

مانند psexec ، خدمتی را ایجاد می کند که کار واقعی را انجام می دهد ، اما این سرویس حذف می شود! یک کارمند امنیتی که دستگاه قربانی را مشاهده می کند نمی تواند شواهدی بدیهی از حمله را پیدا کند: هیچ باینری بدافزار ، هیچ سرویس نصب نشده و هیچ مدرکی برای استفاده RPC وجود ندارد. درخشان!

در سمت مهاجم ، تجربه "شبه پوسته" با تاخیر بین فرمان ارسال شده و خروجی دریافتی وجود خواهد داشت. اما این کافی است که یک مهاجم – یا خودی یا خارجی که جای پستی دارد – جستجوی مطالب جالب باشد.

(برای کسانی که پست های تست قلم من را از تابستان گذشته یاد می کنند – می دانید که کی هستید!) این رویکرد بسیار است شبیه به اجرای کد از راه دور Koadic)

برای بیرون کشیدن داده ها از هدف به دستگاه مهاجم ، smbclient وجود دارد. بله ، این همان ابزار Samba است اما اکنون توسط Impacket به اسکریپت پایتون تبدیل شده است. Smbclient به شما امکان می دهد FTP را بیش از SMB مخفی کنید. در سناریوی تخیلی من ، بگویید یک بلاگر یا تحلیلگر مالی یا یک مشاور امنیتی با قیمت بالا مجاز است که لپ تاپ خود را به کار ببرد. از طریق یک فرآیند جادویی ، او ناراضی می شود و "بد می شود".

بسته به سیستم عامل لپ تاپ ، وی یا نسخه های پایتون و یا ویندوزهای Impact یا Impact را از نسخه های smbexec و smbclient دارد. مانند اسنودن ، وی در مورد رمزعبور کاربر دیگری – یا با گشت و گذار در شانه یا شانس داشتن و پیدا کردن سیستم فایل قدیمی ، اطلاعات کسب کرد. با این اعتبار ، او قادر است سیستم را آغاز کند.

شکستن DCC2: ما نیازی به بدون استینکین نداریم. Mimikatz

در مکان های قبلی آزمایش قلم ، من از mimikatz استفاده کردم. این یک ابزار شگفت انگیز برای گرفتن مدارک معتبر است – hash NTLM و حتی کلمه های متن ساده – که در کمین لپ تاپ ها در انتظار بهره برداری است.

بار تغییر کرده است. نرم افزار نظارت بر امنیت در تشخیص یا مسدود کردن mimikatz بهتر شده است. سرپرست های امنیتی همچنین گزینه های بیشتری برای کاهش خطر حملات مبتنی بر PtH دارند. من در یک پست دیگر این موضوع را بررسی خواهم کرد.

بنابراین یک کارمند باهوش برای جمع آوری اعتبارنامه های اضافی چه کاری انجام می دهد؟

مجموعه ابزارهای Impacket دارای ابزاری به نام secrettsdump است که اعتبارنامه را از Domain Credential Cache یا DCC بیرون می کشد. از آنچه می فهمم ، اگر یک کاربر دامنه وارد یک سرور شود ، اما کنترل کننده دامنه از کار بیفتد ، حافظه پنهان DCC به سرور اجازه می دهد تا کاربر را تأیید کند.

به هر حال ، اسرار پشته به شما امکان می دهد وقتی در دسترس باشد این هش ها را رها کنید. آنها نیستند هشدار NTLH ، و نمی تواند در PtH مورد استفاده قرار گیرد.

خوب ، می توانید برای به دست آوردن رمزعبور اصلی ، آنها را شکستید. با این حال ، مایکروسافت با DCC باهوش تر شد و هش را شور کرد. به طور خلاصه ، هش DCC بسیار سخت است. hasccat وجود دارد ، "سریعترین رمز عبور گذرواژه در جهان" ، اما برای کارآمد تر به پشتیبانی GPU نیاز دارد.

در عوض ، بیایید کمی مثل Snowden فکر کنیم. به عنوان یک خودی ، می تواند کمی مهندسی اجتماعی داشته باشد ، و شاید درمورد کاربرانی که گذرواژه ای را که می خواهد شکست دهد ، اطلاعات کسب کند. مطمئناً این یک امکان است – از آنجا که در تیم ها ، فیلم ها و غیره مورد علاقه خود قرار بگیرید.

یا حتی بهتر ، خودی می تواند از Maltego ، نرم افزار OSINT که اخیراً درباره آن نوشتم ، استفاده کند تا زمینه های بیشتری را درباره کارمند جمع کند. به طور خاص ، بدانید که آیا حساب آنلاین این شخص قبلاً بهم پیوسته بود ، و سپس به سرنخ های متن روشن برای سرنخ ها نگاه کنید.

و این سناریویی است که من کار کردم. بیایید بگوییم که خودی ما می آموزد که رئیس او ، کرولا ، چندین بار در حساب های مختلف وب هک شده بود. او پس از تجزیه و تحلیل چند رمز عبور ، متوجه می شود كه كرولا یك قالب "Yankees" را دنبال كرده و سال گذشته برای رمزهای عبور – Yankees2015. "

اگر شما در خانه بازی می کنید ، می توانید این بخش کوچکی را بارگیری کنید ، سرفه ، کد "C" که الگوریتم هشیاری DCC را پیاده سازی می کند ، و آن را کامپایل می کند. جان ریپر ، به هر حال ، پشتیبانی از DCC را نیز اضافه کرده است ، تا بتوان از آن استفاده کرد. بیایید بگوییم که خودی ما نمی خواهد با یادگیری JtR مقابله کند و از اجرای "gcc" بر روی کد C قدیمی لذت می برد.

با بازی کردن بخشی از خودی ، من چند ترکیب مختلف را اجرا کردم و سرانجام فهمیدم که Yankees2019 رمزعبور اوست. (در زیر) ماموریت انجام شد!

بگذارید روزی بنامیم. من دفعه دیگر به برخی از این موارد می پردازم و ضمن استفاده از ابزارهای شگفت انگیز Impacket ، تکنیک های کم و کندتر را معرفی می کنم.