Статья Firework.Немного о дедах и иной атаке на RDP.

Добрый день , Друзья,Уважаемые Форумчане и те , кто следит за пульсом ИБ.

О чём мы будем с вами сегодня говорить : о банальной эксплуатации дедика и новом инструменте Firework. Этот инструмент нам помогает разнообразить атаки на удалённые рабочие столы Windows. У нас с вами был и так перерывчик , который разбавили моим нетрезвым присутствием и примитивным моим же творчеством. Пора и о серьёзных вещах поговорить.

Натолкнуло меня на написание этой статьи общение с девушкой-секретаршей из областной администрации моего города.
Опустим лирику и рассуждения о пустом смысле переписки с администрациями,если это конечно реально не целевая атака))

Речь шла об отправке письма ей на почту мной в виде файла pdf. Я ещё переспросил,не боятся ли они получать файлы в таком формате. На что , мне Чудо томным голоском промурчало,что они внимательно и в скоростном режиме загруженности читают все файлы.. Занавес короче , в общем , звонок-то был деловой конечно , но мысли меня посетили при этом нехорошие и холодок по спине пробежал. При этом вспомнились известные вредоносы pdf. Здешним жителям не надо объяснять ,чем это чревато и насколько бестолково при этом выглядит защита сервисов.

Т.е. , из письма сейчас какого-либо сервиса тяжело выцыганить IP-адрес жертвы ,что яндекс,что другие сервисы , об этом позаботились уже. Но ради чего? Если всё у нас так , да по-быстренькому ещё , открывают , читают.В общем , страх потеряли , если он вообще был).

Автор обзора и Администрация ресурса напоминают,что категорически запрещено использование рассматриваемых техник в незаконных целях. Вся информация предназначена исключительно для изучения проблем безопасности и ознакомления.

К делу. Все прекрасно знают,что организации наиболее подвержены атакам,связанным с RDP. Админы вынуждены регулярно подключаться к удалённым рабочим столам для урегулирования проблем и настроек. Неправильно сказал-компьютеры потенциальных жертв настроены так,что к ним возможно получить удалённый доступ. Вот это вот по-нашему уже.

Вот , простой пример сканирования Nmap (хозяйство всё моё и для примера):

Перед вами потенциальный дедик с открытым 3389 (Remote Desktop) и 139 портами. Зря ещё 4899-й не открыт (программа Remote Administrator). Мелочиться здесь не стоит и сразу вводим в дело программу responder , которая выступит отравителем LLMNR,NBT-NS и MDNS:

Запустил её ещё без мошеннического прокси-сервера WPAD (опции -W). Это мощный инструмент ,выступающий в качестве Mitm-атаки. В Kali-Linux он есть. Он поддерживает HTTP/SMB/MSSQL/FTP/LDAP аутентификацию с поддержкой NTLMv1 и NTLMv2 -хэшей. Я его применил немного иначе , как видите , для менее ранней машины Windows XP. Хотя он более эффективен для серверов и более поздних версий Windows. Но ,тем не менее , закрашен пользователь-админ и название станции-компа. Заодно видим , как Responder нам вытащил название AV , работающего на атакуемой стороне. Тут даже к гадалке не ходи , пускаем смело в ход простенькую программу управления удалёнными рабочими столами Windows-vinagre.

В Kali Linux она также присутствует , можете не качать.А если кому надо:

#apt-get install vinagre

Responder нам пригнал название компа и суперпользователя. Более,для счастья не надо. Как это получилось? Ответ-Любая активность при работе Responder на нашей машине в нашу сторону со стороны атакуемой тачки. Это может быть открытие файла с реверсом , вредоноса. Это может быть ping со стороны админа атакованной жертвы , ответное сканирование.(С пренебрежением средств анонимности естественно). Так называемый приём "Вызывание огня на себя" , или "Огонь , иди со мной" как в сериале "Твин Пикс". Ну вот типичный случай перед вами пинга , в результате которого у нас админ и название рабочей станции в кармане. Тут можно атакующему временно слиться,затаиться,поменять IP и все прочие данные для анонимности. Дело сделано , админ повёлся на ловушку.

Далее,подключаемся,причём,заметьте,дело обстоит не просто. Я не стал вводить сразу админа,а попытался зайти Гостем в систему.

Ошибка админов в том,что включен пользователь Гость.А куда они денутся? Но и ещё разрешён политиками для управления удалёнными столами-это наигрубейшая оплошность , хотя немного спасёт ситуацию при таких атаках. Тут мы прописываем смело слово Гость вместо заштрихованного админского аккаунта.

На что мне система ,на самом деле ,выдала имя админа,название компа,сказала что админ вот под таким-то пользователем уже в системе. И предлагает мне его выпихнуть. Даю согласие-дурачье дело не хитрое.)) Если в системе админа нет,то получаем контроль без каких-либо толканий плечами. (К слову,с обратной стороны админов он-лайн,вас тоже могут бортануть и позаботиться о безопасности в оперативном режиме)

В итоге,пользуем дедик:

Теперь,что у нас делает Firework? Ну ,во-первых,давайте её установим всё же:

# git clone https://github.com/SpiderLabs/Firework.git
# cd Firework
# pip install -r requirements.txt , либо # pip2 requirements.txt- как пойдёт.
Прога работает вообще-то на python2.7 пока
# chmod +x firework.py
# python2 firework.py -h запускаем.

Создана замечательная программа объединением SpiderLabs, в которое входят вот эти прекрасные люди: forestmike,Michel Chamberland,Ryan,Victor Hora и Felipe Zimmerle. Не будем невеждами,перечислим ники и поблагодарим авторов. Очень много репозиториев у них там,советую поглазеть.

Итак,Firework создан для взаимодействия с удалёнными рабочими столами и создания файлов для работы с ними же. И облегчающим процесс инициализации при атаке,не больше,ни меньше,Господа. Он также заточен под то,чтобы захватить хеши NetNTLM из атакуемой системы. Может добавить свой ярлык запуска файла RDP в меню "Пуск"-это конечно зашквар и открытое хулиганство.
Генерирует прога сразу же вот такие файлы,которые могут быть использованы в разных векторах атак.

Firework вам предлагает файл формата WCX , который при попадании на тестируемый компьютер и его вызова , предлагает сеанс удалённого доступа. Не дай всевышним силам , девочка-пипеточка , нажмёт нужные атакующему кнопки согласия (далее)-мгновенная гарантия сеанса доступа.

Что ещё здесь-это сам payload , который выглядит вот так:

Как вы можете видеть, файл просто содержит URL-адрес удалённого веб-сервера. Этот URL-адрес должен ссылаться на файл XML , содержащий информацию настройки приложений.

Если мы получаем хэш ,то можно попытаться взломать его с помощью Джона , или , возможно , мы можем изменить процесс для передачи хэша в приложение, к которому у нас есть доступ. Для более поздних версий Windows, таких как 10-ка.

Windows может загрузить наши файлы .rdp и .ico , сгенерированные Firework. Атакующему здесь необходимо располагать своим сервером , преимущественно RDP , откуда указывать свой url-адрес. Чтобы вам голову не морочить об этой технике атаки смотрим страницу

Ссылка скрыта от гостей

.

Базовые команды Firework :

# python ./firework.py -c назв_компании -u https://example.org/ -a Firework -e .fwk -i ./firework.ico

На встроенном веб-сервере будет запущен порт 443 , если cert.crt и key.pem присутствуют в текущем каталоге. Это вызовет вызов NTLM с ответчиком. Если эти файлы отсутствуют , инструмент будет записывать все файлы в локальный каталог для вашего собственного хостинга.

Если желаем запустить встроенный веб-сервер на альтернативном порту, используем флаг -l , как показано ниже:

# python ./firework.py -c назв_компании -u https://example.org/ -a Firework -e .fwk -i ./firework.ico -l 8443

Вы также можете добавить некоторые настройки в файл .rdp, который будет задействован. Сервер удаленного рабочего стола:

dc.corp.local
Домен: corp.local
Имя пользователя: admin
Password Crypt: зашифрованный пароль, который входит в файл RDP

Примечание: пароли, хранящиеся в файлах .rdp, могут игнорироваться в конфигурации по умолчанию.
Но попытка-не пытка , пробуем использовать при аутентификации сгенерированный ,так назывемый пароль 51:

# python ./firework.py -c назв_компании -u https://example.org/ -a Firework -e .fwk -i ./firework.ico -r dc.corp.local -d corp.local -n admin -p <crypt password>

Пароль 51 у нас также генерируется firework как дополнительный аргумент для атаки и может легко быть использован при введении данных при подключении к машине жертвы. Не поленитесь и залезть редактором в сам сгенерированный файл Rdp , в котором можно подправить необходимые опции и IP-адрес.

P.S В статье конечно много не сказано о реакции AV. Как всегда , халатность и спешка при обязанностях и заданном темпе "стабильности" (берите во внимание начало статьи) , помогает проведению аналогичному роду атак. На этом пока всё , рад был встрече.Спасибо,что с нами.Читайте Codeby. Благодарю за внимание и до новых встреч.

 

[krypt0n]

Спасибо , ты мой любимый ХАКЕР)

 

[Vertigo]

Спасибо , ты мой любимый ХАКЕР)

Не зови меня так пожалуйста,не заслужил пока))За отзыв благодарен.

 

[krypt0n]

Не зови меня так пожалуйста,не заслужил пока))За отзыв благодарен.

ну и хацкером тебя тоже не назовешь )

 

[OneDollar]

Спасибо, познавательно, просто и понятно!)

 

[Valkiria]

Уп-с )) Я одна такая тупая ?
Я дошла до строк

На что мне система ,на самом деле ,выдала имя админа,название компа,сказала что админ вот под таким-то пользователем уже в системе.
И предлагает мне его выпихнуть. Даю согласие-дурачье дело не хитрое.))
Если в системе админа нет,то получаем контроль без каких-либо толканий плечами.
(К слову,с обратной стороны админов он-лайн,вас тоже могут бортануть и позаботиться о безопасности в оперативном режиме)
В итоге,пользуем дедик:

и мне абсолютно не понятно, каким образом автор без знания пароля подключился под учёткой гостя ?

К тому-же, на скринах система Windows Xp ? Она ещё кем-то используется ?

К тому-же, не понятно: какую цель ставил перед собою автор после подключения к удалённому компу ?
Что там ещё атаковать ? Какова конечная цель атаки ? Чем обусловлено применение этого Firework , SpiderLabs ?

 

[m0nstr]

К тому-же, не понятно: какую цель ставил перед собою автор

думаю автор ставил цель познакомить здешних жителей, вроде меня, с достойным софтом для реализации вектора атаки в промышленном шпионаже. или рядом. мне все понравилось. даже постановка, о которой автор предупредил сразу, сходит на ура. тема "огненного кнута" раскрыта

 

[m0nstr]

Я правильно понял: с помощью NTLM хеша и firework можно заарканить дедика? о_0

или все-таки это клиент-серверная технология?
________________________
глуп тот вопрос, который небыл задан

 

[Valkiria]

Чтобы получить этот хэш, надо дедик заарканить.
Если дедик заарканен, то зачем эти хэши ?
Статья - парадоксальна.

Или я что-то не поняла ))
Но перечитала статью несколько раз - так и не поняла ничего ))

 

[m0nstr]

а responder что за хэши отлавливает? они не сгодятся для дедика? надо будет покурить NTLMv2

 

[Vertigo]

абсолютно не понятно, каким образом автор без знания пароля подключился под учёткой гостя ?

Хороший вопрос,спасибо.Олдскульные админы знают,что это особенность Windows XP,хотя звучит ,на первый взгляд ,бредово,согласен)
Такой прикол получается из совокупности неправильно настроенных политик доступа,
отсутствия запароленной гостевой учётки и переименования Гостя в какое-либо имя.
Так что , это я только продемонстрировал как может это выглядеть , а так-это всё она ,

Ссылка скрыта от гостей

К тому-же, на скринах система Windows Xp ? Она ещё кем-то используется ?

XP очень даже встречается во многих мелких организациях.
Причин тому несколько-используемый софт для работы,который работает только на 32-х разрядных версиях.
И может админы не нашли быстро другой подручной версии,кроме той,что на флешке у них завалялась.
И нежелание работодателя покупать лицензию.

не понятно: какую цель ставил перед собою автор после подключения к удалённому компу ?
Что там ещё атаковать ? Какова конечная цель атаки ? Чем обусловлено применение этого Firework , SpiderLabs ?

Хотел показать несколько векторов целевой атаки для получения удалённого доступа к рабочему столу.
Цель атак с помощью Firework-тоже самое,только отличается разнообразием,плюс возможно применение новой техники с помощью сервера.
Эту новую концепцию как раз доказали авторы и для её реализации в том числе ,был и написан софт Firework.
А вот какова конечная цель атакующего-вопрос для полёта фантазии.
Явно не для того,чтобы поздравительную открытку создать на рабочем столе.)
Это уже насколько изворотливость и совесть позволит,может есть желание настрочить с этого компа такое,чтобы владельца уволили или осудили.

для реализации вектора атаки в промышленном шпионаже.

Да,такое имеет место быть и пользуется популярностью негласно.

Я правильно понял: с помощью NTLM хеша и firework можно заарканить дедика? о_0
или все-таки это клиент-серверная технология?

Конечно можно.Это не относится к распространённому бруту дедиков,т.е. их добычей.
Просто одна из возможных быстрых реализаций атак на конкретную машину.
И это тоже.

Если дедик заарканен, то зачем эти хэши ?

Различные способы просто приведены в пример,чтобы обзор не был однообразен описанием только софта.
Дополнил небольшими аннотациями и способами,что есть ,к примеру ,и такие решения при нападении.

а responder что за хэши отлавливает? они не сгодятся для дедика? надо будет покурить NTLMv2

Верно думаете,и ещё рекомендую почитать о Responder- в нём очень много заманчивых опций.Демоновский инструмент.
Спасибо за отзыв.
Если изучать способы доступа к удалённым рабочим столам,посмотрите также информацию о файлах msra.exe и mstsc.exe
Они используются в терминальных серверах и подключения выглядят глазами админов немного иначе.

 

[Mitistofel]

Твоя техника "пьяные запятые" - просто великолепна )

К тому-же, на скринах система Windows Xp ? Она ещё кем-то используется ?

Видел статистику, что в 2018 году, 15% RDP имеют "Windows XP or Server 2003"

 

[InetTester]

Очень интересно,
небольшое замечание, небольшая опечатка вместо -W для поднятия прокси требуется использовать -w