http://2013.infoforum.ru/master-class-evteev/

1. История из жизни. Демонстрация
работы реального злоумышленника
на примере атаки на крупнейший
удостоверяющий центр.
Дмитрий Евтеев,
руководитель отдела анализа защищенности,
Positive Technologies

2. О чем пойдет речь
Компания DigiNotar была голландским центром
сертификации принадлежащая VASCO Data Security
International. В сентябре 2011 года компания была
объявлена ​банкротом после хакерской атаки.
Подробнее: http://en.wikipedia.org/wiki/DigiNotar
В конце 2012 года был опубликован всесторонний отчет
компанией Fox-IT, которая специализируется на
расследованиях в области информационной
безопасности, посвященный инциденту со взломом
DigiNotar.
Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en-
publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf

3. Чем примечателен инцидент
Обеспечению информационной безопасности в
DigiNotar уделяли особое внимание (!)
• TippingPoint 50 IPS
• Nokia firewall appliance (Check Point Firewall-1 / VPN-1)
• Балансировщик нагрузки
• Инфраструктура на базе Microsoft Windows
• RSA Certificate Manager (eq RSA Keon)
• Symantec AntiVirus
• Сегментация сети с подмножеством ДМЗ
• Использование двухфакторных механизмов аутентификации
(отчуждаемые носители в виде смарт-карт, биометрия)
• Реализованы процессы обеспечения непрерывности бизнеса
• …

4. Архитектура информационной системы

5. Сетевая топология информационной системы

6. Но несмотря на реализованные контроли…

7. Разбираем подробно
Сценарий атаки на DigiNotar очень близок к
используемым методам и техникам при
проведении тестирований на проникновение

8. С чего все началось
Система управления сайтом DotNetNuke (Март 2008) +
не установленное обновление безопасности MS10-070
= Padding Oracle Attack

9. Padding Oracle Attack
Уязвимость позволяет атакующему читать данные, такие
как состояние просмотра (ViewState), которые были
зашифрованы сервером. Эта уязвимость также может быть
использована для подделки данных, что в случае успеха
позволяет расшифровывать и подделывать данные,
зашифрованные сервером.
Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and-
the-net-padding-oracle-attack.html

10. Анализируй то
Была ли атака на DigiNotar целевой и заранее
спланированной или это была «случайная» атака?

11. Анализируй это
Июнь 2011 Август 2011
Июль 2011
Сентябрь 2010
Март 2008

12. «Реакция админов – такая реакция» (с)

13. В продолжение об уязвимостях DotNetNuke
Подробнее:
http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sh
arepoint_et_dotnetnuke/index.html

14. Внедрение внешних XML-сущностей:
перспективный сценарий развития атаки
Внедрение внешних XML-сущностей (XXE)
— уязвимость может привести к разглашению важных
данных, получению злоумышленником исходных кодов
приложения, файлов конфигурации и т. п. Так же данная
уязвимость позволяет злоумышленнику выполнять SMB- и
HTTP-запросы в пределах сети атакуемого сервера.
Подробнее:
https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)

15. Про веб-безопасность в цифрах (1/3)
Доли сайтов на различных языках программирования с
уязвимостями высокого и среднего уровня риска
http://www.ptsecurity.ru/download/статистика RU.pdf

16. Про веб-безопасность в цифрах (2/3)
Сайты с различными типами CMS, содержащие
критические уязвимости
http://www.ptsecurity.ru/download/статистика RU.pdf

17. Про веб-безопасность в цифрах (3/3)
Доли уязвимых сайтов из различных отраслей
экономики
http://www.ptsecurity.ru/download/статистика RU.pdf

18. Методы поиска уязвимостей в веб-приложениях
«Черным-ящиком»
• Инвентаризация известных уязвимостей
• Fuzzing
«Белым-ящиком»
• Аудит используемых приложений и конфигураций
• Ручной и автоматизированный поиск уязвимостей в коде

19. Пост-эксплуатация: выполнение команд
Псевдотерминал
• Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list)
Интерактивный терминал
• Пример: Tiny Shell (https://github.com/creaktive/tsh/)
«Транспорт»
• Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)

20. Отступление: как это работает

21. Практическое занятие 1
Проведите атаку на веб-сервер с IP-адресом 192.168.0.10
Добейтесь возможности выполнения команд на
пограничном веб-сервере

22. Сценарий атаки на DigiNotar: шаг 1

23. Пост-эксплуатация
Текущие привилегии - IUSR_MachineName
Повышение привилегий
• Использование уязвимостей в т.ч. бинарных
• Подбор паролей
• Сбор доступной информации
Развитие атаки к другим хостам с имеющимися
привилегиями

24. Пост-эксплуатация: повышение привилегий
msf :: meterpreter :: MS09-012, MS10-015...
Immunity CANVAS :: MOSDEF
CORE Impact, SAINT Exploit Pack
Другие источники:
• public eq exploit-db.com
• private …

25. Пост-эксплуатация: подбор паролей
Список имеющихся идентификаторов
+ TOP N распространенных паролей (+ THC-Hydra,
ncrack…) = profit!11

26. Пост-эксплуатация: сбор доступной информации
Такая безопасность является повсеместной (!)

27. Сценарий атаки на DigiNotar: шаг 2

28. Практическое занятие 2
Добейтесь повышения своих привилегий на пограничном
веб-сервере
Получите RDP-доступ к пограничному веб-серверу
Подключитесь к СУБД MSSQL под пользователем Bapi01usr

29. Пост-эксплуатация
Текущие привилегии – Пользователь на MSSQL 2005
Повышение привилегий
• Использование уязвимостей в т.ч. бинарных
• Подбор паролей
• Сбор доступной информации по базам данных

30. Пост-эксплуатация: повышение привилегий
Например - MS09-004

31. Отступление: подозрительные файлы на
скомпрометированном веб-сервере DigiNotar

32. Пост-эксплуатация: сбор информации о сети
Из списка файлов (см. 4.3.3 Suspicious files):
• nc.exe (аналог telnet)
http://netcat.sourceforge.net/
• PortQry.exe (аналог nmap)
http://support.microsoft.com/kb/310099/ru
• putty.exe (потребовался ssh?)
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

33. Пост-эксплуатация: организация «транспорта»
TrojXX.exe
Аналог – Revinetd (http://revinetd.sourceforge.net/)

34. Отступление: как это работает

35. Отступление: История из жизни

36. Практическое занятие 3
Добейтесь выполнения команд на сервере MSSQL с
IP-адресом 192.168.1.2
Получите RDP-доступ к серверу базы данных

37. Сценарий атаки на DigiNotar: шаг 3

38. Пост-эксплуатация
Текущие привилегии – SYSTEM
Использование привилегий для сбора доступной
информации
• SAM, Passwordhistory, LSAsecrets, Credentialmanager,
Protectedstorage...
«Password hashes dump tools» Bernardo Damele A.G.
https://docs.google.com/spreadsheet/ccc?key=0Ak-
eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0
Развитие атаки к другим хостам с имеющимися знаниями
Развитие атаки к другим хостам на более низком уровне

39. Пост-эксплуатация: использование привилегий
Локальный администратор с идентичным паролем на
разных серверах (!)
Сценарии использования:
• LM&NTLM hashes -> rainbow tables -> auto pwn
• LM&NTLM hashes -> pass-the-hash -> auto pwn
• plain password -> auto pwn
Откажитесь от локального администратора:
http://support.microsoft.com/kb/814777

40. Пост-эксплуатация: сбор информации
Из списка файлов (см. 4.3.3 Suspicious files):
• cachedump.exe
http://www.openwall.com/john/contrib/cachedump-1.2.zip
• PwDump.exe
http://www.foofus.net/~fizzgig/pwdump/
• mimi.zip
http://blog.gentilkiwi.com/mimikatz

41. Отступление: cain & abel

42. Отступление: когда хватает привилегий
MITM, прослушивание открытых протоколов, RDP…
Понижение уровня проверки подлинности,
Challenge Spoofing
Authentication Capture (HTTP NTLM, …)
Netbios spoofing
Fake Update, ISR-evilgrade
http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html
http://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.html
http://www.infobyte.com.ar/

43. Отступление: Relay-атаки

44. Отступление: Relay-атаки нового поколения
ZackAttack (https://github.com/zfasel/ZackAttack)

45. Пост-эксплуатация
Злоумышленник всегда выберет наиболее простой сценарий атаки

46. И другие методы…
Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки

47. Практическое занятие 4
Получите права администратора домена DNPRODUCTIE
Получите RDP-доступ к контроллеру домена

48. Сценарий атаки на DigiNotar: шаг 4

49. Пост-эксплуатация: использование привилегий
Из списка файлов:
• ldap.msi (LDAP-транспорт)
• SQLServer2005_SSMSEE.msi (MSSQL-транспорт)
• psexec.exe
http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx
• rsa_cm_68.zip (CA management)
• darpi.zip (DigiNotar Abonnementen Registratie)
• bapi.zip (Dutch tax administration)

50. Сценарий атаки на DigiNotar: шаг 5

51. Сценарий атаки на DigiNotar: game over

52. Как злоумышленники сумели выдать новые
сертификаты?

53. Практическое занятие 5
Выпустите сертификат на доменное имя google.com 

54. Рассуждая про кибервойны и вселенские заговоры

55. Вместо заключения
Основные мишени для достижения цели
• «соседи» на хостинг площадках
• партнерские и смежные сети регионов
Основные пути проведения атаки
• использование уязвимостей веб-приложений
• подбор паролей
Огромная проблема ИБ – повсеместная
некомпетентность/халатность
Многие атаки являются массовыми и носят
случайных характер

56. Спасибо за внимание!
devteev@ptsecurity.ru
http://devteev.blogspot.com
https://twitter.com/devteev