История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр
- 1. История из жизни. Демонстрация
работы реального злоумышленника
на примере атаки на крупнейший
удостоверяющий центр.
Дмитрий Евтеев,
руководитель отдела анализа защищенности,
Positive Technologies
- 2. О чем пойдет речь
Компания DigiNotar была голландским центром
сертификации принадлежащая VASCO Data Security
International. В сентябре 2011 года компания была
объявлена банкротом после хакерской атаки.
Подробнее: http://en.wikipedia.org/wiki/DigiNotar
В конце 2012 года был опубликован всесторонний отчет
компанией Fox-IT, которая специализируется на
расследованиях в области информационной
безопасности, посвященный инциденту со взломом
DigiNotar.
Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en-
publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
- 3. Чем примечателен инцидент
Обеспечению информационной безопасности в
DigiNotar уделяли особое внимание (!)
• TippingPoint 50 IPS
• Nokia firewall appliance (Check Point Firewall-1 / VPN-1)
• Балансировщик нагрузки
• Инфраструктура на базе Microsoft Windows
• RSA Certificate Manager (eq RSA Keon)
• Symantec AntiVirus
• Сегментация сети с подмножеством ДМЗ
• Использование двухфакторных механизмов аутентификации
(отчуждаемые носители в виде смарт-карт, биометрия)
• Реализованы процессы обеспечения непрерывности бизнеса
• …
- 7. Разбираем подробно
Сценарий атаки на DigiNotar очень близок к
используемым методам и техникам при
проведении тестирований на проникновение
- 8. С чего все началось
Система управления сайтом DotNetNuke (Март 2008) +
не установленное обновление безопасности MS10-070
= Padding Oracle Attack
- 9. Padding Oracle Attack
Уязвимость позволяет атакующему читать данные, такие
как состояние просмотра (ViewState), которые были
зашифрованы сервером. Эта уязвимость также может быть
использована для подделки данных, что в случае успеха
позволяет расшифровывать и подделывать данные,
зашифрованные сервером.
Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and-
the-net-padding-oracle-attack.html
- 10. Анализируй то
Была ли атака на DigiNotar целевой и заранее
спланированной или это была «случайная» атака?
- 11. Анализируй это
Июнь 2011 Август 2011
Июль 2011
Сентябрь 2010
Март 2008
- 13. В продолжение об уязвимостях DotNetNuke
Подробнее:
http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sh
arepoint_et_dotnetnuke/index.html
- 14. Внедрение внешних XML-сущностей:
перспективный сценарий развития атаки
Внедрение внешних XML-сущностей (XXE)
— уязвимость может привести к разглашению важных
данных, получению злоумышленником исходных кодов
приложения, файлов конфигурации и т. п. Так же данная
уязвимость позволяет злоумышленнику выполнять SMB- и
HTTP-запросы в пределах сети атакуемого сервера.
Подробнее:
https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
- 15. Про веб-безопасность в цифрах (1/3)
Доли сайтов на различных языках программирования с
уязвимостями высокого и среднего уровня риска
http://www.ptsecurity.ru/download/статистика RU.pdf
- 16. Про веб-безопасность в цифрах (2/3)
Сайты с различными типами CMS, содержащие
критические уязвимости
http://www.ptsecurity.ru/download/статистика RU.pdf
- 17. Про веб-безопасность в цифрах (3/3)
Доли уязвимых сайтов из различных отраслей
экономики
http://www.ptsecurity.ru/download/статистика RU.pdf
- 18. Методы поиска уязвимостей в веб-приложениях
«Черным-ящиком»
• Инвентаризация известных уязвимостей
• Fuzzing
«Белым-ящиком»
• Аудит используемых приложений и конфигураций
• Ручной и автоматизированный поиск уязвимостей в коде
- 19. Пост-эксплуатация: выполнение команд
Псевдотерминал
• Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list)
Интерактивный терминал
• Пример: Tiny Shell (https://github.com/creaktive/tsh/)
«Транспорт»
• Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)
- 21. Практическое занятие 1
Проведите атаку на веб-сервер с IP-адресом 192.168.0.10
Добейтесь возможности выполнения команд на
пограничном веб-сервере
- 23. Пост-эксплуатация
Текущие привилегии - IUSR_MachineName
Повышение привилегий
• Использование уязвимостей в т.ч. бинарных
• Подбор паролей
• Сбор доступной информации
Развитие атаки к другим хостам с имеющимися
привилегиями
- 24. Пост-эксплуатация: повышение привилегий
msf :: meterpreter :: MS09-012, MS10-015...
Immunity CANVAS :: MOSDEF
CORE Impact, SAINT Exploit Pack
Другие источники:
• public eq exploit-db.com
• private …
- 28. Практическое занятие 2
Добейтесь повышения своих привилегий на пограничном
веб-сервере
Получите RDP-доступ к пограничному веб-серверу
Подключитесь �� СУБД MSSQL под пользователем Bapi01usr
- 29. Пост-эксплуатация
Текущие привилегии – Пользователь на MSSQL 2005
Повышение привилегий
• Использование уязвимостей в т.ч. бинарных
• Подбор паролей
• Сбор доступной информации по базам данных
- 32. Пост-эксплуатация: сбор информации о сети
Из списка файлов (см. 4.3.3 Suspicious files):
• nc.exe (аналог telnet)
http://netcat.sourceforge.net/
• PortQry.exe (аналог nmap)
http://support.microsoft.com/kb/310099/ru
• putty.exe (потребовался ssh?)
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
- 36. Практическое занятие 3
Добейтесь выполнения команд на сервере MSSQL с
IP-адресом 192.168.1.2
Получите RDP-доступ к серверу базы данных
- 38. Пост-эксплуатация
Текущие привилегии – SYSTEM
Использование привилегий для сбора доступной
информации
• SAM, Passwordhistory, LSAsecrets, Credentialmanager,
Protectedstorage...
«Password hashes dump tools» Bernardo Damele A.G.
https://docs.google.com/spreadsheet/ccc?key=0Ak-
eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0
Развитие атаки к другим хостам с имеющимися знаниями
Развитие атаки к другим хостам на более низком уровне
- 39. Пост-эксплуатация: использование привилегий
Локальный администратор с идентичным паролем на
разных серверах (!)
Сценарии использования:
• LM&NTLM hashes -> rainbow tables -> auto pwn
• LM&NTLM hashes -> pass-the-hash -> auto pwn
• plain password -> auto pwn
Откажитесь от локального администратора:
http://support.microsoft.com/kb/814777
- 40. Пост-эксплуатация: сбор информации
Из списка файлов (см. 4.3.3 Suspicious files):
• cachedump.exe
http://www.openwall.com/john/contrib/cachedump-1.2.zip
• PwDump.exe
http://www.foofus.net/~fizzgig/pwdump/
• mimi.zip
http://blog.gentilkiwi.com/mimikatz
- 42. Отступление: когда хватает привилегий
MITM, прослушивание открытых протоколов, RDP…
Понижение уровня проверки подлинности,
Challenge Spoofing
Authentication Capture (HTTP NTLM, …)
Netbios spoofing
Fake Update, ISR-evilgrade
http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html
http://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.html
http://www.infobyte.com.ar/
- 46. И другие методы…
Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки
- 47. Практическое занятие 4
Получите права администратора домена DNPRODUCTIE
Получите RDP-доступ к контроллеру домена
- 49. Пост-эксплуатация: использование привилегий
Из списка файлов:
• ldap.msi (LDAP-транспорт)
• SQLServer2005_SSMSEE.msi (MSSQL-транспорт)
• psexec.exe
http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx
• rsa_cm_68.zip (CA management)
• darpi.zip (DigiNotar Abonnementen Registratie)
• bapi.zip (Dutch tax administration)
- 55. Вместо заключения
Основные мишени для достижения цели
• «соседи» на хостинг площадках
• партнерские и смежные сети регионов
Основные пути проведения атаки
• использование уязвимостей веб-приложений
• подбор паролей
Огромная проблема ИБ – повсеместная
некомпетентность/халатность
Многие атаки являются массовыми и носят
случайных характер