Как злоумышленники компрометируют внутреннюю инфраструктуру

Как злоумышленники компрометируют внутреннюю инфраструктуру

Ежедневно мы видим сообщения о взломе и сливе данных той или иной компании. Терабайты данных, сливы паспортов и процветающая торговля информацией. В этой статье будут рассмотрены способы, которыми могут воспользоваться злоумышленники для взлома внутренней инфраструктуры, а также распространенные угрозы информационной безопасности.

Для кого эта статья?

Эта статья написана в первую очередь для системных администраторов и работников SOC, дабы у них сложилось общее понимание, какими способами злоумышленники взламывают инфраструктуру, что они атакуют и какие инструменты используют.
Так же эта статья может быть полезна начинающим пентестерам, т.к в общем плане будут изложены многие популярные векторы атак, которые после прочтения статьи будет проще понимать.

Вся статья будет основана на среде Active Directory, в связи с ее распространенностью.

Дисклеймер
Данная статья написана исключительно для образовательных целей. Автор не несет ответственности за действия читателей. Ниже представлены примеры того, как может быть скомпрометирована информационная безопасность.

Точки входа с внешнего периметра

Самой банальной и самой действенной методикой проникновения в сеть компании является "купленный" сотрудник компании, который за определенную плату может предоставить удаленный доступ к своей рабочей станции, чтобы злоумышленники могли дальше перемещаться по сети, повышая привилегии и забирая ценные данные, ведь будем честны, помимо рабочих станций с тоннами информации у нас еще будут базы данных, дамп которых и будет первостепенной задачей.

Другой и самой распространенной точкой входа является фишинг, который используется чуть ли не каждой кибер преступной группировкой для проникновения. Суть фишинга состоит в стремлении захватить информацию об идентификационных данных пользователя, с дальнейшим использованием их в личных корыстных целях.

Обычно фишинговое письмо состоит из doc или xls файла, с внедренными в них вредоносными макросами. Фишинг пк активизируется с запуска данных файлов.

Естественно, что эти макросы либо обфусцированы, либо тянут файл с удаленного хоста, что может затруднить анализ вредоносного поведения посредством антивирусов. После открытия файла сотрудником идёт захват сессии и дальнейшее продвижение по сети. Может осуществляться relay атака.

Очень большую роль тут могут сыграть и утечки личных данных сотрудников или образцов документов, которые злоумышленники могут использовать для создания на первый взгляд довольно легитимного письма, которое может использоваться для целевого фишинга.

Целевой фишинг это разновидность атаки, направленной на конкретное лицо, с предварительным тщательным сбором информации о нём и последующей персонализацией сообщения, что закономерно повышает уровень доверия к отправителю.

Согласитесь, когда вам приходит письмо, содержащее еженедельный отчёт в стандартном для вашей компании формате, навряд ли могут возникнуть какие-то подозрения, особенно если это письмо было отослано от "купленного" сотрудника.

Так же не стоит забывать и про чисто человеческую психологию. «Сфишить» аккаунт бухгалтера или менеджера будет в разы проще, нежели аккаунт администратора сети, который уж точно сможет отличить легитимное письмо от вредоносного.

Но ведь если администратору придет письмо с адреса бухгалтера, да еще и с одной сети, то шансы скомпрометировать привилегированную учетную запись в разы выше. Цена невольной ошибки системных администраторов в данной ситуации чревата тяжёлыми последствиями.

Ещё одной точкой входа может являться компрометация сервера посредством веб уязвимости или эксплойта, которые очень часто используют кибер группировки. Естественно, что злоумышленники будут ломать веб и искать критические уязвимости в виде той же Os command injection, которая может дать RCE.

Не менее популярной техникой может послужить взлом Wi-Fi, за которым и будет расположена ваша инфраструктура.

Техники и способы продвижения по инфраструктуре и сбору информации

1. Первоначальная разведка со стороны преступников

Естественно, все начинается с использования Nmap и сканирования подсетей. Базы данных, порты, сервера, устройства - все это будет в руках злоумышленников, поэтому опытные системные администраторы уже должны понимать, что нужно блокировать в своей сети, и какими способами предотвратить нарушение информационной безопасности.

В большинстве случаев имеет место выполнение PowerShell скриптов, нацеленных на сбор информации. Например с помощью фреймворка Empire можно собрать тонны информации и совершить компрометацию хоста.

Из фишек Empire можно выделить скрытность (вредонос хранится в оперативной памяти) и большое количество фич, в виде той же полезной нагрузки в макросе, которым преступник и может начать свою фишинговую компанию.

Давайте представим, что мы уже находимся внутри сети и нам нужно собрать как можно больше информации и повысить привилегии. Опять же, тут на помощь может придти еще один скрипт сбора информации PowerView, который можно доставить удаленно с github или при помощи SimpleHttpServer (если мы находимся в одной сети со скомпромпроментированным компьютером)
python3 -m http.server 9999

Данная команда поможет запустить веб-сервер, который просто перечислит в вебе директорию компьютера, на котором этот сервер и находится. В целом это очень хорошая техника, если вам нужно удобно доставить файлы на пк в одной сети.

Если вы интересовались темой повышения привилегий и компрометации Active Directory, то вы наверняка слышали про инструмент под названием BloodHound.

BloodHound позволяет в удобном визуальном формате показать возможные векторы атаки. Работает BloodHound следующим образом:
1. Мы должны запустить на компьютере жертвы скрипт сбора информации SharpHound
2. SharpHound выгрузит всю необходимую информацию в zip архив
3. Этот архив мы импортируем в BloodHound и жмем на вкладку анализа, где будут собраны полезные модули для поиска векторов атаки с графическим представлением

2. Векторы атак

Relay атаки

Вообще, в сетях active directory очень часто можно провести «подвиды» mitm атак. Например есть очень популярная техника ntlm relay, которая позволяет ретранслировать хэши пользователей. Т.е ваш компьютер вклинивается в запрос между компьютером жертвы и сервисом, к которому жертва хочет получить доступ (банально к smb). Такая атака может быть проведена при помощи скрипта ntlmrelayx.py из пакета impacket (сборник скриптов для атак на active directory). Но стоит учитывать, что эта атака работает только при условии выключенного smb signing.

Перехват хэшей

Наверняка вы не раз слышали про инструмент под названием mimikatz, позволяющий дампить хэши паролей пользователей в среде active directory. Естественно mimikatz не будет на компьютере работника, поэтому он будет туда доставлен каким-то образом. И именно эту доставку можно предотвратить посредством грамотной настройки межсетевого экрана.

Так же есть один очень хороший инструмент под названием responder, который атакует большое количество служб. При этом responder работает как ретранслятор трафика между компьютером жертвы и какой-либо службой. Если говорить проще - это инструмент для Mitm атак на Active directory, позволяющий красть хэши паролей, повышать привилегии и дальше перемещаться по сети.

Например такая команда может вытащить имя пользователя и хеш его учетной записи, если будет удачно совершена атака Mitm.
sudo responder -I wlo1 -rPvf

Так же у active directory есть одна особенность. Особенность заключается в предпочтении ipv6, а не ipv4. Это означает, что мы можем подделать DNS сервер для ipv6, и из этого выйдет, что другие компьютеры при рассылке DHCPv6 запросов будут находить именно наш, поддельный DNS сервер. Такая атака приведет, очевидно, к mitm. Чтобы такую атаку автоматизировать можно использовать mitm6 инструмент
mitm6 -d domen.local

Атаки на kerberos

Неотъемлемой частью любой active directory инфраструктуры является протокол аутентификации kerberos. В общем плане его работа сводится к получению так называемых билетов, которые пользователь отдает запрашиваемой службе и получает данные. Эта схема взаимодействия сильно упрощена, поэтому я рекомендую дополнительно почитать про нее, мы же рассмотрим один очень популярный инструмент при работе с kerberos и разберемся с очень популярной атакой kerberoasting

Например BruteForce юзеров Kerberos можно сделать следующим образом:(Rubeus должен быть доставлен на целевую машину. Способы были озвучены выше)
.\\Rubeus.exe brute /users:users.txt /passwords:pass.txt /dc:dc-1

Теперь немного про kerberoasting
В пакете данных TGS-REP (его можно получить при перехвате трафика) возвращается билет TGS (тот самый билет с которым мы идем на службу в сети), который зашифрован с использованием пароля учетной записи domain.local\username.
Соответственно, расшифровав данный билет, мы получим пароль учетной записи. Попробуем на практике.

Этой командой мы проверим количество юзеров с установленным идентификатором службы SPN (идентификатор сервиса), уязвимых к атаке:
.\\Rubeus.exe kerberoast /stats

В результате следующей команды мы получим хэш TGS (зашифрованный по алгоритму RC4) для учетной записи username
.\\Rubeus.exe kerberoast

Хэш ломается утилитами hashcat и JohnTheRipper.

Что делать для того чтобы предотвратить слив данных
Рекомендации по безопасности:

  1. Регулярные пентесты инфраструктуры, как бы очевидно это не звучало. Т.к команда профессиональных пентестеров знает и умеет эксплуатировать десятки векторов атак, которые и близко не были раскрыты в статье по причине колоссального количества информации
  2. Обучайте SOC. Если ваш отдел SOC не умеет отличать инструменты эксплуатации от инструментов рабочих, при этом абсолютно не прослеживая жизнь вашей инфраструктуры, то остается лишь подождать крупных утечек.
  3. Не скупитесь на SOC. Дайте им платные и мощные инструменты анализа сети. Хакеры тоже не дураки и будут всячески скрываться. Так же стоит выделить модель развертывания так называемых лабораторий, чтобы сотрудники SOC имели хотя-бы малое, но достаточное для реакции на около профессиональных хакеров воздействие, путем обычных тренировок в тестовой сети. Симулируйте действия злоумышленников и дайте отряду Blue Team самим побыть в роли пентестеров. Как можно чаще производите анализ информационной безопасности.

Заключение

Это лишь немногие, но одни из самых распространенных векторов атак и инструментов, помогающие злоумышленникам взламывать инфраструктуру. Поэтому не удивляйтесь, если в своей сети вы увидите подтянутые преступником вредоносные скрипты и инструменты для эксплуатации, мир небезопасен..