Привет, Хабр! На связи лаборатория кибербезопасности AP Security и сегодня наши стажёры делятся своим важным профессиональным опытом.
Каждый, кто хотя бы немного знаком со сферой ИБ или краем уха слышал про Positive Hack Days, припоминает большие насыщенные киберучения под названием Standoff, на котором собираются лучшие хакеры, чтобы посостязаться в умении ломать инфраструктуру государства F. В противовес профессионалы синих команд упорно трудятся, разбирая реализованные киберинциденты . Под прицелом во время состязаний находится как внешний периметр, так и все то, что расположено за DMZ.
В этой статье описан первый опыт участия во Всероссийской студенческой кибербитве в Москве на Positive Hack Days 2, передан откровенный взгляд на трудности при первых шагах, откуда и следуют важные советы начинающим специалистам по информационной безопасности, мечтающим добиться больших высот.
Надеемся, что эта статья побудит читателей не бояться пробовать собственные силы, так как такие мероприятия - отличная возможность не только побороться за призы, но и испытать себя со стороны атакующих или защитников, дополнить знания и получить определённый практический опыт.
Как же всё выглядело глазами нашего участника?
Начнём с малого
Как все обычно происходит: вам выдают VPN-конфиг на команду, почтовый сервер для фишинга (или нет, так как его придется захватить), адреса внешнего скоупа. И вы начинаете свое увлекательное приключение хакера. Wake up, Neo!
После того, как всё отсканировано, начинается атака web-приложения выдуманной компании. Web же подвержен следующим уязвимостям: SQLi, RCE, LFI, SSRF. Информацию о них и об их эксплуатации можно найти на сайте PortSwigger (основы основ для любого пентестера). Там подробно написано о том, почему возникают эти уязвимости, как от них защититься, и ,самое главное, как их находить!
Поломав внешний периметр в лице web-сервисов, можно было найти корпоративный Outlook-сервер, а также несколько почт на ресурсах, которые ломались раннее.
Первое с чего можно начать - это пробрутить почты для получения доступа к корпоративному аккаунту сотрудника.
В качестве словарей использовался ресурс на скриншоте ниже (как видно, словарь адаптирован под русскоязычную аудиторию). Обязательно делюсь ссылочкой на него.
Ну или можно использовать всем известный rockyou.txt, найти его не составит труда. Он уже идет в составе Kali Linux, что называется из коробки: /usr/share/wordlists/rockyou.tar.gz.txt.
В качестве утилиты для проведения брутфорс-атаки идеально подойдет Burp Suite, а именно его модуль Intruder.
После того, как получен доступ к корпоративной почте, через чаты скомпрометированного аккаунта находятся остальные сотрудники. И тут в силу вступают техники фишинга. Как правило, необходимо встроить VBA-макрос в doc-файл и отправить его по назначению для получения бекконнекта. Можно встроить обычный Powershell для получения шелла, так и поиграться с нагрузками популярных фреймворков для тестирования на проникновение (Cobalt Strike, Metasploit, Havoc). На эту тему есть отличная статья на Хабре
Андрюха, по коням. Возможно LPE
После получения первичного доступа к компьютеру сотрудника как результата отправки вредоносного вложения в письме (фишинговое письмо проверял бот, созданный организаторами) встает вопрос о повышении своих привилегий для получения расширенных возможностей и дальнейшего продвижения по корпоративной сети. В сценариях, которые мы отыгрывали на хосте у пользователя была привилегия SeImpersonatePrivilege, которая позволяла с помощью эксплойтов "семейства картофельных" (Local Potato, God Potato, Rotten Potato) угнать системный токен с помощью relay-атаки, и с ним уже запустить процесс от системы. Прикладываю ссылку, где можно подробнее ознакомиться с теорией, а также делюсь схемами эксплуатации.
Туда нам надо. Пробрасываем порты и находим пути перемещения по сети
После повышения привилегий и закрепления в системе можно переходить к горизонтальному перемещению между хостами. Тут на помощь приходят такие атаки, как Kerberoasting, AsREPRoasting, атаки связанные с делегирование, спреинг паролей. Но перед этим не забудьте пробросить порты для удобства работы. Можно двигаться дальше как с скомпрометированного хоста, так и со своей машины, при условии, что у вас проброшены порты. Здесь незаменимые инструменты это revsocks или chisel. Можно маршрутизировать трафик и с помощью штатных средств C2-фреймворков, которые уже встроены в них.
После того, как порты проброшены, можно атаковать сеть со своей машины. Тут инструментом выступает швейцарский нож в тестировании Active Directory - CrackMapExec, или же его более новая и функциональная версия NetExec. Если вы работаете прямо с хоста сотрудника на помощь приходит Rubeus, применяемый для постэксплуатации.
Горизонтальное перемещение по сети
После того, как удалось получить билет kerberos и успешно его пробрутить, пароль в открытом виде оказывается в нашем распоряжении. Дальше имеется возможность перемещаться при помощи различных инструментов в зависимости от наличия нужных привилегий у пользователей. Удобнее всего подключаться по протоколу RDP с помощью утилит rdesktop, xfreerdp и другие. Что касается получения интерактивного шелла - EvilWinrm. Остальные средства удаленного управления (smbexec, psexec, dcomexec) собраны в пакете Impacket, который также имеет широкий функционал в сравнении с инструментом CrackMapExec. О горизонтальном перемещении есть отличная статья на Хакере под авторством потрясающего s0i37.
Заключение
Данная статья носит технический характер и помогает очертить начинающим участникам области знаний, которые могут быть актуальны и применимы в рамках соревнований. Все приведённые в статье утилиты и техники являются базой для начинающего специалиста.
В рамках Всероссийской студенческой кибербитвы можно попробовать пройти свой kill chain, и что приятно, даже попрактиковаться в фишинге.
Вышеописанные действия в реальной жизни помогают реализовывать недопустимые события, такие как: утечка документов, получение доступа к компьютеру главного бухгалтера или директора. В рамках киберучений описан лишь один из сотен или даже тысяч сценариев атаки.
Весь спектор знаний, техник, инструментов и обучающих статей в рамках одного рассмотренного сценария уложить невозможно, большая коллекция материалов имеется в Telegram нашей компании. Там публикуется вся актуальная информация как для красных команд, так и для синих.
А потренировать свои навыки Вы можете на площадках Standoff365 и HackTheBox.
Надеемся, что эта статья вдохновит дорого читателя стать ближе к своей заветной цели ( и у каждого она своя). Быть может её читает сегодняшний студент и завтрашний победитель. Победитель Standoff или будущий CISO, ведущий инженер или создатель своего продукта - всё это большие победы, которые начинаются именно с таких мероприятий.
Желаем всем профессиональных успехов, интересных кейсов и крутых исследований!!!