18.11.2018 14:03
Michae1 92 69000 Источник


У меня были все преимущества. Я уже был внутри сети. Я был вне подозрений. Но они обнаружили мой взлом, выкинули из сети… и выследили физически.

Многие тестирования на проникновение начинаются снаружи, чтобы проверить, как можно преодолеть периметр. На этот раз заказчик хотел посмотреть, насколько далеко может зайти атакующий, который уже сумел оказаться внутри организации. Разве они могли бы остановить меня, если я уже был в сети?

Итак, они тайком провели меня в офис, замаскировав под нового работника. Мне дали рабочий компьютер, бейджик, учётку в системе… чёрт, у меня даже была своя кабинка с вымышленным именем на ней. Единственным человеком, знавшим, кто я на самом деле, был их директор по информационной безопасности. Все остальные думали, что я Джереми из Маркетинга.

Разведка


Бо?льшую часть утра первого дня я был занят процедурами оформления на работу, знакомства с коллегами и выполнением чёрной работы. Но я должен был действовать быстро. На всё про всё у меня была только неделя, и нужно было успеть всё взломать, не вызвав подозрений. Так что я занялся делом.

Чтобы вы понимали: большинство тестирований на проникновение довольно прямолинейны. Самое трудное — пробиться в сеть. Но оказавшись внутри, получаешь широкий выбор целей: старые компьютеры, пароли по-умолчанию, все сидят под локальными администраторами… Обычно я получаю учётку доменного админа за день-два, а вскоре после этого и администратора организации. Оставшееся время уходит на заметание следов и сбор доказательств возможных последствий атаки. Но на этот раз всё было иначе. Пришло время удивляться.

Сев за компьютер, я сделал вид, что работаю. Я собирался использовать свой служебный компьютер для исследования, изучения настроек других рабочих станций, но я бы не стал атаковать непосредственно с него, чтобы не оставлять следов, указывающих на меня. Вместо этого я принёс отдельное устройство для взлома: личный ноутбук с линуксом и кучей хакерских инструментов. Я подключил его к сети и получил IP-адрес. Их NAC не охватывал всю сеть: любое подключение из рабочей кабинки было доверенным.

Я начал, как обычно. Перехват и анализ сетевого трафика с Wireshark, смена MAC-адреса и имени моего ноутбука, чтобы он затерялся в их инфраструктуре и выглядел, как обычное оборудование. Затем — использование Responder в своей подсети для вылавливания хэшей и взлома паролей. Довольно быстро мне удалось насобирать полную горсть хэшей. Я находился в обычной подсети для работников, поэтому вокруг было много залогиненных учёток с открытыми браузерами, разбрасывающими аутентификационные данные.

Первые сюрпризы


Я запустил перебор найденных хэшей на своей ферме из 8 видеокарт, но… что-то пошло не так. Довольно быстро были проверены все 8-символьные комбинации из больших и маленьких букв, цифр и спецсимволов (NetNTLMv2). Большинство обычных паролей (одно слово, первая заглавная буква, заканчивающийся на цифру или символ) я взламываю мгновенно. Но не здесь.

Я мог бы запустить net accounts на своей рабочей станции, чтобы посмотреть парольную политику непосредственно в AD, но для начала я решил поискать где-нибудь ещё. Не хотелось оставлять лишних следов. Порывшись в сети, мне удалось найти Требования безопасности. Оказалось, что минимальная длина пароля, который должен был включать большие и маленькие буквы, спецсимволы и цифры, составляла 12 знаков. И они уже начали переход на парольные фразы… Я поменял свой набор правил для брутфорса на использование более длинных слов, заглавных первых букв и окончаний из цифр и специсимволов. Это принесло мне несколько паролей!

Круто! Погнали! Я сразу попытался удалённо зайти на компьютер пользователя под его паролем..., и был заблокирован. Какого...? Это всегда срабатывало. Пароль верный. Но доступ закрыт. Я перепроверил себя. Начинай с основ. Делай всё правильно. Некоторое время ушло на поиски контроллера домена. На VoIP-телефонах нашлись конфиги веб-страниц, где был прописан его адрес. С контроллера я через LDAP вытащил свойства групповых политик, чтобы посмотреть привилегии. После долгих раскопок в куче настроек, я понял, что удалённый доступ разрешён лишь небольшой части айтишников, даже не всему IT-отделу. И я не взломал ни одного из их паролей. Они реализовали модель наименьших привилегий… Кто так делает?

Ладно, идите к чёрту. Обойдусь без доступа к компьютерам. Залезу в их переписку! Так я и поступил. Я искал пароли в почте, Skype-чатах, проверил заметки и черновики в Outlook. Мне попалась куча личных паролей от чего угодно… Но ни одного от служебной учётки. Зато я нашёл письмо от отдела информационной безопасности, где говорилось, что они в течение недели планируют внедрить двухфакторную аутентификацию для почты. Похоже, мне ещё повезло.

Самое слабое место любой системы


Затем я отправился на SSO-портал. Все внутренние приложения в одном месте. Мечта хакера! Я кликнул на одно из приложений. Оно требовало двухфакторной аутентификации. Следующее тоже. И следующее. Да что ж за Алькатрас-то такой?! Ночной кошмар хакера!

Я видел, что они используют Citrix. Он за двухфакторной аутентификацией, ну, и пофиг. Я с этим разберусь. Citrix даст мне доступ к внутреннему серверу. Мне нужно было попасть на внутренний хост, чтобы убрать мой хакерский ноутбук и начать уже продвигаться в сеть. Я запустил Citrix, получив в ответ запрос 6-значного пина. Тут есть кнопка с надписью «Нажмите для получения токена» и немного подредактированным номером телефона: (xxx)xxx-5309. Поискав в почте «5309», я нашёл подпись пользователя, в которой этот номер телефона был указан полностью. Я позвонил по нему.

Ответила женщина. «Добрый день, Пэм. Я Джош из айти. Мы переносим Ваш профиль Citrix на новый сервер. Я сейчас отправлю Вам 6-значное число. Мне нужно, чтобы Вы прочитали мне его. На всякий случай напоминаю, мы никогда не спрашиваем Ваш пароль». У меня уже был её пароль. Она колебалась: «Хорошооо...» Я нажал кнопку для отправки токена аутентификации и сказал: «Готово. Я отправил Вам число, прочитайте его мне, пожалуйста, когда получите». Она ответила: «Эммм… Да, получила. 9-0-5-2-1-2». «Благодарю! Пожалуйста, не запускайте Citrix пару часов!» На экране тикал таймер на 60 секунд. Я набрал цифры в окне двухфакторной аутентификации и нажал «Ok». Залогинен. Иди в пень, двухфакторная аутентификация! Оказавшись внутри, я увидел… ничего. НИЧЕГО! Этому пользователю не нужен был Citrix, поэтому к нему не было привязано НИЧЕГО. Я взломал подсобку.

Так. Это безумие. Я возможно подберу длинный пароль, но только если мне повезёт поймать нужный хэш. Даже со взломанным паролем кого-то из небольшой группы людей мне придётся обходить двухфакторную аутентификацию. Каждая попытка, особенно с кем-то из этой защищённой группы, повышает риск обнаружения. Проклятье…

Я перепробовал всё. Я запускал всё более и более агрессивные сканы, стараясь всё же оставаться ниже радаров. Я прощупал всю сеть и все службы, которые сумел найти, со всеми атаками, которые знал. И хотя то тут, то там я находил какие-то мелочи, этого не хватало, чтобы где-нибудь закрепиться. Я начал впадать в отчаяние. Уже конец второго дня. Обычно в это время я уже потрошу базы данных, читаю почту генерального директора и снимаю людей на их веб-камеры. Чёрт возьми. Пора вломиться в логово айтишников. Я собираюсь украсть ноутбуки.

Ночной рейд


Я задержался после работы. Коллегам сказал, что нужно закончить курс по безопасности при трудоустройстве. Они покивали и свалили. Потом пришли уборщики. Когда они закончили, я остался один. Я направился к кабинету айтишников. Нашёл дверь. Оглядевшись по сторонам, я взялся за ручку…

До этого я уже попробовал разные штуки с моим служебным ноутбуком, но я не был локальным админом, а диск был полностью зашифрован. Моей целью было найти старый незашифрованный ноутбук, на котором будет хэш пароля локального админа.

Я проверил холл, чтобы никого не было рядом. Я осмотрел потолок в поисках камер безопасности. Я приоткрыл рот и наклонил голову, чтобы услышать, что кто-то подходит из-за угла. Ничего. Я был готов действовать. Я приготовился ковыряться в механическом замке, разбираться с электронными системами контроля доступа или снимать дверь с петель, но обнаружил, что дверь приоткрыта. Повезло. На двери был и электронный замок, и механический. Даже защищённые петли. Но кто-то оставил её незакрытой в ту ночь. Приоткрыв дверь, я заглянул, ожидая натолкнуться на кого-то внутри. Никого. Да ну нафиг. Просто пруха. Я вошёл внутрь.

Понятия не имею, почему дверь была открыта, но 80% моей работы — это пользовательские ошибки, 56% — навыки, 63% — приспособляемость, 90% — использование особенностей и жирные 80% — удача. И лишь около 1% связаны с математикой…

Как бы то ни было. Я не знал, не вернётся ли кто-нибудь сюда с минуты на минуту, поэтому принялся за работу. В углу лежали стопками ноутбуки разного возраста, производителей и моделей. Взвесив риски попасться в кабинете айтишников или с кучей ноутов на моём столе, я выбрал свой стол. И вот я уже перетаскиваю охапки старых ноутбуков из айтишной норы в свою кабинку, складывая из них Пизанскую башню под своим столом. Затем я начал методично пытаться загрузить каждый ноутбук с флешки в поисках незашифрованного Святого Грааля.

У меня есть загрузочная флешка с Kali и утилитой samdump2. Я подключаю её к одному из ноутбуков, загружаю его и пытаюсь смонтировать жёсткий диск. С каждым разом натыкаясь на шифрование, я всё сильнее расстраиваюсь. Наконец, после 30 проверенных ноутбуков я нахожу три полуживых с незашифрованными дисками. С помощью samdump2 я вытаскиваю локальные NTLM-хэши из SAM и сравниваю их. Таким образом удаётся найти нестандартную учётку локального админа «ladm» на всех трёх машинах. Хэши совпадают. Слава Эриде, они не используют LAPS. Учётка локального админа одинаковая на всех компьютерах. Я взломал этот хэш довольно легко. Пароль оказался <Название компании><Год>, и этот год прошёл пару лет назад. Ошибка в управлении активами. Обожаю.

Я попытался зайти под новой учёткой удалённо и получил ту же ошибку, что и до этого. Даже локальному админу был запрещён удалённый вход… Я попытался зайти локально на собственный служебный ноутбук, и у меня получилось! Эта учётка обходила полное шифрование! Мастер-ключ! Так… тааак! Этим можно воспользоваться! Но потом я заметил одну странность… У меня не было прав доступа к пользовательским данным. Что? Они ограничили доступ ДАЖЕ ДЛЯ ЛОКАЛЬНЫХ АДМИНОВ?! Чёрт. Нужно было повышать привилегии до системных.

Я перепробовал все трюки, которые приходили в голову. В конце концов я поискал уязвимости Unquoted Service Path и нашёл парочку! Но вывод говорил о том, что мой локальный администратор не имеет права записи в нужные папки. Да бросьте! К тому времени я уже был измотан и сломлен. Заканчивалась моя 17-часовая смена. Мозг уже не работал. Это был ещё один тупик. Ещё одна серия тяжёлой борьбы и успешных взломов ради очередного фейла. Нужно было пойти домой и немного поспать, чтобы начать заново на следующий день.

Звонок другу


На следующий день я снова всё перепроверил, чтобы убедиться, что ничего не упустил. Я проверил всё, что мог проверить, просканировал всё, что мог просканировать, сделал всё, что приходило в голову. Всюду небольшие зацепки, но ничего стоящего. Я позвонил коллеге из Dallas Hackers. Рассказав ему о своих мытарствах, я закончил рухнувшими надеждами на уязвимость Unquoted Service Path, когда вывод показал мне отсутствие необходимых привилегий. Он спросил: «А ты все-таки попробовал проэксплуатировать её, несмотря на это?». Я замер. Я не попробовал. В том состоянии я поверил выводу и не проверил сам. Хорошо. Я попробовал записать данные в директорию. Ту же самую, для записи в которую по словам Windows у меня не было доступа. И мне это удалось. Чёртова винда. Снова меня обманула. Но ладно. Это ж офигительно. Новая зацепка.

Коллега быстро накидал мне на C загрузчик, который запускал нагрузку на Powershell. Я рискнул проверить связку на собственном компьютере, и похоже всё работало отлично. Это была извращённая атака. Но это всё, что у меня было. Я собирался:

  1. Запустить listener на моём хакерском ноутбуке
  2. Получить физический доступ к ноутбуку в офисе
  3. Зайти под учёткой локального администратора
  4. Загрузить свою связку малвари по адресу Unquoted Service Path
  5. Выйти
  6. Дождаться входа пользователя и запуска нагрузки

Приближался перерыв на обед. Я ответил улыбкой на приглашения коллег пойти перекусить и немного задержался. Сначала я планировал наведаться к айтишникам и добраться до одного из их компьютеров, пока они обедают. Но когда я подошёл к их кабинету, то увидел, что они все на месте! Едят свой обед перед компьютерами! Они что, не в курсе, как это вредно?! Как отсутствие разделения работы и отдыха и нехватка перерывов ведут к стрессу?! Почему они не обедают, как нормальные люди?!

Да пошли вы. Я собираюсь взломать компьютер. Любой компьютер. Я прошёлся по офису и нашёл кабинет, где никого не было. Финансисты. Хорошо, взломаем финансы. Я ответил что-то милой маленькой старушке, вернувшейся за своим кошельком. Дал ей понять, что я айтишник, обновляющий компьютеры. Она кивнула и, мило улыбнувшись, ушла. Раздражённый, с лицом, наполненным ненавистью и злорадством, я повернулся к одному из компьютеров её коллег и взломал его.

На всё ушло менее 30 секунд. Я вернул кресло и мышку в то состояние, в котором они были до моего прихода. Ещё раз бегло осмотрелся, убедившись, что всё выглядит нормально. И вернулся на своё рабочее место. Сидеть, уставившись на свой listener. В какой-то момент обед закончился. Мне не хотелось даже разговаривать. Уже начав терять надежду, я увидел:
> Meterpreter session 1 opened
А затем…
> Meterpreter session 2 opened
> Meterpreter session 3 opened
...
> Meterpreter session 7 opened
Твою ж налево! Я запустил GETUID и увидел NT AUTHORITY\SYSTEM. Иии-ха!

Хорошо! Отлично! Так! Эмм… Поехали! Да! Закрепившись в системе, я сделал дамп памяти и начал копаться в файловой системе. Какая-то финансовая информация. Какие-то пароли в открытом виде. Чувствительная информация, но ничего серьёзного. Но да ладно. Это только начало. Плацдарм. А затем…
> Meterpreter session 1 closed

Я пытаюсь цепляться к сессиям, но они все закрыты. Я пингую систему, не отвечает. Сканирую 445 порт. Ничего. Система недоступна. Это. Уж. Слишком. Я встаю и направляюсь прямиком в финансовый отдел. Что стряслось с моими шеллами?!

Повернув за угол, я вижу, что милая старушка разговаривает с самым здоровенным и свирепым айтишником. Я быстро делаю «Ох, ё...» и разворачиваюсь, когда старушка смотрит в мою сторону, показывает пальцем прямо на меня и кричит: «Это он! Он возился с нашими компьютерами!» Я издаю истошный крик и кидаюсь наутёк. Развернувшись спиной к свирепому айтишнику, я бегу в противоположном направлении и натыкаюсь на двух безопасников. Они выглядят очень недружелюбно и ясно дают понять, что я забрёл не в тот район. Я очнулся в крови, пристёгнутый к эргономичному офисному креслу стяжками, которыми они стягивают кабели в серверной. Начальник DFIR стоит передо мной, её костяшки сбиты. За её спиной ухмыляется небольшая команда аналитиков из группы обнаружения вторжений. Я выдавливаю из себя одно слово… Мне нужно знать… «Как...?» Она склоняется над моим ухом и шепчет: «Никто в финотделе никогда не запускает Powershell...»

Ладно… Я немного добавил драматизма в конце. Но история с тем, как я наткнулся на старушку, которая сдала меня айтишникам, настоящая. Они задержали меня прямо там. Отобрали мой ноутбук и доложили обо мне руководству. Пришёл директор по информационной безопасности и подтвердил моё присутствие. И способ, которым они меня вычислили, тоже настоящий. Они получили уведомление о том, что Powershell был запущен на системе, которая не относилась к небольшой группе айтишников и разработчиков, запускавших Powershell в обычных условиях. Простой и надёжный метод выявления аномалий.

Выводы


Blue Team


  • Модель наименьших привилегий
  • Мультифакторная аутентификация
  • Простые правила выявления аномалий
  • Глубокая защита

Red Team


  • Продолжать пытаться
  • Не предполагать
  • Обращаться за помощью
  • Везёт подготовленным
  • Адаптация и преодоление

Комментарии (92)


  1. UncleBance
    18.11.2018 17:16
    #19385544

    Красиво. Но смущают, как минимум, два момента. Первый: что сложного найти контроллер домена? В AD они перечислены в DNS, а тот, через который прошла аутентификация, видно через локальный вызов утилиты set. Второе: перехват. Даже в своей подсети бродкаст должен быть ограничен свитчами. Максимум, который вы можете увидеть это запросы вида «Whois IP». Если вы атакуете свитч для переключения его в хаб и это удается, то не подойдет под описание ситуации с проглядевшими такое злыми админами. Или я что-то не так понял?


    1. Nubus
      18.11.2018 18:06
      #19385694

      Свичи могут быть в VLAN, тогда бродкасту пофиг что там вокруг, он пойдет по логической подсети, а не физической.


      1. UncleBance
        18.11.2018 18:12
        #19385706

        мне кажется, вы немного ошибаетесь. почитайте, что такое свитч и как он работает.


        1. UrbanRider
          18.11.2018 21:53
          #19386222
          +3

          Я поддерживаю предыдущего оратора. Я всетаки хотел бы услышать от вас аргументы. По моему мнению бродкаст пакеты должны быть видны в пределах всей логической сети (VLAN), т.е. вполне вероятно за пределами одного физического коммутатора. Подскажите, почему это не так.


          1. navion
            18.11.2018 22:24
            #19386308

            Потому что LSA общается по юникасту, а коммутаторы (в отличии от хабов) шлют его только в порт назначения.


          1. UncleBance
            18.11.2018 22:33
            #19386334
            +9

            Никогда бы не подумал, что на Хабре придется рассказывать чем коллизион домен отличается от бродкаст домена и чем юникаст отличается от бродкаста. В общем, если совсем кратко, то задача свитча заключается в том, чтобы запрос, который пришел от устройства А, подключенного к порту 1 для устройства Б, подключенного к порту 2, ушел на порт 2 и больше никуда. Соответствие «устройство-порт» свитч держит в своей памяти. Когда свитч обучается, он заполняет таблицу. В этот момент запросы могут пробегать по любым портам. Но момент этот очень короткий. После обучения свитч в силу своего предназначения не пропустит трафик на чужой порт. Только бродкаст запросы «Whois IP» в процессе обновления таблицы в памяти. Поэтому, например, если вы сидите на порту 3 и пытаетесь его снифить, то единственное что вы там должны увидеть при правильной настройке это сообщение «IP такой-то, какой у тебя MAC, ответь IP такому-то с MAC такой-то». Как только адресат найден, его трафик остальным становится невидим.

            Может быть случай, когда у свитча заканчивается память. Например, в сети много устройств и все их МАС адреса в память свитча не влезли. Тогда он переключается в режим хаба. Это аварийный режим. В нем свитч превращается в электрически прозрачный хаб, т.е. из устройства управления трафиком становится тройником для подключения витой пары. Поэтому ряд атак на свитч как раз построены на принципе переполнения таблицы адресов свитча. Но в свитчах от этого есть защита.

            Если кратко, это все.


            1. rub_ak
              18.11.2018 23:51
              #19386588
              +1

              Помимо ARP есть и другие виды bradcast трафика.

              PS Я понимаю, что вы имеете в виду, но вы всё смешали в кучу, отсюда и не понимание. А вот этот комент вообще загонят в ступор: «мне кажется, вы немного ошибаетесь. почитайте, что такое свитч и как он работает.
              »


              1. UncleBance
                19.11.2018 10:32
                #19387532

                поясните свое возражение. что для взлома вы увидите в бродкасте?


                1. rub_ak
                  19.11.2018 12:17
                  #19388072

                  Просто забудьте про взломы.
                  1. Даже в своей подсети бродкаст должен быть ограничен свитчами.
                  2 Свичи могут быть в VLAN, тогда бродкасту пофиг что там вокруг, он пойдет по логической подсети, а не физической.
                  Тут никакой речи про взломы, и он прав VLAN это и есть широковещательный домен, а какой там широковещательный трафик есть или нет, не имеет значения. А дальше вообще ушли куда-то к отличиям хабов от свичей.


                  1. UncleBance
                    19.11.2018 14:01
                    #19388652

                    так, осталось только уточнить, для чего нужен бродкаст. В основу изернет сетей положен бродкаст. Но свитч превращает передачу в юникаст. В сети с хабами это не получится и там вы будете видеть весь трафик.


            1. Nubus
              19.11.2018 08:12
              #19387074
              +1

              Обучалка Responder
              А теперь копаем дальше, если послать запрос по IP сегмента сети и который не будет в таблице маршрутизации, то да здраствует бродкаст или мультикаст скорее.
              Responder позволяет подставлять себя вместо служб Windows и в итоге траффик будет идти к нему.


              1. UncleBance
                19.11.2018 10:35
                #19387544
                -1

                Я не возражаю, что способов взлома вагон и маленькая тележка, но описанное не сработает там, где тебя отлавливают по активности PS. Ты не подключишь левое оборудование, на выданное оборудование ты не поставишь левый софт, все подключения мониторятся на права и здоровье. Появление всего левого будет тут же давать алерт. А уж затеряться в сети. Ну-ну.


                1. imanushin
                  19.11.2018 12:27
                  #19388140
                  +1

                  Хмм, powershell используется многими инсталлерами, так что в крупной организации этот alert потеряется.

                  Более того: если есть четкое понимание того, что PS и CMD заблокированы, то можно попытаться забросить просто свою программу на комп (ну там скопировать файл с docx, который является архивом, потом распаковать его, скопировать неприметный jpg файл и потом сменить расширение на exe).


                  1. UncleBance
                    19.11.2018 13:28
                    #19388462

                    не получится. вы пишите политику доверенного ПО и запускается только то, что можно.


                    1. imanushin
                      19.11.2018 14:17
                      #19388774

                      А, да, тут вы полностью правы. Если множество файлов с правами на запись не пересекается с множеством файлов с правами на запуск, то проблема по сути решена. Однако зачастую это просто невероятно сложно.


                      Однако код можно вызвать из кучи мест:


                      • Командная строка (даже сценаристы фильмов про это знают)
                      • VBA скрипты Excel'а и других офисных программ. При желании можно дать права на общение с Win API (такие права дает сам пользователь).
                      • vbs скрипты и прочая некрофилия.

                      Дело в том, UncleBance, что как бы вы не запрещали утечки данных, вы придете к одному из трех (в большинстве случаев):


                      • На компах невозможно эффективно работать: там старый (зато проверенный) софт, всё запрещено и обрезано, интернета нет, клавиатуры запрещены (иначе можно помигать светодиодом и передать информацию), удаленного доступа нет.
                      • На компах можно таки работать, однако есть известные способы утечки данных. О них знают админы, знает бизнес, потому работники слегка запугиваются УК и т.д. (в стиле: продашь нашу базу — сядешь). Кстати, это самый приемлемый способ, с моей точки зрения.
                      • Самый частый (с моей точки зрения): админы и бизнес гордо заявляют, что украсть ничего нельзя, всё закрыто политиками и крутостью ПО. Однако работнику нельзя пожаловаться на уязвимость (ведь по бумагам всё закрыто, т.е. уязвимости быть не может), а потому на деле это предыдущий пункт, просто про каналы утечек данных не знают даже админы.


                      1. UncleBance
                        19.11.2018 14:20
                        #19388798
                        +1

                        Я скажу даже больше. Любые технические средства лишь повод для административного разбирательства. Т.е. вы фиксируете нарушение техническими методами и передаете в административный ресурс для принятия мер. Ведь даже взломанная сеть вас уволить не сможет (смайлик).


                1. Nubus
                  20.11.2018 00:24
                  #19391480

                  Прочитайте текст внимательно.

                  Их NAC не охватывал всю сеть: любое подключение из рабочей кабинки было доверенным.


            1. hashtet
              19.11.2018 12:29
              #19388146

              Извиняюсь, я не разбираюсь, такой вопрос: т.е. в vlan отсутствует такое понятие как «широковещательный ip-адрес», послав на который запрос — он будет разлетаться по всем хостам в сети?


              1. UncleBance
                19.11.2018 13:30
                #19388482
                +2

                оно там и не присутствует и не отсутствует. VLAN — это виртуальное воплощение физического сегмента. У вас в витой паре такое понятие, как широковещательный IP адрес есть?


                1. hashtet
                  19.11.2018 14:43
                  #19388968
                  -3

                  При отправке запроса на широковещательный адрес при подключении через свитч — запрос дойдёт до свитча и дальше никуда не уйдёт?

                  P.S. Извиняюсь, что отвлекаю — если впадлу отвечать — не отвечайте. Не вижу смысла отвечать вопросами на вопрос, понимая, что мне этот ответ не покажется избыточным(т.к. написал, что не разбираюсь).
                  Может у вас в витой паре есть такое понятие, как широковещательный IP адрес?
                  Хочешь разобраться, а тебе какой то хуй с горы в манере царя отвечает… пиздец дожили. Смотрю наверх — вы всем так отвечаете.
                  Т.е. вначале получилось найти публику, которая заблуждается, а дальше можно строить из себя хуй знает кого?
                  Шёл бы ты, мудачок, нахуй :)


              1. Karpion
                19.11.2018 16:36
                #19389688
                +3

                Снаружи (с т.з. глаз) — «хаб», «простой свич» и «VLAN-свич» выглядят одинаково: коробка с разъёмами для подключения портов. А вот работают они по-разному.

                Хаб тупо ретранслирует любой сигнал во все порты, кроме того, откуда сигнал пришёл. Передача сигнала начинается сразу же по приходу — т.е. задержки околонулевые.

                Простой свич принимает пакет целиков (ну или хотя бы заголовок) и по своим таблицам пытается определить — куда его надо отправить. Т.е. если адрес назначения в пакете недавно был в другом пакете адресом отправителя — то этот адрес будет в таблице; и свежий пакет отправится туда.
                Если же в таблице нет такого адреса — то пакет рассылается по всем портам.
                Очевидно, что броадкастовые адреса в таблицу не попадаются — и броадкастовые пакеты всегда рассылается по всем портам.

                VLAN-свич в простейшем случае — это как бы несколько отдельных (не соединённых между собой) простых свичей. А т.к. эти виртуальные простые свичи ничем не соединены — то ни уникаст, ни броадкаст, ни ведьма в ступе не могут перейти из одной VLAN в другую (вот ответ на Ваш вопрос: «отсутствует», «не будет разлетаться»).
                В более сложном случае — часть линков работает в транк-режиме («линк» == «два порта на концах линка»). При правильной настройке — вся группа VLAN-свичей выступает как единый VLAN-свич; соответственно, к ней (группе) относится то, что написано выше.
                Что же касается при неправильной настройки — то тут возможно многое.

                PS: Не надо ругаться. Лучше почитайте хотя бы Википедию.


                1. hashtet
                  19.11.2018 18:00
                  #19390150

                  Спасибо большое за развёрнутый понятный ответ!)
                  Такого, конечно, не ждал. Ещё раз — спасибо)

                  А ругаюсь из-за посыла ответа, комментатора выше. Вот зачем писать «у вас же в паткорде нет понятия...» — Я заслужил минусы за резкое высказывание, но зачем умничать в ответ на безобидную просьбу поделиться знаниями? :(
                  Так же и смутил(как видно не только меня) первый его ответ — мол почитайте про свитчи.

                  А про сам вопрос — я имел ввиду, что меня учили, что посылая запрос на широковещательный адрес — мы рассылаем его по всей сети. И хотелось лишь узнать, какая разница в этом случае — рассылать по реальной подсети или по VLAN.
                  Т.е. меня не интересует, смогут ли они дойти за пределы VLAN(не надеялся что это произойдёт, без участия маршрутизатора, но хотел узнать, мол комментатор выше(который меня выбесил) написал «мне кажется, вы немного ошибаетесь. почитайте, что такое свитч и как он работает.»
                  Вот я и подумал, мол раз это фишка «свитчей», то понятие Широковещательный адрес — умерло вместе с хабами, и при подключении к «простому свитчу» я уже теряю возможность отправить один пакет на все адреса внутри подсети/VLAN.

                  «Свичи могут быть в VLAN, тогда бродкасту пофиг что там вокруг, он пойдет по логической подсети, а не физической.»

                  Это комментарий с чего начиналась ветка. Собственно мне всегда казалось, что так оно и работает. Сейчас опять попробовал понять — и всё равно в толк не возьму — пройдёт ли запрос на широковещательный адрес подсети(VLAN) по всем адресам в VLAN(при условии, что это не запрещено настройками или наоборот — разрешено), или этот запрос остановится на физическом уровне(ну можт рассылается только по портам первого физического коммутатора).

                  Википедию уже всю перечитал, попытался понять разницу между броадкастом и юникастом… уровни широковещания… но всё равно не могу себе ответить — куда дойдёт этот «пакет на широковещательный адрес».

                  По логике, либо свитч ретранслирует пакет(мб переводит его в какой юникаст) по всей таблице, либо не ретранслирует. Т.е. либо понятие «широковещательный адрес» — лишь наследие Хабов, либо комментатор выше всё же не договаривает?

                  … либо часть ответов идёт в контексте статьи(ниже он писал, мол «свитч без дополнительных настроек как пароль админа домена на липкой бумажке на мониторе, т.е. невозможен.») — тогда вообще не понятно, как можно отвечать на такие вопросы так категорично. Т.е. как утверждать «пароль админа домена на липкой бумажке на мониторе — невозможен» — что не является правдой.

                  P.S. Уж не знаю зачем дочитали до этого момента — спасибо, выговорился))


                1. Pochemuk
                  19.11.2018 23:34
                  #19391324

                  Ой, токи не надо так упрощать…

                  Есть хабы, есть неуправляемые свитчи, есть упраляемые уровней L2 и L3… а есть продукция компании Hewlett Packard Enterprise. А конкретнее — HPE 1910-48 — скопированный со старого свитча 3COM Baseline Switch 2952-SFP Plus. А так же другие изделия HPE и ZyXEL серии 1910.

                  Так вот… эти чудо-приборы соединить между собой можно только одним транковым кабелем. Хоть напрямую, хоть через цепочку других свитчей. Ибо режим разделения портов на изолированные нетегированные VLAN (Port Based VLAN) реализован в них криво и косячно. Делишь порты на 2-3 отдельных VLAN, соединяешь каждый своим шнурком — связь рвется. Иногда между каким-то одним VLAN, иногда между обоими — еще звависит от того, задействованы или нет гигабитные порты.

                  4 месяца я писал в техподдержку HPE. В конце концов они сказали, что такое невозможно и используйте транковые каналы… Ты бач!!! У нас куча разных TrendNET, ZyXEL (1900 и 1920), D-Link и даже HPE 1620 — все поддерживат. А эти — нет. Да там поддерживать ничего не надо, на самом деле. Изоляция нетегированных VLAN между собой — это самая примитивная основа…

                  Короче, посоны, не покупайте это дерьмо серии HPE 1910 и ZyXEL GS1910. Как я почитал в Инете — это у них не единственный косяк в VLAN.


                  1. Graphite
                    20.11.2018 00:08
                    #19391426

                    Я вот только сегодня столкнулся с такой же проблемой у другого производителя на вполне себе high-end свиче. И оказалось, что проблема в STP, который по умолчанию работает в режиме MSTP и строит одно дерево для всех VLAN'ов, о которых он вообще знать ничего не хочет. Поэтому канал между одним VLAN'ом работал, а между другим — отмечен как loop, переведен в режим discarding и оставлен в качестве альтернативы. Причем поскольку каналы были разные (10G и транк 4х40G), то альтернативным всегда оказывался более медленный канал.
                    И формально он был прав, там действительно в сети была петля, только она на логическом уровне (разные VLAN'ы) была заблокирована. Выключаешь на заблокированном порту STP и сразу все работает — но это только для проверки, иначе может потом аукнуться. У вас симптомы звучат практически один в один.


                    Решений собственно два:
                    а) один транк который форвардит все VLAN'ы
                    б) настроить STP с разными MST регионами для разных VLAN'ов, чтобы деревья отдельно строились


                    HPE 1910 тоже по умолчанию в MSTP режиме с одним регионом, но разные MST вроде умеетю. Я завтра посмотрю на нашем 1910-24PoE и попробую его через два отдельных транка подключить в разные VLAN'ы.


                    1. rub_ak
                      20.11.2018 09:05
                      #19392150

                      А у меня POE на них глючило. У нас на складе был такой (ещё 3COM, но с наклейкой уже HP) для POE, мы по POE питали 8портовые HP коммутаторы. Так вот когда выключался (иногда электричество отключали) после включении он не хотел запитывать эти коммутаторы. Нашли выход в подключении одного из комутаторов ещё к блоку питания. А потом у него вообще конденсаторы потекли, я их заменил, вроде работает.


                      1. Graphite
                        20.11.2018 09:40
                        #19392250

                        Вроде такого не наблюдается пока, может прошивку пофиксили. Вообще звучит как повод сдать по гарантии, по крайней мере я бы точно сдал.


    1. Michae1 Автор
      18.11.2018 18:07
      #19385698

      Контроллер домена он искал, видимо, тоже со своего линуксового ноута, чтобы не вводить лишних команд на рабочем компе (см. предыдущий абзац про парольную политику).


      1. UncleBance
        18.11.2018 18:12
        #19385704

        nslookup по типу SRV не поможет?


        1. Michae1 Автор
          18.11.2018 18:57
          #19385806

          Вообще должно… Надо сходить на работу проверить)


        1. enkaro
          18.11.2018 20:53
          #19386098
          +3

          контроллеры находятся по srv записям.
          политики читаются в netlogon, т.к. доступны для все пользователей.


    1. lostpassword
      18.11.2018 18:58
      #19385810

      Может быть, MITM через ARP-спуфинг с подменой адреса шлюза?
      От него свич без дополнительных настроек не защитит.


      1. UncleBance
        18.11.2018 19:10
        #19385840

        с одной стороны, да. Но там, где поводом для обнаружения послужил запуск PS скрипта там, где его быть не должно, свитч без дополнительных настроек как пароль админа домена на липкой бумажке на мониторе, т.е. невозможен.


        1. Graphite
          18.11.2018 19:51
          #19385964

          А не поделитесь рекомендациями по защите от ARP Spoofing на свичах или ссылкой на статью?
          Насколько я знаю, современное железо уже не получается обмануть обычным ARP-reply если оно не отправляло запрос, но пытаться отвечать на запросы быстрее gateway все еще можно. Что вообще можно сделать, кроме фиксации ARP записей?


          1. lostpassword
            18.11.2018 22:07
            #19386258

            Практически я с этим не сталкивался, но на xgu.ru есть неплохая статья на этот счёт.
            Вкратце: либо современный коммутатор с ACL, настроенным на фильтрацию ARP-запросов, либо танцы с бубном всякая экзотика типа построения сети на VLAN только с двумя узлами, статических ARP-таблиц на всех хостах, мониторинга атаки различными сенсорами и последующее расследование вручную — в общем, что-то очень замысловатое.

            современное железо уже не получается обмануть обычным ARP-reply если оно не отправляло запрос
            А вот это вопрос интересный. За коммутаторы не скажу, но ПК и серверы вроде бы до сих пор обманываются без проблем.


        1. lostpassword
          18.11.2018 22:09
          #19386262

          Кто знает. В принципе, могли и действительно не учесть)


          1. UncleBance
            18.11.2018 22:36
            #19386350
            +2

            тоже об этом подумал. иногда параноидальные построения прокалываются на смешных мелочах. но тут их как-то слишком много. Я помню, мы строили системы защиты на БСК, когда вы можете залогиниться в АРМ только при условии, что до этого приложили свою БСК к двери кабинета, где этот АРМ стоит. Иначе АРМ вас не пустит. И это еще не самое параноидальное.


            1. lostpassword
              18.11.2018 23:45
              #19386568

              Сурово. Это какое-то серийное решение обеспечивало или самописные скрипты?


              1. UncleBance
                19.11.2018 10:29
                #19387518
                +1

                Самописное. Главная уязвимость любой ИТ — админы. Кто будет следить за ними?


  1. yefrem
    18.11.2018 18:01
    #19385680

    Статья в твиттере? зачем? почему?


    1. maximw
      18.11.2018 18:03
      #19385686

      Твиттер тоже уже не торт, видимо


  1. KarasikovSergey
    18.11.2018 20:14
    #19386016
    +13

    Какая-то фантастическая история, с одной стороны вроде и терминология профильная, и отдельные техники по делу описаны — но все вместе выглядит так, будто автор текста все придумал. Совершенно нереальная последовательность событий. Ну и многие решения крайне сомнительно выглядят. Больше всего резануло, как пентестер читал почты/скайпы/мессенджеры сотрудников при этом не имея даже прав на локальный вход на их машины. То есть OWA и вебаппликации при всех прочих мерах безопасности — открыты для всех безлимитно? Ерунда рассказ, внутренние пентесты так не делаются.


    1. Chamie
      19.11.2018 00:27
      #19386664
      +1

      А где это он читал чужие почты?


      1. KarasikovSergey
        19.11.2018 00:56
        #19386718
        +2

        Вот тут: "Ладно, идите к чёрту. Обойдусь без доступа к компьютерам. Залезу в их переписку! Так я и поступил. Я искал пароли в почте, Skype-чатах, проверил заметки и черновики в Outlook. Мне попалась куча личных паролей от чего угодно… Но ни одного от служебной учётки. Зато я нашёл письмо от отдела информационной безопасности, где говорилось, что они в течение недели планируют внедрить двухфакторную аутентификацию для почты. Похоже, мне ещё повезло."


        1. UncleBance
          19.11.2018 10:36
          #19387550
          +2

          чтобы читать скайп чат, надо подсовывать сертификат, которому будет доверять система. а тут это как-то «захотели, почитали»


          1. Gwinbleidd
            19.11.2018 17:28
            #19389968

            Скайп-чаты сохраняются в том же Аутлуке, не знаю, можно ли это отключить


            1. UncleBance
              19.11.2018 21:30
              #19390922

              Тогда это S4B, а не просто скайп. Но, опять же, парадокс. Навесить на Exchange какую-либо DLP, которая будет отлавливать всякое ненужное к передаче (в том числе и пароли) не составляет особых проблем. А тут прям открытый день открытых ворот, когда как передача паролей через почту — грубейшее нарушение политики безопасности.


        1. Chamie
          19.11.2018 17:21
          #19389926

          Если не считать черновиков, то всё остальное могло касаться публичной (внутри компании) переписки.


  1. navion
    18.11.2018 22:17
    #19386284
    +11

    … а потом я проснулся и решил сочинить кулстори.


  1. Louie
    19.11.2018 02:36
    #19386852
    -1

    У чувака была неделя. В первый день он приволок и врубил в сеть на своем рабочем месте «левый» ноут. Ночью первого дня шарился по зданию, перетаскивая кипу ноутов. На второй — запаниковал.
    Думаю, минимальная подготовка для такого пентеста все же нужна. Как и для написания статей. www.slideshare.net/dafthack/how-to-build-your-own-physical-pentesting-gobag


  1. NiniCassini
    19.11.2018 05:59
    #19386962
    +1

    Господи, это лучший шпионский рассказ, что я слышала запоследние пару лет!


    1. SantaCluster
      21.11.2018 07:15
      #19396722

      добавить немного "воды", экшона, любовную линию с симпатичной уборщицей и любимую кошку ГГ, взятую в заложники — получится отличный шпионско-хакерский блокбастер


      1. altrus
        21.11.2018 07:31
        #19396754

        Кстати, да
        В сюжете не хватает симпотной девки из бехгалтерского отдела с бронелифчиком, которая типа поможет главному герою, а потом окажется дочкой начальника службы информационной безопасности.


  1. scruff
    19.11.2018 06:54
    #19387000

    И всё-таки всегда интересовало. Сколько нужно потратить лет времени, чтобы взломать по хэшу пароль длиной символов 20, не содержащий словарный паттернов и содержащий процентов 30 спецсимволов? П.С. пароли от доменных/локальных админов предпочитаю делать именно такими.


    1. KarasikovSergey
      19.11.2018 07:09
      #19387010
      +4

      Любой пентест в первую очередь это история человеческих ошибок и беспечности. В сферической идеально организованной с позиции ИБ инфраструктуре в вакууме возможностей для эскалации привилегий нет: все обновления установлены, ПО настроено оптимальным образом, работает мониторинг, шаблоны доступа тонко настроены. Такие организации даже встречаются и с честью проходят все тестирования получая минимум высосанных из пальца рекомендаций


      1. scruff
        19.11.2018 07:51
        #19387056

        И всё-таки внедрять хакера в структуру, при этом не говоря проверяемым о таких планах выглядит не совсем привлекательно, хотя «секретность»делает эффект максимально приближено к реальности, соглашусь. А что если тот ИТ-амбал нос сломал бы засланцу, или шею? Угадайте, кого бы посадили в первую очередь «в этой стране»? Это мне напомнило, некогда проведенные анти-террористические учения в моем городе, когда в один из банков средь бела дня вломились грабители в масках с оружием (по факту это были переодетые силовики) и положили всех клиентов на пол, с криками и угрозами забрали липовую наличку, прихватив с собой пару заложников (возможно также переодетых силовиков), пальнув пару раз холостыми в потолок. Говорят, выглядело весьма правдоподобно — у некоторых клиентов прихватило сердечко и с пола их приходилось буквально «соскабливать». К сожалению, тогда никого так и не посадили.


        1. KarasikovSergey
          19.11.2018 09:18
          #19387226

          Обычная практика, только вот никто не возится с фейковым оформлением на работу, а просто заводят специалиста под предлогом разовой работы (юридические услуги/консалтинг/обмен опытом и т.д.) или же вообще никак не вводят в систему, просто проводя в кабинет с доступной сетевой розеткой. Тестирование по «черному ящику» — без предварительного информирования тестирующего об объекте тестирования часто так же имеет своей целью проверку собственных служб на способность выявлять и реагировать на инциденты. Весь тест курируется службой безопасности предприятия и она же решает какие-то острые вопросы. Вариант, что некий «ИТ-амбал» кому-то сломает нос или свернет шею — исключен. Такое тестирование наиболее время и трудозатратно, но с другой стороны наиболее полезно для предприятия, так как помогает отладить собственные ресурсы для защиты от подобных угроз. В итоге все, конечно же, знакомятся и тестер подробно рассказывает на что нужно обратить внимание, что сделано хорошо, а что нужно немедленно закрывать.


          1. scruff
            19.11.2018 09:34
            #19387268

            И всё-таки раз «сдал» не причастный к проверке человек, т.е. уборщица, заоравшая на весь офис, значит этот «острый момент» не предусмотрела СБ. Какие еще моменты она не могла предусмотреть?


            1. KarasikovSergey
              19.11.2018 09:44
              #19387330
              +4

              Я склонен считать художественным вымыслом всю историю от начала и до конца. Я не знаю, что там за эксперт в писателях ИБ-рассказов, но мой опыт пентестов противоречит описанной модели. Большая часть времени уходит на разведку, а тут автор с шашкой наголо сразу побежал всё ломать, едва только выяснив местоположение контроллера домена, да ещё и на пафосе «да я обычно за 1-2 дня всё уже взломал и курю». Если уж человек бегал по офису и физически взаимодействовал с компьютерами админов/пользователей, то чего не поставил аппаратный кейлоггер на клавиатуру, не задействовал badusb? Тем более, что ему там запросто разрешили чуть ли не ночами торчать.


            1. kinall
              19.11.2018 10:11
              #19387434
              +1

              этот «острый момент» не предусмотрела СБ

              Наоборот – это значит, что СБ так построила свою работу, что ей помогают все сотрудники.


              1. scruff
                19.11.2018 10:43
                #19387588

                Согласен, но по факту уборщица и отработала инцидент, что в общем только плюс локальной СБ. Но в рамках данной проверки именно работник ИБ (амбал в свитере) должен был найти/сдать злоумышленника (локализовать и изолировать его вектор атаки), чего судя по рассказу не было достигнуто. Думаю это учтут при составлении отчета. А уборщице таки премию.


                1. tvr
                  19.11.2018 11:51
                  #19387916
                  +2

                  но по факту уборщица и отработала инцидент


                  Хосспидя, ну откуда тут взялась уборщица?
                  «Я прошёлся по офису и нашёл кабинет, где никого не было. Финансисты. Хорошо, взломаем финансы. Я ответил что-то милой маленькой старушке, вернувшейся за своим кошельком.»
                  Кстати, а премию за бдительность этой милой маленькой старушке из финотдела не забыли выписать, я надеюсь?


                  1. KarasikovSergey
                    19.11.2018 12:24
                    #19388118
                    +3

                    За какую бдительность? По сценарию этого блокбастера ИТ-отдел прибежал по тревоге системы мониторинга на сработавший powershell и начал опрос сотрудников, один из сотрудников вспомнил (неудивительно вспомнить постороннего человека, который совсем недавно тут крутился и с тобою разговаривал) человека, похожего на Кевина Митника.


                  1. scruff
                    20.11.2018 10:21
                    #19392438

                    Ой ну ошибся. Уборщица, старушка, электрик, армянин, женщина — не важно. Это было третье лицо, случайно втянутое в эксперимент.


          1. khanid
            19.11.2018 14:01
            #19388654

            без предварительного информирования тестирующего об объекте тестирования

            Я бы тут дополнил, что предварительное информирование может задать направление вектору атаки, поэтому и ломиться тестирующий будет по этому направлению. А когда тестирующему ничего не дано, то он может выкопать что-то и там, где этого никогда не ожидали.


        1. Jabberwocky
          19.11.2018 09:34
          #19387266
          +1

          А ИТ-амбал не знает, что даже шпиону ломать нос или шею — не комильфо с точки зрения правоохранителей? А уж если тот чел правильно упомянул их главного безопасника и зачем он тут — с ним будут обходиться достаточно вежливо до прояснения ситуации.


          1. scruff
            19.11.2018 09:39
            #19387294

            ИТ-амбалы в целом спокойные ребята, однако я довольно долгое время работал с фруктом, который даже своих коллег по цеху мог унизить, в том числе физически, за какую-нибудь оплошность, несмотря на то что «наказываение» не входило в его компетенцию (был что-то вроде старшего эникея-недоадмина), на что он регулярно «выкладывал». В общем — на кого нарвешься (и смотря с каким уровнем тестостерона).


          1. takezi
            19.11.2018 13:50
            #19388582
            +1

            > Я немного добавил драматизма в конце.
            Никто ничего никому не ломал:


  1. Newbie2
    19.11.2018 07:28
    #19387026

    "… Никто в финотделе никогда не запускает Powershell..."


    Улыбнуло. Это какая-то отсылка? Тонкий юмор?


    1. lostpassword
      19.11.2018 08:24
      #19387088
      +1

      Никакого юмора, никаких отсылок. Просто заметили нетипичное для пользователя поведение.


      1. KarasikovSergey
        19.11.2018 09:22
        #19387232
        +9

        Ага, у них настроен мониторинг запуска powershell на рабочих станциях, ограничены права локального администратора (!!!), но при этом они не зафиксировали спуфинг, перебои в работе сервисов и попытки удаленного логина. Набор несуразностей.


        1. lostpassword
          19.11.2018 09:51
          #19387356
          +1

          Допускаю, что история может являться вымыслом. Я просто ответил, что в принципе такие методы могут использоваться, и никакого юмора здесь нет


        1. UncleBance
          19.11.2018 10:38
          #19387554

          а NTLM не смутил? и ни одной смарткарты.


          1. KarasikovSergey
            19.11.2018 10:53
            #19387638
            +2

            12 знаков — это хороший NTLM, но я бы хотел взглянуть на их пользователей, которые умудряются его помнить и не использовать примитивные шаблоны вроде «первая буква имени + дата рождения и! на конце». Тут впору еженедельные рейды проводить по проверке мониторов и клавиатур на предмет подклеенных бумажек с паролями.


            1. UncleBance
              19.11.2018 13:32
              #19388494

              в NTLM проблема хэшей паролей. В керберос их нет.


  1. kinall
    19.11.2018 07:36
    #19387036

    Так вот как в реальности выглядит «Я тебя по IP вычислю!» =)


    1. scruff
      19.11.2018 07:56
      #19387062
      +5

      К мухе смерть приходит в тапках и свернутой газетой. К хакеру — в свитере, размера XXL.


  1. Germanjon
    19.11.2018 08:26
    #19387096
    +6

    Странная какая-то компания, что разрешает новому сотруднику маркетинга притаскивать «личный ноутбук с линуксом и кучей хакерских инструментов»


    1. scruff
      19.11.2018 09:02
      #19387180
      +1

      Вероятно, «сверху» внутреннему СБ (не путать с ИБ) было приказано «мальчика не трогать», не смотря на палево по камерам и кучу левой активности по офису. Ведь по факту проверяли только ИБ, а не физическую безопасность в целом. Но таки предупредить уборщицу забыли, а она в итоге сдала подсадного именно ИТ-шнику. Если бы уборщица пошла бы к местному СБ — там скорее всего, сказали, что разберутся и «продолжили бы вести наблюдение ®».


      1. Fedorchik
        20.11.2018 12:10
        #19392984

        Вы зайчто старушку-бухгалтера до уборщицы понизили?


        1. scruff
          20.11.2018 12:16
          #19393020

          Ой ну ошибся. Уборщица, старушка, электрик, армянин, женщина — не важно. Это было третье лицо, случайно втянутое в эксперимент.


  1. forcam
    19.11.2018 09:27
    #19387248
    +1

    Не совсем понял почему было сложно запустить какой-то самописный троян/кейлоггер с названием svchost.exe, все пути к запущенным файлам отслеживаются? Раз уж пошла такая пляска.


    1. erkesh
      19.11.2018 10:54
      #19387642

      Вероятно, потому, что даже имея админские учетки нельзя было влезть напрямую, скажем, на сервак контроллера домена. Возможно, серваки могли быть защищены цифровыми сертификатами для доступа по vpn.


      1. forcam
        19.11.2018 11:10
        #19387698

        Принципиально тачка бабушки из финотдела не особо отличается от тачки ITотдела, запустив внутри машины нужный нам файл мы можем спокойно работать по сети, после работы, в момент когда все ушли, через обычную тулзу работающую по принципу radmin, в этом случае для нас все двери будут открыты. Я сильно сомневаюсь, что у IT отдела будет полный контроль всего, что у них там запускается, просто потому что всякие там утилиты которые по ходу дела приходится использовать достаточного сложно контролировать, если сильно заморочится то да, можно все, но заморочились ли в организации нашего героя из статьи — вопрос открытый и странно что ITшную тачку наш герой даже не попробовал ломануть, IT отдел у них прям бунекер со своей охраной? Получить пропуск? Прикинутся челом чинящим сломанный комп? Что с серверной? Локльных серверов не было?
        Хардварный перехват нажатий кнопок на беспроводной клаве?
        Mitm атака сети на уровне роутеров, внутренний трафик был шифрован?
        Варианты в любом случае не испробованы.


  1. paranoya_prod
    19.11.2018 12:58
    #19388322

    В случае с Виндой, установленной на рабочих станциях, запуск чего-то не разрешённого на любом компьютере… Хм… Тем более на компьютере в финотделе…
    Мне на ум приходит только одно — компьютер, на котором он что-то запустил, специально таким оставлен был, чтобы ловить всяких тёмных личностей.
    А так, рассказ захватывающий, почти Мистер Робот. :)


  1. Spiritschaser
    19.11.2018 18:54
    #19390434

    Оно требовало двухфакторной аутентификации. Следующее тоже. И следующее. Да что ж за Алькатрас-то такой?! Ночной кошмар хакера!

    Он физически находится в здании. Не говоря о SS7, поставить MITM БС можно!!!


    1. JC_IIB
      20.11.2018 11:52
      #19392908

      Не говоря о SS7

      Как ему физическое нахождение в здании помогло бы попасть в сеть SS7?


  1. MyOnAsSalat
    19.11.2018 23:41
    #19391344

    Интереснее было бы если хакеров было несколько в разных отделах.
    В парралели перебирать можно целую кучу вариантов, а разный опыт позволил бы найти больше дырок.


  1. Daleko
    20.11.2018 06:38
    #19391930

    Зачем все эти сложности. Если у хакера есть физический доступ к системе достаточно воспользоваться кейлоггером физически установленным между клавиатурами айтишников и рабочими станциями.


  1. KTG
    20.11.2018 08:56
    #19392124

    Заметили повершел запущенный на каком-то левом компе через N минут, что не успел ничего сделать, но не заметили пропажи кучи ноутбуков, которые непонятный чувак тащил по коридорам в свою нору, под камерами (а они наверняка есть, раз уж они да же нанимают спецов на тест безопасности)? Надо было сразу сервер брать в охапку.


  1. rub_ak
    20.11.2018 09:10
    #19392162
    +1

    Шифрование и ограничение админов по самое не хочу и алерты на запус PS, но при этом отсутствует radius, и самая вишенка на торте, при СКД дверь в IT отдел открыта. НУ-НУ.


    1. KTG
      21.11.2018 06:40
      #19396680

      Такое видел, тут АХО косячит, например, с несвоевременной заменой доводчика.


      1. rub_ak
        21.11.2018 11:14
        #19397506

        Даже у нас стоят герконы и если дверь долго открыта, едет алерт в скуд и включается бипер на считывателе. Это же на всех СКД есть. В общем вериться с трудом.