🏌️ 🙇🏻 🤾🏾 内部の敵：インサイダーレディングの方法 🤽🏻 🖖 🏥

すべての利点がありました。私はすでにネットワーク内にいました。私は疑う余地がありませんでした。しかし、彼らは私のハックを見つけ、ネットワークから追い出され、物理的に追跡されました。

多くの侵入テストは、境界をどのように克服できるかを確認するために外部で開始されます。今回、顧客は、組織内にいることができた攻撃者がどこまで行けるかを確認したいと考えました。私がすでにオンラインになっている場合、どうして彼らは私を止めることができますか？

それで、彼らは私をひそかにオフィスに連れて行き、新入社員を装った。彼らは私に働くコンピューター、バッジ、システム内のアカウントをくれました...地獄、私は架空の名前の自分のブースさえ持っていました。私が本当に誰であるかを知っていた唯一の人は、情報セキュリティのディレクターでした。他の皆は私がマーケティングのジェレミーだと思っていました。

知能

初日の朝のほとんどは、仕事に応募したり、同僚と知り合ったり、汚い仕事をしたりするための手順で忙しかった。しかし、私は迅速に行動しなければなりませんでした。すべてのことについて、1週間しかなかったので、疑いを引き起こすことなくすべてをクラックする時間が必要でした。だから私は仕事に取りかかりました。

理解してもらうために、ほとんどの侵入テストは非常に簡単です。最も難しいのは、ネットワークに侵入することです。しかし、いったん中に入ると、古いコンピューター、デフォルトのパスワード、全員がローカル管理者の下に座るなど、さまざまな目標が得られます。通常、1〜2日でドメイン管理者アカウントを取得します。残りの時間は、トラックをカバーし、攻撃の可能性のある結果の証拠を収集するために費やされます。しかし、今回は違いました。びっくりする時が来ました。

コンピューターの前に座って、働いているふりをしました。他のワークステーションの設定を調査し、研究のためにオフィスのコンピューターを使用するつもりでしたが、私を指す痕跡を残さないように、私はそこから直接攻撃しませんでした。代わりに、ハッキング用に別のデバイスを用意しました。Linuxを搭載した個人用ラップトップと多数のハッカーツールです。ネットワークに接続し、IPアドレスを取得しました。 NACはネットワーク全体をカバーしていませんでした。作業ブースからの接続はすべて信頼されていました。

私はいつものように始めました。 Wiresharkからのネットワークトラフィックの傍受と分析。ラップトップのMACアドレスと名前を変更して、インフラストラクチャで失われ、通常の機器のように見えるようにします。次に、サブネットのレスポンダーを使用してハッシュをキャッチし、パスワードを解読します。かなり迅速に、私はなんとか一握りのハッシュを収集することができました。私は従業員の通常のサブネット上にいたので、認証データが散らばっている開いたブラウザでログインしたアカウントがたくさんありました。

最初の驚き

8枚のビデオカードの農場で見つかったハッシュの検索を開始しましたが、...何かがおかしくなりました。大文字、小文字、数字、特殊文字（NetNTLMv2）の8文字の組み合わせがすべてすぐにチェックされました。最も一般的なパスワード（1語、最初の大文字、数字または記号で終わる）私はすぐにクラックします。しかし、ここではありません。

ワークステーションでネットアカウントを実行してADでパスワードポリシーを直接確認することもできましたが、最初に他の場所を探すことにしました。余分な痕跡を残したくありませんでした。ネットワークで大騒ぎして、セキュリティ要件を見つけることができました。大文字と小文字、特殊文字と数字を含むことになっている最小パスワード長は12文字であることが判明しました。そして、彼らはすでにパスワードフレーズへの切り替えを開始しています...私は、ブルートフォースのルールセットを変更し、長い単語、大文字、数字や特殊文字の末尾を使用するようにしました。それは私にいくつかのパスワードをもたらしました！

かっこいい！行こう！私はすぐに彼のパスワードでユーザーのコンピューターにリモートでログインしようとしました...そしてブロックされました。なに…？常に機能していました。パスワードは正しいです。ただし、アクセスは拒否されます。私は自分自身を再確認しました。基本から始めます。正しくやる。ドメインコントローラーを探すのに時間がかかりました。 VoIP電話では、彼のアドレスが登録されているWebページの構成がありました。コントローラーから、LDAPを介してグループポリシープロパティを引き出し、特権を表示しました。設定の山を長く掘り下げた後、リモートアクセスはIT部門全体ではなく、IT専門家のごく一部にしか許可されていないことに気付きました。そして、私は彼らのパスワードをクラックしませんでした。彼らは最小特権モデルを実装しました...これを誰がしますか？

さて、地獄に行きます。コンピューターにアクセスせずに管理します。私は彼らの通信に入ります！だから私はやった。 Outlookで、メール、Skypeチャット、確認済みのメモ、下書きでパスワードを探しました。私は何からでもたくさんの個人パスワードを手に入れました...しかし、サービスアカウントからは1つも持っていません。しかし、私は情報セキュリティ部門からの手紙を見つけました。1週間以内にメールの2要素認証を導入する予定であると書かれています。私はまだ幸運なようです。

あらゆるシステムの最弱点

それからSSOポータルに行きました。 1つの場所ですべての内部アプリケーション。ハッカーの夢！アプリケーションの1つをクリックしました。二要素認証が必要でした。次も。そして次。それはどんなアルカトラズですか？！ハッカーの悪夢！

彼らがCitrixを使用しているのを見ました。彼は二要素認証の背後にいるので、気にしません。私はそれを理解します。 Citrixは、内部サーバーへのアクセスを許可します。ハッカーのラップトップを取り外してネットワーク上で前進するには、内部ホストにアクセスする必要がありました。 6桁のPIN要求でCitrixを開始しました。「クリックしてトークンを受け取る」というボタンと、わずかに編集された電話番号：（xxx）xxx-5309があります。メールで「5309」を検索すると、この電話番号が完全に示されているユーザーの署名が見つかりました。私は彼に電話しました。

女性が答えた。「こんにちは、パム。私はITのジョシュです。 Citrixプロファイルを新しいサーバーに移行しています。 6桁の番号をお送りします。読んでください。念のため、パスワードをお尋ねすることはありません。」私は彼女のパスワードをすでに持っていました。彼女はitしました。「Goodooo ...」ボタンを押して認証トークンを送信し、「完了しました。番号を送ったので、それを受け取ったら読んでください。」彼女は答えた：「うーん...はい、私はやった。 9-0-5-2-1-2」。「ありがとう！ Citrixを数時間起動しないでください！”画面上で60秒間タイマーが作動しました。二要素認証ウィンドウに数字を入力し、「OK」をクリックしました。ログインしました。切り株に行く、二要素認証！中に入ると、何も見えませんでした。何もありません！このユーザーはCitrixを必要としなかったため、何も添付されていませんでした。私は奥の部屋にハッキングしました。

だからこれはクレイジーです。正しいパスワードを見つけることができた場合にのみ、長いパスワードを取得できます。ハッキングされたパスワードを使用しても、少数のグループの誰かが2要素認証をバイパスする必要があります。特にこの保護されたグループからの誰かとのあらゆる試みは、検出のリスクを高めます。くそー...

私はすべてを試しました。私はますます攻撃的なスキャンを開始しましたが、それでもレーダーの下に留まろうと試みました。私は、ネットワーク全体と私が見つけることができるすべてのサービス、そして私が知っていたすべての攻撃を感じました。そして、あちこちでささいなことを見つけましたが、これはどこかで足場を得るのに十分ではありませんでした。私は絶望に陥り始めました。もう二日目の終わり。通常、この時点で私はすでにデータベースを削除し、CEOのメールを読み、ウェブカメラで人々を撮影します。くそー ITスタッフの隠れ家に侵入する時が来ました。私はラップトップを盗みます。

ナイトレイド

私は仕事の後に長引いた。同僚は、仕事の安全性に関するコースを完了する必要があると述べました。彼らはうなずき、投げ捨てた。その後、クリーナーが来ました。彼らが終わったとき、私は放っておかれました。 IT担当者のオフィスに行きました。ドアを見つけました。周りを見回して、ハンドルを掴み......

その前に、私はすでにオフィスのラップトップでさまざまなことを試しましたが、私はローカル管理者ではなく、ディスクは完全に暗号化されていました。私の目標は、ローカル管理者のパスワードハッシュを持つ古い暗号化されていないラップトップを見つけることでした。

誰もいないようにロビーをチェックしました。防犯カメラの天井をスキャンしました。口を開けて頭を下げて、誰かが角を曲がったところから来ているのを聞いた。なし。私は行動する準備ができていました。私は、機械式の鍵で突っついたり、電子アクセス制御システムに対処したり、ヒンジからドアを取り外したりする準備ができましたが、ドアが半開きであることがわかりました。ラッキー。ドアには電子錠と機械錠がありました。保護されたループですら。しかし、その夜、誰かが彼女を見つけたままにしておきました。私はドアを開けて中を覗き込みました。誰も。さあただのほこり。中に入った。

なぜドアが開いたのかわかりませんが、私の仕事の80％はユーザーエラー、56％はスキル、63％は適応性、90％は機能を使用し、80％は運です。そして、数学に関係しているのは約1％だけです...

とにかく。誰かがここに戻ってくるかどうか分からなかったので、仕事に取り掛かりました。隅には、さまざまな年齢、メーカー、モデルのラップトップが山積みになっています。 IT担当者のオフィスに引っかかったり、机の上にラップトップをたくさん置いたりするリスクを考慮して、私は自分の机を選びました。そして今、私はすでにたくさんの古いラップトップをITホールから私のキュービクルに引きずり込み、ピサの斜塔を机の下に折りたたんでいます。次に、暗号化されていない聖杯を探して、フラッシュドライブからすべてのラップトップを起動しようと慎重に試み始めました。

Kaliとsamdump2ユーティリティを備えた起動可能なフラッシュドライブがあります。ラップトップの1つに接続し、ダウンロードして、ハードドライブをマウントしようとします。暗号化に出くわすたびに、私はますます動揺します。最後に、30台のラップトップをテストした後、暗号化されていないドライブで3人の半死者を見つけました。 samdump2を使用して、ローカルNTLMハッシュをSAMから取り出して比較します。したがって、3台すべてのマシンでローカル管理者「ladm」の非標準アカウントを見つけることができます。ハッシュが一致します。エリスの栄光、彼らはLAPSを使用していません。ローカル管理者のアカウントは、すべてのコンピューターで同じです。このハッシュを簡単に解読しました。パスワードは<Company Name> <Year>で、今年は数年前に過ぎました。資産管理のエラー。大好きです。

新しいアカウントでリモートでログインしようとすると、以前と同じエラーが発生しました。ローカル管理者でさえリモートアクセスを拒否されました...自分のオフィスのラップトップにローカルでログインしようとしましたが、成功しました！このアカウントは完全な暗号化を回避しました！マスターキー！だから...すっごく！これは使用できます！しかし、その後、1つの奇妙なことに気づきました...ユーザーデータへのアクセス権がありませんでした。なに？彼らはローカル管理者でもアクセスを制限しましたか？！地獄システムへの特権を増やす必要がありました。

思いついたすべてのトリックを試しました。最後に、引用されていないサービスパスの脆弱性を探して、カップルを見つけました！しかし、結論は、ローカル管理者が正しいフォルダーへの書き込み権限を持っていなかったということでした。はい、ドロップします！その時までに、私はすでに疲れ果てていて、壊れていました。私の17時間のシフトは終了しました。脳はもう機能していませんでした。別の行き止まりでした。別の失敗のためのハードファイティングと成功したハックの別のシリーズ。翌日、彼は家に帰って少し寝なければならなかった。

友達に電話する

翌日、私はすべてを再度チェックして、何も見逃していないことを確認しました。私はチェックできるすべてをチェックし、スキャンできるすべてをスキャンし、頭に浮かんだすべてを行いました。どこでも小さなリードがありますが、価値があるものはありません。ダラスハッカーズの同僚に電話しました。私の試練について彼に話した後、必要な特権がないことを結論が示したとき、私は引用されていないサービスパスの脆弱性に対する希望を崩しました。彼は尋ねました：「それにもかかわらず、あなたはまだそれを悪用しようとしましたか？」凍った。私は試していません。その状態で、私は結論を信じて、自分でそれを確認しませんでした。いいねディレクトリにデータを書き込もうとしました。 Windowsによると、書き込み権限がありませんでした。そして、私はそれをやった。くそーWindows。私は再びdeされました。でも大丈夫。これはドロップデッドです。新しい手がかり。

同僚がすぐにCのローダーを投げて、Powershellのロードを開始しました。私は自分のコンピューターでバンドルを確認しようと試みましたが、すべてがうまくいくようでした。それはひねくれた攻撃でした。しかし、それは私が持っていたすべてです。私がするつもりだった：

ハッカーのラップトップでリスナーを実行する
オフィスのラップトップに物理的にアクセスする
ローカル管理者としてログインする
引用されていないサービスパスでMalvariの束をダウンロードします
外出する
ユーザーのログインとロードの開始を待つ

昼休みが近づいていました。私は同僚のスナックへの招待に笑顔で答え、少し長引いた。最初、私はITスタッフを訪問し、昼食を食べている間に彼らのコンピューターの1つに行くことを計画しました。しかし、私が彼らのオフィスに行ったとき、私は彼らがすべて整っているのを見ました！コンピューターの前で昼食を食べましょう！彼らはそれがどれほど有害なのか知らないのですか？！仕事と休息の分離の欠如と休憩の欠如がストレスにつながるのはどうしてですか？！普通の人のように食事をしませんか？！

はい、行きます。コンピューターをハックします。任意のコンピューター。私はオフィスを歩き回り、誰もいないオフィスを見つけました。投資家。財務をハッキングしてください。私は財布に戻ってきたかわいい小さな老婦人に何か答えました。私がコンピューターを更新するIT技術者であることを彼女に知らせてください。彼女はうなずき、甘く微笑んで去った。イライラし、憎しみと栄光に満ちた顔で、私は彼女の同僚のコンピューターの1つに目を向け、ハッキングしました。

30秒もかかりませんでした。椅子とマウスを到着前の状態に戻しました。もう一度、私はすぐに周りを見て、すべてが正常に見えることを確認しました。そして彼は職場に戻った。リスナーを見つめて座ってください。ある時点で、昼食は終わりました。私も話したくありませんでしたすでに希望を失い始めている、私は見た：

> Meterpreter session 1 opened

そして...

> Meterpreter session 2 opened 
      

        
        
        
      

     > Meterpreter session 3 opened 
      

        
        
        
      

     ... 
      

        
        
        
      

     > Meterpreter session 7 opened

あなたの左！ GETUIDを実行し、NT AUTHORITY \ SYSTEMを見ました。 III ha！

いいね！いいね！だから！うーん...行こう！はい！システムを修正したら、メモリをダンプし、ファイルシステムを掘り始めました。ある種の財務情報。いくつかのパスワードは平文です。機密情報ですが、重大なことはありません。しかしまあ。これはほんの始まりに過ぎません。ブリッジヘッド。そして...

> Meterpreter session 1 closed

私はセッションにしがみついていますが、それらはすべて閉じられています。システムにpingしても応答しません。ポート445をスキャンします。なし。システムは利用できません。これです。ああ。多すぎる。私は起きて、財務部に直行します。私の貝はどうなりましたか？！

角を曲がってみると、かわいい老婦人が最も重く、最も凶暴なIT担当者と話していることがわかります。私はすぐに「ああ、よ...」と言い、老女が私の方向を見て、指を私に向けて、「彼だ！彼は私たちのコンピューターをいじくり回していました！」猛烈なIT専門家に背を向けて、私は反対方向に走り、2人の警備員に出くわしました。彼らは非常に不親切に見え、私が間違ったエリアに迷い込んだことを明確にします。私は血で目が覚め、ケーブルタイで人間工学に基づいたオフィスチェアに縛り付けられ、サーバールームでケーブルを一緒に引っ張りました。 DFIRの頭が私の前に立っており、指の関節が倒れました。彼女の背後には、侵入検知グループのアナリストの小さなチームが笑っています。私は自分から一言絞って...知っておく必要があります... "どのように...？"彼女は私の耳に寄りかかってささやきます： "財務部門の誰もPowershellを起動しません..."

さて...最後に少しドラマを追加しました。しかし、ITスペシャリストに引き継がれた年配の女性にどのように出会ったかという話は本当です。彼らはすぐに私を拘留しました。彼らは私のラップトップを持ち去り、私について経営陣に報告しました。情報セキュリティのディレクターが来て、私の存在を確認しました。そして、彼らが私を理解した方法も本物です。彼らは、Powershellが通常の条件下でPowershellを起動したITの人々や開発者の小さなグループに属さないシステムで実行されているという通知を受け取りました。異常を検出するためのシンプルで信頼できる方法。

結論

ブルーチーム

最小特権モデル
多要素認証
異常を検出するための簡単なルール
深い防御

レッドチーム

挑戦し続ける
仮定しないでください
助けを求める
ラッキー準備
適応と克服

内部の敵：インサイダーレディングの方法

知能