Всем Привет! Недавно закончился интересный проект, где задачей было физически проникнуть в компанию и выполнить ряд атак на сетевую инфраструктуру.
Выражаю благодарность своим парням, которые выполняли этот долгий проект вместе со мной:
@post_gatto - автор канала fck_harder
@Romanov_ask - автор канала api_0
@KLON2000
Также хотелось поблагодарить @OZOBBOZO - подсказал с инструментом и показал пару приемов для Lock picking в контексте нашего проекта
Итак, наша задача заключалась в том, чтобы проникнуть в офис заказчика и поломать его инфраструктуру любым способом. Руки у нас были развязаны, но о проекте знал только руководитель технической дирекции.
Наш проект мы с командой разбили на несколько этапов, давайте о каждом по-подробнее:
Этап 1 - Разведка
На этом этапе мы выяснили все о компании, где она территориально располагается, какие есть у нее "дочки" и т.п. Попутно в ход идет поиск учеток в слитых базах, поиск телефонных номеров, страничек и аккаунтов в соц. сетях.
По итогу мы получили много полезной информации, но слитые учетки не подходили, как позже выяснилось, для аутентификации в домене. У нас была база телефонных номеров для проведения вишинга, подробная информация о некоторых сотрудниках - все это мы отложили на потом для социалки в случае если не получится выполнить инсайд.
Этап 2 - Разведка цели по месту расположения
На этом этапе один из сотрудников выполнил разведку рядом с офисом и частично внутри него, для того чтобы оценить:
- Какие есть вектора для проникновения в обход СКУД
- На сколько бдительно охрана наблюдает за посетителями БЦ
- Куда ведет подземный паркинг
- Сопряженные организации, через которые возможно выполнить инсайд
- Тип СКУД и возможность скопировать пропуск
- График смен охраны и график работы БЦ в целом
- Примерная оценка систем видеонаблюдения
- Различные факторы, которые могут помешать выполнить инсайд
Вдобавок к визуальной оценке, специалист сделал фото/видео регистрацию своих действий, чтобы потом можно было проанализировать различные малозаметные моменты.
Таких "вылазок" специалист совершил большое кол-во в виду того, что каждый раз находились различные препятствия для полной оценки защищенности периметра.
Этап 3 - Подготовка базовых инструментов и гаджетов
На этом этапе @post_gatto склепал различные устройства:
- Система удаленного видеонаблюдения
- Аппаратный бэкдор на основе малинки
- Bad USB
Мы это посмотрели в книге Андрея Жукова "Физические атаки с использованием хакерских устройств"
Также специалист подготовил Флипперы для работы по СКУДу и другим атакам.
В рюкзаки мы также загрузи много всякой походной штуки, которая по умолчанию у нас должна быть: слесарный инструмент, малинки, ноуты, провода, альфы, заряженные смартфоны, флешки и т.п.
Этап 4 - Первые вылазки
Этот проект оказался не таким тривиальным на первый взгляд. Мы ни как не могли получить первый пропуск. Работники носили их на шее или в кармане за толстыми пуховиками. Передвигались в курилку маленькими группами, подойти и так просто скопировать не получится без явного взаимодействия.
Я предложил команде выбрать себе целевого сотрудника и походить за ним везде, в надежде на то, что выпадет случай прижаться где-нибудь в метро или автобусе чтобы скопировать его пропускную карту.
Тогда @Romanov_ask предложил более быстрый вариант, который отработает идеально в контексте прошедших праздников:
- Арендовать ростовую фигуру зверюшки
- Купить цветов и шоколадок
- Дарить подготовленные подарки в честь празника 8 марта девушкам, которые являются сотрудницами целевой компании
- Выдавать приятный подарок по предъявлению корпоративного пропуска, который можно было скопировать через флиппер, спрятанный в лапе медведя.
Мы с командой долго думали как все обставить "красиво", но в одну вечернюю вылазку в выходной день, мы обнаружили на ресепшене пропуска, которые лежали без присмотра, охраны в этот момент не было.
@post_gatto быстро скопировал несколько штук и ушел из БЦ.
Этап 5 - Добыть пропуски на всю команду
@post_gatto разобрался пропускных карточках и смог сгенерировать несколько значений для словаря Флиппера. На последующих вылазках мы смогли добыть себе 4 валидных пропуска. Но первые скопированные со временем перестали быть активными. (это выяснилось на других этапах)
Этап 6 - Первый инсайд
В субботний вечер наша команда, которая занималась этим проектом проникла в офис заказчика минуя СКУД по валидным пропускам и начала свою работу. Мы разбежались по разным этажам и первым делом начали собирать план помещений, фотографировать модели замочных скважин, если их не удавалось вскрыть, запоминали и отмечали всю важную информацию.
В процессе проекта мы столкнулись с сложностями вскрытия различных замков, тогда мы купили себе подобные и началась история погружения в Lock picking.
До того дня я всегда вскрывал легкие замки у серверных шкафов и элементарный английский профиль в кабинетах. На помощь пришел - @OZOBBOZO и дал много важных и ценных советов, порекомендовал крутой инструмент, записал пару видео-уроков. В итоге мы с командой научились вскрывать целевые замки за недели 2, после уже взяли немного посложнее экземпляры, которые получалось открывать даже обычными скрепками, например как этого друга:
Этап 6 - Десятый инсайд
Наконец с примерно 10-й попытки нам удалось открыть целевые замки и выполнить поставленную задачу, у нас были доступы ко всем помещениям в организации, включая серверные комнаты. Оставалось несколько шагов до начала атаки на корпоративную инфраструктуру.
Этап 7 - Получение доменных кред
На этом этапе один из специалистов установил под потолком устройство, которое являлось по-сути EvilTwin Wi-Fi точкой, чтобы перехватывать пользовательскую аутентификацию. Тут нас ждал успех, мы получили несколько учеток открытым текстом, с которыми можно уже было работать дальше.
Этап 8 - Атака на корпоративную инфраструктуру
Один из спецов приступил делать внутрянку через wi-fi, а несколько других начали ходить по офису и подключаться вместо принтеров/телефонов чтобы посмотреть другие сегменты сети.
Попутно несколько пентестеров разложили гаджеты для удаленного видео-могниторинга по всему периметру офиса заказчика - это позволило контролировать охрану и людей, которые могли потенциально проявить интерес к нашим специалистам.
Этап 9 - Аппаратный бэкдор
На этом этапе пентестер оставил малинку в качестве закладки и проложил туннель до внешней VPS. Попутно были установлены в системные блоки Bad USB, что позволяло нам всегда получать доступ к некоторым машинам в сети.
Этап 10 - Взятие доменного администратора
Сама внутрянка оказалась несложной, получилось захватить домен через ESC6. Попутно были обнаружены и другие вектора атак, слабые пароли, некорректная сегментация сети, различные популярные "язвы" в инфраструктуре и т.п.
Этап 11 - Празднование победы и формирование отчета
На этом этапе мы с командой отметили очередную победу, спасибо всем кто принимал участие и советом и делом. Я сделал небольшое видео про наш проект, которое вы можете посмотреть в канале. Наш заказчик остался доволен, закрыл все свои проблемные места и теперь готов к таким вот инсайдерским атакам :)
Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest