About Teletype
Join
0WL
@r00t_owl
June 20

Взлом Химического Завода

Всем привет! Подъехал новый кейс про взлом Хим Завода.

Все события и участники были изменены, и все совпадения являются случайными.

Хочу подчеркнуть, что информация, которую вы получите после прочтения статьи, носит исключительно обучающий характер, не является призывом к действию и не может использоваться в злонамеренных целях. Моя цель — показать недочеты и уязвимости, которые необходимо устранить ИБ-специалистам в их организациях, а также показать как работают эксперты в направлении кибер учений.

Предыстория

Прилетел заказ из компании, занимающейся химической обработкой сырья. У них - два цеха, административное здание, пропускной режим, охрана от Росгвардии, камеры, СКУД и куча уверенности в себе.

Картинка из интеренета

Сроки - горят. Чтобы забрать проект надо было буквально ехать вчера. У них через два дня - аудит, от какого-то центра 7+1, и надо срочно провести репетицию физического пентеста, чтобы закрыть явные баги, дабы спаси себя от набутыливания.

На разведку - ноль времени. Вот пока добираешься до места тестирования, тогда и изучаешь, ну что смеяться, тут уже проще оттолкнуться от фактической картины. Пришел и по месту побродил. Ни тебе фотографий, ни планов, ни списка подрядчиков, ни схемы СКУД. Сразу в поля.

В таких случаях я работаю по принципу: "Наблюдай. Импровизируй. Адаптируйся. Побеждай."

Этап 1: Быть в теме

Утро. 07:50. Подъезжаю к проходной как раз в момент, когда тянется вереница рабочих. Все в одинаковых куртках, касках, с рюкзаками.

Я заранее переоделся в поношенную куртку с логотипом логистической компании (Покупал в целом для проектов на производстве), касочка синяя и рюкзачек.

Стратегия простая: найти фишку местных бизнесменов. Это такое место откуда ребята тащат чего-нибудь домой (металл, пакеты, одежду, всякий списанный хлам и т.п.)

Поскольку я сам из города, где есть промка, прекрасно знаю, что “не бывает завода без желающих нажиться на имуществе”. Избалованные городские жители могут сказать, что это никому не нужно, но уверяю вас вы не правы. Можете почитать труды Фредерика Тейлора (https://archive.org/details/principlesofscie00taylrich/page/105/mode/1up).

Еще с тысяча девятьсот лохматых годов, было выявлено, что люди которые работают на предприятиях работают там в пол силы, чтобы работы хватило всем или из принципа мой сосед халтурит и я буду. Но тут суть кроется именно в наличии свободного времени и приобретенной “смекалки”, которая шепчет в голове -”Есть вариант урвать, смотри какая медная жила лежит. Давай ее вынесем, она все равно никому не нужна, третью неделю тут валяется…”. Возвращаясь к нашей ситуации, я нашел такое место, там был забочик, который можно было открутить аккуратно ключом на 10 и зайти. Почему это то самое место, откуда происходят материальные выбытия предприятия? Да потому, что там вытоптанная дорожка в поле до места, где может подъехать машина и находится это все на “заднем дворе”. Плюс небольшой анализ показал что за забором ни камер, ни людей, тишь да гладь.

Initial Access получается.

Этап 2: Исследование внутренней среды

Теперь поиск БЩУ, офисов, кабинетов… Вы представляете как выглядит на хим. перерабатывающем заводе? Собственно, там даже климат свой, осадки могут быть такой кислотности, что металл за относительно не большой срок службы превращается в труху, кто был на подобных предприятиях знает.

Короче много тут не находишь, спалят на вопросе, а где твой наряд-допуск. У меня этого естественно не было. Единственное, был газик, про который я забыл упомянуть выше, на таких предприятиях он нужен для себя же.

Короче просто смотрим где щеголяют сотрудники в чистой одежде. На территории предприятия были строгие зоны для курения и это очень хорошо. Там можно постоять и послушать контекст разговоров. Если есть необходимость и вопрос задать.

Я ничего не понял из разговора, кроме бытовых историй, поэтому пришлось встрявать в разговор.

Через пару минут общения и просьбы поделиться сигареткой:

  • А как у вас найти инженеров по безопасности?
  • Я не в курсе, а что ты хотел?
  • Да вот прислали к вам чтобы избавлять от винды, на Астру скоро перейдем...

Через 10 минут болтовни с рабочими я уже в курсе:

  • где серверная (маленькая «тёплая» комната в правом крыле),
  • кто туда ходит (айтишник Жека и мастер участка),
  • и что замок на двери в серверную — просто механика, не СКУД.

Заводчанин вообще не подозревал, что его “не знаю” оказалось еще каким “знаю”.

Знаете какой тут используется прием? Как у следователей, которые распутывают дела и их свидетели ничего не видели, никого не знают и сколько времени было не помнят. В таких случаях задаются вопросы по типу, может ты видел на стене часы или на руке коллеги, а может в телефон смотрел? А журналы какие-то были на столе? А не помнишь что за изображение на них было? А что шло по телевизору в этот момент? Может помнишь жарко было в этот момент или уже холодало? Короче я могу сюда написать 1000 и 1 вопрос, который поможет человеку вспомнить для вас полезную информацию.

Короче нашел я это помещение, но идти туда прямо сейчас было не вариант. Мне пришлось зайти и зависнуть “на звонке” до обеда. По моим наблюдениям лестничная площадка лучшее место для этих дел. Почему? Потому что, если вы будете тусоваться около машинного зала или БЩУ или в тех местах, где могут проходить работы, вас 100 процентов спросят кто вы и что вы. Качать права там не всегда уместно. Поэтому я выжидал обеда, там как по расписанию и без опозданий все дружно уходят.

Этап 3: Проникновение в серверную

На обеденном перерыве часть персонала ушла таки в столовую. Серверная — рядом. Я подхожу, выглядываю: никого.

Быстрая работа отмычкой, был мой любимый перфо-профиль, замок открывается за минуты 2. Тут стоечки, порты, все круто, но на тесте я не получил IP адрес, попытался прописать и ничего не вышло. Тут элемент удачи. Здесь не вышло, я вышел из комнаты и пошел искать другие места с выходом в ЛВС Заказчика.

Тут было куча помещений с стеклянными дверьми. Местами сидели дежурные, которые контролировали внутреннее перемещение, там стояла вертушка. Не вариант. Я нашел помещение, с ультра сложным профилем, туда или мультипик или петерсон, там реально надо было фольгой ковыряться. Ну вариантов не было, сел ковыряться, переодически ходили люди смотрели, но видимо думали что чиню замок. Я не брал с собой спиннер и мне пришлось два оборота набирать заново. Искренне скажу, что это был один из самых сложных профилей для вскрытия. Я и слабый и сильный натяг пробовал, просто непредсказуемость какая-то вышла с этим открытием.

Ну тут окей, стояли несколько ПК, через Kali Live я забрался и пошифрованый диск, полное Г.

Снял мак и айпишник, прописал сетевой конфиг и залез в сетку, тут уже дела пошли лучше и мне удалось поснифать трафик, дотянуться до DC, на этом этапе малина была подключена самым грязным способом.

Вариант маскировки малины, их оч много на само деле

Потом как в пэкет сквирел, бомбим VPN соединение и пользуемся полноценной хостовой тачкой внутри сети, которая стреляет наружу трафиком. Вот не достать было этой штуки же, сейчас можно, у нас в сообществе есть ребята, которые помогут с этим вопросм.

Ну все, подрубаемся к малине и погнали бомбить инфру :)

Этап 4: Отход и результат

Закрываю дверь, естественно закрывать на ключ не стал - это мазохизм. Вернулся к курильщикам, пару минут болтовни и направился к месту для “местных бизнесменов”.

Внутрянщики отработали свою часть. проект был успешно завершен.

Отчёт написал в ту же ночь.

Клиенты в приятном шоке, на следующий день в формате аудита пофиксили вероятности проникновения, но меня заверили, что 7+1 центр не пользуется на таких проектах отмычками. Ох как же они заблуждаются. Вообщем я порекомендовал по полной программе поставить доп камеры, датчики, местами влепить СКУД по мимо механических замков, провести обучение персонала. Кстати на обучении все с удовольствием слушали и практиковались на моих инструментах, тоже важная часть на самом деле. Естественно мы с вами понимаем, что Заказчик не смог бы физически все устранить и поставить оборудование, но обратить внимание на ключевые поинты и выстроить монитиринг ребята смогли. На счет митигации и устранения уязвимостей внутряка не знаю успели ли все сделать или нет. Но мы вместе на “разборе полетов” сидели и частично закрывали явные криты и мисконфигурации в домене. Короче дальнейшую судьбу предприятия не знаю, но на момент завершения работ и нашего сотрудничества все было круто и Заказчик остался довольным.

Спасибо дорогой подписчик за твое внимание, а если заинтересовался моими работами, пиши в личку, обсудим ;)

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest

А также на YouTube канале: https://www.youtube.com/@pro_pentest

0WL
June 20, 13:01
0 views
1 reaction
0 replies
0 reposts