Интересует создание бекдоров для теста своей локальной сети

V

VikTor1990

Доброго времени суток


Поделитесь пожалуйста опытом или ссылками на metasploit framework, конкретнее интересует создание бекдоров, для теста своей локальной сети, возможно ли при помощи метасплоита обойти DFL 860 E, и через nmap забросить подобный файл на один из серверов, или все попытки навредить ограничиваются только только dos атаками.

Буду благодарен за ваши ответы
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 535
3 379
Рекомендую Тестирование на проникновение с помощью TheFatRat
как nmap забросит? nmap - сканер, он собирает информацию, а не работает катапультой.
И пишите подробнее - ОС, сеть, что конкретно собираетесь тестировать.

Обойти DFL 860 E - брут, либо если мы говорим про сеть, за ним, то очень рекомендую прочитать ряд таких статей (и пройти практику), что бы было понимание общее

PowerShell для хакера
Тестирования на Проникновения с TestLabv10
 
V

VikTor1990

Прошу прощения за некорректно сформулированный вопрос

Существует сеть предприятия на 70 машин под управлением win7, виртуальный сервер на proxmox, и пара серверов на win7 и win server 2012, конкретнее хотелось бы поинтересоваться существует ли возможность обхода DFL 860 E средствами kali а конкретнее при помощи метасплоита.

Возможно ли закинуть в сеть бекдор, конкретно через вышеуказанную DFL?
[doublepost=1488051942,1488051825][/doublepost]
Рекомендую Тестирование на проникновение с помощью TheFatRat
как nmap забросит? nmap - сканер, он собирает информацию, а не работает катапультой.
И пишите подробнее - ОС, сеть, что конкретно собираетесь тестировать.

Обойти DFL 860 E - брут, либо если мы говорим про сеть, за ним, то очень рекомендую прочитать ряд таких статей (и пройти практику), что бы было понимание общее

PowerShell для хакера
Тестирования на Проникновения с TestLabv10
за ссылку с описание оогромная благодарность, буду пробовать
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 535
3 379
Возможно ли закинуть в сеть бекдор, конкретно через вышеуказанную DFL?
Конкретно по данному вопросу: закинуть. Что в это слово вкладывается? Что бы бэкдор заработал, надо его еще активировать. У Вас скорее всего не верное представление о реализации основнное на просмотре разных художественных фильмов :)

Сценарий конечно может быть таким: получаете доступ к этой железке и попадаете в сеть, далее при помощи социалки, инжекта в код страницы + фишинг начинается распространения бэков, однако БЭКДОР - открытие порта уже может быть подозрительным для системы безопасности

Вообще, наиболее простым и разумным, будет ознакомиться с рядом статей
Взлом удаленного ПК. HTA-server.
[URL='https://codeby.net/threads/vzlom-udalennogo-pk-veil-evasion-metasploit.57819/unread']Взлом удаленного ПК. Veil-Evasion. Metasploit.

[/URL]
 
  • Нравится
Реакции: id2746 и Vertigo
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 182
3 497
Cервера под управлением Windows...хм) . Если атакующая машина относится к этой же сетке,что и жертвы,посоветовал бы поработать с этими серверами с помощью Intercepter-NG. Тут и обход настоящего dhcp-сервера (при условии,что у жертв dhcp привязка,а не статическая и есть возможность поднять свой dhcp-сервер).Тут и попытка вожделённого бэкдора с помощью java-апплета (сработает,если не обновляется java на серверах и не проверяется подпись апплетов).Форсированная закачка постороннего файла на машины жертв-из этого же ряда (жертва будет думать,что она обновляется к примеру, или качает файл именно тот и откуда желает).Там же и улётная атака Group Policy Hijackting с прописью в реестре ключа ,через который прописывается для любого исполняемого файла свой дебаггер для получения шелл с правами system (не забывайте только включать функцию sslstrip при работе с инжектами).
 
  • Нравится
Реакции: id2746
D

DoberGroup

Если атакующая машина относится к этой же сетке,что и жертвы
Раз топикстартер акцентирует внимание на роутере NetDefend, надо полагать, что доступа как раз нет.
Для DFL860 в паблике нет описанных уязвимостей. Теоритически, по слухам, есть в неопубликованной части от ShadowBrokers, но кто знает что там с применимостью? Но это не важно, тут же еще вопрос - как настроен фаервол на этой железке. Что в какую сторону запрещено, какие сервисы смотрят наружу, куда можно коннектится изнутри?

Во вторую очередь я бы задумался о том, какой информации мне не хватает для атаки, используя СИ и пошел бы ее собирать.

И только потом меня бы взволновал выбор инструментария.
 
  • Нравится
Реакции: ghostphisher
V

VikTor1990

Благодарю всех за ответы, буду пробовать и разбираться
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 535
3 379
Благодарю всех за ответы, буду пробовать и разбираться
Еще не плохо ставить верно цели при проведения тестирования, какой итог должен быть - просто получить доступ или развернуть ботнет в итоге. DoberGroup очень верно подметил про железку и СИ - это более продуктивный метод тестирования. Сбор информации можно вести любуым доступным путем. Узнать версию ОС и АВ - звонок с вирутального номера от компании Крепкие Системы с предложением купить со скидкой Вин 8.1 и АВ любой марки в подарок, далее узнаем что же стоит у них там. Сайт желательно сделать для этих целей хотя бы лЭндинг.
 
V

VikTor1990

Еще не плохо ставить верно цели при проведения тестирования, какой итог должен быть - просто получить доступ или развернуть ботнет в итоге. DoberGroup очень верно подметил про железку и СИ - это более продуктивный метод тестирования. Сбор информации можно вести любуым доступным путем. Узнать версию ОС и АВ - звонок с вирутального номера от компании Крепкие Системы с предложением купить со скидкой Вин 8.1 и АВ любой марки в подарок, далее узнаем что же стоит у них там. Сайт желательно сделать для этих целей хотя бы лЭндинг.
Цель получить доступ к БД для дальнейшего ее изменения, а по поводу СИ к сожалению не силен
Но за ответ благодарен
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 535
3 379
Цель получить доступ к БД для дальнейшего ее изменения, а по поводу СИ к сожалению не силен
К какой именно БД, где она расположена - эти факторы тоже надо учесть. Я так понимаю у Вас нет четкой картины структуры сети?
По СИ нужно больше информации о объекте. Давайте попробуем смоделировать векторы, если есть желани.
 
V

VikTor1990

К какой именно БД, где она расположена - эти факторы тоже надо учесть. Я так понимаю у Вас нет четкой картины структуры сети?
По СИ нужно больше информации о объекте. Давайте попробуем смоделировать векторы, если есть желани.

На самом деле все гораздо проще, это ЛВС моего предприятия, расположение серверов мне хорошо известно т.к. я сам настраивал всю сеть, проблема в том, что существует группа людей, которые имеют скажем так "некоторое" желание навредить моей сети и серверам, путем доступа к одной из железяк.

Сетка относительно неплохо защищена, для уровня предприятия, стоят всевозможные DFL, xspider и dallas lock, но вероятность проникновения все равно высокая, т.к. большинство машин смотрят в инет у большинства стоит электронная почта, и как я понимаю (если правильно понимаю), то хорошо образованному человеку не составит особого труда закинуть замаскированный файл в виде картинки для получения доступа к одному из компов предприятия.

Хотелось бы максимально возможно понять, как создаются подобные бекдоры и как от них можно защититься, а точнее вычислить при попытке проникновения, т.к. БД терять не хочется.

P.S.

backup БД это хорошо, но к сожалению не располагаю свободным местом под резервные копии.

P.S.S.
Антивирус даже Kaspersky не всегда находит хорошо замаскированные вирусы
 
Последнее редактирование модератором:
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 535
3 379
Фильтр всех соеденений, особый упор на нестандарные порты, приложения стучащие в инет с таких портов. Тут конечно можно посмотреть на meterpreter reverse_https , который не так подозрительный - следует более глубокое вмешательство в работу системы безопасности компании.
 
V

VikTor1990

Тут конечно можно посмотреть на meterpreter reverse_https , который не так подозрительный


Если честно не совсем понятно как работает reverse_https на одной из взломанных железяк, а точнее каким образом человек может получить доступ из скомпрометированного компьютера к серверу, и возможно ли это в принципе?

Вопрос может быть не совсем корректный, просто очень хочется понять и разобраться каким образом можно попасть в чужую подсеть, а тем более на сервер предприятия из вне
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 535
3 379
Если честно не совсем понятно как работает reverse_https на одной из взломанных железяк, а точнее каким образом человек может получить доступ из скомпрометированного компьютера к серверу, и возможно ли это в принципе?
если не понятно - пробуем на своих машинах создать файл с полезной нагрузкой и получить сессию - обратите внимание на ссылке по msf выше. Попробуйте msfvenom, TheFatRat, темы про HTA. Получить доступ к серверу - если к нему есть доступ из локальной сети ( его видно с скомпрометированной системы ) шанс есть. Тут можно использовать брут, уязвимости в приложениях, сниффинг или все тот же фишинг.
 
V

VikTor1990

если не понятно - пробуем на своих машинах создать файл с полезной нагрузкой и получить сессию - обратите внимание на ссылке по msf выше. Попробуйте msfvenom, TheFatRat, темы про HTA. Получить доступ к серверу - если к нему есть доступ из локальной сети ( его видно с скомпрометированной системы ) шанс есть. Тут можно использовать брут, уязвимости в приложениях, сниффинг или все тот же фишинг.


Ситуация конечно не обнадеживает, но за помощь все равно благодарю, буду пробовать
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 535
3 379
Ситуация конечно не обнадеживает, но за помощь все равно благодарю, буду пробовать
А что конкретно не обнадеживает?
повторюсь еще раз Тестирование на проникновение с помощью TheFatRat

https://codeby.net/threads/powershell-dlja-xakera-chast-i.58495/
прочитайте серию данных статей и пробуйте, очень много вопросов будут решены.
 
V

VikTor1990

А что конкретно не обнадеживает?
повторюсь еще раз Тестирование на проникновение с помощью TheFatRat

https://codeby.net/threads/powershell-dlja-xakera-chast-i.58495/
прочитайте серию данных статей и пробуйте, очень много вопросов будут решены.

Благодарю еще раз, и прошу прощения за бестолковость буду пробовать и тестировать, если что будет непонятно обязательно напишу )
 
D

DoberGroup

Смотрите - в первую очередь Вас интересует усиление периметра вокруг сервера БД? Ок. Наружу она не смотрит, но мы допускаем, что первый периметр атакующий преодолел. В таком случае, отслеживать его реверс-канал с машин, которые итак имеют доступ в интернет - малоинтересно - TLS шифрование на 443й порт, и нужна очень дорогая DPI, что бы отличить этот канал от обычного трафика. А смотреть нужно на доступ от этих (условно-зараженных) машин к серверу БД. Думать, в сторону распределенной системы авторизации, отслеживания доступа, не предусмотренного должностными обязанностями. Это более перспективное направление.
 
  • Нравится
Реакции: ghostphisher
V

VikTor1990

Смотрите - в первую очередь Вас интересует усиление периметра вокруг сервера БД? Ок. Наружу она не смотрит, но мы допускаем, что первый периметр атакующий преодолел. В таком случае, отслеживать его реверс-канал с машин, которые итак имеют доступ в интернет - малоинтересно - TLS шифрование на 443й порт, и нужна очень дорогая DPI, что бы отличить этот канал от обычного трафика. А смотреть нужно на доступ от этих (условно-зараженных) машин к серверу БД. Думать, в сторону распределенной системы авторизации, отслеживания доступа, не предусмотренного должностными обязанностями. Это более перспективное направление.
Благодарю за содержательный ответ
[doublepost=1488227413,1488226146][/doublepost]
Смотрите - в первую очередь Вас интересует усиление периметра вокруг сервера БД? Ок. Наружу она не смотрит, но мы допускаем, что первый периметр атакующий преодолел. В таком случае, отслеживать его реверс-канал с машин, которые итак имеют доступ в интернет - малоинтересно - TLS шифрование на 443й порт, и нужна очень дорогая DPI, что бы отличить этот канал от обычного трафика. А смотреть нужно на доступ от этих (условно-зараженных) машин к серверу БД. Думать, в сторону распределенной системы авторизации, отслеживания доступа, не предусмотренного должностными обязанностями. Это более перспективное направление.

Благодарю за ответ



кстати говоря возник вопрос по TheFatRat создал я bat ник закинул на машину жертвы правда через инет пытаюсь подключиться указав внешний ip, который дает провайдер, т.к. подключиться к ip подсети пока не знаю

но при попытке получить сессию, зависает на этих строчках

Started HTTPS reverse handler on
[*] Starting the payload handler...


и дальше не двигается подскажите пожалуйста куда копать
[doublepost=1488229679][/doublepost]
Started HTTPS reverse handler on
Starting the payload handler...


и дальше не двигается подскажите пожалуйста куда копать


с данной проблемой разобрался по крайней мере в локалке, исполняемый файл нужно было запускать от имени администратора локально, остается понять как сделать что бы файл сам запускался с правами админа при открытии его на машине жертвы
 
Мы в соцсетях: