История из жизни. Демонстрация работы реального...

История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр.

Дмитрий Евтеев,

руководитель отдела анализа защищенности, Positive Technologies

Компания DigiNotar была голландским центром сертификации принадлежащая VASCO Data Security International. В сентябре 2011 года компания была объявлена банкротом после хакерской атаки.

Подробнее: http://en.wikipedia.org/wiki/DigiNotar

В конце 2012 года был опубликован всесторонний отчет компанией Fox-IT, которая специализируется на расследованиях в области информационной безопасности, посвященный инциденту со взломом DigiNotar.

Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf

О чем пойдет речь

Обеспечению информационной безопасности в DigiNotar уделяли особое внимание (!)

• TippingPoint 50 IPS

• Nokia firewall appliance (Check Point Firewall-1 / VPN-1)

• Балансировщик нагрузки

• Инфраструктура на базе Microsoft Windows

• RSA Certificate Manager (eq RSA Keon)

• Symantec AntiVirus

• Сегментация сети с подмножеством ДМЗ

• Использование двухфакторных механизмов аутентификации (отчуждаемые носители в виде смарт-карт, биометрия)

• Реализованы процессы обеспечения непрерывности бизнеса

• …

Чем примечателен инцидент

Архитектура информационной системы

Сетевая топология информационной системы

Но несмотря на реализованные контроли…

Разбираем подробно

Сценарий атаки на DigiNotar очень близок к используемым методам и техникам при проведении тестирований на проникновение

Система управления сайтом DotNetNuke (Март 2008) + не установленное обновление безопасности MS10-070

= Padding Oracle Attack

С чего все началось

Уязвимость позволяет атакующему читать данные, такие как состояние просмотра (ViewState), которые были зашифрованы сервером. Эта уязвимость также может быть использована для подделки данных, что в случае успеха позволяет расшифровывать и подделывать данные, зашифрованные сервером.

Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and-the-net-padding-oracle-attack.html

Padding Oracle Attack

Была ли атака на DigiNotar целевой и заранее спланированной или это была «случайная» атака?

Анализируй то

Анализируй это

Март 2008

Сентябрь 2010

Июнь 2011Июль 2011 Август 2011

«Реакция админов – такая реакция» (с)

Подробнее: http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sharepoint_et_dotnetnuke/index.html

В продолжение об уязвимостях DotNetNuke

Внедрение внешних XML-сущностей: перспективный сценарий развития атаки

Внедрение внешних XML-сущностей (XXE)

— уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера.

Подробнее:https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)

Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска

http://www.ptsecurity.ru/download/статистика RU.pdf

Про веб-безопасность в цифрах (1/3)

Сайты с различными типами CMS, содержащие критические уязвимости

http://www.ptsecurity.ru/download/статистика RU.pdf

Про веб-безопасность в цифрах (2/3)

Доли уязвимых сайтов из различных отраслей экономики

http://www.ptsecurity.ru/download/статистика RU.pdf

Про веб-безопасность в цифрах (3/3)

«Черным-ящиком»

• Инвентаризация известных уязвимостей

• Fuzzing

«Белым-ящиком»

• Аудит используемых приложений и конфигураций

• Ручной и автоматизированный поиск уязвимостей в коде

Методы поиска уязвимостей в веб-приложениях

Псевдотерминал

• Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list)

Интерактивный терминал

• Пример: Tiny Shell (https://github.com/creaktive/tsh/)

«Транспорт»

• Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)

Пост-эксплуатация: выполнение команд

Отступление: как это работает

Практическое занятие 1

Проведите атаку на веб-сервер с IP-адресом 192.168.0.10

Добейтесь возможности выполнения команд на пограничном веб-сервере

Сценарий атаки на DigiNotar: шаг 1

Текущие привилегии - IUSR_MachineName

Повышение привилегий

• Использование уязвимостей в т.ч. бинарных

• Подбор паролей

• Сбор доступной информации

Развитие атаки к другим хостам с имеющимися привилегиями

Пост-эксплуатация

msf :: meterpreter :: MS09-012, MS10-015...

Immunity CANVAS :: MOSDEF

CORE Impact, SAINT Exploit Pack

Другие источники:

• public eq exploit-db.com

• private …

Пост-эксплуатация: повышение привилегий

Список имеющихся идентификаторов

+ TOP N распространенных паролей (+ THC-Hydra, ncrack…) = profit!11

Пост-эксплуатация: подбор паролей

Такая безопасность является повсеместной (!)

Пост-эксплуатация: сбор доступной информации

Сценарий атаки на DigiNotar: шаг 2

Практическое занятие 2

Добейтесь повышения своих привилегий на пограничном веб-сервере

Получите RDP-доступ к пограничному веб-серверу

Подключитесь к СУБД MSSQL под пользователем Bapi01usr

Текущие привилегии – Пользователь на MSSQL 2005

Повышение привилегий

• Использование уязвимостей в т.ч. бинарных

• Подбор паролей

• Сбор доступной информации по базам данных

Пост-эксплуатация

Например - MS09-004

Пост-эксплуатация: повышение привилегий

Отступление: подозрительные файлы на скомпрометированном веб-сервере DigiNotar

Из списка файлов (см. 4.3.3 Suspicious files):

• nc.exe (аналог telnet)

http://netcat.sourceforge.net/

• PortQry.exe (аналог nmap)

http://support.microsoft.com/kb/310099/ru

• putty.exe (потребовался ssh?)

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Пост-эксплуатация: сбор информации о сети

TrojXX.exe

Аналог – Revinetd (http://revinetd.sourceforge.net/)

Пост-эксплуатация: организация «транспорта»

Отступление: как это работает

Отступление: История из жизни

Практическое занятие 3

Добейтесь выполнения команд на сервере MSSQL с IP-адресом 192.168.1.2

Получите RDP-доступ к серверу базы данных

Сценарий атаки на DigiNotar: шаг 3

Текущие привилегии – SYSTEM

Использование привилегий для сбора доступной информации

• SAM, Passwordhistory, LSAsecrets, Credentialmanager, Protectedstorage...

«Password hashes dump tools» Bernardo Damele A.G. https://docs.google.com/spreadsheet/ccc?key=0Ak-eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0

Развитие атаки к другим хостам с имеющимися знаниями

Развитие атаки к другим хостам на более низком уровне

Пост-эксплуатация

Локальный администратор с идентичным паролем на разных серверах (!)

Сценарии использования:

• LM&NTLM hashes -> rainbow tables -> auto pwn

• LM&NTLM hashes -> pass-the-hash -> auto pwn

• plain password -> auto pwn

Откажитесь от локального администратора: http://support.microsoft.com/kb/814777

Пост-эксплуатация: использование привилегий

Из списка файлов (см. 4.3.3 Suspicious files):

• cachedump.exe

http://www.openwall.com/john/contrib/cachedump-1.2.zip

• PwDump.exe

http://www.foofus.net/~fizzgig/pwdump/

• mimi.zip

http://blog.gentilkiwi.com/mimikatz

Пост-эксплуатация: сбор информации

Отступление: cain & abel

MITM, прослушивание открытых протоколов, RDP…

Понижение уровня проверки подлинности, Challenge Spoofing

Authentication Capture (HTTP NTLM, …)

Netbios spoofing

Fake Update, ISR-evilgradehttp://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.htmlhttp://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.htmlhttp://www.infobyte.com.ar/

Отступление: когда хватает привилегий

Отступление: Relay-атаки

ZackAttack (https://github.com/zfasel/ZackAttack)

Отступление: Relay-атаки нового поколения

Злоумышленник всегда выберет наиболее простой сценарий атаки

Пост-эксплуатация

Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки

И другие методы…

Практическое занятие 4

Получите права администратора домена DNPRODUCTIE

Получите RDP-доступ к контроллеру домена

Сценарий атаки на DigiNotar: шаг 4

Из списка файлов:

• ldap.msi (LDAP-транспорт)

• SQLServer2005_SSMSEE.msi (MSSQL-транспорт)

• psexec.exe

http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx

• rsa_cm_68.zip (CA management)

• darpi.zip (DigiNotar Abonnementen Registratie)

• bapi.zip (Dutch tax administration)

Пост-эксплуатация: использование привилегий

Сценарий атаки на DigiNotar: шаг 5

Сценарий атаки на DigiNotar: game over

Как злоумышленники сумели выдать новые сертификаты?

Практическое занятие 5

Выпустите сертификат на доменное имя google.com

Рассуждая про кибервойны и вселенские заговоры

Вместо заключения

Основные мишени для достижения цели

• «соседи» на хостинг площадках

• партнерские и смежные сети регионов

Основные пути проведения атаки

• использование уязвимостей веб-приложений

• подбор паролей

Огромная проблема ИБ – повсеместная некомпетентность/халатность

Многие атаки являются массовыми и носят случайных характер

Спасибо за внимание!

devteev@ptsecurity.ruhttp://devteev.blogspot.comhttps://twitter.com/devteev