Добро пожаловать обратно, кибервоины.
Cyber Cossacks с новым пошаговым руководством. В недавнем инциденте нам удалось взять под контроль целый домен, начав с отдельной машины, не включённой в него. В современных корпоративных сетях виртуализация и сегментированная инфраструктура часто используются в качестве защитных мер. Для некоторых администраторов это архитектурная иллюзия безопасности, призванная предотвратить каскадное проникновение взлома одной части системы в другую. Но при неправильной настройке эти же уровни становятся тем путём, который нужен злоумышленнику. Наша цель — показать вам, как одна изолированная виртуальная машина, намеренно размещённая вне домена, стала отправной точкой для полного взлома домена внутри российской компании.
Машина с Windows, к которой мы получили доступ, в основном использовалась для размещения виртуальных машин Bitrix. Bitrix — известная российская платформа, помогающая компаниям организовывать коммуникацию и работу. Управление Bitrix требует технических знаний, поэтому компании обычно передают эту задачу на аутсорсинг сторонним провайдерам. Это создаёт риск для цепочки поставок, если учётные данные не используются должным образом. Эти машины с Linux, как правило, ограничены по функционалу, но всё же обеспечивают достаточную производительность для обеспечения доступа и маршрутизации трафика. В нашем случае мы использовали машину с Fedora без установленного Python, что было небольшим неудобством, но не препятствием. Этот хост с Windows послужил для нас точкой опоры во внутренней инфраструктуре.
На одном из наших занятий OTW показала нам, что цифровая криминалистика полезна не только для специалистов по безопасности. Автономные образы дисков, системные кусты и дампы памяти часто содержат достаточно остатков учётных данных, чтобы организовать полную компрометацию. Это мероприятие наглядно это доказывает, и вот как мы это применяем на практике.
Внутри Hyper-V хранилось несколько виртуальных машин, некоторые из которых работали на базе Linux, а другие — на сломанных или выключенных системах Windows. Особый интерес представляла виртуальная машина Windows, которая запрашивала учётные данные домена при загрузке, подтверждая своё членство в домене Active Directory организации. Вместо того чтобы пытаться атаковать работающую систему, мы выбрали более чистый подход. Мы выключили её и смонтировали её виртуальный жёсткий диск непосредственно на хосте Hyper-V.
Виртуальный диск находился на диске E :. В «Управлении дисками » мы выбрали « Действие », а затем « Подключить VHD », что привело к монтированию VHD и открытию его разделов.
Появились диски H: и I :. На большем, I:, в нашем случае, хранились нужные нам файлы.
Нашей следующей целью было извлечь кусты, хранящие хэши учётных данных. Они содержат структуры данных, которые Windows использует для хранения хэшей паролей локальных и доменных учётных записей. Нам были нужны файлы SAM , SECURITY и SYSTEM . Вы можете найти их в:
I:\Windows\System32\config\
Мы перенесли их с хоста с помощью Mega, что дало нам чистый мост к нашей системе Kali для автономного анализа.
На Kali мы использовали утилиту secretsdump.py от Impacket для обработки ульев:
kali > impacket-secretsdump -sam SAM -security БЕЗОПАСНОСТЬ -system СИСТЕМА ЛОКАЛЬНАЯ
Это дало нам NTLM- и DCC2-хеши администратора разных пользователей домена. DCC2-хеши не так удобны, как NTLM, поэтому успех зависит от качества вашего списка слов. К счастью, у нас есть NTLM-хеш администратора, и мы можем попробовать удалить LSASS.
Подключитесь к цели с помощью Evil-WinRM:
kali > evil-winrm -i <целевой_IP или DNS> -u Администратор -H <NTLM_хэш>
Эта атака также известна как «Pass-the-Hash» (Передача хэша), когда вместо настоящего пароля передаётся NTLM-хеш. К счастью, антивирус не был запущен, поэтому мы загрузили Mimikatz:
*Evil-WinRM* PS C:\> загрузить /root/mimikatz.exe C:\\Windows\\Temp\\mimikatz.exe
Мы использовали Mimikatz для дампа памяти LSASS:
C:\Windows\Temp> .\mimikatz.exe «privilege::debug» «sekurlsa::logonpasswords» «exit»
Сработало. Мы извлекли NTLM-хеши пользователей домена. Немного покопавшись, мы нашли хеш администратора домена.
Чтобы убедиться, что хеш все еще действителен и полезен, мы запустили NXC для проверки доступа к другим машинам в домене:
kali > nxc smb 192.168.0.1/24 -u admin -H <NTLM_hash>
Сканирование показывает несколько систем, принявших учётные данные. Дальнейшее горизонтальное перемещение с этого момента было бы тривиальным. Мы получили полный контроль над доменом, начав с машины, которая изначально не предназначалась для подключения к нему.
Цифровая криминалистика — это не просто инструмент защиты. При творческом подходе она может помочь злоумышленникам извлечь учётные данные из офлайн-систем и перемещаться по сети. На этот раз одна, казалось бы, изолированная машина Windows дала нам всё необходимое. Смонтировав неактивный виртуальный диск и извлекая кусты реестра, мы получили учётные данные без каких-либо эксплойтов. Результатом стал административный контроль над всем доменом. Мы показали, что в сложных сетях плохая сегментация может эксплуатироваться так же эффективно, как и активные уязвимости.
Cyber Cossacks с новым пошаговым руководством. В недавнем инциденте нам удалось взять под контроль целый домен, начав с отдельной машины, не включённой в него. В современных корпоративных сетях виртуализация и сегментированная инфраструктура часто используются в качестве защитных мер. Для некоторых администраторов это архитектурная иллюзия безопасности, призванная предотвратить каскадное проникновение взлома одной части системы в другую. Но при неправильной настройке эти же уровни становятся тем путём, который нужен злоумышленнику. Наша цель — показать вам, как одна изолированная виртуальная машина, намеренно размещённая вне домена, стала отправной точкой для полного взлома домена внутри российской компании.
Машина с Windows, к которой мы получили доступ, в основном использовалась для размещения виртуальных машин Bitrix. Bitrix — известная российская платформа, помогающая компаниям организовывать коммуникацию и работу. Управление Bitrix требует технических знаний, поэтому компании обычно передают эту задачу на аутсорсинг сторонним провайдерам. Это создаёт риск для цепочки поставок, если учётные данные не используются должным образом. Эти машины с Linux, как правило, ограничены по функционалу, но всё же обеспечивают достаточную производительность для обеспечения доступа и маршрутизации трафика. В нашем случае мы использовали машину с Fedora без установленного Python, что было небольшим неудобством, но не препятствием. Этот хост с Windows послужил для нас точкой опоры во внутренней инфраструктуре.
На одном из наших занятий OTW показала нам, что цифровая криминалистика полезна не только для специалистов по безопасности. Автономные образы дисков, системные кусты и дампы памяти часто содержат достаточно остатков учётных данных, чтобы организовать полную компрометацию. Это мероприятие наглядно это доказывает, и вот как мы это применяем на практике.
Внутри Hyper-V хранилось несколько виртуальных машин, некоторые из которых работали на базе Linux, а другие — на сломанных или выключенных системах Windows. Особый интерес представляла виртуальная машина Windows, которая запрашивала учётные данные домена при загрузке, подтверждая своё членство в домене Active Directory организации. Вместо того чтобы пытаться атаковать работающую систему, мы выбрали более чистый подход. Мы выключили её и смонтировали её виртуальный жёсткий диск непосредственно на хосте Hyper-V.
Виртуальный диск находился на диске E :. В «Управлении дисками » мы выбрали « Действие », а затем « Подключить VHD », что привело к монтированию VHD и открытию его разделов.
Появились диски H: и I :. На большем, I:, в нашем случае, хранились нужные нам файлы.
Нашей следующей целью было извлечь кусты, хранящие хэши учётных данных. Они содержат структуры данных, которые Windows использует для хранения хэшей паролей локальных и доменных учётных записей. Нам были нужны файлы SAM , SECURITY и SYSTEM . Вы можете найти их в:
I:\Windows\System32\config\
Мы перенесли их с хоста с помощью Mega, что дало нам чистый мост к нашей системе Kali для автономного анализа.
На Kali мы использовали утилиту secretsdump.py от Impacket для обработки ульев:
kali > impacket-secretsdump -sam SAM -security БЕЗОПАСНОСТЬ -system СИСТЕМА ЛОКАЛЬНАЯ
Это дало нам NTLM- и DCC2-хеши администратора разных пользователей домена. DCC2-хеши не так удобны, как NTLM, поэтому успех зависит от качества вашего списка слов. К счастью, у нас есть NTLM-хеш администратора, и мы можем попробовать удалить LSASS.
Подключитесь к цели с помощью Evil-WinRM:
kali > evil-winrm -i <целевой_IP или DNS> -u Администратор -H <NTLM_хэш>
Эта атака также известна как «Pass-the-Hash» (Передача хэша), когда вместо настоящего пароля передаётся NTLM-хеш. К счастью, антивирус не был запущен, поэтому мы загрузили Mimikatz:
*Evil-WinRM* PS C:\> загрузить /root/mimikatz.exe C:\\Windows\\Temp\\mimikatz.exe
Мы использовали Mimikatz для дампа памяти LSASS:
C:\Windows\Temp> .\mimikatz.exe «privilege::debug» «sekurlsa::logonpasswords» «exit»
Сработало. Мы извлекли NTLM-хеши пользователей домена. Немного покопавшись, мы нашли хеш администратора домена.
Чтобы убедиться, что хеш все еще действителен и полезен, мы запустили NXC для проверки доступа к другим машинам в домене:
kali > nxc smb 192.168.0.1/24 -u admin -H <NTLM_hash>
Сканирование показывает несколько систем, принявших учётные данные. Дальнейшее горизонтальное перемещение с этого момента было бы тривиальным. Мы получили полный контроль над доменом, начав с машины, которая изначально не предназначалась для подключения к нему.
Цифровая криминалистика — это не просто инструмент защиты. При творческом подходе она может помочь злоумышленникам извлечь учётные данные из офлайн-систем и перемещаться по сети. На этот раз одна, казалось бы, изолированная машина Windows дала нам всё необходимое. Смонтировав неактивный виртуальный диск и извлекая кусты реестра, мы получили учётные данные без каких-либо эксплойтов. Результатом стал административный контроль над всем доменом. Мы показали, что в сложных сетях плохая сегментация может эксплуатироваться так же эффективно, как и активные уязвимости.
