אלי שלמה

עוד יום של סייבר בענן

מתקפות, סימולציות ודרכי הגנה

by · 17/09/2017

כמה זמן לוקח לתוקף לחדור למערכת, לגנוב זהויות ולשוטט ברשת הארגונית עד שאחת המערכות תזהה אותו ואת המתקפה? ימים, שעות, דקות…

לפי הדוחות השונים של חברות אבטחת המידע לשנת 2016 לקח לארגונים לפחות 197 יום בכדי לזהות מתקפה כלשהיא ובמקרה קיצון מדובר על כמה חודשים.

קמפיין של מתקפת סייבר בין אם מושקע או לא כולל מאפיינים דומים של מיפוי הארגון, חדירה לארגון, שיטוט ברשת והוצאת המידעץ במקרים מוצלחים של מתקפה התוקף יוכל לטשטש את עקבותיו ולא נוכל לדעת מה התרחש בדיוק ולעיתים התוקף לא יטשטש את עקבותיו ונוכל לדעת מה תרחש בארגון אבל בשני המקרים לא נוכל לדעת מי היה ומהיכן הגיע בדיוק.

קמפיין מתקפה מבוסס על מודל Attack Kill Chain שלמעשה מפרט בכל שלב של הקמפיין את פעולותיו של התוקף ולמעשה נחלק לשני שלבים עיקריים:

שלב ראשון של גישה אל משתמשים בעלי הרשאות גבוהות (Recon, Infilitration,Dominance)

  • מיפוי חיצוני של הסביבה (מי הארגון, שרתים שעמם עובדים, דרכי התחברות, תשתית דואר ועוד)
  • פריצה אל הארגון באמצעות מתקפה כלשהיא ועל סמך המיפוי החיצוני, למשל באמצעות פישינג
  • מיפוי פנימי של הארגון (מי שרתי AD, איך בנויה הרשת הארגונית, חברים קבוצות וכן הלאה)
  • לאחר מכן תתבצע גניבת זהויות מקומית ומול משתמשים נוספים ברשת
  • בשלב מתקדם של התהליך התוקף יוכל לקחת פרטי זהות של משתמש בכיר עד להשתלטות מול משתמש בעל הרשאות גבוהות כדוגמת Domain Admin

בסיום השלב הנוכחי בתהליך לתוקף יהיו הרשאות גבוהות ועל מנת שקמפיין יהיה מוצלח ככל הנאה התוקף ידאג לא להסתמך רק על פרטי הזדהות בודדים בכדי שלא יהיה מצב שבהחלפת סיסמא התוקף יצטרך לבצע את כל התהליך שוב מהתחלה.

שלב שני – מיפוי נכסים חשובים ושליחת המידע מחוץ לארגון

בשלב שני של התהליך ולאחר שלתוקף יש את כל הפרטים החשובים יתבצע תהליך של חיפוש הנכסים החשובים בארגון ושליחת כל אותו מידע רגיש אל מחוץ לארגון (Asset, exfilitration)

  • מיפוי נכסים חשובים של הארגון ותלוי בהתאם לאופי הארגון (לרוב התוקף יידע מי הארגון ויחפש מידע בעל ערך)
  • גישה וחדירה אל הנכסים חשובים בארגון

  • שליחת כל אותו מידע רגיש אל שרתי התוקף

    *לצורך הענין מידע רגיש יכול להיות כרטיסי אשראי שנמכרים כל אחד ב15 דולר או פטנט של תאגידיםץ

בשלב זה הקמפיין התסיים והתוקף הצליח בקמפיין והציא מידע רגיש מתוך הארגון.

חשוב מאד להבין את מודל Attack Kill Chain שכן הוא מסביר איך מתרחשת מתקפה ואי עובד קמפיין מאחורי הקלעים, בפועל לאחר infilitration לארגון מתבצע שלב גניבת הזהויות של משתמשים לצורך גישה אל משתמש בעל הרשאות.

בחלק הבא נראה איך תוקף שכבר נמצא בארגון יכול להתחקות אחר פעולות משתמשים ובצורה מאד שקטה מגיע אל משתמש בעל הרשאות.

*חשוב להדגיש כי תקיפה בתוך הארגון יכולה להיות עם כלים מובנים או כלים צד שלישי, בסנריו הבא נעבוד עם מספר כלים כאשר חלקם כלים חיצוניים. הסנריו מתאר תקיפה אשר משלבת Pass-The-Ticket, Laterl Movement, Domain Dominance.

התקיפה המתוארת כאן באה להמחיש איך ניתן לתקוף בתוך הארגון וישנם סוגי מתקפות נוספים שניתן לבצע.

סימולציית תקיפה

  • סוג התקיפה – גניבת זהויות מתוך תחנת קצה עם אדמין מקומי
  • אפשרויות תקיפה – internal reconnaissance, lateral movement, pass-the-ticket and domain dominance
  • כלים בתקיפה – Mimikatz, PSExec, CMD,Netsess
  • הסביבה שלנו מורכבת מכמה שרתים ותחנות קצה: שרת DC, שרת ATA, תחנת קצה

בשלב ראשון נבצע לוגין לתחנת קצה עם משתמש רגיל ללא הרשאות אדמין מקומי ולאחר מכן נתחיל בביצוע Enumration מול הסביבה הארגונית עם פקודות בסיסיות של Net user, Net Group.

סימולציית תקיפה

בשלב זה בגלל שהמשתמש אינו אדמין מקומי האפשרות של גישה לצפיה מי חבר בקבוצות אדמין מול שרת AD אינה זמינה כלל ואנו מקבלים הודעת שגיאה של Access is denied.

image

בשלב הבא נאזין לסשן SMB של תחנת הקצה ונפעיל את הכלי Netsess

image

כאשר נפעיל את הכלי לא נראה סשן SMB קיים ולכן צריך לבצע גישה כלשהיא של משתמש בעל הרשאות אל אותו תחנת קצה

*במציאות עלול לקחת זמן מה עד שמשתמ מסוים יבצע גישה כלשהיא לתחנת הקצה וגם אז זה עלול להיות משתמש בעל הרשות נמוכות (שרכו נמשיך ניתן להמשיך את הסן עד שנגיע למשתמש בעל הרשאות)

לפני גישה של משתמש בעל הרשאות

image

לאחר גישה של משתמש בעלת הרשאות לתחנת הקצה באמצעות UNC

image

צריך לשים לב למשתמש eadmin שביצע גישה אל תחנת הקצה ולכן בסשן SMB הקיים ניתן לראות את הגישה ומכאן ניתן להמשיך לשלב הבא.

בשלב הבא נפעיל את כלי Mimikatz בכדי להוציא את המשתמשים הנמצאים בזכרון של תחנת הקצה (מתוך lsa)

image

בקובץ לוג שיצא מתוך הכלי Mimikatz ניתן לראות את המשתמשים הקיימים בזכרון ומכאן ניתן לראות פרטים כגון: HASH NTLM

image

לאחר שלקחתי את HASH NTLM נריץ את הפקודה הבאה שגם היא עם כלי Mimikatz בכדי לקחת את זהות המשתמש.

image

לאחר הרצת הפקודה יפתח חלון CMD חדש ומשם נתחיל לבצע פעולות נוספות מול שרת DC, כגון גישה לתיקיות מקומיות או פתיחת כלים שונים מתוך תחנת הקצה והכי שוב הרצת PSExec מול שרת הDC במטרה לגנוב זהויות מתוך שרת DC.

*בהשוואה לפקודה הקודמת וטרם הרצת הכלים השונים

image

סימולציית תקיפה

במאמר הבא נמשיך בסן תקיפה עד לגישה מלאה מול שרת הDC המקומי ולאחר מכן נוכל לראות איך ATA מבצע זיהוי של המתקפה תוך דקות ספורות וביחד עם שילוב של Defender ATP ניתן לזהות את הפעולות לבצע פעולות מנע.

Tags:

You may also like...

3 Responses

  1. dor הגיב:
    17/09/2017 בשעה 23:11

    אלוף!!!

  2. דוד הגיב:
    25/08/2017 בשעה 17:21

    מאמר מצוין וחייב לציין שהמאמרים שלך משתפרים עם הזמן, תמשיך לכתוב ואני ממתין לעוד מאמרים כאלה

  1. איך לבצע מתקפה (הקדמה) | Eli Shlomo Blog
    10/03/2018

    […] מידע נוסף במאמר הבא מתקפות, סימולציות ודרכי הגנה (מאמר 1/5) […]

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *