?

Log in

No account? Create an account
Как ломали HackingTeam - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Как ломали HackingTeam [Apr. 19th, 2016|12:35 pm]
ArkanoiD
[Tags|]

если кто пропустил,

http://pastebin.com/raw/0SNSvyjJ

очень олдскульно.

Напомню, кстати, параноику на заметку: когда рисуете модель угроз, настоящую, а не на "отъебись", следует помнить об одной вещи: серьезный оппонент ВСЕГДА сломает ваш домен в первую очередь. Причем начиная с определенного масштаба организации вы НИЧЕГО не сможете с этим поделать (сейчас придет Лукацкий и начнет рассказывать, что это не так, а вы его не слушайте). Если хотите, чтобы до чего-то было добраться сложнее, отсекайте весь участок графа атаки, завязанный на домен, доменную почту, введенные в домен рабочие станции, бэкапы и так далее.
linkReply

Comments:
[User Picture]From: vovney
2016-04-19 09:46 am (UTC)
Но как же так! Винда же безопасна! © господин Бешков
)))
(Reply) (Thread)
From: mindfactor
2016-04-19 09:51 am (UTC)
Абсолютно безопасных систем не существует.
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 09:54 am (UTC)
Т.е. захардкоженную винду взломать легче, чем захардкоженный Linux?
(Reply) (Parent) (Thread)
From: mindfactor
2016-04-19 09:56 am (UTC)
"легче" и "сложнее" - слова не о чём.
термин "стоимость взлома" уже имеет какой-то смысл
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 09:57 am (UTC)
Ок. Стоимость взлома у винды - меньше?
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2016-04-19 10:01 am (UTC)
В компаниях побольше стоимость взлома винды, как правило, приближается к "купить уже затрояненную машину в нужной целевой сети".
(Reply) (Parent) (Thread)
From: karpion
2016-04-19 04:03 pm (UTC)
Купить можно только то, что уже существует. А кто делает эту затрояненную машину?
(Reply) (Parent) (Thread)
[User Picture]From: bigwolk
2016-04-19 05:00 pm (UTC)
Рядовой сотрудник компании, решивший скачать бесплатно без регистрации и СМС новую песенку, например?
(Reply) (Parent) (Thread)
From: karpion
2016-04-19 07:25 pm (UTC)
А на проксе это не запрещено?
(Reply) (Parent) (Thread)
[User Picture]From: bigwolk
2016-04-19 07:43 pm (UTC)
Что именно? Какой-нить 0day в движке браузера/flash/pdf/office? Скачивание запароленных архивов с бякой?
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: bigwolk
2016-04-19 09:56 pm (UTC)
Это как? Ходить в интернет только по ограниченному и утверждённому свыше набору сайтов? Не все готовы работать в таких суровых условиях.
(Reply) (Parent) (Thread)
[User Picture]From: amavlyanov
2016-04-20 07:33 pm (UTC)
А работать как?! Это конечно мечта безопасника, но на практике не реализуемая.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2016-04-19 05:15 pm (UTC)
А ее делают стрельбой по площадям.
(Reply) (Parent) (Thread)
From: karpion
2016-04-19 04:07 pm (UTC)
Что за Бешков?
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 04:23 pm (UTC)
Former ms security evangelist
(Reply) (Parent) (Thread)
[User Picture]From: vashik
2016-04-19 07:34 pm (UTC)
Опаньки... Вот это новости.
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 07:43 pm (UTC)
В смысле?
(Reply) (Parent) (Thread)
[User Picture]From: vashik
2016-04-19 07:51 pm (UTC)
Только что узнал о "former" из вашего комментария.

Edited at 2016-04-19 07:51 pm (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: vashik
2016-04-19 07:53 pm (UTC)
Только, оказывается, я неправильно его понял. Андрей former не в том смысле, что ушёл из Microsoft, а в том, что сменил должность.
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 09:47 am (UTC)
Ты вот лучше расскажи, где почитать на чем и как именно взяли Paunch'а
(Reply) (Thread)
[User Picture]From: sorhed
2016-04-19 09:55 am (UTC)
Отличный отчёт. Кейлоггеры рулят, конечно.
(Reply) (Thread)
From: karpion
2016-04-19 04:07 pm (UTC)
Домен - это Windows-домен или DNS-домен? Судя по комментариям - Windows-домен.

Неужели нет способа защитить домен? начнём с того, что нормальный админ никогда не выставит контроллер домена наружу (т.е. снаружи послать пакет на контроллер домена нельзя). Т.е. сначала надо получить возможность запуска программ внутри охраняемого периметра - например, затроянить локальный компьютер.

А если контроллер домена на Самбе?
(Reply) (Thread)
[User Picture]From: vovney
2016-04-19 04:24 pm (UTC)
Бинго
Фишинг решает)
(Reply) (Parent) (Thread)
[User Picture]From: bigwolk
2016-04-19 04:53 pm (UTC)
Windows-домен - лёгкий способ получить контроль сразу над всеми машинами сети. Отличный подарок для злобного хацкера. Насколько я понимаю, обычно ломается какая-то одна машина в домене, дальше из неё вытягиваются хэши-пароли всех пользователей, туда логинившихся. С ними пытаются ломать другие машины, и т.д. Пока не найдут машину, где остались пароли/хэши администратора домена. После чего с правами админа домена можно на любой машине творить всё, что угодно.

Господа win-админы, есть ли возможность как-то ограничить на конкретных ПК права доменных администраторов, или by design они имеют автоматом Local-admin'а на всех ПК домена?
(Reply) (Parent) (Thread)
[User Picture]From: daedmen
2016-04-19 05:28 pm (UTC)
А что делают на локальной машине "хэши-пароли всех пользователей, туда логинившихся"?
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2016-04-19 05:29 pm (UTC)
Оно так устроено.
(Reply) (Parent) (Thread)
[User Picture]From: daedmen
2016-04-19 05:42 pm (UTC)
А можно как-то разграничить, какие пользователей проверять на локале, а каких через доменный сервер, так что бы хэши с него не утекали?
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: bigwolk
2016-04-19 05:54 pm (UTC)
Хэши живут для того, чтобы пользователь смог залогиниться при отсутствии связи с контроллером домена, например.
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 06:33 pm (UTC)
Никто нигде ничего имеет) Но это не спасет)

1. Захват рядовых тачек, повышение привилегий через уязвимости, вплоть до утечки учетки админа рядовых тачек.
2. Потом поиск по всем рядовым тачкам до поиска учетки админа серверов.
3. Потом поиск по серверам до учеток админа домена.
4. Всё.

Ну это если по уму, а так - пункт 0. Троян на компе админа - и сразу все пароли сливаются)
(Reply) (Parent) (Thread)
[User Picture]From: vovney
2016-04-19 06:34 pm (UTC)
Это не считая перехвата трафика, PtH и прочего)
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: bigwolk
2016-04-19 09:59 pm (UTC)
Я несколько не про то. Попробую переформулировать.
Возможно ли Win-машине быть в домене, но при этом быть защищённой от компрометации самого домена? Чтоб злоумышленник не мог по GPO всякую гадость на эту машину влить, чтоб не мог с правами Domain Admins монтировать C$, но чтоб при этом пользователь мог залогиниться в домен и пользоваться всей его инфраструктурой?
(Reply) (Parent) (Thread)
[User Picture]From: amavlyanov
2016-04-20 07:35 pm (UTC)
Как только начинается "удобная централизованная система хранения" неважно уже чего - жди беды.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2016-04-19 05:16 pm (UTC)
Периметра. Наружу. Лопни мои долбаные глаза.
(Reply) (Parent) (Thread)
From: silly_sad
2016-04-19 06:55 pm (UTC)
such an exemplar of dedication!
(Reply) (Thread)