MuIstiinpanot luennolta #6

• Advanced Persistent Threat (APT) https://blog.nettitude.com/uk/apt-testing
• Niklas (esitelmöijä) kirjoittanut gradun kalasteluviesteistä
  • Vierailijaluennon muistiinpanot oman otsikkonsa alla
• Salasanat kannattaa murtaa näytönohjaimella
• WPS helppo murtaa langattomissa
• Eri merkkijonoista tulee sama tiiviste, tiivisteitä tulee
• Applied cryptocraphy
  • O´Reilly: https://learning.oreilly.com/library/view/applied-cryptography-protocols/9781119096726/
  • Adlibris: https://www.adlibris.com/fi/kirja/applied-cryptography-9781119096726
• Linux perusteita: alt+piste edellinen tiedosto

Tehtävä tunnilla: kokeile murtaa tiiviste hashcatilla

hashcat --help|less
hashcat --example-hashes
# tarjoaa kolme arvausta:
hashid '$idtiiviste'
hashid --help
# mode
hashid -m 

Aloitetaan menemällä Johns kansioon mihin oli käyty aiemmin shadow ja passwd tiedostot Metasploitablesta. https://resources.infosecinstitute.com/topic/hashcat-tutorial-beginners/

# otetaan käyttäjän root salasana 
└─$ hashid -m '$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::'
Analyzing '$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::'
[+] MD5 Crypt [Hashcat Mode: 500]
[+] Cisco-IOS(MD5) [Hashcat Mode: 500]
[+] FreeBSD MD5 [Hashcat Mode: 500]
# etsitään wordlist
locate wordlists 
/usr/share/dirb/wordlists/small.txt
/usr/share/amass/wordlists/all.txt
wc -l tiedosto.txt
locate teidosto.txt
# katsotaan 
hashcat -m 0 -a 0 -o catburglar.txt rootshadow.txt /usr/share/amass/wordlists/all.txt  
Hashfile 'rootshadow.txt' on line 1 (avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.): Token length exception
No hashes loaded.

Kokeiltiin useammassa muodossa antaa hashed pw (avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.), mutta ei onnistu. Jatketaan tunnin jälkeen. Suolaus jotenkin sotkee.

# luodaan tiiviste 
┌──(kali㉿kali)-[~/johns]
└─$ echo -n "root" | md5sum 
63a9f0ea7bb98050796b649e85481845
# tallennetaan varjo-tiedostoon
└─$ hashcat -m 0 -a 0 -o catburglar.txt varjo /usr/share/amass/wordlists/all.txt 
# rupeaa krkäkkäämään mutta koska mopo virtuaalikone kyseessä...
ATTENTION! Pure (unoptimized) backend kernels selected.
Using pure kernels enables cracking longer passwords but for the price of drastically reduced performance.
If you want to switch to optimized backend kernels, append -O to your commandline.
See the above message to find out about the exact limits.
# tuloste
hashcat --stdout 
# erilaisia sääntöjä voi luoda .rule tiedostoihin

Kotitehtävien läpikäynti

FoxyProxy

• Pattern
  • HUD vaatii omat asetuksensa, sehän jo tehtävää tehdessä huomattiin, pelkkä zapCallbackUrl ei riittänyt wildcardien väliin, zap toimi
• Koneet tosiaan spawnaavat väärään osoiteavaruuteen, asia pitää varmistaa vielä HtB:n asiakaspalvelusta ennen hyökkäilyn aloittamista sääntöjen kieltämiin osoitteisiin. Onpa kivaa olla oikeassa.
• Tässä vaiheessa yleisöllekin huomiona, että Nessuksen asiakaspalvelu oli muuten yhteydessä rekisteröitymisen osalta, kts. “Via dolorosa, Nessuksen asentaminen”
  • Pitää lisätä sekä Nessuksen että HtB:n asiakaspalveluiden yhteydenotot myöhemmin oppimispäiväkirjaan

Red Teaming F-Secure Style

Hyökkäyksen elinkaari

Niklas Särökaari, vanhempi tietoturvakonsultti

Red Teaming

• Red team simuloi oikeaa hyökkääjää, samat menetelmät jne.
• Ei pyri tuhoamaan vaan arvioimaan kohdeorganisaation valmiutta
• Tarkoitus antaa kohteelle mahdollisuus oppia

Cyber Kill Chain

• Tiedustelu
• Weaponisation
• Toimittaminen
• Exploitation
• Installation, jalan sijan
• Komentokanavayhteys
• Action on objectives, liikkuminen

Unified Kill chain

• Initial Foothold <- usein kaikkein vaikein ja aikaavievin osuus
• Network propagation
• Action on objectives

Metodologia

• Mitre-Att&ck viitekehyksen käyttö
• Viisivaiheinen
  • Projektin aloitus, skouppi, tavoitteet
  • Attack positioning vaihe
  • Attack execution
  • Breach notification <– annetaan kohteelle ilmoitus, häly, tms. jos eivät huomaa
  • Reporting

Red Team Infrastructure

• Ensimmäinen vaihe, infran rakentaminen
  • Yleensä ei suoraan julkiseen verkkoon, se on vanha tapa
  • Pilvipalveluntarjoajien käyttö, mutta silti sama ongelma
  • Redirector pilvipalveluun, mutta on-premier backend, piilottaa backendin
  • Useampia proxy-palvelimia pilvessä, että jos yksi menetetään, säilyvät muut
• Halutaan piilottaa omistajuus
• Halutaan erottaa toiminnallisuus
• Halutaan minimoida liikenteen samankaltaisuutta
• Sulautua normaaliin liikenteeseen, käytetään suuria palveluntarjoajia
  • Disguise C2 framework
• Automatisoida deployment

C2 Funktions, komentokanava

• Phishing call back
• Sustained access
• Longhaul persistence

Domain reputation

• Kk:ksi tai vuosiksi
• Kategorisoi luotettavimmiksi kun omistettu hetken
  • Finanssi tai Health
  • Eka palvelin pystyyn, sitten proxytaan virallinen palvelu
  • Expaired domains sisältää jo kategorisoituja vanhempia domaineja
• Neljä suurinta palveluntoimittajaa
  • Fortinet
  • PaloAlto
  • Symantec
  • McAfee
• 10-20 domainia valmiina polttamaan per harjoitus

Open Source Intelligence

• =OSINT
• DNS enumerations, Shodan, company sites, social media etc.
• Sähköpostiosoitteet, Citrix VPN portals, OWA, ADFS
• Data for pre-texting

Approaches

• Phishing campaigns
  • Eniten käytetty
• Publicly known vuln
  • Pääsee silloin tällöin käyttämään
• Access …
• Fyysinen tunkeutumienn

Payload vs Credentials

• P direct access to network
• code execution
• no worries about mfa

• C More easily reusable

Network Implant

Phishing

• Kalastelu, klassisin, käytetyimpiä menetelmiä
• 80%, kalastelulla pääsee aina sisään
• Ensisijaista tiedustelua
• Kampanjoiden rakentaminen hyvin aikaa vievää

Phishing infra

• Domainit tärkeitä
• Mail servers
  • SPF, DKIM, DMARC
• “Cease and desist” -letters

Bypassing spam filtering

Kampanjat

• Recon Campaigns
  • UPS, DHL, Posti
  • Sähköpostit sisältävät näkymättömiä kuvia
• Pre-texting
  • Saada kohteet uskomaan pitkään tarinaan
• Landing pages
  • Sivut joissa hyökkääjän palvelin
• Make the user exexute
  • Pitää saada kohteet ajamaan haittaohjelmat
  • Makrojen ajaminen
• Credentials
• Code execution
  • Cobalt strike
  • Maksullinen, apt
• AV Evasion, virustorjunnan välttäminen
  • Omaa kustomointia pitää tehdä, ettei virustorjunta älähdä
• Anti-sandbox
  • Jos jää kiinni, tarkoitus vaikeuttaa analysoijan elämää sandboxissa
• Environmental keying
• EDR
  • real-time tracing
  • memory analysis techniques
• Visibility of processes
• Prosessipuut
  • Outlook avannut word-tiedoston joka avaa command line ja powershell, analyst huomaa
• Local Enumeration
  • Query the system
  • Observe the user
• Endpoint protection
  • yritetään päätellä SOC tuotteet
• Domain enumeration: Bloodhound
  • Kerätä tietoa AD-ympäristöstä
  • Visualisointityökalu
  • Tiedon keruu tehdään SharpHoundilla
• Sharphound Collection
  • Ryhmätietoja, sessiotietoja tai käyttäjätietoa
  • Puolustajienkin pitäisi ajaa hyökkäystyökaluja että heikot kohdat löytyy

Privilege Escalation

• Yritetään kasvattaa käyttöoikeuksia
• Tunnettuhaavoittuvuus tai nollapäivähaavoittuvuus, mutta ehkä harvinainen nykyisin, ja saako Red Team käyttää nollapäivähaavoittuvuuksia?
• Konfiguraatiovirheiden väärinkäyttö
• Validit käyttäjätunnukset voittavat nollapäivän - näkymättömämpää ja pidempiaikaista
• Bloodhound ACLS
  • Attacker -> Normal user -> Privileged group -> Objective
• Salasanadumppaus
• Ketkä tietävät Red team kampanjasta?
  • Tilaaja yleensä tietoturvapäällikkö, riskienhallintajohtaja, sisäsen tarkastuksen päällikkö
  • Hyvin pieni ryhmä tietää etukäteen, -“- tietohallintopäällikkö, talouspäällikkö

Host Persistence

• Elevated / Usermode
  • Usermode peruskäyttäjäoikeudet, rajoittaa toimintaa
  • Elevated, hankalampi havaita, enemmän mahdollisuuksia
• Jos käyttäjä buuttaa koneen tms. niin jos ei persistancea, joutuu tekemään hyökkäyksen uudestaan
  • Toki kasvattaa riskiä jäädä kiinni
• Palvelimilla ei tarvitse välttämättä koska niitä buutataan harvemmin
• FireEyeltä työkalu SharpPersist Windows Persistence toolkit.html

Credential Access

• Local Credential Theft
• Security Account Manager (SAM) database
• Local Security Authority (LSA) secrets
• Local Security Authority Subsystem Service (LSAS)
• Domain Controller: NTDS.dit Active Directory database
• DCSync (MS-DRSR)
  • Replokoi domain controllerin
  • Request pw hashes for specified or all accounts

Lateral Movement

• Jalansijan jälkeen pivotoidaan toisille työasemille ja palvelimille ja laajennetaan pääsyä
• Opsec ystävällisempiä kuin toiset
  • PSExec havaitaan aina, WMI myös nykyisin
    • Windows Management In. . .
  • DCOM, RDP hyviä WINRM
  • WINRM
    • HTTP/S
    • Harvemmin sallittu työasemilla mutta palvelimilla yleensä
  • Distributed Component Object Model, ei vaadi pääkäyttäjäoikeuksia

Data Exfil

• Kokeillaan huomaako asiakas jos dataa viedään ulos
• ZIP-filejä salasanoja jota liikutellaan ensin verkon sisällä ja sitten jostain järkevästä paikasta ulos

Q&A

• Miten pääsee töihin?
  • F-Secure Academia
  • Paljon ei ole pentestaajapaikkoja
  • F-Secure, Nixu, Big4, Silver
  • Ala vaatii paljon grindaamista jos konsultiksi haluaa, monta työpaikkaa ja jatko-opinnot alla
• Millainen Red team
  • Ei ole 9-5 duunia - voi tulla millon vaan työtehtävä
  • Projektiliidi joka vastaa johdosta
  • Operaattorit tekee hands-on työtä
  • Tekninen liidi
  • Operaattoreilla erilaisia vaatimuksai ja vahvuuksia tekijöillä
    • Payloadien kirjottaminen, Phishing, perus verkko, Linux
• Kriittinen infra, finanssi, teollisuus, sähkölaitokset, logistiikka, vakuutus
  • Viitisen keikkaa vuodessa Suomessa
  • Ulkomaan keikkoja
• F-Secure ei etu, ei pääsyä F-Securen puolustusjärjestelmiin suoraan
• On-premi häviää, ja kaikki infra pilvessä, ainoa keino Phishing
• Firmat rakentavat sisäisiä tiimejä nykyisin ja tulevaisuudessa
  • Konsultti ja läppäri verkkoon ja katsotaan mitä löytyy pienillä tekijöillä