Найти тему
PRO:PENTEST

Red Team Физика

Всем Привет! Недавно закончился интересный проект, где задачей было физически проникнуть в компанию и выполнить ряд атак на сетевую инфраструктуру.

Выражаю благодарность своим парням, которые выполняли этот долгий проект вместе со мной:

@post_gatto - автор канала fck_harder

@Romanov_ask - автор канала api_0

@KLON2000

Также хотелось поблагодарить @OZOBBOZO - подсказал с инструментом и показал пару приемов для Lock picking в контексте нашего проекта

Итак, наша задача заключалась в том, чтобы проникнуть в офис заказчика и поломать его инфраструктуру любым способом. Руки у нас были развязаны, но о проекте знал только руководитель технической дирекции.

Наш проект мы с командой разбили на несколько этапов, давайте о каждом по-подробнее:

Этап 1 - Разведка

На этом этапе мы выяснили все о компании, где она территориально располагается, какие есть у нее "дочки" и т.п. Попутно в ход идет поиск учеток в слитых базах, поиск телефонных номеров, страничек и аккаунтов в соц. сетях.

По итогу мы получили много полезной информации, но слитые учетки не подходили, как позже выяснилось, для аутентификации в домене. У нас была база телефонных номеров для проведения вишинга, подробная информация о некоторых сотрудниках - все это мы отложили на потом для социалки в случае если не получится выполнить инсайд.

Этап 2 - Разведка цели по месту расположения

На этом этапе один из сотрудников выполнил разведку рядом с офисом и частично внутри него, для того чтобы оценить:

  • Какие есть вектора для проникновения в обход СКУД
  • На сколько бдительно охрана наблюдает за посетителями БЦ
  • Куда ведет подземный паркинг
  • Сопряженные организации, через которые возможно выполнить инсайд
  • Тип СКУД и возможность скопировать пропуск
  • График смен охраны и график работы БЦ в целом
  • Примерная оценка систем видеонаблюдения
  • Различные факторы, которые могут помешать выполнить инсайд

Вдобавок к визуальной оценке, специалист сделал фото/видео регистрацию своих действий, чтобы потом можно было проанализировать различные малозаметные моменты.

Таких "вылазок" специалист совершил большое кол-во в виду того, что каждый раз находились различные препятствия для полной оценки защищенности периметра.

Этап 3 - Подготовка базовых инструментов и гаджетов

<img src="https://img2.teletype.in/files/15/a1/15a1dc34-9b90-49da-b946-74461d639577.jpeg" itemprop="contentUrl">
<img src="https://img2.teletype.in/files/15/a1/15a1dc34-9b90-49da-b946-74461d639577.jpeg" itemprop="contentUrl">

На этом этапе @post_gatto склепал различные устройства:

- Система удаленного видеонаблюдения

- Аппаратный бэкдор на основе малинки

- Bad USB

Мы это посмотрели в книге Андрея Жукова "Физические атаки с использованием хакерских устройств"

Также специалист подготовил Флипперы для работы по СКУДу и другим атакам.

В рюкзаки мы также загрузи много всякой походной штуки, которая по умолчанию у нас должна быть: слесарный инструмент, малинки, ноуты, провода, альфы, заряженные смартфоны, флешки и т.п.

<img src="https://img2.teletype.in/files/dd/cc/ddcc47cb-6561-4372-9b86-8a8f9b945188.jpeg" itemprop="contentUrl">
<img src="https://img2.teletype.in/files/dd/cc/ddcc47cb-6561-4372-9b86-8a8f9b945188.jpeg" itemprop="contentUrl">

Этап 4 - Первые вылазки

Этот проект оказался не таким тривиальным на первый взгляд. Мы ни как не могли получить первый пропуск. Работники носили их на шее или в кармане за толстыми пуховиками. Передвигались в курилку маленькими группами, подойти и так просто скопировать не получится без явного взаимодействия.

Я предложил команде выбрать себе целевого сотрудника и походить за ним везде, в надежде на то, что выпадет случай прижаться где-нибудь в метро или автобусе чтобы скопировать его пропускную карту.

Тогда @Romanov_ask предложил более быстрый вариант, который отработает идеально в контексте прошедших праздников:

  • Арендовать ростовую фигуру зверюшки
  • Купить цветов и шоколадок
  • Дарить подготовленные подарки в честь празника 8 марта девушкам, которые являются сотрудницами целевой компании
  • Выдавать приятный подарок по предъявлению корпоративного пропуска, который можно было скопировать через флиппер, спрятанный в лапе медведя.

Мы с командой долго думали как все обставить "красиво", но в одну вечернюю вылазку в выходной день, мы обнаружили на ресепшене пропуска, которые лежали без присмотра, охраны в этот момент не было.

@post_gatto быстро скопировал несколько штук и ушел из БЦ.

Этап 5 - Добыть пропуски на всю команду

<img src="https://img1.teletype.in/files/83/dd/83dd2bd8-db7c-4463-bd63-52e7bddf1cc2.jpeg" itemprop="contentUrl">
<img src="https://img1.teletype.in/files/83/dd/83dd2bd8-db7c-4463-bd63-52e7bddf1cc2.jpeg" itemprop="contentUrl">

@post_gatto разобрался пропускных карточках и смог сгенерировать несколько значений для словаря Флиппера. На последующих вылазках мы смогли добыть себе 4 валидных пропуска. Но первые скопированные со временем перестали быть активными. (это выяснилось на других этапах)

Этап 6 - Первый инсайд

В субботний вечер наша команда, которая занималась этим проектом проникла в офис заказчика минуя СКУД по валидным пропускам и начала свою работу. Мы разбежались по разным этажам и первым делом начали собирать план помещений, фотографировать модели замочных скважин, если их не удавалось вскрыть, запоминали и отмечали всю важную информацию.

В процессе проекта мы столкнулись с сложностями вскрытия различных замков, тогда мы купили себе подобные и началась история погружения в Lock picking.

До того дня я всегда вскрывал легкие замки у серверных шкафов и элементарный английский профиль в кабинетах. На помощь пришел - @OZOBBOZO и дал много важных и ценных советов, порекомендовал крутой инструмент, записал пару видео-уроков. В итоге мы с командой научились вскрывать целевые замки за недели 2, после уже взяли немного посложнее экземпляры, которые получалось открывать даже обычными скрепками, например как этого друга:

<img src="https://img2.teletype.in/files/1c/90/1c9087ff-4711-4087-b37e-908fd906ca12.jpeg" itemprop="contentUrl">
<img src="https://img2.teletype.in/files/1c/90/1c9087ff-4711-4087-b37e-908fd906ca12.jpeg" itemprop="contentUrl">

Этап 6 - Десятый инсайд

Наконец с примерно 10-й попытки нам удалось открыть целевые замки и выполнить поставленную задачу, у нас были доступы ко всем помещениям в организации, включая серверные комнаты. Оставалось несколько шагов до начала атаки на корпоративную инфраструктуру.

Этап 7 - Получение доменных кред

<img src="https://img3.teletype.in/files/ee/f8/eef8a6ea-59a7-4276-9ee3-f0f726234910.jpeg" itemprop="contentUrl">
<img src="https://img3.teletype.in/files/ee/f8/eef8a6ea-59a7-4276-9ee3-f0f726234910.jpeg" itemprop="contentUrl">

На этом этапе один из специалистов установил под потолком устройство, которое являлось по-сути EvilTwin Wi-Fi точкой, чтобы перехватывать пользовательскую аутентификацию. Тут нас ждал успех, мы получили несколько учеток открытым текстом, с которыми можно уже было работать дальше.

Этап 8 - Атака на корпоративную инфраструктуру

Один из спецов приступил делать внутрянку через wi-fi, а несколько других начали ходить по офису и подключаться вместо принтеров/телефонов чтобы посмотреть другие сегменты сети.

Попутно несколько пентестеров разложили гаджеты для удаленного видео-могниторинга по всему периметру офиса заказчика - это позволило контролировать охрану и людей, которые могли потенциально проявить интерес к нашим специалистам.

Этап 9 - Аппаратный бэкдор

На этом этапе пентестер оставил малинку в качестве закладки и проложил туннель до внешней VPS. Попутно были установлены в системные блоки Bad USB, что позволяло нам всегда получать доступ к некоторым машинам в сети.

Этап 10 - Взятие доменного администратора

Сама внутрянка оказалась несложной, получилось захватить домен через ESC6. Попутно были обнаружены и другие вектора атак, слабые пароли, некорректная сегментация сети, различные популярные "язвы" в инфраструктуре и т.п.

Этап 11 - Празднование победы и формирование отчета

На этом этапе мы с командой отметили очередную победу, спасибо всем кто принимал участие и советом и делом. Я сделал небольшое видео про наш проект, которое вы можете посмотреть в канале. Наш заказчик остался доволен, закрыл все свои проблемные места и теперь готов к таким вот инсайдерским атакам :)

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest