Windows shadow hack

Потихоньку проходят времена, когда можно было беспрепятственно шнырять fgdump'ом по всей сети. Сейчас же на каждой корпоративной рабочей станции установлен грозный антивирус, который палит всякие полезные программки, называя их как-то созвучно со словом "hack". В довесок, наблюдается грустная тенденция по инсталляции аверов для защиты серверов все чаще и чаще :(( ...

Убить всяких касперов по-простому, к сожалению, не всегда удается. Поэтому тру-парни пользуют либо собственные сборки fgdump'ов, перекриптованные собственными пакерами, либо ищут альтернативные пути доступа к хешикам пользователей скомпрометированных систем. Про альтернативные методы дерганья нужных данных как раз и пойдет речь в данной публикации.

Cт(а)ра(да)ние админов в недрах sysvol


Когда компания Microsoft реализовала централизованную систему авторизации и явила всему миру Active Directory, каждый уважающий себя системный администратор принялся выдумывать способы максимально простого управления всей инфраструктурой на базе этой балалайки. Одна из задач, которую ставил перед собой админ - сохранить власть над всеми компутерами домена и иметь возможность демонстрировать эту власть не покидая своего отдаленного уютного логова заваленного пивом и снеками. Продвинутым пользователям в свою очередь это очень не нравилось. Ведь не бритый и всегда злой программист, обладая правами администратора к их системам, мог получить доступ к самой ценной информации, которая только может обрабатываться на корпоративном компьютере - к переписке в icq! Поэтому продвинутые пользователи всячески препятствовали сохранению админом высоких привилегий на своих системах.
прим. В то время (начало 2000 года) для многих админов была целая проблема запустить все необходимые программулины с правами непривилегированного юзверя. Потому каждый первый юзверь был локальным администратором на своем компьютере.

Охота на администраторов сети

Рабочая станция любого среднестатистического повелителя сети (или повелителя отдельной ее части) является наиболее ценным и лакомым ресурсом для атакующего. Тут вам и резервные копии конфигураций продуктивных систем, и красочная топология сети с указанием наиболее ценных ресурсов, и, разумеется, заветные логины, ключики и пароли. Прям подарочная не зашифрованная коробка, перевязанная бантиком 8)) Если добавить сюда еще и "скромные" разрешающие правила фильтрации трафика на границах сетей с козырных ip адресов админов, тогда можно понять насколько сильно атакующий жаждет заполучить доступ к этим системам. Это отличный плацдарм для планирования и развития атаки!

Но как же добраться до компутера админа и вместе с тем заполучить ключи от всех дверей? Существует довольно много способов. Об одном из них речь пойдет в данной публикации.

Представьте себе ситуацию, когда большинство попыток реализации атак не увенчались успехом. При этом в распоряжении атакующего оказались лишь несколько тестовых автономных серверов без каких либо ценностей на них (пароли дефолты и т.п.), пускай в т.ч., расположенные в изолированном сегменте за семью файрволами и пятью айпиэсами. Что из этого можно выжать?

Взломать за 137 секунд


Затрагивая тему конечных целей тестирований на проникновение, можно отметить, что в преобладающем большинстве случаев ключевой целью атаки является получение максимальных привилегий в корневом домене Active Directory. Как ни крути, но большинство корпоративных сетей построено на решениях Microsoft и как следствие в качестве централизованного управления идентификаторами и механизмами авторизации к информационным активам используется Microsoft Active Directory. Обладая соответствующими привилегиями в каталоге становиться возможным использовать их для развития огромного числа всевозможных сценариев атак. Поэтому, как правило, после "захвата" домена пентест переходит в другие плоскости. Например, в плоскость технологического аудита или в сторону развития атаки в направлении смежных систем, напрямую не завязанных на Active Directory (коммуникационное оборудование, ERP и пр.).

Итак, как же можно максимально сократить время на реализацию успешной атаки в отношении каталога домена? Прям до 1 минуты? Я постараюсь раскрыть секрет успеха в данной публикации.

Angry (birds) horse hacked ATM // ШОК ВИДЕО!!!

ШОК ВИДЕО!11 Конь в футболке Angry birds взламывает банкоматы и использует их в качестве открывашек пива Guinness!


"Просыпаюсь ночью. Хватаю карандаш.
Пишу сценарий на обоях.
Скандально, вызывающе, амбициозно.
Этот видеоролик меняет мировоззрение.
Многим будет непонятен, многие просмотрят дважды.
Это нормально."

Hacking Practice Lab (ALL-IN-ONE)

На днях Александр Тиморин откопал в Интернете замечательную структурированную подборку  большинства дистрибутивов с предустановленными уязвимыми приложениями. На мой взгляд  приведенная коллекция является наиболее полной. Ссылка - http://www.amanhardikar.com/mindmaps/Practice.html


Базовый курс по внедрению операторов SQL

Для желающих подтянуть свои азы хакерского искусства на ресурсе pentesterlab.com опубликованы два базовых курса, посвященные развитию атаки с использованием одной из наиболее распространенных уязвимостей - "Внедрение операторов SQL". Рекомендую! (на заметку преподавателям)

Ссылка на первый курс
Ссылка на второй курс

Для тех, кому копания в SQL-инъекциях уже не вставляет, рекомендую сборку Torsa - 1.3.

Using the HTML5 for Phishing Attacks

Бурное развитие технологий неизбежно приводит к появлению новых методов мошеннических действий в отношении неподготовленных пользователей. Так, переход к WEB2++ && HTML5 позволил превратить жизнь обычных путешественников Интернета в увлекательное интерактивное приключение, в котором можно подцепить какую-нибудь паразитирующую живность, раскрыть номер своей пластиковой карты или попросту передать деньги через электронную почту :)


Сегодня мне на глаза попались два концепта, которые демонстрируют насколько коварными могут быть современные методы фишинга:
- Fake Chrome Browser
- Using the HTML5 Fullscreen API for Phishing Attacks

Windows NT/2K/XP/2K3/VISTA/2K8/7/8 EPATHOBJ local ring0 exploit

В публичном доступе был найден готовый к употреблению эксплоит для уязвимости CVE-2013-3660. Эксплоит доступен по следующей ссылке.



В настоящее время сообщается о наличии сплоета только под 32 разрядную платформу.

Референсы:

https://rdot.org/forum/showthread.php?t=2753
http://www.cvedetails.com/cve/CVE-2013-3660/

A Payload Generator to Bypass Antivirus

Очередной "булыжник" в сторону большинства современных аверов демонстрирует сборка под названием Veil. Этот волшебный тулкит представляет из себя генератор полезной нагрузки совместимый с MSF (базируется на msfvenom). После окончательной сборки через Pyinstaller или Py2Exe полученная бинарь в настоящее время распознается только двумя антивирусными решениями (и не самыми популярными...).

Mail.RU раскрывает номера телефонов

Из комментариев к предыдущему посту про восстановление паролей ВКонтакте мне стало известно, что крупнейший сервис бесплатной электронной почты Mail.RU содержит аналогичный недостаток по раскрытию номеров сотовых телефонов при восстановлении пароля к почтовым ящикам пользователей (разумеется в том случае, когда пользователь указал свой номер мобильного телефона). Простая проверка с регистрацией нового почтового ящика подтвердила комментарий b82a.


Досадный баг ВКонтакте

С недавних пор (около года назад), социальная сеть ВКонтакте в агрессивно принудительной форме стала собирать номера мобильных телефонов участников этой соц. сети. Опустим фактор подмены понятий добровольно привязать номер мобильного телефона для защиты аккаунта и принудительно требовать его с той же целью. Сосредоточимся на том, насколько защищены эти данные от посторонних…


Нам обещают, что ни о чем не стоит беспокоится! Но на самом деле, достаточно кому-то знать ваш "сакральный адрес электронной почты" и первые семь цифр мобильного телефона кому-то уже стали известны.

HTTP Authentication Downgrade


В протоколе HTTP, согласно RFC2617, предусмотрены два метода аутентификации: базовый (Basic) и дайджест (Digest). При использовании базового метода аутентификации имя пользователя и пароль передаются в кодированном виде с использованием алгоритма base64, что в случае компрометации канала связи между клиентом и веб-сервером приводит к компрометации учетной записи, которая использовалась при аутентификации. Второй метод аутентификации (digest) базируется на использовании однонаправленного алгоритма хеширования MD5 т.е. пароль не передается открытым текстом. Однако, при реализации аналогичных угроз метод дайджест не защищен от атак типа "повторное использование" (replay attacks).

Посмотрев на такое безобразие, компания Microsoft заботливо добавила дополнительные методы аутентификации: встроенная проверка подлинности Windows (NTLM Authentication) и проверка подлинности в системе .NET Passport (насколько я могу судить это порабощение мира, в т.ч. при прочих стараниях, не увенчалось успехом). NTLM-аутентификация работает по принципу запрос-ответ (challenge-response) т.е. ни пароль ни его хэш никогда не передаются "как есть", вместо этого они используются для генерации ответа (response) на случайный запрос (challenge). В последствии исследователями были найдены серьезные недостатки в реализации данного метода аутентификации. Так, на сегодняшний день общеизвестно, что NTLM-аутентификация подвержена атаке NTLM-Relay, challenge spoofing (для последующего использования "радужных" таблиц), NTLM Auth Downgrade to LM, а также, благодаря оригинальному применению алгоритма шифрования DES над известным содержимым, передаваемым в качестве случайного запроса (challenge), протокол аутентификации уязвим к возможности восстановления NTLM-хеша за приемлемое время. Так и не получивший широкого распространения метод аутентификации на основе .NET Passport основан на проверке предъявляемых данных в системе Windows Live с использованием однонаправленного SSL-соединения т.е. такой метод также не внушает особого доверия.

Наиболее защищенным методом аутентификации при использовании протокола HTTP over SSL/TLS по праву стоит считать проверку подлинности с использованием цифровых сертификатов. Однако, в силу того, что аутентифицирующийся стороне необходимо таскать с собой нечто, не позволяет использовать этот метод всеми и для всех приложений.

Еще стоит упомянуть различные схемы form-based аутентификации поверх протокола HTTP в том числе с прикручиванием одноразовых паролей, что делают их модными и невероятно крутыми)), но передаваемыми с использованием открытого протокола, а потому уязвимыми к атаке "человек по середине".

Это был краткий ликбез на тему аутентификации в мире нет-серфинга. А теперь посмотрим на все это глазами атакующего.

Стоимость одной неприкрытой SQL-инъекции #2

В далеком 2010 году Heartland Payment Systems понесла ущерб в размере $229 миллионов. Ущерб был нанесен путем использования атакующим популярной уязвимости "Внедрение операторов SQL". [1]

"Внедрение операторов SQL" – способ нападения на базу данных в обход межсетевой защиты. В этом методе, параметры, передаваемые к базе данных через веб-приложения, изменяются таким образом, чтобы повлиять на выполняемый в приложении SQL запрос. Инъекция осуществляется через все доступные способы взаимодействия с приложением.
Нападение может использоваться для следующих целей:
1. Получить доступ к данным, которые обычно недоступны, или получить данные конфигурации системы, которые могут использоваться для развития сценария атаки. Например, измененный SQL-запрос может возвратить данные держателей пластиковых карт в системе ДБО.
2. Получить доступ к другим системам, через компьютер, на котором находится база данных. Это можно реализовать, используя процедуры базы данных и расширения 3GL языка, которые позволяют взаимодействовать с операционной или файловой системой.

Базовый курс по тестированию уязвимостей веб-приложений

Для желающих постигнуть азы хакерского искусства на ресурсе pentesterlab.com опубликован базовый курс по обнаружению и использованию уязвимостей веб-приложений. На мой взгляд курс выглядит вполне вменяемым и пригоден для начального обучения (на заметку преподавателям).

Файлы для загрузки

- web_for_pentester.pdf (2.4M)
- web_for_pentester.iso (64-bit, 175M, MD5: f6e0df10de6d410293ba7a838d31f917)
- web_for_pentester_i386.iso (32-bit, 172M, MD5: 5e6cdf5fa3356a4c08b34ccd076a63ae)

Зеркало

- web_for_pentester.iso (64-bit, 175M, MD5: f6e0df10de6d410293ba7a838d31f917)

Атака на внутреннюю сеть из Интернет


Ключевыми задачами при развитии атаки во внутреннюю сеть (аля пентест), наравне с поиском и эксплуатацией уязвимостей, является доставка полезной нагрузки до объекта атаки и обеспечение "транспорта" к этому и смежным сетевым объектам. В качестве полезной нагрузки может выступать любой инструментарий (в т.ч. эксплоит), позволяющий расширить уровень привилегий, знаний (как по сети, так и в пределах одной системы) и осуществлять любые другие операции, выходящие за рамки функциональных возможностей атакуемой операционной системы и доступного на этой системе прикладного программного обеспечения. В качестве примера подобного инструментария можно упомянуть, например, Windows Credential Editor (WCE), который после компрометации операционной системы Windows необходимо запустить в адресном пространстве этой системы с целью получения паролей зарегистрированных пользователей в открытом виде. Под "транспортом" я понимаю любое туннелирование трафика, которое обеспечивает возможность взаимодействия с конкретным приложением на атакуемой системе. Например, обеспечение сетевого доступа по протоколу RDP к системе, расположенной за межсетевым экраном.

Задачи, связанные с доставкой полезной нагрузки и обеспечением "транспорта", могут пересекаться и дополнять друг друга. В данной публикации будут рассмотрены основные сценарии обеспечения "транспорта", которыми пользуются атакующие.

Альтернатива NTLM-Relay


При проведении внутреннего тестирования на проникновение в сетях Microsoft первостепенной целью атаки, разумеется, является Microsoft Active Directory, а одним из возможных и перспективных сценариев реализации успешной атаки на компьютеры в домене является NTLM-Relay. Суть атаки NTLM-Relay сводится к тому, чтобы вмешаться в процесс аутентификации по протоколу NTLM и получить доступ к стороннему ресурсу с привилегиями атакуемого пользователя. Атака может быть реализована в отношении любого протокола, поддерживающего NTLM-авторизацию (SMB, HTTP, LDAP и т.д.).

Если копнуть несколько глубже в практическую плоскость, тогда можно обнаружить следующие ограничения при проведении атаки NTLM-Relay:

- Невозможность провести атаку в отношении системы, с которой пришел запрос авторизации после установки обновления безопасности MS08-068 (для волосатых осей) или при использовании более поздних версий ОС Windows (ограничение не действует в случае объединения систем в кластер).

- "Ограничение на один хоп", т.е. после успешной атаки в отношении некоторого ресурса, невозможно дальнейшее использование привилегий атакованного пользователя с этого ресурса к смежным компонентам сети (общее ограничение NTLM). Можно провести повторную атаку NTLM-Relay к другому ресурсу, но нельзя использовать полученный токен доступа для развития атаки по сети.

- Рабочий сценарий проведения атаки NTLM-Relay предполагает, что атакуемый пользователь обладает правами администратора на ресурсе, в отношении которого производится атака [1,2]. В противном случае атакующий ограничен функционалом доступных наколенных и зачастую сырых решений, что очень сильно затрудняет его действия.

- NTLM-Relay относится к "шумным" сценариям проведения атаки, что может привлечь внимание соответствующих защитных систем.

Как блондинки качают деньги из воздуха

На проводимом сейчас банковском форуме в Магнитогорске, Евгения Поцелуевская наглядно продемонстрировала, что взломать, а затем и монетизировать атаку на систему дистанционного банковского обслуживания не сложнее, чем овладеть кун-фу по приготовлению кофе :)


Инфофорум 2013: презентация с мастер-класса


В конце прошлого года компанией Fox-IT был опубликован всесторонний отчет, посвященный расследованию инцидента безопасности, который в последствии привел к банкротству голландского центра сертификации DigiNotar. Меня заинтересовал этот документ тем, что в нем детально рассматриваются технические подробности успешно реализованной атаки со стороны сети Интернет, а также приведено описание атакуемой информационной системы. Нужно сказать, что мне всегда было любопытно узнать, как работают коллеги по цеху, которые находятся несколько в другой плоскости относительно белых шляп. Сопоставить используемые методы и подходы, сравнить используемый инструментарий и т.п.

Детально изучив отчет Fox-IT, я постарался максимально близко восстановить хронологию событий и приблизительно воссоздал общую архитектуру сети DigiNotar на тестовом полигоне. Что-то пришлось собирать буквально по обрывкам фраз, что-то пришлось додумывать, основываясь на неких предположениях. В конечном итоге плоды этой аналитической работы легли в основу мастер-класса, который прошел на Инфофоруме 2013, где я совместно с аудиторией повторил подвиги черных шляп :) Презентация с выступления приведена ниже.


Top Ten Web Hacking Techniques of 2012

Известный эксперт в области информационной безопасности Jeremiah Grossman (CTO компании WhiteHat Security), как обычно в конце уходящего года перечислил наиболее значимые техники и связанные с ними уязвимости в контексте нарушения безопасности веб-приложений. Примечательно, что в этом году в списке содержится упоминание исследования "Bruteforce of PHPSESSID", впервые продемонстрированного в рамках международной конференции Zeronight 2012, а также "Random Number Security in Python", демонстрация эксплуатации которой была замечена в PHDays CTF Quals 2012 - задание Real World (500).

Мой респект Арсению Реутову, Тимуру Юнусову и Дмитрию Нагибину за отличный ресерч!

Ознакомиться с полной публикацией Джереми Гроссмана можно по следующей ссылке.

Новый год нулевого дня. Полет стабильный.


Новогодние праздники у большинства уже закончились и лемминги потихоньку возвращаются в сеть. А там... ресерчеры со всего света по ним ужасно соскучились и очень-очень ждут 8)

Подведем краткие итоги наиболее интересных творений начала этого года, часть из которых уже содержится в BlackHole Exploit Kit и ему подобным.

- Java 7 Update 10 0-Day RCE Exploit (CVE-2013-0422)
Как становится ясно из названия, уязвимости подвержены счастливые параноики с последней версией Java. Воздействие - выполнение произвольного кода в пространстве браузера жертвы. Эксплоит уже портирован в самые распространённые коммерческие сборки эксплоит-паков и в скором времени появится в Metasploit. Стоит отметить, что сплоетс является межплатформенным! [демка]