full
by ИнкогнитоHack the web
.
Перед прочтением, я создал отдельный канал где буду проводить вебинар и это твой шанс попасть ко мне в команду и начать зарабатывать - ТЫК
В этой статье мы поговорим о хакерских инструментах, которые помогут эксплуатировать уязвимости, закрепиться и продвинуться в целевой инфраструктуре. Для этого рассмотрим основные актуальные проекты, их функции и особенности. Надеюсь, ты найдешь для себя что-нибудь новенькое или по ходу чтения придумаешь, как сделать свой рабочий процесс еще эффективнее.
Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках. А раз это последовательность действий, значит, ее можно и нужно автоматизировать.
Если ты выступаешь на стороне Red Team, то тебе в работе просто необходимы инструменты, которые помогут автоматизировать выполнение рутинных операций. При этом важно обеспечить высокий уровень скрытности и к тому же иметь возможность работать совместно с другими участниками Red Team.
Стоит учитывать, что большинство критичных систем в наше время прячется за системами обнаружения и предотвращения вторжений (IDS, IPS) и им подобными комплексами, а на рабочих станциях развернуты средства антивирусной защиты. В таких случаях нужна более тщательная разведка с применением в том числе социальной инженерии, чтобы иметь представление о структуре и атакуемых ресурсах.
Как известно, идеальных систем не бывает — всегда найдется уязвимое место, где можно закрепиться и продвинуться вглубь. Но если у тебя одна-единственная точка входа, то каждый твой шаг должен быть досконально продуман и каждое решение должно быть тщательно взвешено.
Что такое постэксплуатация?
Итак, ты, вооружившись своим любимым Nmap или Masscan, с любопытством рассматриваешь результаты рекона и уже, наверное, потираешь руки, перебирая в голове первые пришедшие на ум эксплоиты, анализируешь возможности и предвкушаешь будущие завоевания.
Как понятно из самого термина, постэксплуатация означает в основном действия, которые следуют после того, как атакуемая инфраструктура была скомпрометирована. Ценность взломанной системы определяется весомостью фактических данных, хранящихся в ней, и тем, как ты можешь их использовать в своих целях.
То есть постэксплуатация — это, по сути, то, как можно использовать информацию о скомпрометированной цели. На данном этапе речь идет о сборе конфиденциальной информации, ее документировании, а также о настройках конфигурации, сетевых интерфейсах и других каналах связи.
Для атакующего важно хорошо ориентироваться и представлять, где какие данные хранятся, а также быстро перемещаться внутри атакуемой системы, обеспечивая максимальную скрытность: использовать прокси-серверы, туннелированные соединения (pivot) и так далее.
При большом скоупе сетевых ресурсов бывает сложно оперативно разобраться и понять, где какие уязвимости найдены, какие логины и пароли к чему относятся, какие сетевые зоны безопасности откуда доступны, где загружен пейлоад и где можно повысить привилегии.
В таких ситуациях и выручают фреймворки, которые объединяют в себе нужную информацию и дают возможность быстро рулить процессом и продвигаться в атакуемой системе. В них же могут входить и более удобные инструменты постэксплуатации.
Metasploit Framefork
https://www.metasploit.com
Начнем, конечно же, с Metasploit Framework компании Rapid 7. На момент написания статьи доступна версия 5.0.48. У Metasploit сегодня больше всего модулей — есть средства почти на все случаи жизни. Также он работает с локальной базой данных, которая может включать информацию по сканированию, обнаруженные учетные записи и прочее.
Этот фреймворк с оболочкой Armitage может выступать и в роли сервера C2 (Command and Control). В качестве основной полезной нагрузки используется Meterpreter — интерактивная оболочка, с помощью которой атакующий может исследовать целевую машину, выполнять команды ОС, инжектить полезную нагрузку в легитимные процессы и многое другое. Для генерации полезной нагрузки служит инструмент msfvenom.
Metasploit полезен как в эксплуатации уязвимостей, так и в постэксплуатации. Имеется возможность обхода средств антивирусной защиты, систем предотвращения вторжений (IPS) и других технологий безопасности. В нем ты можешь написать свой собственный модуль на одном из трех языков — Go, Python или Ruby, а также запустить RESTful-сервис на базе PostgreSQL для подключения нескольких консолей Metasploit или внешних инструментов.
Это самый популярный фреймворк, у него большое комьюнити, и о нем написаны горы документации и полезных советов, поэтому мы спокойно идем дальше.
Cobalt Strike
https://www.cobaltstrike.com
Последняя версия — 3.14 от мая 2019 года. Это отличный фреймворк для эксплуатации и постэксплуатации. В качестве пейлоада используется beacon, у которого есть возможности обфускации и фриза для обхода антивирусов. Поддерживает миграцию в процессы. Подходит в качестве сервера C2 — особенно удобно ориентироваться при большом скоупе. Из коробки имеет генератор полезных нагрузок в один клик, а также различные методы доставки, что экономит немало времени.
Кредо Cobalt Strike — это скрытность. Beacon большую часть времени находится в состоянии фриза или сна, и на C2 отправляется только «сердцебиение» (Heartbeat), так что обнаружить его непросто.
Самый крупный недостаток «Кобальта» — он недоступен для рядовых пользователей. Cobalt Strike — коммерческий продукт, и разработчики серьезно относятся к распространению. Есть пробный период на 21 день, но в таком режиме ты столкнешься с существенными ограничениями.
Cobalt Strike генерирует собственные исполняемые файлы и библиотеки DLL с помощью Artifact Kit. Они, в свою очередь, отправляют полезную нагрузку, что помогает обойти некоторые антивирусы. Пробная версия включает только шаблон Artifact Kit без возможности создавать исполняемые файлы.
Также триальная версия «Кобальта» не загружает и не использует гибкие профили C2. Это функция, которая позволяет пользователям изменять сетевые индикаторы в полезной нагрузке Beacon. Каждый HTTP-запрос GET пробной версии включает заголовок X-Malware со строкой EICAR в качестве содержимого. Аналогично модули для атак на Java включают файл EICAR внутри пакетов .jar.
И наконец, из пробной версии удален основной энкодер полезной нагрузки Cobalt Strike. Все эти ограничения сделаны для того, чтобы пробную версию нельзя было использовать в злонамеренных целях.
EICAR (или — от European Institute for Computer Antivirus Research) — это небольшой 68-байтный COM-файл, который не является вирусом, а всего лишь выводит текстовое сообщение и возвращает управление операционной системе. Файл был создан как единый стандарт проверки работы антивируса и представляет собой такой набор байтов:
EICAR-Test-File
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Covenant
https://github.com/cobbr/Covenant
Переходим к менее популярным, но все еще достойным внимания вариантам. Covenant — это опенсорсный фреймворк для постэксплуатации, который работает на .NET Core. У Covenant есть поддержка Docker, что позволяет легко поднять контейнер с ним на любой системе. В состав фреймворка входят три компонента: Covenant — серверная часть, Elite — консольный клиент (временно исключен для доработки в последнем релизе) и Grunt — имплант. У этого фреймворка понятный и простой пользовательский веб-интерфейс, доступны три пользовательские роли.
Основное предназначение — служить сервером C2 для Red Team. Генерировать полезную нагрузку можно прямо из веб-интерфейса либо из консольной части. Вот все доступные варианты.
На дашборде — активные сессии, список задач для имплантов и список listeners.
То есть при командной работе атакующие видят, какая информация и откуда уже получена, где какой тип имплантов активен и так далее. Результаты сохранены в виде тикетов с номерами, сохраняется также вывод команд.
Страница редактирования профиля listener позволяет изменять любой параметр, включая заголовки запросов и ответов, обратные вызовы, а также форматы запросов и ответов. Для удобства восприятия есть граф, где отображаются связи вида «listener — родительский узел — дочерний узел».
Вся собранная информация с атакуемых ресурсов категорирована. У фреймворка есть интерактивная командная оболочка с подсветкой всех доступных команд.
Covenant можно кастомизировать, создавая свои шаблоны. А также он отлично подходит для решения задач постэксплуатации Windows.
Apfell
https://github.com/its-a-feature/Apfell
Apfell — кросс-платформенный фреймворк для постэксплуатации, построенный на базе Python 3 и Docker. Как и Covenant, он рассчитан в первую очередь на использование участниками Red Team в качестве сервера C2.
По сути, Apfell применяет веб-контейнеры и контейнеры Docker для внутренней части, где сервер на Python обрабатывает большую часть веб-запросов через RESTful API и WebSockets. Затем этот сервер обрабатывает соединения с базой данных PostgreSQL и связывается с другими контейнерами Docker через RabbitMQ. Это позволяет размещать отдельные компоненты на отдельных физических компьютерах или, при необходимости, на разных виртуальных машинах.
Фреймворк способен объединять работу нескольких команд. В менеджере операций можно посмотреть статус, настроить права и связи. Целью разработчиков Apfell было создание простого окружения, где агенты настраиваются по принципу plug-and-play.
Процесс сборки предельно быстрый и незамысловатый благодаря поддержке Docker. База данных содержит всю основную информацию для атакующих: найденные учетные записи, пейлоады, таски, респонсы, файлы и скрины. Apfell позволяет использовать в рабочем процессе классификацию MITRE ATT&CK. А еще каждую активность можно комментировать, что помогает работать в едином информационном пространстве с коллегами. Генерация полезных нагрузок происходит в веб-интерфейсе, есть консоль управления агентами.
Apfell — достойный фреймворк, но только для выполнения задач Red Team. Для других задач он вряд ли подойдет из-за своей узкой направленности.
Faction C2
https://www.factionc2.com
Фреймворк для постэксплуатации. Как ты уже догадался, это очередная платформа для развертывания C2. Она обеспечивает легкость взаимодействия с агентами посредством хорошо документированного REST API и Socket.IO.
Faction состоит из ядра, которое отвечает за взаимодействие пользователей с агентами, окружения для создания модулей и агентов, а также CLI для управления фреймворком. Пользовательские роли разграничены на админа, оператора и read only.
В настоящее время Faction поддерживает только полезные нагрузки и модули на .NET. В качестве примера полезной нагрузки используется Marauder, но ты можешь без проблем создать и свой собственный.
В основе взаимодействия Faction и агентов лежит гибкая система коннекторов, которая обеспечивает надежную шифрованную связь. По дефолту стоит DIRECT — это соединение напрямую с C2. При создании нового коннектора генерируется API-ключ.
Faction также позволяет запрашивать данные с помощью SQL-запросов, что иногда бывает удобнее, чем взаимодействие с веб-интерфейсом.
В целом это неплохой вариант, но очень не хватает интерактивности и более глубоких настроек инструментов.
Продолжение следует...
ОБЯЗАТЕЛЬНО ПОСЕЩЕНИЕ НАШЕГО ВЕБИНАРА - ТЫК
Incognito | Soft - не забываем подписываться на наш второй канал!
Chatex - лучший обменник в телеграмме
World of Dogs — клановые бои, рейды, более 1000 вещей, которые можно продать за реальные деньги
Incognito Shop - официальный магазин цифровых товаров канала Incognito/Soft