Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Промышленная компания Big Bro Group.
- Отрасль: электроэнергетика, нефтегазодобыча, нефтеперерабатывающая промышленность, химическая промышленность, железнодорожный транспорт.
- Деятельность: переработка и транспортировка топливно-энергетических ресурсов, производство, транспортировка и распределение электроэнергии; производство химических веществ; перевозка грузов и пассажиров.
- В состав входят сегменты: энергетика (генерация), химический завод, нефтеналивное хранилище, вокзал и железнодорожные составы.
- DMZ:
- bigbrogroup.dns (Ubuntu Linux (64-bit) )
- 10.126.140.131
- bigbrogroup.host-1 (Ubuntu Linux (64-bit) )
- 10.126.140.132
- bigbrogroup.host-4 (Ubuntu Linux (64-bit) )
- 10.126.140.134
- bigbrogroup.vpn (Ubuntu Linux (64-bit) )
- 10.126.140.189
- phd-bboard (Ubuntu Linux (64-bit) )
- 10.126.140.172
- phpmyadmin (Ubuntu Linux (64-bit) )
- 10.126.140.199
- rdg.bigbrogroup.phd
- 10.126.140.21 Microsoft Windows Server 2012 (64-bit)
- zabbix.bigbrogroup.phd
- 10.126.140.193 Ubuntu Linux (64-bit)
- exch.bigbrogroup.phd
- 10.126.140.20 Microsoft Windows Server 2012 (64-bit)
- Servers:
- application.bigbrogroup.phd
- 172.22.61.14 Microsoft Windows Server 2012 (64-bit)
- backup.bigbrogroup.phd
- 172.22.61.12 Microsoft Windows Server 2012 (64-bit)
- bigbrogroup.pers
- 172.22.61.221 Ubuntu Linux (64-bit)
- DC.bigbrogroup
- 172.22.61.10 Microsoft Windows Server 2008 R2 (64-bit)
- exch.bigbrogroup.phd
- 172.22.61.15 Microsoft Windows Server 2012 (64-bit)
- fs.bigbrogroup.phd
- 172.22.61.11 Microsoft Windows Server 2008 R2 (64-bit)
- rdg.bigbrogroup.phd
- 172.22.61.13 Microsoft Windows Server 2012 (64-bit)
- zabbix.bigbrogroup.phd
- 172.22.61.25 Ubuntu Linux (64-bit)
- LogCollector.bigbrogroup.phd
- 172.22.61.210 Microsoft Windows Server 2012 (64-bit)
- reserv-dc-01
- 172.22.61.9 Microsoft Windows Server 2016 (64-bit)
- srv-dc-01.bigbrogroup.phd
- 172.22.61.10 Microsoft Windows Server 2016 (64-bit)
- ТОЧКИ ВХОДА:
- 1. Exchange PrivExchange
- По умолчанию у Exchange высокие привилегии в домене Active Directory: «группа The Exchange Windows Permissions имеет доступ WriteDacl,
- что позволяет любому ее участнику изменить привилегии домена, среди которых привилегии для операций DCSync».
- В итоге злоумышленник может синхронизировать хешированные пароли пользователей Active Directory,
- что позволит ему выдать себя за этих пользователей и авторизоваться в любом сервисе, использующем NTLM или Kerberos.
- Для Exchange было:
- - 4 брутабельных учетных записи;
- - 3 учетных записи подходили из телеком оператора Future Telecom;
- - 2 учетных записи подходили из банка E-coin Bank;
- На привилегированные учетные записи по умолчанию установлен широко известный пароль, на некоторое количество учетных записей офисных сотрудников установлены пароли из словаря rockyou.
- 2. Домен Big Bro Group имел несколько удаленных администраторов, которые находились в сети телеком оператора Future Telecom;
- Удаленные сотрудники работают за уязвимыми роутерами RouterOS 6.38.1 (CVE-2018-14847, CVE-2019-3924, https://www.exploit-db.com/exploits/44290, https://www.exploit-db.com/exploits/44284),
- в "интернет" проброшен RDP на нестандартном порту 13389. На локальную учетную запись установлен словарный пароль. На хосте:
- 1) запущен уязвимый keepass
- 2) есть небольшой дамп хэшей из офиса для пользователей со словарными паролями
- (У удаленного администратора Big Bro Group, был установлен уязвимый mikrotik ( 10.126.161.70, 192.168.1.1) router os 6.38.1 в сети F-Telecom,
- с проброшенным наружу RDP на нестандартным портом 13389.
- Данный пользователь имел брутабельный пароль.)
- На хосте администратора был keepass, пароль на базу keepass был брутабельный.
- Внутри keepass:
- - несколько учетных записей внутри сегмента Big Bro Group;
- - учетная запись ssh Zabbix;
- - учетная запись от веб интрефейса Zabbix;
- На привилегированные учетные записи по умолчанию установлен широко известный пароль, на некоторое количество учетных записей офисных сотрудников установлены пароли из словаря rockyou.
- 3. На хостах Big Bro был установлен бот, который читал почту и открывал вложения.
- На хостах hr установлен бот, открывающий вложения входящих писем. Возможный вариант использования данной уязвимости CVE-2017-11882.
- Позволяет получить удаленный доступ до машины. Валидны doc и rtf файлы. Возможный вариант использовать WordSteal для похищения паролей Windows.
- На сайте визитке компании были: почта hr и имена и фамилии начальников отделов компании.
- Описание работы:
- Скрипт получает список непрочитанных писем из папки inbox.
- Если в письме есть вложение, идем по белым спискам, описанным в требованиях к скрипту, если письмо соответствует определенным нами критериям, открываем вложение.
- Варианты ответа:
- Домен не из БС (белого списка)
- - Пожалуйста, отправляйте письма с корпоративной почты!
- - Странный домен, отправьте с корпоративной почты!
- - Хмм, что это за домен?
- В письме есть неразрешенные расширения файлов
- - Странные файлы вы мне отправляете.
- - Кажется, вы мне не те файлы отправили
- - А что это за формат файла? Чем открывать?
- Не нашел ключевые слова из БС
- - Письмо получил, отвечу позже
- - Немного занят, прочитаю вечером
- - Это точно мне адресовано?
- Проблема с архивом (неверный пароль, не нашел пароль и т.п.)
- - Возникли какие то проблемы с архивом
- - Что-то не так. Не могу распаковать архив
- - Проблемы с распаковкой архивов
- Доверяем письму и не возникли проблемы с архивами
- - Долго ждал вашего письма!
- - То что надо!
- - Запустил! Работает!
- 4. VPN:
- - учетные записи(2) подходили от абонентов F-Telecom
- 5. Zabbix - система мониторинга.
- Сервер zabbix.bigbrogroup.phd - имел доступ в DMZ и серверную подсеть.
- В пользовательском интерфейсе Zabbix есть вкладка «Scripts » в разделе «Administration ».
- Здесь вы можете создавать собственные скрипты для выполнения различных задач на ваших серверах.
- Эти скрипты выполняются как системные команды на удаленном хосте. Это само по себе не даст вам удаленного выполнения команд.
- Конфигурация агента Zabbix по умолчанию отключает эту функцию. Уязвимость возникает, когда системный администратор обнаруживает эту функцию и решает использовать ее,
- разрешив удаленное выполнение команд на агенте, установив следующий параметр конфигурации EnableRemoteCommands = 1
- poc - https://medium.com/@0x616163/pivoting-with-devops-tools-abusing-zabbix-877e92bf49c2
- Учетные записи от zabbix (ssh и веб интерфейса) были на компьютерах администраторов в keepass.
- 6. Обновления:
- Офис Big Bro Group - так как в нем не было защитников и через него можно было попасть к АСУ ТП, был не пропатчен,
- Командами были использованный несколько уязвимостей (ms17-010, ms12-020)
- 7. Удаленные инженеры АСУ ТП:
- В сети F-Telecom было два удаленных инженера, которые имели доступ в Big Bro, к АСУ ТП
- Инженерные АРМы, с установленным софтом для плк:
- - Engineer_STATION_2(Siemens_STEP7) - 10.126.161.80, 172.22.62.103
- - ENGINEER_STATION_ASU_NO - 10.126.161.90, 172.22.62.113
- Доступ к АСУ из телекома:
- 1) Игрок находит radmin(на 0.0.0.0, порт был наружу) с подбираемой учеткой admin:shadow16
- Игрок должен подключиться по РДП и может взаимодействовать с ПЛК через инженерный софт;
- 2) На устройстве доступен rpcapd на порту TCP 2002;
- Игрок должен послушать трафик и увидеть, что раз в какое-то время на сервер подключается какой-то софт на порт 13338 TCP
- Игрок должен разреверсить протокол и получить RCE
- Игрок должен подключиться по RDP и может взаимодействовать с ПЛК через инженерный софт
- 13338 сыпался очень простые два пакета:
- 1ый с временной меткой и hashlib.sha1(time_p + 'admin').digest()
- 2ой cmd = "whoami"
- cmd_len = len(cmd)
- buf = struct.pack("<H", cmd_len) + cmd
- Так атакующие могли заслать команду в систему под админом и получить доступ к системе.
- 8. DMZ виртуальные машины с rce.
- 10.126.140.172 (Big Bro group)
- Сервис: http://10.126.140.172/
- Redis: 10.126.140.172:6379
- Уязвимость: RCE через веб-приложение с использованием redis и pickle
- Описание:
- Во внешний мир открыт порт redis. База используется приложением для хранения заметок.
- В ней хранятся сессии пользователей, где session:cookie - ключ, а значение - десериализуется модулем pickle.
- Путем подмены значения для действительной сессии в pickle на следующий код возможно получить reverse-shell на внешний IP-адрес
- 10.126.140.199 ( Big Bro group)
- 1. Execution (SQLi+PHP include = RCE)
- 2. 10.126.140.199
- 3. https://www.exploit-db.com/exploits/45020
- 4. Последовательное пошаговое описание действий, которые были выполнены для решения задачи:
- 1. С помощью nmap просканировали сеть 10.126.140.0/24
- 2. Определили, что на узле 10.126.140.199 доступен веб порт 80, внутри была дира /phpmyadmin/
- 3. В процессе энумерейта сервиса подобрали дефолтные креды phpmyadmin:phpmyadmin
- 4. Выяснили, что данная версия содержит уязвимости CVE-2018-12613
- 5. Для уязвимости CVE-2018-12613 обнаружен публичный эксплойт: https://www.exploit-db.com/exploits/45020
- 5.1 Для того чтобы удостовериться в наличии RCE использовали burp
- После получения rce на данных хостах, становится доступен zabbix в сети DMZ
- ПОВЫШЕНИЕ ПРИВИЛЕГИЙ ВНУТРИ ОФИСА:
- На рабочих станциях:
- Unquoted Service Path
- Для данной атаки выбрана служба Adobe Acrobat Update Service, запускающаяся от системы. В реестре отсутствуют кавычки: HKLM\System\currentcontrolset\services\adobearmservice.
- Группе users выданы полномочия на запись файлов в папке: c:\Program Files (x86)\Adobe\Acrobat Reader 2015. Выданы права на запуск и остановку сервиса Adobe Acrobat Update Service.
- Insecure Registry Permissions
- Встроенные службы windows запускаются из под пользователя SYSTEM, поэтому папки, файлы и ключи реестра должны быть защищены с помощью ACL.
- Отключено наследование и выдано право Full Access для группы Users на раздел реестра HKLM\System\currentcontrolset\services\spooler. Также выданы права группе Users на запуск\остановку службы spooler.
- Insecure File/Folder Permissions + Insecure Service Permissions
- AlwaysInstallElevated
- На рабочих станциях возможна установка MSI-файла с повышенными привилегиями (NT AUTHORITY\SYSTEM). [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer] “AlwaysInstallElevated”=dword:00000001
- В домене:
- В сервисных учетных записях прописан SPN и по умолчанию включено слабое шифрование Kerberos, также для сервисных учетных записей установлен словарный пароль rockyou. В совокупности эти факторы позволяют провести атаку Kerberoasting,
- провести offline подбор пароля и получить доступ локального администратора на котором запущена соответствующая служба.
- Учетной записи sharepoint делегированы права, достаточные для техники DCSync. Учетной записи sharepoint установлен пароль из словаря rockyou. Учетная запись подвержена Kerberoasting.
- IT департаменту делегированы права, достаточные для проведения атаки DCShadow.
- Злоумышленники, владеющие учетными записями администраторов рабочих станций могут внести изменения в групповую политику и выполнить произвольный скрипт на рабочих станциях администраторов серверов.
- Logon Scripts: https://attack.mitre.org/techniques/T1037/
- Неограниченное делегирование Kerberos
- Служебной учетной записи включена возможность неограниченного делегирования Kerberos. От имени этой учетной записи запущен Sharepoint портал, сама учетная запись подвержена Kerberoasting.
- Проникновение на сервер sharepoint обеспечивает получение хэшей пользователей ходивших на портал.
- Резервная копия active directory хранится на backup сервере в расшаренной папке, доступной всем сотрудникам IT департамента.
- Сотрудники IT департамента группы технической поддержки осуществляют ее через rdp, оставляя хэши паролей в памяти рабочих станций
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement