История из жизни. Демонстрация работы реального...
DESCRIPTION
http://2013.infoforum.ru/master-class-evteev/TRANSCRIPT
История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр.
Дмитрий Евтеев,
руководитель отдела анализа защищенности, Positive Technologies
Компания DigiNotar была голландским центром сертификации принадлежащая VASCO Data Security International. В сентябре 2011 года компания была объявлена банкротом после хакерской атаки.
Подробнее: http://en.wikipedia.org/wiki/DigiNotar
В конце 2012 года был опубликован всесторонний отчет компанией Fox-IT, которая специализируется на расследованиях в области информационной безопасности, посвященный инциденту со взломом DigiNotar.
Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
О чем пойдет речь
Обеспечению информационной безопасности в DigiNotar уделяли особое внимание (!)
• TippingPoint 50 IPS
• Nokia firewall appliance (Check Point Firewall-1 / VPN-1)
• Балансировщик нагрузки
• Инфраструктура на базе Microsoft Windows
• RSA Certificate Manager (eq RSA Keon)
• Symantec AntiVirus
• Сегментация сети с подмножеством ДМЗ
• Использование двухфакторных механизмов аутентификации (отчуждаемые носители в виде смарт-карт, биометрия)
• Реализованы процессы обеспечения непрерывности бизнеса
• …
Чем примечателен инцидент
Архитектура информационной системы
Сетевая топология информационной системы
Но несмотря на реализованные контроли…
Разбираем подробно
Сценарий атаки на DigiNotar очень близок к используемым методам и техникам при проведении тестирований на проникновение
Система управления сайтом DotNetNuke (Март 2008) + не установленное обновление безопасности MS10-070
= Padding Oracle Attack
С чего все началось
Уязвимость позволяет атакующему читать данные, такие как состояние просмотра (ViewState), которые были зашифрованы сервером. Эта уязвимость также может быть использована для подделки данных, что в случае успеха позволяет расшифровывать и подделывать данные, зашифрованные сервером.
Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and-the-net-padding-oracle-attack.html
Padding Oracle Attack
Была ли атака на DigiNotar целевой и заранее спланированной или это была «случайная» атака?
Анализируй то
Анализируй это
Март 2008
Сентябрь 2010
Июнь 2011Июль 2011 Август 2011
«Реакция админов – такая реакция» (с)
Подробнее: http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sharepoint_et_dotnetnuke/index.html
В продолжение об уязвимостях DotNetNuke
Внедрение внешних XML-сущностей: перспективный сценарий развития атаки
Внедрение внешних XML-сущностей (XXE)
— уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера.
Подробнее:https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска
http://www.ptsecurity.ru/download/статистика RU.pdf
Про веб-безопасность в цифрах (1/3)
Сайты с различными типами CMS, содержащие критические уязвимости
http://www.ptsecurity.ru/download/статистика RU.pdf
Про веб-безопасность в цифрах (2/3)
Доли уязвимых сайтов из различных отраслей экономики
http://www.ptsecurity.ru/download/статистика RU.pdf
Про веб-безопасность в цифрах (3/3)
«Черным-ящиком»
• Инвентаризация известных уязвимостей
• Fuzzing
«Белым-ящиком»
• Аудит используемых приложений и конфигураций
• Ручной и автоматизированный поиск уязвимостей в коде
Методы поиска уязвимостей в веб-приложениях
Псевдотерминал
• Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list)
Интерактивный терминал
• Пример: Tiny Shell (https://github.com/creaktive/tsh/)
«Транспорт»
• Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)
Пост-эксплуатация: выполнение команд
Отступление: как это работает
Практическое занятие 1
Проведите атаку на веб-сервер с IP-адресом 192.168.0.10
Добейтесь возможности выполнения команд на пограничном веб-сервере
Сценарий атаки на DigiNotar: шаг 1
Текущие привилегии - IUSR_MachineName
Повышение привилегий
• Использование уязвимостей в т.ч. бинарных
• Подбор паролей
• Сбор доступной информации
Развитие атаки к другим хостам с имеющимися привилегиями
Пост-эксплуатация
msf :: meterpreter :: MS09-012, MS10-015...
Immunity CANVAS :: MOSDEF
CORE Impact, SAINT Exploit Pack
Другие источники:
• public eq exploit-db.com
• private …
Пост-эксплуатация: повышение привилегий
Список имеющихся идентификаторов
+ TOP N распространенных паролей (+ THC-Hydra, ncrack…) = profit!11
Пост-эксплуатация: подбор паролей
Такая безопасность является повсеместной (!)
Пост-эксплуатация: сбор доступной информации
Сценарий атаки на DigiNotar: шаг 2
Практическое занятие 2
Добейтесь повышения своих привилегий на пограничном веб-сервере
Получите RDP-доступ к пограничному веб-серверу
Подключитесь к СУБД MSSQL под пользователем Bapi01usr
Текущие привилегии – Пользователь на MSSQL 2005
Повышение привилегий
• Использование уязвимостей в т.ч. бинарных
• Подбор паролей
• Сбор доступной информации по базам данных
Пост-эксплуатация
Например - MS09-004
Пост-эксплуатация: повышение привилегий
Отступление: подозрительные файлы на скомпрометированном веб-сервере DigiNotar
Из списка файлов (см. 4.3.3 Suspicious files):
• nc.exe (аналог telnet)
http://netcat.sourceforge.net/
• PortQry.exe (аналог nmap)
http://support.microsoft.com/kb/310099/ru
• putty.exe (потребовался ssh?)
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Пост-эксплуатация: сбор информации о сети
TrojXX.exe
Аналог – Revinetd (http://revinetd.sourceforge.net/)
Пост-эксплуатация: организация «транспорта»
Отступление: как это работает
Отступление: История из жизни
Практическое занятие 3
Добейтесь выполнения команд на сервере MSSQL с IP-адресом 192.168.1.2
Получите RDP-доступ к серверу базы данных
Сценарий атаки на DigiNotar: шаг 3
Текущие привилегии – SYSTEM
Использование привилегий для сбора доступной информации
• SAM, Passwordhistory, LSAsecrets, Credentialmanager, Protectedstorage...
«Password hashes dump tools» Bernardo Damele A.G. https://docs.google.com/spreadsheet/ccc?key=0Ak-eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0
Развитие атаки к другим хостам с имеющимися знаниями
Развитие атаки к другим хостам на более низком уровне
Пост-эксплуатация
Локальный администратор с идентичным паролем на разных серверах (!)
Сценарии использования:
• LM&NTLM hashes -> rainbow tables -> auto pwn
• LM&NTLM hashes -> pass-the-hash -> auto pwn
• plain password -> auto pwn
Откажитесь от локального администратора: http://support.microsoft.com/kb/814777
Пост-эксплуатация: использование привилегий
Из списка файлов (см. 4.3.3 Suspicious files):
• cachedump.exe
http://www.openwall.com/john/contrib/cachedump-1.2.zip
• PwDump.exe
http://www.foofus.net/~fizzgig/pwdump/
• mimi.zip
http://blog.gentilkiwi.com/mimikatz
Пост-эксплуатация: сбор информации
Отступление: cain & abel
MITM, прослушивание открытых протоколов, RDP…
Понижение уровня проверки подлинности, Challenge Spoofing
Authentication Capture (HTTP NTLM, …)
Netbios spoofing
Fake Update, ISR-evilgradehttp://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.htmlhttp://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.htmlhttp://www.infobyte.com.ar/
Отступление: когда хватает привилегий
Отступление: Relay-атаки
ZackAttack (https://github.com/zfasel/ZackAttack)
Отступление: Relay-атаки нового поколения
Злоумышленник всегда выберет наиболее простой сценарий атаки
Пост-эксплуатация
Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки
И другие методы…
Практическое занятие 4
Получите права администратора домена DNPRODUCTIE
Получите RDP-доступ к контроллеру домена
Сценарий атаки на DigiNotar: шаг 4
Из списка файлов:
• ldap.msi (LDAP-транспорт)
• SQLServer2005_SSMSEE.msi (MSSQL-транспорт)
• psexec.exe
http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx
• rsa_cm_68.zip (CA management)
• darpi.zip (DigiNotar Abonnementen Registratie)
• bapi.zip (Dutch tax administration)
Пост-эксплуатация: использование привилегий
Сценарий атаки на DigiNotar: шаг 5
Сценарий атаки на DigiNotar: game over
Как злоумышленники сумели выдать новые сертификаты?
Практическое занятие 5
Выпустите сертификат на доменное имя google.com
Рассуждая про кибервойны и вселенские заговоры
Вместо заключения
Основные мишени для достижения цели
• «соседи» на хостинг площадках
• партнерские и смежные сети регионов
Основные пути проведения атаки
• использование уязвимостей веб-приложений
• подбор паролей
Огромная проблема ИБ – повсеместная некомпетентность/халатность
Многие атаки являются массовыми и носят случайных характер
