Добро пожаловать обратно, кибервоины. С вами снова Collateral. Сегодня мы рассмотрим вектор атаки, выходящий за рамки сложности пароля и двухфакторной аутентификации (2FA). Этот метод оказался успешным в ходе одной из наших последних операций, направленных против российской компании. Среда, с которой мы столкнулись, была сложной: сеть была сегментирована, и не было прямых путей доступа. Но именно здесь пригодился один из уроков OTW: если вы застряли в сети без очевидных действий, начните с анализа трафика. Именно это мы и сделали.
Один из наших украинских контактов предоставил общий доступ к сегментированной внутренней сети, используемой для корпоративной почты. Подробности о машине и её среде предоставлены не были. Предварительный анализ показал, что на хосте запущено несколько контейнеров Docker. На первый взгляд, казалось, что компания проделала неплохую работу по защите среды. Как вы, возможно, знаете, размещённые приложения, независимо от операционной системы, обычно хранят свои файлы конфигурации в определённых местах внутри системы. Ручной поиск — медленный и ненадёжный процесс, особенно если файлы большие. Именно здесь на помощь приходит такой инструмент, как LaZagne .
LaZagne — это инструмент восстановления учётных данных на Python, который анализирует локальные хранилища учётных данных и выводит восстановленные данные в чистом формате. Он автоматизирует рутинную работу и часто позволяет обнаружить пароли приложений, спрятанные в самых неожиданных местах. Интерфейс прост, а результаты могут быть на удивление эффективными.
Не каждая запись, которую вы увидите, будет корректным логином, но большинство паролей можно использовать. В нашем случае мы нашли учётные данные root для MySQL, которые обеспечили нам доступ к базе данных. При необходимости достаточно временно скорректировать записи, чтобы проанализировать почту за ночь.
Мы отредактировали имена пользователей, поскольку это активная кампания. Хэши паролей были в формате BLF-CRYPT, который можно легко воспроизвести с помощью простых скриптов Python, если вы решите что-то изменить.
Хэши паролей не всегда помогают, особенно если их сложно взломать или они защищены двухфакторной аутентификацией (2FA). Вход с использованием взломанного пароля может привести к отправке кода подтверждения на телефон пользователя, что может вызвать тревогу или привести к блокировке аккаунта.
Именно поэтому мы обратились к анализу трафика с помощью tcpdump . Этот инструмент командной строки может показаться простым на первый взгляд, но он весьма эффективен. Он помог нам понять поведение сети и определить, какие службы использовались. Для более эффективного анализа попробуйте открыть PCAP-файлы в Wireshark.
Мы начали с общего захвата трафика, чтобы получить представление об окружающей среде. В защищённых сетях, где активные инструменты сканирования, такие как nmap, блокируются или регистрируются, пассивный мониторинг с помощью tcpdump является лучшим выбором. Анализируя потоки трафика и шаблоны пакетов, мы смогли составить карту ролей машин и путей взаимодействия.
Затем мы сосредоточились на HTTP-трафике и обнаружили POST-запрос, отправленный к почтовому серверу. Этот запрос выявил внутреннюю прокси-систему, где общедоступный почтовый портал перенаправлял трафик на локальную машину Linux.
Как видите, запрос содержит исходный IP-адрес.
Несмотря на то, что основной сайт использовал HTTPS, внутренний трафик все еще был HTTP, что распространено в закрытых сетях, но опасно.
Выглядит неплохо, правда? Они и сейчас так думают.
Чтобы собирать только необходимый трафик, нам пришлось найти правильный порт. Он не был обычным 80 или 8080. Более внимательный анализ POST-запроса показал, что порт назначения — 20000.
Имея это в виду, мы начали привлекать целевой трафик:
kali > tcpdump -i interface tcp port 20000 -w /etc/systemd/20k_01.pcap
Измените имя интерфейса в соответствии с настройками и всегда сохраняйте файлы захвата в скрытых местах. Обратите внимание, что процессы захвата остаются видимыми в списке процессов, поэтому не сообщайте о них.
Имея это в виду, мы начали привлекать целевой трафик:
kali > tcpdump -i interface tcp port 20000 -w /etc/systemd/20k_01.pcap
Измените имя интерфейса в соответствии с настройками и всегда сохраняйте файлы захвата в скрытых местах. Обратите внимание, что процессы захвата остаются видимыми в списке процессов, поэтому не сообщайте о них.
Ирония была очевидна. Сложные пароли, но отсутствие элементарной защиты локального трафика.
В некоторых аккаунтах была двухфакторная аутентификация (2FA), но если у вас есть действительные сеансовые cookie-файлы, вам не нужны ни пароль, ни код двухфакторной аутентификации. Просто импортируйте их в браузер с помощью расширения, например, Cookie-Editor, и всё готово.
Как только мы узнали, что искать, мы отфильтровали трафик с помощью этой простой команды:
kali > tcpdump -A -r 20k_05.pcap port 20000 | grep «имя_пользователя»
Ирония была очевидна. Сложные пароли, но отсутствие элементарной защиты локального трафика.
В некоторых аккаунтах была двухфакторная аутентификация (2FA), но если у вас есть действительные сеансовые cookie-файлы, вам не нужны ни пароль, ни код двухфакторной аутентификации. Просто импортируйте их в браузер с помощью расширения, например, Cookie-Editor, и всё готово.
Как только мы узнали, что искать, мы отфильтровали трафик с помощью этой простой команды:
kali > tcpdump -A -r 20k_05.pcap port 20000 | grep «имя_пользователя»
Мы обнаружили папки с метками «Доступы» и «ВМ». Электронные письма подтверждали, что компания размещала клиентские сервисы на виртуальных машинах. Каждое изменение или развертывание регистрировалось в текстовом формате, включая IP-адреса, имена пользователей и новые пароли.
Сетевой трафик может оказаться недооценённым активом во время вторжения. Компании часто концентрируют свою защиту на межсетевых экранах и периметральной защите, оставляя внутренние коммуникации открытыми. Но если вы умеете смотреть и слушать, ответы часто уже витают в воздухе. Анализ трафика превращает шум в возможности, и при должном терпении это приводит к полной утечке данных.
Один из наших украинских контактов предоставил общий доступ к сегментированной внутренней сети, используемой для корпоративной почты. Подробности о машине и её среде предоставлены не были. Предварительный анализ показал, что на хосте запущено несколько контейнеров Docker. На первый взгляд, казалось, что компания проделала неплохую работу по защите среды. Как вы, возможно, знаете, размещённые приложения, независимо от операционной системы, обычно хранят свои файлы конфигурации в определённых местах внутри системы. Ручной поиск — медленный и ненадёжный процесс, особенно если файлы большие. Именно здесь на помощь приходит такой инструмент, как LaZagne .
LaZagne — это инструмент восстановления учётных данных на Python, который анализирует локальные хранилища учётных данных и выводит восстановленные данные в чистом формате. Он автоматизирует рутинную работу и часто позволяет обнаружить пароли приложений, спрятанные в самых неожиданных местах. Интерфейс прост, а результаты могут быть на удивление эффективными.
Не каждая запись, которую вы увидите, будет корректным логином, но большинство паролей можно использовать. В нашем случае мы нашли учётные данные root для MySQL, которые обеспечили нам доступ к базе данных. При необходимости достаточно временно скорректировать записи, чтобы проанализировать почту за ночь.
Мы отредактировали имена пользователей, поскольку это активная кампания. Хэши паролей были в формате BLF-CRYPT, который можно легко воспроизвести с помощью простых скриптов Python, если вы решите что-то изменить.
Хэши паролей не всегда помогают, особенно если их сложно взломать или они защищены двухфакторной аутентификацией (2FA). Вход с использованием взломанного пароля может привести к отправке кода подтверждения на телефон пользователя, что может вызвать тревогу или привести к блокировке аккаунта.
Именно поэтому мы обратились к анализу трафика с помощью tcpdump . Этот инструмент командной строки может показаться простым на первый взгляд, но он весьма эффективен. Он помог нам понять поведение сети и определить, какие службы использовались. Для более эффективного анализа попробуйте открыть PCAP-файлы в Wireshark.
Мы начали с общего захвата трафика, чтобы получить представление об окружающей среде. В защищённых сетях, где активные инструменты сканирования, такие как nmap, блокируются или регистрируются, пассивный мониторинг с помощью tcpdump является лучшим выбором. Анализируя потоки трафика и шаблоны пакетов, мы смогли составить карту ролей машин и путей взаимодействия.
Затем мы сосредоточились на HTTP-трафике и обнаружили POST-запрос, отправленный к почтовому серверу. Этот запрос выявил внутреннюю прокси-систему, где общедоступный почтовый портал перенаправлял трафик на локальную машину Linux.
Как видите, запрос содержит исходный IP-адрес.
Несмотря на то, что основной сайт использовал HTTPS, внутренний трафик все еще был HTTP, что распространено в закрытых сетях, но опасно.
Выглядит неплохо, правда? Они и сейчас так думают.
Чтобы собирать только необходимый трафик, нам пришлось найти правильный порт. Он не был обычным 80 или 8080. Более внимательный анализ POST-запроса показал, что порт назначения — 20000.
Имея это в виду, мы начали привлекать целевой трафик:
kali > tcpdump -i interface tcp port 20000 -w /etc/systemd/20k_01.pcap
Измените имя интерфейса в соответствии с настройками и всегда сохраняйте файлы захвата в скрытых местах. Обратите внимание, что процессы захвата остаются видимыми в списке процессов, поэтому не сообщайте о них.
Имея это в виду, мы начали привлекать целевой трафик:
kali > tcpdump -i interface tcp port 20000 -w /etc/systemd/20k_01.pcap
Измените имя интерфейса в соответствии с настройками и всегда сохраняйте файлы захвата в скрытых местах. Обратите внимание, что процессы захвата остаются видимыми в списке процессов, поэтому не сообщайте о них.
Ирония была очевидна. Сложные пароли, но отсутствие элементарной защиты локального трафика.
В некоторых аккаунтах была двухфакторная аутентификация (2FA), но если у вас есть действительные сеансовые cookie-файлы, вам не нужны ни пароль, ни код двухфакторной аутентификации. Просто импортируйте их в браузер с помощью расширения, например, Cookie-Editor, и всё готово.
Как только мы узнали, что искать, мы отфильтровали трафик с помощью этой простой команды:
kali > tcpdump -A -r 20k_05.pcap port 20000 | grep «имя_пользователя»
Ирония была очевидна. Сложные пароли, но отсутствие элементарной защиты локального трафика.
В некоторых аккаунтах была двухфакторная аутентификация (2FA), но если у вас есть действительные сеансовые cookie-файлы, вам не нужны ни пароль, ни код двухфакторной аутентификации. Просто импортируйте их в браузер с помощью расширения, например, Cookie-Editor, и всё готово.
Как только мы узнали, что искать, мы отфильтровали трафик с помощью этой простой команды:
kali > tcpdump -A -r 20k_05.pcap port 20000 | grep «имя_пользователя»
Мы обнаружили папки с метками «Доступы» и «ВМ». Электронные письма подтверждали, что компания размещала клиентские сервисы на виртуальных машинах. Каждое изменение или развертывание регистрировалось в текстовом формате, включая IP-адреса, имена пользователей и новые пароли.
Сетевой трафик может оказаться недооценённым активом во время вторжения. Компании часто концентрируют свою защиту на межсетевых экранах и периметральной защите, оставляя внутренние коммуникации открытыми. Но если вы умеете смотреть и слушать, ответы часто уже витают в воздухе. Анализ трафика превращает шум в возможности, и при должном терпении это приводит к полной утечке данных.
