Cordial saludo a todos los lectores,
Bueno de nuevo aquí, contándoles mis Tales From the Crypt xD
Recuerda este Articulo:
"Single Sign-On causa un Efecto Domino en Forest de Windows!!! "
Si no lo ha leído, lo invito a hacerlo por que es el punto de partida de esta historia.............
Asumiendo que ya lo hizo, continuo entonces..................
Teniendo control total de todos los Servidores del Forest de Windows, debido a las malas practicas y brechas de seguridad alcanzadas. Me pregunte a mi mismo, MI MISMO por que te vas conformar con esto???, si tienes el PODER INFORMÁTICO DE DIOS EN TUS MANOS !!! :p
Que tal si ahora aprovechamos otro vector de ataque!.
Para tal fin diseñe la estrategia adecuada, de acuerdo a mis posibilidades y escaso conocimiento, de como hacerme dueño de las estaciones de trabajo, en donde sabia que encontraría una gran cantidad de información valiosa de la Organizacion y demostrar que no solo un atacante lograría Fuga de Información Sensible, si no que a su vez podría ser dueño, amo y señor de las mismas.
Usando la cuenta con privilegios (lograda en Single Sign-On causa un Efecto Domino en Forest de Windows!!!) , me loguee en el Domain Mater Control del Forest, realizando una exploración en el sistema, me di cuenta que al tener acceso al SYSVOL y a la carpeta del Netlogon, tenia permisos de escritura y podía crear o modificar cualquier archivo!!!
Ah!! pero antes de continuar voy a explicar que es el SYSVOL y el Netlogon:
Cito
El SYSVOL es un directorio (carpeta compartida) que almacena una copia de archivos que deben ser publicos en el Dominio, para mecanismos de acceso y son replicados por el File Replication service (FRS).
Y contiene carpetas como:
Bueno de nuevo aquí, contándoles mis Tales From the Crypt xD
Recuerda este Articulo:
"Single Sign-On causa un Efecto Domino en Forest de Windows!!! "
Si no lo ha leído, lo invito a hacerlo por que es el punto de partida de esta historia.............
Asumiendo que ya lo hizo, continuo entonces..................
Teniendo control total de todos los Servidores del Forest de Windows, debido a las malas practicas y brechas de seguridad alcanzadas. Me pregunte a mi mismo, MI MISMO por que te vas conformar con esto???, si tienes el PODER INFORMÁTICO DE DIOS EN TUS MANOS !!! :p
Que tal si ahora aprovechamos otro vector de ataque!.
Para tal fin diseñe la estrategia adecuada, de acuerdo a mis posibilidades y escaso conocimiento, de como hacerme dueño de las estaciones de trabajo, en donde sabia que encontraría una gran cantidad de información valiosa de la Organizacion y demostrar que no solo un atacante lograría Fuga de Información Sensible, si no que a su vez podría ser dueño, amo y señor de las mismas.
Usando la cuenta con privilegios (lograda en Single Sign-On causa un Efecto Domino en Forest de Windows!!!) , me loguee en el Domain Mater Control del Forest, realizando una exploración en el sistema, me di cuenta que al tener acceso al SYSVOL y a la carpeta del Netlogon, tenia permisos de escritura y podía crear o modificar cualquier archivo!!!
Ah!! pero antes de continuar voy a explicar que es el SYSVOL y el Netlogon:
Cito
The System Volume (Sysvol) is a shared directory that stores the server copy of the domain's public files that must be shared for common access and replication throughout a domain. The Sysvol folder on a domain controller contains the following items:Ahora con Plastilina como me gusta a mi :P
* Net Logon shares. These typically host logon scripts and policy objects for network client computers.
* User logon scripts for domains where the administrator uses Active Directory Users and Computers.
* Windows Group Policy.
* File replication service (FRS) staging folder and files that must be available and synchronized between domain controllers.
* File system junctions.
File system junctions are used extensively in the Sysvol structure and are a feature of NTFS file system 3.0. You must be aware of the existence of junction points and how they operate so that you can avoid data loss or corruption that may occur if you modify the Sysvol structure.
El SYSVOL es un directorio (carpeta compartida) que almacena una copia de archivos que deben ser publicos en el Dominio, para mecanismos de acceso y son replicados por el File Replication service (FRS).
Y contiene carpetas como:
- Netlogon: Carpeta que contiene scripts de inicio de sesión de host y objetos de directiva para los equipos cliente de red.
- Scripts de Inicio: Que el Administrador usa para secuencias de comandos cada vez que un usuario inicia una sesion en una estacion de trabajo registrada en el Dominio.
- Directivas de grupo de Windows.
- Servicio de Replicacion de Archivos(FRS). Carpetas y archivos que deben
- estar disponible y sincronizados entre los controladores de dominio.
- Uniones del Sistema de Archivos. Son una característica del sistema de archivos NTFS 3.0. Debe conocer la existencia de puntos de unión y cómo funcionan por lo que puede evitar la pérdida de datos o daños que pueden producirse si modifica la estructura de SYSVOL.
El diagrama siguiente es un ejemplo de una estructura de SYSVOL típica para un controlador de dominio basado en Windows 2000:
Ya que se entiende la importancia de estos elementos, paso a contar como me aproveche de ellos.
La cuenta usuario, clave, nombres de estacion e Ips son mascaras de las reales para efectos de este Articulo y su realidad.
Se logra acceso al Controlador de Dominio Maestro (XXXXXX001 – 192.1xx.1x.x.1) por medio de la cuenta “usuario” y el password “clave”, la cual posee permisos de escritura sobre la carpeta Netlogon del Servidor y se procede a incluir una Shell inversa haciendo uso de la herramienta multiuso Netcat, la cual nos permite tener prompt o consola de comandos en cada estación de trabajo de los usuarios que al conectarse y validarse en el Dominio XXXXXXX001 ejecutan el script “inicioxxxx” en su inicio de sesión, como se muestra en la figura:
Debido a que tiene permisos de escritura en la carpeta.
Esta puede ser modificada para insertar codigo malicioso o Malware
Los scripts son modificados para injectar un Shell en el puerto 8080. Esto afectara cada autenticacion que se realice en este servidor, debido a que es el servidor de autenticacion, todos los equipos en la plataforma informatica seran afectados descargando la Shell y le daran paso al atacante para comprometer las estaciones de trabajo.
Todo lo que hice fue dejar la estacion de trabajo que me facilitaron conectado con un Netcat en Inversa, y al dia siguiente cuando retorne para continuar mi labor, me encontre con 20 pantallas abiertas de la Shell en Inversa. Entre ellas la del presidente de la compañia. Es ahi cuando digo que este tipo de evidencias son las que pagan el Proyecto, y otras estaciones criticas .
Estacion_02 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola
Estacion_07 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola.
Estacion_07 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola. Carpeta de Mis Documentos.
Equipo XXXXXR07 Comprometido con Shell Inversa NetCat, usuario "usuario2" Informacion de Mails Enviados en el año 2010
Estacion_04 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola
Equipo XXXXX34(192.1xx.1xx.1xx) Comprometido con Shell Inversa NetCat
Equipo XXXXX02(19x.1xx.1xx.1xx) Comprometido con Shell Inversa NetCat
Mis Documentos información sensible
Estacion_03 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola. Se realiza fuga de informacion por unidad de red creada y compartida X:
Carpeta Mis Documentos información sensible
Información sensible Sistema MUISCA.
información sensible como el certificado xxxxx.epf para firmar documentos de la administracion de Impuestos (DIAN)
Estacion del Presidente de la Organizacion registrada en el Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola. Se realiza fuga de informacion por unidad de red creada y compartida X:/”
Equipo XXXXXC54 (192.1xx.1xx.1xx) Comprometido con Shell Inversa NetCat
Equipo XXXXXE01 (19x.1xx.1xx.x5) Comprometido con Shell Inversa NetCat
Equipo XXXXE10 (19x.1xx.1xx.x1) Comprometido con Shell Inversa NetCat
Asi termina este evento de seguridad, en donde no se toman las medidas de seguridad correspondientes para no tener el acceso a este recurso compartido tan vital e importante para el Controlador de Dominio Maestro.
Nuevamente gracias a 4v4t4r y a Sec-track por darme la oportunidad de escribir en su grandioso sitio.
Bytes
Dino
PD: Publicado tambien en Sec-track
3 comentarios:
Hablameeeee DINO que bueno saber que activaste el blog...eso quiere decir que hay tiempo para tomarnos unas polas
huffff excelentes tus aportes en tu blog y en team security
ATT: Paucer
Hola Uknow...
Donde anda...........
Y Paucer Thak you very much, Bienvenido
Publicar un comentario