Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
книги хакеры / Кибербезопасность_стратегия_атак_и_обороны.pdf
Скачиваний:
17
Добавлен:
19.04.2024
Размер:
19.49 Mб
Скачать

 

 

 

 

hang

e

 

 

 

 

 

 

 

 

 

hang

e

 

 

 

 

 

 

 

 

C

 

E

 

 

 

 

 

 

C

 

E

 

 

 

 

 

X

 

 

 

 

 

 

 

 

X

 

 

 

 

 

 

 

-

 

 

 

 

 

d

 

 

-

 

 

 

 

 

d

 

 

F

 

 

 

 

 

 

 

t

 

 

F

 

 

 

 

 

 

 

t

 

 

D

 

 

 

 

 

 

 

 

i

 

 

D

 

 

 

 

 

 

 

 

i

 

 

 

 

 

 

 

 

 

 

r

 

 

 

 

 

 

 

 

 

r

P

 

 

 

 

 

NOW!

o

P

 

 

 

 

 

NOW!

o

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

BUY

 

 

 

 

 

 

 

BUY

 

 

 

 

 

 

to

150  Дальнейшее распространение по сети

 

 

 

 

to

 

 

 

 

 

 

w Click

 

w Click

 

 

 

 

 

 

 

 

 

 

 

 

 

 

m

 

 

 

 

 

 

 

m

w

 

 

 

 

 

 

 

 

 

 

w

 

 

 

 

 

 

 

 

 

 

 

w

 

 

 

 

 

 

 

 

o

 

 

w

 

 

 

 

 

 

 

 

o

 

 

.

 

 

 

 

g

.c

 

 

.

 

 

 

 

g

.c

 

 

 

p

 

 

 

 

 

 

 

 

 

p

 

 

 

 

 

 

 

 

 

 

df

 

 

n

e

 

 

 

 

df

 

 

n

e

 

 

 

 

 

 

 

ванным лицам проникать на удаленные компьютеры. Переполнение буфера

 

 

 

 

 

 

 

 

 

 

 

-xcha

 

 

 

 

 

 

 

 

 

-x cha

 

 

 

 

 

позволяет это.

PowerShell

Это еще один легитимный инструмент Windows, который хакеры используют в злонамеренных целях. В этой главе мы уже продемонстрировали множество способов использования допустимых команд PowerShell для осуществления вредоносных задач. Общая тенденция применения этих легитимных средств во время атак заключается в том, чтобы не быть пойманным защитным ПО. Компании-разработчики этого ПО не отстают и идентифицируют сигнатуры большинства вредоносных программ. Поэтому хакеры стараются максималь- но использоватьинструменты,которые,как известно,безопасны илегитимны для операционных систем.

PowerShell – это встроенный объектно-ориентированный инструмент соз- дания сценариев,доступный в современных версиях Windows. Он чрезвычай- но мощный и может использоваться для кражи хранящейся в памяти конфи- денциальной информации, внесения изменений в конфигурации системы, а также для того, чтобы сделать процесс перемещения с одного устройства на другоеавтоматическим.Насегодняшниймоментиспользуетсянесколькоори- ентированных на взлом и безопасность модулей PowerShell.Наиболее распро- страненными являются PowerSploit и Nishang.

Недавно в США были зафиксированы проникновения со стороны китайских хакеров, которые, по словам следователей, были вызваны тем, что злоумыш- ленники использовали PowerShell (8). Говорят, что китайские хакеры развер- нули сценарии PowerShell, чтобы запустить их в виде запланированных задач на нескольких компьютерах с Windows. Сценарии передавались в PowerShell через аргументы командной строки вместо использования внешнего файла, что не приводило к запуску антивирусных программ (8). Сценарии после их выполнения скачивали исполняемый файл, а затем запускались с помощью инструмента удаленного доступа.Это гарантировало,что у специалистов,рас- следующих инцидент,не будетникаких следов.Сценарии оказалисьуспешны- ми, поскольку оставили минимум отпечатков.

Инструментарий управления Windows

Инструментарий управления Windows (WMI) – это встроенная платфор-

ма Microsoft, которая управляет настройкой систем Windows. Так как в сре- де Windows она легитимна, хакеры могут использовать ее без опасений быть обнаруженными средствами защиты. Единственная загвоздка для хакеров заключается в том, что у них уже должен быть доступ к компьютеру. В главе о стратегии атаки подробно рассказывается о том, как хакеры могут получить доступ к компьютерам.

WMI можетиспользоватьсядля удаленного запуска процессов,выполнения запросов к системной информации, а также для установки долго живущих

 

 

 

 

hang

e

 

 

 

 

 

 

 

 

 

hang

e

 

 

 

 

 

 

 

 

C

 

E

 

 

 

 

 

 

C

 

E

 

 

 

 

 

X

 

 

 

 

 

 

 

 

X

 

 

 

 

 

 

 

-

 

 

 

 

 

d

 

 

-

 

 

 

 

 

d

 

 

F

 

 

 

 

 

 

 

t

 

 

F

 

 

 

 

 

 

 

t

 

 

D

 

 

 

 

 

 

 

 

i

 

 

D

 

 

 

 

 

 

 

 

i

 

 

 

 

 

 

 

 

 

 

r

 

 

 

 

 

 

 

 

 

r

P

 

 

 

 

 

NOW!

o

P

 

 

 

 

 

NOW!

o

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

BUY

 

 

Дальнейшее распространение  151to

BUY

 

 

 

 

 

 

to

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

w Click

 

 

 

 

 

 

 

m

w Click

 

 

 

 

 

 

 

m

w

 

 

 

 

 

 

 

 

 

 

w

 

 

 

 

 

 

 

 

 

 

 

w

 

 

 

 

 

 

 

 

o

 

 

w

 

 

 

 

 

 

 

 

o

 

 

.

 

 

 

 

g

.c

 

 

.

 

 

 

 

g

.c

 

 

 

p

 

 

 

 

 

 

 

 

 

p

 

 

 

 

 

 

 

 

 

 

df

 

 

n

e

 

 

 

 

df

 

 

n

e

 

 

 

 

 

 

 

вредоносных программ. В случае дальнейшего распространения по сети есть

 

 

 

 

 

 

 

 

 

 

 

-xcha

 

 

 

 

 

 

 

 

 

-x cha

 

 

 

 

 

несколько способов, с помощью которых хакеры используют WMI. Они могут применять его для поддержки запуска команд командной строки, получения вывода программ, изменения значений реестра, запуска сценариев Power- Shell, получения вывода сценариев и, наконец, для вмешательства в работу служб.

WMI также может поддерживать множество операций по сбору данных. Обычно он используется хакерами в качестве инструмента быстрого осмотра системы для моментальной классификации целей. Он может предоставить хакерам информацию, например, о пользователях компьютера, локальных

исетевых дисках, к которым он подключен, IP-адресах и установленных про- граммах. У него есть возможность завершать сеанс пользователя, а также вы- ключатьилиперезагружатькомпьютеры.Онтакжеможетопределить,активно ли пользователь использует компьютер, на основе журналов активности. Во время известного взлома Sony Pictures в 2014 г. WMI был ключевым инстру- ментом, поскольку использовался злоумышленниками для запуска вредонос- ных программ, установленных на компьютерах в сети организации.

WMImplant – это пример хакерской утилиты, которая использует WMI для выполнения вредоносных действий на компьютере жертвы. WMImplant хоро- шо спроектирован и обладает меню, напоминающим Meterpreter в Metasploit.

На рис. 7.3 приведена схема главного меню утилиты, показывающая дей- ствия, которые она может выполнить.

Как видно из меню, это очень мощный инструмент. У него есть специаль- ные команды, разработанные для дальнейшего распространения в удаленных компьютерах. Он позволяет хакеру отдавать команды cmd, получать ввод про- грамм, изменять реестр, запускать сценарии PowerShell и, наконец, создавать

иудалять службы.

Основное различие между WMImplant и другими средствами удаленного доступа, такими как Meterpreter, заключается в том, что он изначально рабо- тает в системе Windows, в то время как остальные сначала нужно загрузить на компьютер­ .

Запланированные задачи

В Windows есть команда, которую злоумышленники могут использовать для планирования автоматического выполнения задач на локальном или удален- ном компьютере. Это позволяет хакеру отсутствовать на месте преступления. Поэтому,если к компьютеру жертвы имеется пользовательскийдоступ,задачи будут выполняться моментально. Планировщик задач используется не толь- ко для определения времени их выполнения. Хакеры также используют его для выполнения задач с привилегиями пользователя SYSTEM. В Windows это может рассматриваться как атака с целью повышения привилегий, посколь- ку пользователь SYSTEM обладает полным контролем над компьютером, на котором выполняется запланированное задание. Без системных привилегий

 

 

 

 

hang

e

 

 

 

 

 

 

 

 

 

hang

e

 

 

 

 

 

 

 

 

C

 

E

 

 

 

 

 

 

C

 

E

 

 

 

 

 

X

 

 

 

 

 

 

 

 

X

 

 

 

 

 

 

 

-

 

 

 

 

 

d

 

 

-

 

 

 

 

 

d

 

 

F

 

 

 

 

 

 

 

t

 

 

F

 

 

 

 

 

 

 

t

 

 

D

 

 

 

 

 

 

 

 

i

 

 

D

 

 

 

 

 

 

 

 

i

 

 

 

 

 

 

 

 

 

 

r

 

 

 

 

 

 

 

 

 

r

P

 

 

 

 

 

NOW!

o

P

 

 

 

 

 

NOW!

o

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

BUY

 

 

 

 

 

 

 

BUY

 

 

 

 

 

 

to

152  Дальнейшее распространение по сети

 

 

 

 

to

 

 

 

 

 

 

w Click

 

w Click

 

 

 

 

 

 

 

 

 

 

 

 

 

 

m

 

 

 

 

 

 

 

m

w

 

 

 

 

 

 

 

 

 

 

w

 

 

 

 

 

 

 

 

 

 

 

w

 

 

 

 

 

 

 

 

o

 

 

w

 

 

 

 

 

 

 

 

o

 

 

.

 

 

 

 

g

.c

 

 

.

 

 

 

 

g

.c

 

 

 

p

 

 

 

 

 

 

 

 

 

p

 

 

 

 

 

 

 

 

 

 

df

 

 

n

e

 

 

 

 

df

 

 

n

e

 

 

 

 

 

 

 

этоттип взлома не сработает,т.к.последние версии ОС Windows были созданы

 

 

 

 

 

 

 

 

 

 

 

-xcha

 

 

 

 

 

 

 

 

 

-x cha

 

 

 

 

 

таким образом, чтобы предотвратить подобное поведение со стороны задач, исполняемых по расписанию.

Рис.7.3

 

 

 

 

hang

e

 

 

 

 

 

 

 

 

 

 

 

hang

e

 

 

 

 

 

 

 

 

C

 

E

 

 

 

 

 

 

 

 

C

 

E

 

 

 

 

 

X

 

 

 

 

 

 

 

 

 

 

X

 

 

 

 

 

 

 

-

 

 

 

 

 

d

 

 

 

 

-

 

 

 

 

 

d

 

 

F

 

 

 

 

 

 

 

t

 

 

 

F

 

 

 

 

 

 

 

t

 

 

D

 

 

 

 

 

 

 

 

i

 

 

 

D

 

 

 

 

 

 

 

 

i

 

 

 

 

 

 

 

 

 

 

 

r

 

 

 

 

 

 

 

 

 

 

r

P

 

 

 

 

 

NOW!

 

o

 

P

 

 

 

 

 

NOW!

o

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

BUY

 

 

 

Дальнейшее распространение 

153to

BUY

 

 

 

 

 

 

to

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

w Click

 

 

 

 

 

 

 

 

m

 

w Click

 

 

 

 

 

 

 

m

w

 

 

 

 

 

 

 

 

 

 

 

 

w

 

 

 

 

 

 

 

 

 

 

 

w

 

 

 

 

 

 

 

 

 

o

 

 

 

w

 

 

 

 

 

 

 

 

o

 

 

.

 

 

 

 

g

.c

 

 

 

.

 

 

 

 

g

.c

 

 

 

p

 

 

 

 

 

 

 

 

 

 

 

p

 

 

 

 

 

 

 

 

 

 

df

 

 

n

e

Запланированные

задачи также используются злоумышленниками

 

 

 

df

 

 

n

e

 

 

 

 

 

-xcha

 

 

 

 

для

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

-x cha

 

 

 

 

 

незаметной кражи данных. Они являются идеальными, поскольку могут ис- пользовать ресурсы процессора и пропускную способность сети. Поэтому за- планированные задачи подходят для больших файлов, которые нужно сжать и передать по сети. Задачи можно настроить на выполнение в ночное время суток или в выходные дни, когда на целевых компьютерах никто не работает.

Кража авторизационных токенов

Сообщается, что это новый метод, который хакеры используют для дальней- шего распространения, когда входят в сеть. Он очень эффективен и применя- ется почти во всех известных атаках,о которых сообщалосьс 2014 г.В этом ме- тоде используются такие инструменты, как Mimikatz (как упомянуто в главе 6 «Охотанапользовательскиереквизиты»)иредакторучетныхзаписейWindows для поиска учетных записей пользователей в памяти компьютера. Затем он может использовать их для создания мандатов Kerberos, с помощью которых злоумышленник­ может повысить привилегии обычного пользователя до ста- туса администратора домена.Однако для этого в памяти нужно найти сущест­ вующийтокен с правами администратора домена или учетную запись пользо- вателя администратора домена. Еще одна проблема при использовании этих инструментов заключается в том, что их можно обнаружить антивирусными программами, когда те будут выполнять подозрительные действия. Однако, как и в случае с большинством инструментов, злоумышленники развивают их и создают версии, которые совершенно невозможно обнаружить. Злоумыш- ленники могут использовать другие средства, такие как PowerShell, чтобы из- бежать обнаружения. Этот метод тем не менее представляет собой серьезную угрозу, поскольку с его помощью можно очень быстро повысить привилегии пользователя.Его можно использоватьв совокупности со средствами,которые могут остановить антивирусные программы, чтобы полностью предотвратить обнаружение.

Атака Pass-the-hash

Как упоминалось в предыдущей главе,этатактика хакеров использует особен- ности работы протоколов NTLM.Вместо проникновения в систему с помощью метода полного перебора или атак по словарю они используют хеши паролей. По этой причине они не ищут незашифрованные пароли,а просто используют хеши паролей при запросе аутентификации на удаленных компьютерах. Зло- умышленники ищут хеши паролей на компьютерах, которые они, в свою оче- редь, могут передавать службам,требующим аутентификации.

Помимо примеров, приведенных в главе 6 «Охота на пользовательские рек- визиты», вы также можете использовать утилиту PowerShell Nishang для сбо- ра всех хешей паролей локальной учетной записи с помощью команды Get–

PassHashes.