Взлом в отрасли Энергетики

Всем привет! Давно не было статеек, все руки тянутся перевести контент в видео формат, который и послушать можно и посмотреть на фоне. Если вы кстати не против, напишите в комментарии.

Сегодня речь пойдет про взлом компании в отрасли энергетики.

День Х.

На объекте стояла замечательный терминал по выдаче пропусков

<img src="https://img3.teletype.in/files/66/84/66845491-a143-4131-8705-1f2b9d9f6217.png" itemprop="contentUrl">

Если вы не знакомы с такой системой то вкратце для получения временного пропуска ваши данные заносят в систему. По прибытию на объект в специальном терминале сканируется паспорт и выдается пластиковая карта. В случае с постоянным пропуском вы можете стянуть паспорт таргета, сдлеать его в хорошем качестве (либо нейронки либо фотошоп в помощь) и зайти под ним, как легальный сотрудник.

OSINT

Если вы не сталкивались с документами наизнанку в социальных сетях, то советую поресерчить в этом направлении. Хотя в свое время знакомые осинтеры мне показывали целые базы с паспортами, снилсами, страховками и прочими документами. Короче кто ищет - тот всегда найдет.

Вот простой пример такой находки - чувак решил поделиться радостной новостью о приобритении новой машины:

<img src="https://img4.teletype.in/files/37/a0/37a0c95a-4099-4275-a1e0-bdefaf48863e.png" itemprop="contentUrl">

Отвлекаясь от темы документов и опираясь на тему находок, обнаружил как-то в гостевой зоне ключ со дня открытия, которой затесался на ряду с корпоративными фотками. (Отмычки не панацея. Внимательность - ключ ко всем дверям) Хотя на самом деле и рисунок ключа не сильно сложный :)

<img src="https://img4.teletype.in/files/7b/4e/7b4e820e-7e28-43d9-a293-c5a5a012b774.png" itemprop="contentUrl">

Bypass терминала СКУД

Так я немного отвлекся. Короче терминал, паспорт пропуск. Коллеги, если у вас стоит такая штука - то не факт что к вам пройти нельзя. Да, она защищает от копирования/кражи пропуска на улице или в общественном транспорте, но не лишает возможности пойти более сложным путем и заполучить заветную карту.

<img src="https://img3.teletype.in/files/6d/17/6d178654-5935-4b07-8ecd-3b62656be95d.png" itemprop="contentUrl">

На этапе проверки была получена обычная HID карточка (скан паспорта внутреннего сотрудника с экрана смартфона), теперь задача пройти сам СКУД. Там был установлен экран куда сотрудники смотрели перед тем, как разблокируется вертушка. Оказывается это был "градусник" - поэтому тут без проблем.

Initial Access

Дальше задачей было найти укромное место, где можно было ткнуться в сетевую розетку. Обычно такие места располагаются в опенспейсах, где сотрудники могли не выйти на работу в силу своего гибридного графика.

Было найдено такое место рядом с принтером.

<img src="https://img2.teletype.in/files/d0/44/d0440263-0b5b-4dbe-b552-dafc0da0f379.png" itemprop="contentUrl">

Далее нужно было обойти портсек, но и этого не потребовалось, сетевая розетка была доступна для работы из "коробки".

Внутряк - настало твое время!

Начинается стандартные процедуры по обследованию сети. Black box подразумевает ручной лут учеток. Но к сожалению данные действия не привели исполнителя к положительному результату. Но тильтовать рано впереди еще много проверок без наличия УЗ. Пока сеть стояла на сканировании, исполнитель пошел искать доступные способы стиллинга учетных записей. Откуда? Правильно! Надо найти чей-нибудь рабочий ПК и стянуть хешики из SAM, SYSTEM, SECURITY (вдруг повезет и заваляются креды Админа). Короче был найден ПК, но обойти BIOS не удалось. Были еще рабочие станции в кабинете, но там существовала необходимость применять слесарный инструмент.

<img src="https://img3.teletype.in/files/20/60/20609f1b-d539-4241-84a4-dc02c4bb6779.png" itemprop="contentUrl">

По пути наименьшего сопротивления возвращаемся обратно. Скан закончен, самое время запулить в метасплоит результаты скана и выполнить базовые проверки при помощи модулей. Ряд проверок был опущен в виду того, что была вероятность заполучить быстро креды. Но в упреждение работы с msf (как правило - это может затянуться в большой инфре), исполнитель начал работать по "низко висящим фруктам" и обнаружил netntlmv1 хешик, когда дернул PetitPotam. Ура! Даже ESC8 не пришлось применять :D

<img src="https://img1.teletype.in/files/84/1d/841d05a7-42c8-41a2-a7d2-6ae18901f387.png" itemprop="contentUrl">

На этом этапе была выставлена аппаратная закладка в виде "Малинки", прописаны маршруты и покинуто место проведения работ.

<img src="https://img4.teletype.in/files/f2/0f/f20f21a7-bbbf-4952-9941-278d3e3fff77.png" itemprop="contentUrl">

Удаленка

Теперь работы стало возможно выполнять с дедика, тоже небольшое достижение. Хэш отправился на брут после чего ничего не получилось :( Потому что пароль протух. Повторная операция "Петит потам спешит на помощь!" была выполнена успешно и теперь настало время атаки DCSync. Получены хешики, но задача была не просто взять домен, но и заползти в технологический сегмент. Тут в здание врывается собака и помогает найти админов с их тачками, где был доступ по второму сетевому интерфейсу вглубь.

Но на этом этапе "Малину" выдернули и исполнитель не смог продолжить дальнейшие работы.

<img src="https://img4.teletype.in/files/31/18/31182a03-df67-414b-80e2-5284dffbf5c0.png" itemprop="contentUrl">

Возможно тут стоило заложить пару закладок на случай их обнаружения. В целом заказчик остался довольным. Получил рекомендации по усилению защиты и красивый отчет.

<img src="https://img3.teletype.in/files/a9/40/a940d641-8113-4b14-a6a7-deb9d42c8496.png" itemprop="contentUrl">

Этот кейс позволил трезво оценить возможные сценарии противодействия и поработать над ошибками. Всем хорошего дня и успешных проектов!

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest