Der Feind ist drinnen: Wie ich beim Insider-Redtimming erwischt wurde

Ursprünglicher Autor: Tinker
  • Übersetzung


Ich hatte alle Vorteile. Ich war schon im Netzwerk. Ich war unverdächtig. Aber sie haben mein Hacken entdeckt, aus dem Netzwerk geworfen ... und physisch aufgespürt.

Viele Durchdringungstests beginnen im Freien, um zu testen, wie Sie den Umfang überwinden können. Der Kunde wollte diesmal sehen, wie weit ein Angreifer gehen konnte, der sich bereits innerhalb der Organisation befunden hatte. Könnten sie mich aufhalten, wenn ich schon online war?

Also brachten sie mich heimlich ins Büro, verkleidet als neuer Angestellter. Ich bekam einen Arbeitscomputer, ein Abzeichen, ein Register im System ... verdammt, ich hatte sogar einen eigenen Stand mit einem vermuteten Namen. Die einzige Person, die wusste, wer ich wirklich war, war ihr Direktor für Informationssicherheit. Alle anderen dachten, ich wäre Jeremy vom Marketing.

Erkundung


Den größten Teil des Morgens des ersten Tages war ich damit beschäftigt, sich um einen Job zu bewerben, meine Kollegen kennenzulernen und die schmutzige Arbeit zu erledigen. Aber ich musste schnell handeln. Ich hatte nur eine Woche für alles, und es war notwendig, Zeit zu haben, um alles zu hacken, ohne Verdacht zu erregen. Also nahm ich das Geschäft auf.

Für Sie zu verstehen: Die meisten Penetrationstests sind ziemlich einfach. Am schwierigsten ist es, ins Netz zu gehen. Aber wenn Sie einmal drin sind, haben Sie eine große Auswahl an Zielen: alte Computer, Standardkennwörter, jeder sitzt unter lokalen Administratoren ... Ich bekomme normalerweise einen oder zwei Tage lang einen Domänenadministrator und bald darauf den Administrator der Organisation. Die verbleibende Zeit wird für das Durchsuchen von Spuren und das Sammeln von Nachweisen für die möglichen Folgen eines Angriffs aufgewendet. Aber diesmal war es anders. Es ist Zeit überrascht zu werden.

Ich saß am Computer und gab vor, zu arbeiten. Ich wollte mit meinem Bürocomputer recherchieren und die Einstellungen anderer Workstations studieren, aber ich wollte nicht direkt angreifen, um keine Spuren zu hinterlassen, die auf mich hindeuten. Stattdessen brachte ich ein separates Hacking-Gerät mit: einen persönlichen Laptop mit Linux und ein paar Hacker-Tools. Ich habe es mit dem Netzwerk verbunden und eine IP-Adresse erhalten. Ihr NAC deckte nicht das gesamte Netzwerk ab: Jede Verbindung vom Arbeitsstand aus wurde vertrauenswürdig.

Ich fing wie üblich an. Abhören und Analysieren des Netzwerkverkehrs von Wireshark, Ändern der MAC-Adresse und des Namens meines Laptops, damit er in seiner Infrastruktur verloren geht und wie gewöhnliche Hardware aussieht. Dann - verwenden Sie den Responder in Ihrem Subnetz, um Hashes abzufangen und Kennwörter zu knacken. Ziemlich schnell gelang es mir, eine ganze Handvoll Hashes zu sammeln. Ich befand mich in einem regulären Subnetz für Mitarbeiter. Daher waren viele Konten angemeldet, bei denen offene Browser Authentifizierungsdaten verbreiten.

Erste Überraschungen


Ich habe die Hashes auf meiner Farm mit 8 Grafikkarten durchlaufen, aber ... etwas ist schief gelaufen. Ziemlich schnell wurden alle 8-stelligen Kombinationen von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (NetNTLMv2) geprüft. Die meisten der üblichen Passwörter (ein Wort, der erste Großbuchstabe, der mit einer Zahl oder einem Zeichen endet) knacken ich sofort. Aber nicht hier

Ich konnte auf meiner Arbeitsstation Netzkonten ausführen, um die Kennwortrichtlinie direkt in AD anzuzeigen. Zuerst entschied ich mich jedoch, woanders nachzuschauen. Ich wollte keine Spuren hinterlassen. Beim Stöbern im Netzwerk habe ich Sicherheitsanforderungen gefunden. Es stellte sich heraus, dass die Mindestlänge des Passworts, die Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten sollte, 12 Zeichen betrug. Und sie haben bereits mit dem Übergang zu Passwortphrasen begonnen ... Ich habe meine Regeln für rohe Gewalt geändert, um längere Wörter, Großbuchstaben und Endungen von Zahlen und Sonderzeichen zu verwenden. Es brachte mir ein paar Passwörter!

Cool! Lass uns gehen! Ich habe sofort versucht, mich unter seinem Passwort remote am Computer des Benutzers anzumelden ... und wurde gesperrt. Was zum ...? Es hat immer funktioniert. Passwort ist korrekt Der Zugang ist jedoch gesperrt. Ich habe mich selbst überprüft. Beginnen Sie mit den Grundlagen. Mach es richtig. Einige Zeit wurde mit der Suche nach einem Domänencontroller verbracht. Auf VoIP-Telefonen gab es Konfigurationen von Webseiten, auf denen seine Adresse registriert war. Vom Controller über LDAP habe ich Gruppenrichtlinien-Eigenschaften herausgezogen, um Berechtigungen anzuzeigen. Nach langen Ausgrabungen in einer Reihe von Einstellungen wurde mir klar, dass Fernzugriff nur einem kleinen Teil von IT-Spezialisten gestattet ist, nicht einmal der gesamten IT-Abteilung. Und ich habe keines ihrer Passwörter geknackt. Sie haben das Modell des geringsten Privilegs implementiert ... Wer macht das?

Okay, geh zur Hölle. Verzichten Sie auf Computer. Klettere in ihre Korrespondenz! Also habe ich getan Ich habe nach Passwörtern in den E-Mails, Skype-Chatrooms, nach Notizen und Entwürfen in Outlook gesucht. Ich habe eine Menge persönlicher Passwörter von irgendetwas entdeckt ... Aber nicht von einem Geschäftskonto. Ich fand jedoch einen Brief von der Abteilung für Informationssicherheit, in dem angegeben wurde, dass sie beabsichtigen, die Zwei-Faktor-Authentifizierung für E-Mails innerhalb einer Woche zu implementieren. Sieht aus, als hätte ich Glück gehabt.

Der schwächste Punkt eines Systems


Dann ging ich zum SSO-Portal . Alle internen Anwendungen an einem Ort. Hackers Traum! Ich habe auf eine der Anwendungen geklickt. Es war eine Zwei-Faktor-Authentifizierung erforderlich. Folgendes auch. Und das Folgende. Aber was ist mit Alcatraz? Albtraum Hacker!

Ich habe sie mit Citrix gesehen. Er steht hinter der Zwei-Faktor-Authentifizierung, und das ist ihm egal. Ich werde mich darum kümmern. Citrix gibt mir Zugriff auf den internen Server. Ich musste zum internen Host, um den Laptop meines Hacker zu entfernen und mit dem Netzwerk zu beginnen. Ich habe Citrix gestartet, indem ich als Antwort eine 6-stellige Pin-Anfrage erhielt. Es gibt eine Schaltfläche mit den Worten "Klicken Sie, um ein Token zu erhalten" und eine leicht bearbeitete Telefonnummer: (xxx) xxx-5309. Bei der Mail "5309" habe ich die Signatur des Benutzers gefunden, in der diese Telefonnummer vollständig angegeben wurde. Ich habe ihn angerufen.

Die Frau antwortete. „Guten Tag, Pam. Ich bin Josh von IT. Wir übertragen Ihr Citrix-Profil auf einen neuen Server. Ich werde Ihnen jetzt eine 6-stellige Nummer senden. Du musst es mir vorlesen. Nur für den Fall, ich erinnere Sie daran, wir fragen nie nach Ihrem Passwort. “ Ich hatte bereits ein Passwort. Sie zögerte: "Goooooo ..." Ich drückte den Knopf, um ein Authentifizierungs-Token zu senden, und sagte: "Fertig. Ich habe dir eine Nummer geschickt, lese sie mir bitte zu, wenn du sie bekommst. “ Sie antwortete: „Ähm ... Ja, das habe ich getan. 9-0-5-2-1-2 ". „Danke schön! Bitte lassen Sie Citrix nicht für ein paar Stunden laufen! “Der Timer lief 60 Sekunden auf dem Bildschirm. Ich habe die Zahlen in das Zwei-Faktor-Authentifizierungsfenster eingegeben und auf "OK" geklickt. Zaloginen Gehen Sie zu Stump, Zwei-Faktor-Authentifizierung! Einmal drinnen sah ich ... nichts. NICHTS Dieser Benutzer brauchte Citrix nicht, daher war KEIN ALLES an ihn angeschlossen. Ich habe das Hinterzimmer gehackt.

So Das ist verrückt. Ich kann ein langes Passwort erhalten, aber nur, wenn ich das Glück habe, den gewünschten Hash zu erhalten. Selbst wenn das Passwort von jemandem aus einer kleinen Gruppe von Benutzern geknackt wird, muss ich die Zwei-Faktoren-Authentifizierung umgehen. Jeder Versuch, insbesondere mit jemandem aus dieser geschützten Gruppe, erhöht das Erkennungsrisiko. Verdammt noch mal ...

Ich habe alles versucht. Ich machte immer mehr aggressive Scans und versuchte immer noch unter dem Radar zu bleiben. Ich untersuchte das gesamte Netzwerk und alle Dienste, die ich gefunden hatte, mit all den Angriffen, die ich kannte. Und obwohl ich hier und da ein paar Kleinigkeiten gefunden habe, reichte das nicht aus, um irgendwo Fuß zu fassen. Ich begann zu verzweifeln. Schon am Ende des zweiten Tages. Normalerweise entkehle ich zu diesem Zeitpunkt bereits die Datenbank, lese die Mail des CEO und schieße Leute auf ihre Webcams. Verdammt. Es ist an der Zeit, in das Versteck von IT-Leuten einzudringen. Ich werde Laptops stehlen.

Nachtangriff


Ich blieb nach der Arbeit. Kollegen sagten, sie müssten einen Job-Sicherheitskurs absolvieren. Sie gingen und deponierten. Dann kamen die Reinigungskräfte. Als sie fertig waren, wurde ich alleine gelassen. Ich ging zum Büro der IT-Spezialisten. Ich habe die Tür gefunden. Als ich mich umsah, griff ich nach ...

Vorher hatte ich bereits verschiedene Dinge mit meinem Service-Notebook ausprobiert, aber ich war kein lokaler Administrator und die Festplatte war vollständig verschlüsselt. Mein Ziel war es, einen alten unverschlüsselten Laptop mit einem lokalen Admin-Passwort-Hash zu finden.

Ich überprüfte den Flur, sodass niemand in der Nähe war. Ich sah mich nach Sicherheitskameras um. Ich öffnete den Mund und neigte den Kopf, um jemanden aus der Ecke zu hören. Nichts Ich war bereit zu handeln. Ich war bereit, mich in einem mechanischen Schloss zu bewegen, mit elektronischen Zugangskontrollsystemen umzugehen oder die Tür von den Scharnieren zu entfernen, aber ich fand die Tür angelehnt. Glücklich Es gab ein elektronisches Schloss und ein mechanisches Schloss an der Tür. Sogar geschützte Schleifen. Aber jemand hat es in dieser Nacht freigelegt. Ich öffnete die Tür ein wenig, ich schaute hinein und erwartete, jemanden drinnen zu treffen. Niemand Oh nafig. Nur Pruha. Ich ging hinein.

Ich habe keine Ahnung, warum die Tür offen war, aber 80% meiner Arbeit sind Benutzerfehler, 56% sind Fertigkeiten, 63% sind Anpassungsfähigkeit, 90% sind Funktionen und 80% haben Glück. Und nur etwa 1% bezieht sich auf die Mathematik ...

Wie auch immer. Ich wusste nicht, ob irgendjemand hierher zurückkehren würde, also machte ich mich an die Arbeit. In der Ecke lagen Stapel von Laptops unterschiedlichen Alters, von Herstellern und Modellen. Nach dem Abwägen der Risiken, in einem IT-Büro oder mit einem Haufen Laptops auf meinem Schreibtisch erwischt zu werden, entschied ich mich für meinen Schreibtisch. Und jetzt schleppe ich einen Stapel alter Laptops aus einem IT-Loch in meine Kabine und falte den Turm von Pisa unter meinem Schreibtisch zusammen. Dann versuchte ich methodisch, jeden Laptop von einem Flash-Laufwerk auf der Suche nach dem unverschlüsselten Heiligen Gral zu laden.

Ich habe ein bootfähiges Flashlaufwerk mit dem Dienstprogramm Kali und Samdump2. Ich verbinde es mit einem der Laptops, lade es und versuche, eine Festplatte einzuhängen. Jedes Mal, wenn ich über die Verschlüsselung stolpere, werde ich immer frustrierter. Schließlich finde ich nach 30 getesteten Laptops drei halbtote mit unverschlüsselten Festplatten. Mit samdump2 hole ich lokale NTLM-Hashes von SAM und vergleiche sie. Daher ist es möglich, einen nicht standardmäßigen lokalen Administrator "ladm" auf allen drei Computern zu finden. Die Hashwerte stimmen überein. Ehre sei Eris , sie verwenden kein LAPS . Das lokale Administratorkonto ist auf allen Computern gleich. Ich habe diesen Hash ziemlich leicht geknackt. Das Passwort lautete <Firmenname> <Jahr> und dieses Jahr war vor ein paar Jahren. Fehler in der Asset-Verwaltung Ich verehre

Ich habe versucht, mich aus der Ferne anzumelden und erhielt die gleiche Fehlermeldung wie zuvor. Sogar dem lokalen Administrator wurde die Remote-Anmeldung verweigert ... Ich habe versucht, mich lokal auf meinem eigenen Service-Laptop anzumelden, und ich habe es geschafft! Dieses Konto umging die vollständige Verschlüsselung! Hauptschlüssel! So ... soooo! Dies kann verwendet werden! Aber dann fiel mir eine Merkwürdigkeit auf ... Ich hatte keine Zugriffsrechte auf Benutzerdaten. Was Sie haben eingeschränkten Zugang, auch für lokale Verwalter?! Verdammt noch mal Es war notwendig, die Privilegien für das System zu erhöhen.

Ich habe alle Tricks ausprobiert, die mir in den Kopf kamen. Am Ende habe ich nach Schwachstellen im Servicepfad gesuchtund ein Paar gefunden! Die Ausgabe besagt jedoch, dass mein lokaler Administrator nicht das Recht hat, in die erforderlichen Ordner zu schreiben. Komm schon! Zu dieser Zeit war ich erschöpft und kaputt. Meine 17-Stunden-Schicht ging zu Ende. Das Gehirn funktionierte nicht mehr. Dies war eine weitere Sackgasse. Eine weitere Serie von hartem Kampf und erfolgreichem Hacking für die nächste Datei. Sie mussten nach Hause gehen und ein wenig schlafen, um am nächsten Tag neu zu beginnen.

Rufe einen Freund an


Am nächsten Tag überprüfte ich alles noch einmal, um sicher zu gehen, dass mir nichts entging. Ich überprüfte alles, was ich überprüfen konnte, scannte alles, was ich scannen konnte, tat alles, was mir in den Sinn kam. Überall kleine Hinweise, aber nichts wert. Ich habe einen Kollegen von Dallas Hackers angerufen. Nachdem ich ihm von meinen Qualen erzählt hatte, schüttelte ich am Ende die Hoffnung auf die Verwundbarkeit des Pfads für nicht notierte Dienste, als die Ausgabe mir den Mangel an notwendigen Privilegien zeigte. Er fragte: "Haben Sie trotzdem versucht, es trotzdem auszunutzen?". Ich erstarrte Ich habe es nicht versucht In diesem Zustand glaubte ich an die Schlussfolgerung und habe sie nicht selbst geprüft. Gut Ich habe versucht, Daten in das Verzeichnis zu schreiben. Das gleiche gilt für die Aufzeichnung, auf die ich laut Windows keinen Zugriff hatte. Und ich habe es geschafft. Teufels Windows. Wieder hat mich getäuscht. Aber in Ordnung. Nun, das ist großartig. Neuer Hinweis.

Ein Kollege warf mir schnell einen C-Bootloader zu, der die Last auf Powershell lief. Ich wagte es, das Bundle auf meinem eigenen Computer zu überprüfen, und alles schien gut zu funktionieren. Es war ein perverser Angriff. Aber das ist alles was ich hatte. Ich wollte:

  1. Führen Sie einen Listener auf meinem Hacker-Laptop aus
  2. Erhalten Sie physischen Zugriff auf den Laptop im Büro
  3. Melden Sie sich beim lokalen Administratorkonto an
  4. Laden Sie Ihren Malvarian-Link unter Unquoted Service Path herunter
  5. Abmelden
  6. Warten Sie auf die Benutzeranmeldung und laden Sie den Start

Eine Mittagspause stand vor der Tür. Ich antwortete mit einem Lächeln auf die Einladung der Kollegen zu einem Imbiss und verweilte ein wenig. Zuerst wollte ich zu den IT-Spezialisten zurückkehren und zu einem ihrer Computer gehen, während sie zu Mittag essen. Aber als ich in ihr Büro ging, sah ich, dass sie alle an Ort und Stelle waren! Iss dein Mittagessen vor den Computern! Ist ihnen nicht bewusst, wie schädlich es ist?! Wie führt die mangelnde Trennung von Arbeit und Ruhe und das Fehlen von Pausen zu Stress?! Warum essen sie nicht wie normale Menschen?!

Ja, du bist gegangen. Ich werde den Computer hacken. Beliebiger Computer Ich ging im Büro herum und fand ein Büro, in dem sich niemand befand. Finanziers Nun, hacken Sie die Finanzen. Ich antwortete einer süßen kleinen alten Frau, die für ihre Brieftasche zurückgekehrt war. Ich habe ihr zu verstehen gegeben, dass ich ein IT-Spezialist bin, der Computer aktualisiert. Sie nickte und lächelte süß und ging. Verärgert, mit einem Haß voller Hass und Verzückung, wandte ich mich an einen Computer ihrer Kollegen und hackte ihn ab.

Alles dauerte weniger als 30 Sekunden. Ich brachte den Stuhl und die Maus in den Zustand zurück, in dem sie sich vor meiner Ankunft befanden. Ich sah mich noch einmal um und stellte sicher, dass alles normal aussah. Und er kehrte an seinen Arbeitsplatz zurück. Setzen Sie sich und starren Sie auf Ihren Zuhörer. Irgendwann endete das Abendessen. Ich wollte nicht einmal reden. Ich fing schon an, die Hoffnung zu verlieren, ich sah:
> Meterpreter session 1 opened
Und dann ...
> Meterpreter session 2 opened
> Meterpreter session 3 opened
...
> Meterpreter session 7 opened

Nun, deine Linke! Ich lief GETUID und sah NT AUTHORITY \ SYSTEM. Iii-ha!

Gut! Großartig! So Ähm ... Lass uns gehen! Ja! Nachdem ich das System repariert hatte, machte ich einen Speicherauszug und fing an, durch das Dateisystem zu graben. Eine Art Finanzinformation. Eine Art Passwörter im Klartext. Sensible Informationen, aber nichts Ernstes. Aber na ja. Das ist erst der Anfang. Brückenkopf Und dann ...
> Meterpreter session 1 closed

ich versuche mich an Sessions festzuhalten, aber sie sind alle geschlossen. Ich ping das System antwortet nicht. Ich scanne Port 445. Nichts Das System ist nicht verfügbar. Das. Schon Zu viel Ich stehe auf und gehe direkt zur Finanzabteilung. Was ist mit meinen Muscheln passiert?!

Ich biege um die Ecke und sehe eine nette alte Frau, die mit der heftigsten und heftigsten IT-Person spricht. Ich mache schnell „Oh, ё ...“ und drehe mich um, als die alte Frau in meine Richtung schaut, ihren Finger direkt auf mich zeigt und ruft: „Das ist es! Er fummelte an unseren Computern herum! “Ich stoße einen Herzschlag und stoße mich weg. Nachdem ich dem scharfen IT-Spezialisten den Rücken gekehrt habe, renne ich in die entgegengesetzte Richtung und stoße auf zwei Sicherheitsmaßnahmen. Sie sehen sehr unfreundlich aus und machen deutlich, dass ich in die falsche Gegend gewandert bin. Ich wachte im Blut auf, befestigt an einem ergonomischen Bürostuhl mit Krawatten, mit denen die Kabel im Serverraum festgezogen wurden. Der Kopf des DFIR steht vor mir, ihre Knöchel sind niedergeschlagen. Hinter ihr steht ein kleines Team von Analysten des Intrusion Detection Teams. Ich drücke ein Wort aus mir ... ich muss wissen ... "Wie ...

Okay ... Ich habe am Ende ein bisschen Drama hinzugefügt. Aber die Geschichte, wie ich auf eine alte Frau gestoßen bin, die mich zu einer IT-Person gemacht hat, ist real. Sie haben mich dort festgehalten. Sie nahmen meinen Laptop mit und berichteten mir von der Führung. Der Direktor für Informationssicherheit kam und bestätigte meine Anwesenheit. Und wie sie mich verstanden haben, ist auch echt. Sie erhielten eine Benachrichtigung, dass Powershell auf einem System ausgeführt wird, das nicht zu einer kleinen Gruppe von IT-Spezialisten und -Entwicklern gehört, die Powershell unter normalen Bedingungen gestartet haben. Einfache und zuverlässige Methode zum Erkennen von Anomalien.

Schlussfolgerungen


Blaues Team


  • Modell mit den geringsten Privilegien
  • Multifaktor-Authentifizierung
  • Einfache Regeln zum Erkennen von Anomalien
  • Tiefenschutz

Rotes Team


  • Versuchen Sie es weiter
  • Nicht annehmen
  • Rufe um Hilfe
  • Glücklich vorbereitet
  • Anpassung und Überwindung

Jetzt auch beliebt: