Взлом в отрасли Энергетики

Всем привет! Давно не было статеек, все руки тянутся перевести контент в видео формат, который и послушать можно и посмотреть на фоне. Если вы кстати не против, напишите в комментарии.

Сегодня речь пойдет про взлом компании в отрасли энергетики.

День Х.

На объекте стояла замечательный терминал по выдаче пропусков

Если вы не знакомы с такой системой то вкратце для получения временного пропуска ваши данные заносят в систему. По прибытию на объект в специальном терминале сканируется паспорт и выдается пластиковая карта. В случае с постоянным пропуском вы можете стянуть паспорт таргета, сдлеать его в хорошем качестве (либо нейронки либо фотошоп в помощь) и зайти под ним, как легальный сотрудник.

OSINT

Если вы не сталкивались с документами наизнанку в социальных сетях, то советую поресерчить в этом направлении. Хотя в свое время знакомые осинтеры мне показывали целые базы с паспортами, снилсами, страховками и прочими документами. Короче кто ищет - тот всегда найдет.

Вот простой пример такой находки - чувак решил поделиться радостной новостью о приобритении новой машины:

Отвлекаясь от темы документов и опираясь на тему находок, обнаружил как-то в гостевой зоне ключ со дня открытия, которой затесался на ряду с корпоративными фотками. (Отмычки не панацея. Внимательность - ключ ко всем дверям) Хотя на самом деле и рисунок ключа не сильно сложный :)

Bypass терминала СКУД

Так я немного отвлекся. Короче терминал, паспорт пропуск. Коллеги, если у вас стоит такая штука - то не факт что к вам пройти нельзя. Да, она защищает от копирования/кражи пропуска на улице или в общественном транспорте, но не лишает возможности пойти более сложным путем и заполучить заветную карту.

На этапе проверки была получена обычная HID карточка (скан паспорта внутреннего сотрудника с экрана смартфона), теперь задача пройти сам СКУД. Там был установлен экран куда сотрудники смотрели перед тем, как разблокируется вертушка. Оказывается это был "градусник" - поэтому тут без проблем.

Initial Access

Дальше задачей было найти укромное место, где можно было ткнуться в сетевую розетку. Обычно такие места располагаются в опенспейсах, где сотрудники могли не выйти на работу в силу своего гибридного графика.

Было найдено такое место рядом с принтером.

Далее нужно было обойти портсек, но и этого не потребовалось, сетевая розетка была доступна для работы из "коробки".

Внутряк - настало твое время!

Начинается стандартные процедуры по обследованию сети. Black box подразумевает ручной лут учеток. Но к сожалению данные действия не привели исполнителя к положительному результату. Но тильтовать рано впереди еще много проверок без наличия УЗ. Пока сеть стояла на сканировании, исполнитель пошел искать доступные способы стиллинга учетных записей. Откуда? Правильно! Надо найти чей-нибудь рабочий ПК и стянуть хешики из SAM, SYSTEM, SECURITY (вдруг повезет и заваляются креды Админа). Короче был найден ПК, но обойти BIOS не удалось. Были еще рабочие станции в кабинете, но там существовала необходимость применять слесарный инструмент.

По пути наименьшего сопротивления возвращаемся обратно. Скан закончен, самое время запулить в метасплоит результаты скана и выполнить базовые проверки при помощи модулей. Ряд проверок был опущен в виду того, что была вероятность заполучить быстро креды. Но в упреждение работы с msf (как правило - это может затянуться в большой инфре), исполнитель начал работать по "низко висящим фруктам" и обнаружил netntlmv1 хешик, когда дернул PetitPotam. Ура! Даже ESC8 не пришлось применять :D

На этом этапе была выставлена аппаратная закладка в виде "Малинки", прописаны маршруты и покинуто место проведения работ.

Удаленка

Теперь работы стало возможно выполнять с дедика, тоже небольшое достижение. Хэш отправился на брут после чего ничего не получилось :( Потому что пароль протух. Повторная операция "Петит потам спешит на помощь!" была выполнена успешно и теперь настало время атаки DCSync. Получены хешики, но задача была не просто взять домен, но и заползти в технологический сегмент. Тут в здание врывается собака и помогает найти админов с их тачками, где был доступ по второму сетевому интерфейсу вглубь.

Но на этом этапе "Малину" выдернули и исполнитель не смог продолжить дальнейшие работы.

Возможно тут стоило заложить пару закладок на случай их обнаружения. В целом заказчик остался довольным. Получил рекомендации по усилению защиты и красивый отчет.

Этот кейс позволил трезво оценить возможные сценарии противодействия и поработать над ошибками. Всем хорошего дня и успешных проектов!

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest