Недавно мне был задан вопрос о том, "как это возможно -- получить права доменного админа?" Оказывается, для многих специалистов в сфере ИБ и ИТ эта цель кажется почти недостижимой. Это не удивительно, так как ИТ-рынок всеми силами старается создать у компаний-заказчиков ложное ощущение безопасности. Вот и получается, что после внедрения ряда технических средств обеспечения безопасности, выполнение такого упражнения кажется им невероятным.
Сегодня я расскажу о том, как используя ошибочные практики и халатность персонала компании-цели потенциальный злоумышленник может получить привилегированные права в домене Active Directory. Ничего нового опытные специалисты тут не прочитают. Более того, если в компании действует эффективная программа информационной безопасности, то изложенные ниже действия скорее всего осуществить не удастся.
К сожалению, существует множество факторов, в следствие которых эффективность технических средств обеспечения ИБ может быть существенно понижена. Как правило, это происходит в следствие разнообразных "культурных ограничений", всяческих "поблажек" для руководства, да и просто из-за небрежности ИТ-персонала. Общая схема атаки:
- Доступ к доменному ПК.
- Получение прав локального администратора.
- Извлечение хешей доменного администратора.
- Получение прав доменного администратора.
Теперь подробнее.
1. Получить доступ к доменному ПК злоумышленник можно различными способами, здесь ограничением может быть только фантазия. Например, (1) используя физический канал. Злоумышленник может украсть ноутбук сотрудника компании. Или просто войти на территорию под видом подрядчика и усесться за свободный ПК в опенспейсе. Или (2) при помощи канала сети передачи данных. Доставить на ПК сотрудника компании "троянца", который активирует сервер управления и инициирует обратное соединение к ПК атакующего. Второй вариант, очевидно, менее рискован. Правда, злоумышленнику придется немного подготовиться и сделать "домашнюю работу", то есть выяснить путем каких уязвимостей возможно получить контроль над ПК жертвы.
2. Получить права локального администраторана ПК жертвы легче всего, если пользователь этого ПК уже обладает такими правами. К сожалению, это не редкость. Многие ИТ-менеджеры, руководители и прочие "приближенные" зачастую наделены привилегиями локального администратора на их персональных рабочих станциях и ноутбуках. И что еще хуже -- почти всегда пользуются привилегированными учетными записями интерактивно, то есть входят в сеанс ОС и выполняют прикладное, зачастую уязвимое, ПО. Если же "попавшийся" пользователь и есть доменный админ, то злоумышленнику либо неслыханно повезло, либо он очень хорошо подготовился. В случае, если с жертвой совсем не подфартило, и пользователь клюнувший на "троянца" даже не локальный админ -- придется выбирать из двух зол. Либо искать технические уязвимости системного (и прочего) ПО на машине-жертве, позволяющие выполнить т.н. эскалацию привилегий, либо искать более подходящий компьютер, за которым сидит локальный админ.
3. С извлечением хешейвсе предельно просто. Для этих целей существует масса утилит, из которых наиболее известны PWDumpX , pwdump6 (для x86_64), а так же модули Metasploit Framework hashdump, incognito и т.п. Последний инструмент как нельзя лучше сочетается с методами, используемыми в пунктах 1 и 2.
Локально кешируемые пароли представляют собой последовательность альфанумерических символов -- LM (LanMan) и NTLM хеши. В этой форме наши пароли хранятся в Windows (в т.н. SAM-файлах) и передаются по сети. Хеш-функции в общем случае необратимы, то есть пароль, который был захеширован, так просто восстановить нельзя. Можно только сравнить с ним другой пароль, -- для этого нужно захешировать его при помощи аналогичной хеш-функции и сравнить результаты. Механизм хеш-функций повсеместно используется для безопасного хранения паролей, поэтому против него был разработан целый ряд криптоаналитических атак.
Хеши паролей доменных админов практически гарантированно находятся на любом доменном ПК. Эта уязвимость связана с тем, что большинство компаний не следуют принципу наименьших необходимых привилегий в процессе управления правами пользователей. В итоге тех-поддержка и хелпдеск традиционно пользуются правами доменного администратора для того, чтобы помогать пользователям было легче и быстрее. Типичный Easy Button.
4. Получить права доменного администратора, располагая логином и двумя хешами (LM & NTLM) его учетной записи, злоумышленник может несколькими способами. Если есть подозрение, что пароль не слишком длинный и не слишком сложный (скажем, используются алфавит ASCII, длина 8 символов), то эффективными могут оказаться техники bruteforce и rainbow tables. В отличие от bruteforce, в ходе которого просто перебираются все возможные комбинации из N=8 символов заданного алфавита (ASCII), rainbow tables действует хитрее. У атакующего есть заведомо подготовленные таблицы хешей, отвечающих всем этим возможным комбинациям. Подготовка таких таблиц занимает уйму времени и дискового пространства, но зато в результате успех гарантирован в кратчайшее время. Среди инструментов брутфорса выделяется John The Ripper , а rainbow tables либо генерируются злоумышленником самостоятельно, либо скачиваются для определенных длин и алфавитов. Также, существует возможность воспользоваться распределенными системами генерации/взлома хешей, но они как правило стоят немалых денег, ровно как и готовые таблицы для длинных паролей и больших алфавитов.
Обе описанные техники криптоанализа преследуют цель получения пароля учетной записи в чистом виде. Но это далеко не всегда необходимо. Существуют средства изменения реквизитов текущей сессии, позволяющие атакующему замаскироваться под другого пользователя, в т.ч. и доменного администратора. Думаю вы уже догадались, что для успешного использования этой техники нужны логин и хеши учетной записи доменного администратора. Например, бесплатная утилита IAM от Core Security позволяет заменить параметры текущей сессии теми, которые получены в пункте 3. Metasploit также располагает средствами перехвата и присвоения найденных в системе закешрованых реквизитов.
Надеюсь, эта информация поможет кому-нибудь более критично оценить шансы злоумышленников, и как следствие -- более эффективно построить систему ИБ, способную противостоять описанному сценарию атаки. Некоторые советы по этому поводу я дал в этом посте: Гранд-Каньон на пути к доменному админу
