История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр
1. История из жизни. Демонстрация
работы реального злоумышленника
на примере атаки на крупнейший
удостоверяющий центр.
Дмитрий Евтеев,
руководитель отдела анализа защищенности,
Positive Technologies
2. О чем пойдет речь
Компания DigiNotar была голландским центром
сертификации принадлежащая VASCO Data Security
International. В сентябре 2011 года компания была
объявлена банкротом после хакерской атаки.
Подробнее: http://en.wikipedia.org/wiki/DigiNotar
В конце 2012 года был опубликован всесторонний отчет
компанией Fox-IT, которая специализируется на
расследованиях в области информационной
безопасности, посвященный инциденту со взломом
DigiNotar.
Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en-
publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
3. Чем примечателен инцидент
Обеспечению информационной безопасности в
DigiNotar уделяли особое внимание (!)
• TippingPoint 50 IPS
• Nokia firewall appliance (Check Point Firewall-1 / VPN-1)
• Балансировщик нагрузки
• Инфраструктура на базе Microsoft Windows
• RSA Certificate Manager (eq RSA Keon)
• Symantec AntiVirus
• Сегментация сети с подмножеством ДМЗ
• Использование двухфакторных механизмов аутентификации
(отчуждаемые носители в виде смарт-карт, биометрия)
• Реализованы процессы обеспечения непрерывности бизнеса
• …
7. Разбираем подробно
Сценарий атаки на DigiNotar очень близок к
используемым методам и техникам при
проведении тестирований на проникновение
8. С чего все началось
Система управления сайтом DotNetNuke (Март 2008) +
не установленное обновление безопасности MS10-070
= Padding Oracle Attack
9. Padding Oracle Attack
Уязвимость позволяет атакующему читать данные, такие
как состояние просмотра (ViewState), которые были
зашифрованы сервером. Эта уязвимость также может быть
использована для подделки данных, что в случае успеха
позволяет расшифровывать и подделывать данные,
зашифрованные сервером.
Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and-
the-net-padding-oracle-attack.html
10. Анализируй то
Была ли атака на DigiNotar целевой и заранее
спланированной или это была «случайная» атака?
11. Анализируй это
Июнь 2011 Август 2011
Июль 2011
Сентябрь 2010
Март 2008
13. В продолжение об уязвимостях DotNetNuke
Подробнее:
http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sh
arepoint_et_dotnetnuke/index.html
14. Внедрение внешних XML-сущностей:
перспективный сценарий развития атаки
Внедрение внешних XML-сущностей (XXE)
— уязвимость может привести к разглашению важных
данных, получению злоумышленником исходных кодов
приложения, файлов конфигурации и т. п. Так же данная
уязвимость позволяет злоумышленнику выполнять SMB- и
HTTP-запросы в пределах сети атакуемого сервера.
Подробнее:
https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
15. Про веб-безопасность в цифрах (1/3)
Доли сайтов на различных языках программирования с
уязвимостями высокого и среднего уровня риска
http://www.ptsecurity.ru/download/статистика RU.pdf
16. Про веб-безопасность в цифрах (2/3)
Сайты с различными типами CMS, содержащие
критические уязвимости
http://www.ptsecurity.ru/download/статистика RU.pdf
17. Про веб-безопасность в цифрах (3/3)
Доли уязвимых сайтов из различных отраслей
экономики
http://www.ptsecurity.ru/download/статистика RU.pdf
18. Методы поиска уязвимостей в веб-приложениях
«Черным-ящиком»
• Инвентаризация известных уязвимостей
• Fuzzing
«Белым-ящиком»
• Аудит используемых приложений и конфигураций
• Ручной и автоматизированный поиск уязвимостей в коде
23. Пост-эксплуатация
Текущие привилегии - IUSR_MachineName
Повышение привилегий
• Использование уязвимостей в т.ч. бинарных
• Подбор паролей
• Сбор доступной информации
Развитие атаки к другим хостам с имеющимися
привилегиями
24. Пост-эксплуатация: повышение привилегий
msf :: meterpreter :: MS09-012, MS10-015...
Immunity CANVAS :: MOSDEF
CORE Impact, SAINT Exploit Pack
Другие источники:
• public eq exploit-db.com
• private …
25. Пост-эксплуатация: подбор паролей
Список имеющихся идентификаторов
+ TOP N распространенных паролей (+ THC-Hydra,
ncrack…) = profit!11
28. Практическое занятие 2
Добейтесь повышения своих привилегий на пограничном
веб-сервере
Получите RDP-доступ к пограничному веб-серверу
Подключитесь к СУБД MSSQL под пользователем Bapi01usr
29. Пост-эксплуатация
Текущие привилегии – Пользователь на MSSQL 2005
Повышение привилегий
• Использование уязвимостей в т.ч. бинарных
• Подбор паролей
• Сбор доступной информации по базам данных
38. Пост-эксплуатация
Текущие привилегии – SYSTEM
Использование привилегий для сбора доступной
информации
• SAM, Passwordhistory, LSAsecrets, Credentialmanager,
Protectedstorage...
«Password hashes dump tools» Bernardo Damele A.G.
https://docs.google.com/spreadsheet/ccc?key=0Ak-
eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0
Развитие атаки к другим хостам с имеющимися знаниями
Развитие атаки к другим хостам на более низком уровне
39. Пост-эксплуатация: использование привилегий
Локальный администратор с идентичным паролем на
разных серверах (!)
Сценарии использования:
• LM&NTLM hashes -> rainbow tables -> auto pwn
• LM&NTLM hashes -> pass-the-hash -> auto pwn
• plain password -> auto pwn
Откажитесь от локального администратора:
http://support.microsoft.com/kb/814777
40. Пост-эксплуатация: сбор информации
Из списка файлов (см. 4.3.3 Suspicious files):
• cachedump.exe
http://www.openwall.com/john/contrib/cachedump-1.2.zip
• PwDump.exe
http://www.foofus.net/~fizzgig/pwdump/
• mimi.zip
http://blog.gentilkiwi.com/mimikatz
55. Вместо заключения
Основные мишени для достижения цели
• «соседи» на хостинг площадках
• партнерские и смежные сети регионов
Основные пути проведения атаки
• использование уязвимостей веб-приложений
• подбор паролей
Огромная проблема ИБ – повсеместная
некомпетентность/халатность
Многие атаки являются массовыми и носят
случайных характер