?

Log in

No account? Create an account
Как ломали HackingTeam - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Как ломали HackingTeam [Apr. 19th, 2016|12:35 pm]
ArkanoiD
[Tags|]

если кто пропустил,

http://pastebin.com/raw/0SNSvyjJ

очень олдскульно.

Напомню, кстати, параноику на заметку: когда рисуете модель угроз, настоящую, а не на "отъебись", следует помнить об одной вещи: серьезный оппонент ВСЕГДА сломает ваш домен в первую очередь. Причем начиная с определенного масштаба организации вы НИЧЕГО не сможете с этим поделать (сейчас придет Лукацкий и начнет рассказывать, что это не так, а вы его не слушайте). Если хотите, чтобы до чего-то было добраться сложнее, отсекайте весь участок графа атаки, завязанный на домен, доменную почту, введенные в домен рабочие станции, бэкапы и так далее.
linkReply

Comments:
[User Picture]From: vovney
2016-04-19 09:46 am (UTC)
Но как же так! Винда же безопасна! © господин Бешков
)))
(Reply) (Thread)
From: mindfactor
2016-04-19 09:51 am (UTC)
Абсолютно безопасных систем не существует.
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 09:54 am (UTC)
Т.е. захардкоженную винду взломать легче, чем захардкоженный Linux?
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
From: karpion
2016-04-19 04:07 pm (UTC)
Что за Бешков?
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 04:23 pm (UTC)
Former ms security evangelist
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: vovney
2016-04-19 09:47 am (UTC)
Ты вот лучше расскажи, где почитать на чем и как именно взяли Paunch'а
(Reply) (Thread)
[User Picture]From: sorhed
2016-04-19 09:55 am (UTC)
Отличный отчёт. Кейлоггеры рулят, конечно.
(Reply) (Thread)
From: karpion
2016-04-19 04:07 pm (UTC)
Домен - это Windows-домен или DNS-домен? Судя по комментариям - Windows-домен.

Неужели нет способа защитить домен? начнём с того, что нормальный админ никогда не выставит контроллер домена наружу (т.е. снаружи послать пакет на контроллер домена нельзя). Т.е. сначала надо получить возможность запуска программ внутри охраняемого периметра - например, затроянить локальный компьютер.

А если контроллер домена на Самбе?
(Reply) (Thread)
[User Picture]From: vovney
2016-04-19 04:24 pm (UTC)
Бинго
Фишинг решает)
(Reply) (Parent) (Thread)
[User Picture]From: bigwolk
2016-04-19 04:53 pm (UTC)
Windows-домен - лёгкий способ получить контроль сразу над всеми машинами сети. Отличный подарок для злобного хацкера. Насколько я понимаю, обычно ломается какая-то одна машина в домене, дальше из неё вытягиваются хэши-пароли всех пользователей, туда логинившихся. С ними пытаются ломать другие машины, и т.д. Пока не найдут машину, где остались пароли/хэши администратора домена. После чего с правами админа домена можно на любой машине творить всё, что угодно.

Господа win-админы, есть ли возможность как-то ограничить на конкретных ПК права доменных администраторов, или by design они имеют автоматом Local-admin'а на всех ПК домена?
(Reply) (Parent) (Thread)
[User Picture]From: daedmen
2016-04-19 05:28 pm (UTC)
А что делают на локальной машине "хэши-пароли всех пользователей, туда логинившихся"?
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: vovney
2016-04-19 06:33 pm (UTC)
Никто нигде ничего имеет) Но это не спасет)

1. Захват рядовых тачек, повышение привилегий через уязвимости, вплоть до утечки учетки админа рядовых тачек.
2. Потом поиск по всем рядовым тачкам до поиска учетки админа серверов.
3. Потом поиск по серверам до учеток админа домена.
4. Всё.

Ну это если по уму, а так - пункт 0. Троян на компе админа - и сразу все пароли сливаются)
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: arkanoid
2016-04-19 05:16 pm (UTC)
Периметра. Наружу. Лопни мои долбаные глаза.
(Reply) (Parent) (Thread)
From: silly_sad
2016-04-19 06:55 pm (UTC)
such an exemplar of dedication!
(Reply) (Thread)