Desplazamiento Lateral 101 - PERUHACK2018

Transcript

1. # P E Desplazamiento Lateral 101 William Marchand @WilliamMarchand

2. # P E Whoami ✔ Pentester en Open Sec EIRL

   (Perú) / Open Sec LLC (US). ✔ Instructor Cisco – NetAcad UNAS. ✔ Docente universitario – Universidad Nacional Agraria de la Selva. ✔ Contacto: @WilliamMarchand

3. # P E

4. # P E ¿Qué veremos hoy? ✔ Desplazamiento lateral en

   entornos Windows • Obtención de la penetración inicial • Escalamiento de privilegios y recolección de credenciales • Dumping de Hashes de contraseñas • Descarga de contraseñas de memoria • Abuso de servicios de Windows para desplazamiento lateral (WMI,SMB) • Movimiento lateral con herramientas nativas: Uso de tareas programadas, WMI, Powershell Remoting • Movimiento lateral con herramientas de terceros

5. # P E ¿Qué veremos hoy? ✔ Desplazamiento lateral en

   entornos Linux • ¿Por qué Linux es importante en Movimiento Lateral? • Virtual Machines y Containers como su próximo pivot • Mimipenguin porque no solo en Windows dejan credenciales volando gratis. ✔ ¿Desplazamiento lateral en equipos de red? • Si en Windows y Linux se puede, ¿por qué no en S.O. de red? • Abusando servicios de un router.

6. # P E Desplazamiento lateral en Windows

7. # P E Anatomía de un Pentesting Post explotación Movimiento

   lateral

8. # P E La primera penetración

9. # P E Vectores de ataque ✔ SMBv1 (buffer overflow,

   code execution,...) ✔ Pass the Hash ✔ Envenenamiento WPAD ✔ Credenciales de dominio débiles ✔ Password almacenados como texto plano en memoria. ✔ Aplicaciones vulnerables ✔ ... Para nuestro ejemplo: WPAD (Web Proxy Auto-Discovery) SMB (EternalBlue)

10. # P E Verificando vulnerabilidad SMB

11. # P E Eternalblue en acción

12. # P E Secuencia de Eternalblue

13. # P E Broadcast Name Resolution Poisoning (aKa WPAD) ✔

    ¿Dónde se produce este ataque? • Red corporativa ✔ ¿Cómo se realiza este ataque? • Atacante responde a consultas LLMNR, netbios o MDNS ✔ ¿Cuándo se produce éxito en el ataque? • Sitios web que requieren autenticación • Uso de archivos compartidos ✔ ¿Qué se logra? • Cracking de contraseñas • Ataques de replay • Credenciales en texto plano

14. # P E ¿Cuándo se produce el ataque?

15. # P E Escenario de ataque

16. # P E Usando Responder https://support.microsoft.com/es-es/help/163409/netbios- suffixes-16th-character-of-the-netbios-name

17. # P E Responder: algunas opciones ✔w = --wpad, empieza

    un rogue WPAD server ✔f = --fingerprinter, toma rastros de host que usa LLMNR y nbt-ns ✔r = --wredir, responde a consulta con sufijos netbios ✔F= --ForceWpadAuth, fuerza a autenticación NTML y Basic, el cual manda un prompt de autenticacion.

18. # P E Responder en acción

19. # P E ¿Algo mas fácil?

20. # P E SMB unsigned https://technet.microsoft.com/en-us/library/cc180803.aspx

21. # P E Relay víctima SWITCH Atacante 192.168.99.11 192.168.99.254 víctima

    192.168.99.0/24 víctima víctima víctima víctima víctima víctima víctima víctima víctima víctima Users: Administrator Sysadmin víctima víctima víctima Own3d!

22. # P E Detectando objetivos ✔ Detectamos en la red

    los “smb unsigned” ✔ Si sumamos Responder, el resultado ¡0wn3d!

23. # P E SMB Relay

24. # P E SMB Relay en acción

25. # P E SMB Relay en acción

26. # P E Escalando privilegios

27. # P E Necesidad de escalar privilegios ✔ Habiendo tomado

    el control de un equipo... ✔ Debemos escalar a SYSTEM

28. # P E Escalar a SYSTEM con ByPassUAC ✔ ¿Qué

    es UAC? (User Account Control) Es un componente de seguridad de Windows que perrmite elevar privilegios cuando sea necesaria, solicitando un “permiso” o credenciales si en caso se está operando con una cuenta de usuario estándar.

29. # P E Escalar a SYSTEM con ByPassUAC ✔ ByPassUAC

    con Event Viewer (binario de Miscrosoft auto-elevado). Y que tiene Event Viewer (eventvrw.exe)? • Se ejecuta con privilegio; es un proceso con alta integridad. • Realiza consultas al Registro (HKCU y HKLM), y es posible modificar el registro HKCU por un usuario sin privilegios

30. # P E Escalar a SYSTEM con ByPassUAC ✔ Usaremos

    BypassUAC con el visor de eventos (bypassuac_eventvwr)

31. # P E Escalar a SYSTEM con ByPassUAC ✔ Finalmente...

    https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe- and-registry-hijacking/ Pista, de usuario estándar a system –> CVE-2017-8464

32. # P E Contraseñas y Hashes

33. # P E Extracción de Hashes

34. # P E Extracción de Hashes de un DC ✔

    ¿Donde se encuentran los hashes?... NTDS.dit ✔ Es la base de datos del Directorio Activo de los sistemas operativos Windows Server de Microsoft.Se localiza usualmente en:%SystemRoot%\NTDS\ ✔ Contiene datos del Directorio Activo como por ejemplo, nombres de unidades organizativas, dispositivos, hash de contraseñas de usuarios del dominio, historial de cambios, entre otros. Algunas tablas de interés: Datatable.- almacena obtejos accesibles del Directorio Activo. Link_table.- ofrece referencias a objetos sd_table.- almacena descripciones de seguridad

35. # P E Extracción de Hashes de un DC Tool:

    vssadmin

36. # P E Extracción de Hashes de un DC Copiar

    los archivos ntds.dit y SYSTEM a la unidad C por ejemplo.

37. # P E Extracción de Hashes de un DC

38. # P E Extracción de Hashes de un DC En

    el 2015

39. # P E Extracción de Hashes de un DC En

    el 2017

40. # P E Extracción de contraseñas de memoria ✔ Varias

    opciones con Mimikatz: • Cargar el módulo en el objetivo y ejecutarlo; • Cargar desde meterpreter; • Cargar desde una session PowerShell; etc.

41. # P E Otra forma... Si ya tienes una sesión

    de meterpreter... puedes usar otro exploit para inyectar el payload adecuado...

42. # P E Abuso de servicios de Windows Herramientas nativas

43. # P E WMI (Windows Management Instrumentation)

44. # P E WMI (Windows Management Instrumentation) ✔En red TCP

    135 (RPC) ✔Invoke-WmiMethod ✔Tools de tercero: wmiexec.py Autor: @agsolino

45. # P E Un ejemplo

46. # P E Otra mas con WMI ✔A cambio de

    Psexec cuando hace mucho “ruido”, podemos recurrir a WMI

47. # P E Otra mas con WMI

48. # P E PowerShell Remoting

49. # P E PowerShell Remoting

50. # P E PowerShell Remoting DEMO

51. # P E Abusando de Tareas Programadas ✔ Tareas Programadas

    para establecer persistencia. ✔ Crear una Tarea que cada vez que incia el equipo se ejecuta un comando o script “malicioso” ✔ schtasks /Create /TN /TR /SC /RU Nombre Task Comando Cuándo Quién

52. # P E Abusando de Tareas Programadas

53. # P E Abuso de Tareas Programadas DEMO

54. # P E Empire

55. # P E Escenario de ataque con Empire

56. # P E Empire en acción ✔ Listener http ✔

    Stager multi/bash o multi/launcher

57. # P E Empire en acción

58. # P E Empire en acción

59. # P E Desplazándonos a otro equipo http://www.powershellempire.com/

60. # P E Empire DEMO

61. # P E Herramienta Forense https://youtu.be/hVTkkkM9XDg

62. # P E Movimiento lateral en entornos Linux

63. # P E ¿Por qué Linux es importante en Movimiento

    Lateral? ✔ Linux puede correr DOCKER en forma nativa. ✔ Docker se sustenta en el manejo de memoria, procesos y disco en forma independiente y nativa de linux. ✔ El movimiento lateral no solo es a nivel de Windows, sino de servidores y estaciones Linux y Mac, y hasta de aplicaciones.

64. # P E Docker ✔ DOCKER: Desarrollado por Solomon Hyke

    (2013) en dotCloud. ✔ La idea no es nueva. Viene desde 1979 (UNIX) ✔ Contenedor que incluye todo lo necesario para la ejecución de una aplicación, incluyendo características del sistema operativo.

65. # P E ¿Qué mas con los contenedores? Las mismas

    vulnerabilidades... Malas configuraciones, parches, etc.

66. # P E Movimiento lateral entre contenedores Author: Shaun McCullough

67. # P E ¿”Mimikatz” en Linux? ✔ Mimipenguin, porque no

    solo en Windows dejan credenciales volando gratis. ✔ Credenciales en texto claro en memoria --> procesos ✔ Las compara con los hashes almacenados. ✔ Busca credenciales del sistema, vsftp, apache, ssh. ✔ Ah... se necesita usuario root. ✔ Disponible en bash y python https://github.com/huntergregal/mimipenguin

68. # P E Movimiento lateral en Windows y Linux, pero

    ¿en S.O. de red? Un adelanto...

69. # P E SNMP como ejemplo de explotación ✔SNMP (Protocolo

    simple de administración de red) con versiones 1,2c y 3 ✔Puede estar habilitado como ro (read- only) o rw (read-write). Atacante R1 SNMP Manager Agente SNMP rw habilitado

70. # P E Post-explotación ✔Escaneo a las redes publicadas por

    el router. ✔ Uso de scripting con TCL (Tool Command Language) ✔ Crear tuneles o traducciones convenientes. ✔ o.. simplemente destruirlo todo!!

71. # P E SNMP como ejemplo de explotación DEMO Continuará...

72. # P E

73. # P E Desplazamiento Lateral 101 William Marchand @WilliamMarchand