Conti Ransomware malware leak WITH LOCKER
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

368 lines
30 KiB

  1. ПРЕДИСЛОВИЕ
  2. Назначение документа - дать быстрое погружение в процесс взлома компьютеров и сетей;
  3. аудитория - не имеющие такого опыта ИТ-специалисты, с опытом системного программирования и администрирования.
  4. ЛАНДШАФТЫ СЕТЕЙ
  5. Любую (почти) современную сеть можно взломать.
  6. Это обусловлено:
  7. - избыточностью сетей: наличие множества сервисов, разных точек входа в одну и ту же сеть;
  8. - приоритетом удобства над безопасностью: тюрьма безопасна, но в ней очень трудно что-то делать;
  9. - человеческим фактором: ошибки конфигурации, социальная инженерия.
  10. Второй пункт усиливается ощутимой реакцией прибыли на малейшие замедления оборачиваемости в коммерческом секторе,
  11. так что без перехода на военные рельсы сети капитализма всегда будут дырявые)
  12. https://habr.com/ru/company/selectel/blog/576482/
  13. Если в найденных точках входа нет *известных* уязвимостей, это значит лишь, что
  14. - нужно искать другие точки входа;
  15. - нужно искать уязвимости самому (если уж очень нужно попасть в сеть);
  16. - нужно искать человека;
  17. - нужно искать другую цель с той же информацией.
  18. Хорошо защищают сети те организации, которым государство выставляет требования по защите.
  19. Это необязательно военные сети или режимные учреждения: если вы храните у себя ФИО и личные данные клиентов,
  20. то вы обязаны провести мероприятия по их защите. Защита же коммерческой тайны - "ваши" проблемы.
  21. Ценность цели часто обратно пропорциональна её защите.
  22. В военных сетях могут оказаться списки кальсонов за 196х год (что полезно для военных аналитиков),
  23. а в слабо защищенной коммерческой сети, или на личном ноутбуке, могут быть важнейшие фарм/ИТ/инженерные разработки.
  24. Но это не всегда так.
  25. Есть суперкрепости внутри плохо защищенных сетей, взять которые может либо разносторонняя команда, либо хакер экстра-класса.
  26. Такие сценарии обычны в Standoff'ах (Hack The Box etc) для белых шляп.
  27. Если вы не хакер экстра-класса, используйте смекалку (уроните сервер и словите в сети/закейлогьте пароль, отдайте задачу на аутсорс, итд)
  28. ТЕХНИКА, ТАКТИКА И СТРАТЕГИЯ
  29. - стратегия: зачем нам нужен взлом? что искать, какие цели выбрать? *
  30. - тактика: порядок действий вне и внутри сети, ведущий нас к достижению цели;
  31. - техника: -скандалы-интриги-расследования- инструменты, уязвимости, исследования.
  32. (*очень неполная иллюстрация https://habr.com/ru/company/cloud4y/blog/551376/ ориентация на мелкую коммерцию)
  33. Все три уровня в умелых руках - от выбора цели, разведки, реализации и тестирования эксплойтов, к накрытию цели и призу:
  34. https://gist.github.com/jaredsburrows/9e121d2e5f1147ab12a696cf548b90b0
  35. РАЗВЕДКА И ВЫБОР ЦЕЛИ
  36. Если нету цели войти в какую-то конкретную сеть, и у вас есть эксплойт - используется сканирование Сети
  37. (всего интернета или интересных диапазонов) в поисках уязвимых сервисов.
  38. Если некогда, поможет известный сервис shodan.io, но лучше чтобы был свой сканер.
  39. При точечной атаке (конкретный объект) требуется разведка.
  40. Можно начинать с анализа доменной зоны компании и ее публичных сервисов.
  41. У крупных корпораций с огромными сетями обычно есть свои автономные системы (AS, Autonomous System), с известным диапазоном сетей.
  42. Картировать минимум часть внешних сервисов можно используя WHOIS (https://hackertarget.com/whois-lookup/) и DNS (https://habr.com/ru/post/554458/),
  43. а также стремление сетевых администраторов к поддержанию иерархичности в описании доменных зон.
  44. Есть поисковики-разведчики наподобие https://www.zoominfo.com с общей и подробной информацией о компаниях.
  45. Далее ищется слабое звено (см.ниже).
  46. Социнженерия требует знаний о персоналиях.
  47. Важно все: номера телефонов, место жительства, имя собаки, родной город, любимый цвет, любимая группа, хобби.
  48. Особая важность: личная сеть контактов вашего кандидата, в особенности бизнес-контакты.
  49. Структура организаций отражает структуру общества.
  50. Передвигаясь от одного человека к другому по сети контактов, вы можете менять точку входа внутри одной сети, либо открывать новые сети.
  51. Для сбора информации используются как средства разведки OSINT,
  52. так и найденная в ранее открытых сетях информация о контактах (адресные книги Outlook, переписка, итд).
  53. Разведка для соц.инженерии называется доксинг: https://securelist.ru/corporate-doxing/101055/
  54. Далее эти данные используются либо с помощью фишинговых писем, либо с помощью звонков.
  55. В обоих случаях нагрузку запускает человек.
  56. Набор инструментов OSINT
  57. * Поисковики широкого спектра
  58. https://github.com/laramies/theHarvester - сбор email-адресов, субдоменов, виртуальных хостов, открытых портов/баннеров, имён сотрудников из открытых источников.
  59. https://github.com/Bafomet666/OSINT-SAN OSINT-SAN - комбайн широкого профиля
  60. https://mor-pah.net/software/dmitry-deepmagic-information-gathering-tool/ - Dmitry - аналог предыдущего инструмента
  61. https://github.com/0xInfection/TIDoS-Framework - универсальный фреймворк с возможностью анализа сетей (DNS, whois, emails)
  62. https://github.com/smicallef/spiderfoot
  63. https://osintframework.com/ - рубрикатор инструментов OSINT, общий поиск по соц. сетям, большой набор разных инструментов для поиска:
  64. https://hunter.io/ - сбор инфо о email по имени домена
  65. https://hackertarget.com/
  66. * Поисковики по компаниям
  67. https://www.zoominfo.com - поисковик данных о компаниях
  68. https://opencorpdata.com/ - Open corporate business database
  69. https://domainbigdata.com/ - big database of domains and whois records
  70. https://opencorporates.com/ - largest open database of companies in the world
  71. https://www.sec.gov/edgar/searchedgar/cik.htm - EDGAR Company Filings | Central Index Key Lookup
  72. http://www.orsr.sk/search_osoba.asp?lan=en - Business register | Ministry of Justice of the Slovak Republic
  73. Больше инструментов в статье https://habr.com/ru/company/pentestit/blog/554006/
  74. * Поиск по USERNAME/NICKNAME:
  75. https://namechk.com/
  76. https://github.com/snooppr/snoop
  77. * Поиск по EMAIL:
  78. https://haveibeenpwned.com/
  79. https://hacked-emails.com/
  80. https://ghostproject.fr/
  81. https://weleakinfo.com/
  82. https://pipl.com/
  83. https://leakedsource.ru/
  84. http://mailtester.com/ - E-mail address verification
  85. Приложение "Skype"
  86. * Поиск по номеру телефона:
  87. https://phonenumber.to
  88. https://pipl.com/
  89. Приложение "GetContact"
  90. Приложение "NumBuster"
  91. Приложение "Truecaller" или сайт https://www.truecaller.com/
  92. http://doska-org.ru/
  93. Приложение "Skype"
  94. * Картирование сетей
  95. https://www.shodan.io/
  96. https://spyse.com/
  97. https://crt.sh/ - поиск субдоменов
  98. https://archive.org/web/ - поиск в прошлом (просмотр сайтов на определенную дату)
  99. https://viewdns.info/ - data about a given website or IP address
  100. https://github.com/Fadavvi/Sub-Drill Simple script for finding subdomains based on [free] online services without any dependency to API-keys
  101. https://builtwith.com/ - на чем сделан сайт
  102. * Поиск местоположения базовой станции сотового оператора:
  103. http://unwiredlabs.com
  104. http://xinit.ru/bs/
  105. * Поиск по соцсетям, несортированое
  106. http://sanstv.ru/photomap - Получение фотографий из соц. сетей из локального района (по геометкам):
  107. https://foller.me/ - Twitter Analytics
  108. https://followerwonk.com/ - social analytics mega-tool that digs through Twitter data
  109. https://tinfoleak.com/ - Search for Twitter users leaks
  110. https://twicsy.com/ - Twicsy is social pics
  111. https://www.spokeo.com/- iskat infu po USA.
  112. https://github.com/jivoi/awesome-osint
  113. * Литература
  114. https://anonfiles.com/X0md34ycu1/Operator_Handbook_Red_Team_OSINT_Blue_Team_Reference_pdf
  115. Bellingcat’s Online Investigation Toolkit - https://docs.google.com/document/d/1BfLPJpRtyq4RFtHJoNpvWQjmGnyVkfE2HYoICKOGguA/edit
  116. * MITM/фишинговые сканеры (требуют взаимодействия с целью):
  117. https://beefproject.com/
  118. https://github.com/beefproject/beef BeeF для сбора информации о броузерах и их эксплуатации,
  119. получения информации о сессиях в соцсетях, наличии TOR, посещения интересных сайтов итд.
  120. https://github.com/kgretzky/evilginx2 - для перехват сессий и обход 2ФА на сайтах
  121. В дальнейшем рассматриваем сети Windows.
  122. Преимущество их эксплуатации в меньших усилиях по сравнению с эксплуатацией сетей Linux.
  123. Проще открыть Windows-сегмент сети, и получить пароли/ключи админов для Linux-сегмента.
  124. Обратное перемещение (Linux->Windows) значительно сложнее попросту из-за отсутствия необходимых инструментов в Linux.
  125. ВЫБОР ТОЧКИ И СПОСОБА ВХОДА
  126. Любой публично доступный сетевой сервис (открытый IP-адрес:порт) - это потенциальная точка входа.
  127. Если пробиться не удается - значит в нем нет *известной* уязвимости.
  128. Есть статистика, по которой определенные векторы более часты:
  129. - узкопрофильное железо (принтеры, роутеры, умные файрволлы (роутероподобные железки с ф-ей файрволла));
  130. - популярные веб-приложения (wordpress, другие cms-системы, итд);
  131. - входы с ботнетов.
  132. Прошивки узкопрофильного железа не обновляются - это само по себе опасный процесс;
  133. производители игнорируют поддержку железа старше Н лет (да и свежего тоже).
  134. Вдобавок железо, как и веб-приложения, не воспринимаются всерьез в контексте безопасности.
  135. В остальных случаях в ход идет социальная инженерия (письмо или звонок).
  136. ЗАЩИТА СЕТЕЙ
  137. Эффективный способ обнаружения вторжения - обнаружение аномалий трафика.
  138. Регистрируем легитимный трафик, запоминаем примерную картину (протоколы, частоту обмена, вес пакетов, абонентов сети итд).
  139. Находим и изучаем источники странного трафика.
  140. https://habr.com/ru/company/dsol/blog/541832/
  141. https://habr.com/ru/company/otus/blog/541582/
  142. Suricata https://suricata-ids.org/
  143. Пример ручного анализа: https://malware-traffic-analysis.net/
  144. Библиотека PyWhat для автоматического парсинга трафика
  145. https://habr.com/ru/company/dcmiran/news/t/563206/
  146. https://github.com/bee-san/pyWhat
  147. Трафик логируется, через отводы в сети, для целей форенсики, юридических доказательств, разборов инцидентов.
  148. По разным данным, SSL/TLS-трафик не может быть расшифрован/может быть расшифрован благодаря проксированию с использованием MITM-сертификата в корп.сети.
  149. (файрволлы Palo Alto точно имеют опцию расшифровки SSL).
  150. В первом случае используется машинное обучение для поиска аномалий: https://github.com/WalterDiong/TLS-Malware-Detection-with-Machine-Learning
  151. (длины нагрузок, частотное распределение и используемые протоколы/порты, частота обмена, ... - рандомизируйте все это)
  152. Во втором случае, для обнаружения MITM можно использовать SSL cert pinning в реализации сетевой подсистемы бота.
  153. Технические средства мониторинга ИБ сети: https://habr.com/ru/post/549050/
  154. Дубовая, но эффективная защита - работа по белому списку.
  155. Вот список разрешенных сайтов, а черт, тебе не нужно по работе ходить на сайты, извини, никакого веба.
  156. Мессенджеры тоже не нужны, вот тебе корпоративная почта.
  157. Вот список белых приложений, которые могут быть запущены на компьютере; все остальное блокируется.
  158. ИНСТРУМЕНТЫ
  159. Основным хакерским инструментарием являются фреймворки.
  160. Можно без них, но они дают автоматизацию:
  161. 1. Metasploit Framework (MSF) (+armitage GUI) - самая большая подборка сплойтов и модулей
  162. 2. Core Impact (+impacket python) - наиболее удобные для пентеста фичи (из минусов - только Windows)
  163. 3. Powershell Empire - pure powershell фреймворк со всеми вытекающими
  164. 4. Posh2c
  165. 5. Koadik - эти двое являются экзотикой, т.е. у них менее детектируемый трафик
  166. 6. Cobalt Strike - расширяемость
  167. https://www.cobaltstrike.com/downloads/csmanual43.pdf
  168. 7. Burp Suite - ориентирован на веб, очень популярен
  169. 8. Pupy - RAT (Remote Administration Tool) на Питоне, труден для АВ вследствие того что это и не привычный АВ native код, и не "родной" для Windows (и AMSI) скриптовый язык
  170. https://github.com/n1nj4sec/pupy
  171. https://ptestmethod.readthedocs.io/en/latest/pupy.html
  172. и к нему в комплект инжектор https://github.com/infodox/python-dll-injection
  173. БОльшую часть основных действий можно делать из обычного cmd shell'а штатными средствами ОС.
  174. Фреймворк - это:
  175. - сплойты;
  176. - сканеры к ним;
  177. - поиск мисконфигураций;
  178. - фаззеры;
  179. - снифферы;
  180. - сценарии задач.
  181. Примерный состав фреймворка https://www.offensive-security.com/metasploit-unleashed/modules-and-locations/
  182. Сканеры сетей
  183. Enum4linux https://github.com/CiscoCXSecurity/enum4linux (ресурсы сети Windows/Samba)
  184. Стилеры, дамперы паролей, брут-форс паролей
  185. Обзор Mimikatz https://habr.com/ru/company/varonis/blog/539340/
  186. Patator https://github.com/lanjelot/patator (password brute forcer)
  187. Сканеры SQL-инъекций и Web-уязвимостей
  188. https://habr.com/ru/post/542190/
  189. SQLMap http://sqlmap.org/
  190. jSQL-Injection https://github.com/ron190/jsql-injection
  191. https://github.com/commixproject/commix сканер command injection, статья https://habr.com/ru/post/550252/
  192. Wapiti https://wapiti.sourceforge.io/ (web scanner/fuzzer)
  193. OWASP ZAP https://www.zaproxy.org/ (web scanner/fuzzer/MITM proxy)
  194. Общим минусом всех публично доступных инструментов является их известность для АВ.
  195. Приходится прилагать нешуточные усилия по их чистке, либо обзаводиться своим приватным набором чистых инструментов.
  196. ТАКТИКА АТАКИ
  197. Первичная цель большинства атак - Active Directory Domain Controller или Domain Controller сети Windows.
  198. Доступ к этим узлам дает как минимум широкие вектора для перемещения по сети, как максимум полный контроль над сетью.
  199. Active Directory более удобен для эксплуатации, т.к. есть типовые мисконфигурации, уязвимости самого сервиса, общие ресурсы,
  200. делающие работу и сотрудников, и хакеров комфортной.
  201. Контроль над Domain Controller сети Windows дает как минимум:
  202. - логи авторизаций внутри домена различных пользователей на рабочих станциях домена
  203. - NTLM-хеши паролей всех пользователей домена, которые даже необязательно брутить (сервис cmd5.org).
  204. Хеши брутятся легко и быстро т.к. несоленые.
  205. - почти всегда контроллер домена держит на себе DNS-сервер со всеми записями.
  206. То есть доступ к DC (как AD так и Windows) дает сразу кучу инфы также и за счет присутствия сразу всех сервисов на DC - LDAP, Kerberos, DNS.
  207. LDAP позволяет "общаться" внутри AD, получить доступ ко всем сервисам прикрученным к авторизации Active Directory.
  208. https://www.varonis.com/blog/the-difference-between-active-directory-and-ldap/
  209. Закрепляться на DC не стоит, т.к. эти узлы важны и плотно мониторятся.
  210. Для закрепления предпочтительны серверные машины, которые держат какие-нибудь сервисы стучащие наружу,
  211. то есть которым разрешен исходящий трафик.
  212. Идеальный бэкдор - это всегда легитимный доступ - стучащие наружу сервисы наподобие VPN/thin client/RDWeb/RDP итп,
  213. под которые можно замаскировать свой трафик. Ищем любые подходящие под это креды и компьютеры в сети.
  214. Следующим приоритетом может быть проброс трафика через прикладное/бизнес ПО (Outlook, IIS/PHP webshell, итд).
  215. Далее - протоколы DNS/TCP/HTTPS, с использованием для закрепления используются стандартных средств Windows
  216. (очевидный минус в том что использование стандартных средств ОС для закрепления плотно мониторится).
  217. В сетях ИТ-компаний как правило есть собственные фермы виртуальных машин.
  218. Одним из средств избежать обнаружения может быть использование собственной чистой виртуальной машины (без АВ, EDR) с доступом в сеть.
  219. Вторичной целью является любой узел в DMZ ("видящем" Интернет сегменте сети).
  220. Следующим по удобству - любая машина, с которой видна DMZ.
  221. Один пароль на все, и присутствие пользователя на множестве узлов - наиглавнейшая помощь хакеру.
  222. Развитие атаки итеративно и предполагает использование на каждой следующей стадии данных, добытых на предыдущих стадиях:
  223. 1. просканировал, подампил, сбрутил
  224. 2. попробовал добытые креды на следующем/предыдущем узле; расширил присутствие
  225. 3. goto 1
  226. При наличии shell'а с доменной машины, примерный сценарий развития атаки:
  227. 1. наша первая цель в захвате AD-леса - это поиск хешей пароля доменного администратора;
  228. любой хеш ДА означает полную компрометацию домена и всех его пользователей.
  229. NTLM хеши позволяют двигаться по сети без знания пароля, так что брутить их не обязательно.
  230. 2. опрашиваем состав домена (утилитой adfind.exe, net /view /all /domain итд);
  231. 3. анализируем данные: в комментариях бывают пароли пользователей/сервисных учеток/даже самих доменных администраторов, помимо информации о структуре сети);
  232. 4. в рамках локальной машины проверяем можем ли повысить права до СИСТЕМЫ.
  233. Дальше ветка - смогли/не смогли.
  234. СИСТЕМА позволяет
  235. 5. отравлять ARP-кеш и притвориться другим узлом, чтобы перехватить его трафик и его пароли (их хеши);
  236. 6. дампить хеши (ntdsutil, mimikatz) на локальном узле.
  237. Все использованные хеши используются для развития атаки (один пароль на всё!)
  238. Если СИСТЕМУ получить не удалось:
  239. 7. проходим по текущей машине стилером и ищем доступы внутри сети
  240. 8. проверяем все видимые доменные машины на RCE (уязвимости удаленного исполнения кода)
  241. 9. проверяем, имеет ли текущий пользователь администраторские права на какой-то из машин домена: смотрим в каких он группах состоит,
  242. эмпирически предсказываем, дальше по SMB проверяем видит ли он $ADMIN шару где-то;
  243. если видит - прыгаем туда и получаем там СИСТЕМУ.
  244. 10. проводим kerberoast атаку для получения керберос-хешей для дальнейшего брута;
  245. 11. если сеть маленькая - можем нежно побрутить пользователей, предварительно проверив lockout threshold (чтобы не заблокировать их брутом);
  246. 12. если видим доступный для записи каталог inetpub - пишем туда нагрузку aspx и исполняем, обращаясь к ней через веб;
  247. 13. сканируем все подсети на доступные сетевые устройства и проверяем имеющиеся у нас креды.
  248. Хаки AD: https://github.com/Integration-IT/Active-Directory-Exploitation-Cheat-Sheet
  249. Матрица MITRE Для Windows
  250. https://attack.mitre.org/matrices/enterprise/windows/
  251. Работа с паролями AD: https://habr.com/ru/post/543806/
  252. MITRE
  253. Это систематизированная база данных хакерских техник, дающая различные разрезы и аспекты тактик.
  254. Официальная цель - усилить защиту, помочь ИБ-отделам и специалистам.
  255. Абсолютно все (нет) хаки классифицируются и попадают сюда.
  256. Неполно и на русском Adversarial Tactics, Techniques & Common Knowledge (ATT@CK):
  257. https://habr.com/post/423405/
  258. https://habr.com/post/424027/
  259. https://habr.com/post/425177/
  260. https://habr.com/post/428602/
  261. https://habr.com/post/432624/
  262. Если вы в тупике, поищите здесь нестандартные (неизвестные вам лично) приемы и хаки.
  263. ЦЕЛЬ - ИНФОРМАЦИЯ
  264. То, ради чего все затевается.
  265. 1. Почта, переписка, контакты, адресные книги, списки контрагентов
  266. 2. Базы данных
  267. 3. Исходные тексты программ
  268. 4. Документы
  269. 5. Бухгалтерия
  270. 6. Конструкторская документация
  271. 7. Пароли к другим сетям
  272. 8. Электронные кошельки
  273. TODO
  274. какие файлы искать (расширения)
  275. TODO как ее выкачивают?
  276. АНАЛИТИКА, АТТРИБУЦИЯ, ПОЧЕРК
  277. Анализ открытых источников о вашей деятельности важен: вы узнаете ту часть трюков, которую уже раскрыли, а следовательно они стали неэффективными.
  278. Однако вы не знаете ту часть трюков, которая не раскрыта. Ради этого противник может запускать дезинформацию, утаивать и обманывать.
  279. Рано или поздно любой хакер читает разборы своих художеств в ИБ-статьях.
  280. И с удивлением обнаруживает, что важная информация упущена, а незначительная выпячена.
  281. Делается это по нескольким причинам:
  282. - истинные отчеты об инцидентах - информация с грифом
  283. - никто не даст действующие рецепты в паблик
  284. - большая часть статей - реклама "купите наше ИБ-решение", мешающие факты игнорируются, незначительные гипертрофируются
  285. - не боги горшки обжигают - аналитики действительно могут упустить важные детали
  286. - они все знают, но не подают вида - чтобы использовать это против вас
  287. - вместе с истинными фактами можно скормить вам же дезу.
  288. Будьте внимательны, у каждой APT-группы свой известный безопасникам почерк - любимые тактики входа, закрепления, перемещения,
  289. YARA-профили инструментов.
  290. Взгляд со стороны IB: https://habr.com/ru/company/group-ib/blog/545104/