# Инфраструктура и атака
## Предметная область
Молодая и развивающаяся небольшая компания, закончила разворачивать сеть и готова предоставлять своим клиентам свои услуги своего музыкального агрегатора manphibians reord. Данный агрегатор позволяет молодым музыкальным контентмейкерам провдигаться на разных музыкальных площадках, собирать статистику и предоставляет свои услуги рекомендаций по продвижению контента на музыкальных площадках.
Поскольку компания молодая и активно развивается у них существует только сайт визитка компании, обратная форма связи и служба поддержки.
## Топология сети
Компания заботится о конфеденциальности своих и пользовательских данных, то было принято решение развернуть два firewall от pfsense и linux (iptables/netfilter), на случай, если злоумышленник сможет взломать pfsense, то хакер не сможет продвинуться дальше по инфраструктуре. Сущесвтует свое небольшое хранилище (SRV pool) где будут находится в будущем музыкальные релизы их клиентов, хоститься docker и п.р крутые штуки.
Есть Active Directory с kerberos аутентификацией, для удобного и быстрого взаимодействия с необходимыми сервисами и документами.
Стоит заметить, что служба поддержки занимается исколючительно ответами на вопорсы пользователей, поэтому доступа в AD у них нет.
Так в инфраструктуре сущесвтует несколько отделов:
1. Отдел Менеджеров
2. Отдел службы поддержки
3. Отдел разработки
4. Различные аутсорс работники
Поскольку бюджет был ограничен, от услуг аутсорс SOC было принято временно отказаться.
Принято следующее решение. Завести сервис, который будет агрегировать и обогощать данными колеектор. И временно создали свой простенький самодельный SOC.
## 5 перспективных атак
1. MS Exchange Attacks - Получение доступа к конфиденциальной информации, содержащейся в корпоративной почте.
2. Фишинг
3. CVE pfsense
4. MITM (атака посередине)
5. DDOS атака на web application
## Kill chain
1. OSINT - разведка.
Хакер начинает постепенно изучать компанию manphibians. Первоначально происходит сканирование паортов и изучение сервисов, которые развернуты в данной инфрастуктуре.
Удачно, что mail server, находится в доступности и можно попробовать произвести атаку через него.
С помощью Nessus scaner удается найти CVE-2022-41040. Что дает киберпреступнику несанкционированные права для ms exchange.
2. Вооружение.
Так как есть MS Exchange server с CVE уязвимостью, первая утилита которая будет использована - это ProxyNotShell.
Можно предположить, что большинство компьютеров работает на Windows, можно переписать утилиты mimikatz, чтобы антивирус не смог распознать сигнатуру данной утилиты. Чтобы ориентироваться в инраструктуре также можно использовать утилиту bloodhound.
Написать несколько powershell скриптов, для идентификации устройств в сети (аналог whoiam, arpspoofing и т.д.)
Так как необходимо установить соединение, чтобы можно было получить управление над устройством жертвы, то необходимо использовать reverse shell. Для этого будет использована утилита HTTP-Reverse-Shell, что позволит маскирровать трафик под видом http пакета.
3. Доставка.
Благодаря ProxyNotShell, хакер смог попасть на ms exchange и получил список email адресов работников компании. Теперь он решает применить методы социальной инжинерии. Хакер создает .doc файл с встроенным vba макросом, который скачивает и открывает reverse shell утилиту в тихом режиме.
Найдя в списках email petrov.v-pr@manphibians.com, понимает, что это pr-менеджер и составляет письмо, где представляется бухгалтером и просит открыть .doc файл с изменениями в его зароботной плате.
4. Заражение.
Файл был доставлен и открыт, таким образом злоумышленник попал на компьютер жертвы и теперь можно выполнять различные команды.
5. Инсталяция ПО.
Для того чтобы понять, что за компьютер перед ним было решено использовать не сильно заметный powershell скрипт, который выводит информацию об устройсте (name, SID, Domain, User Id). Далее происходит установка ПО: mimikatz, bloodhound и еще пару крутыш штук.
6. Получение управления.
Хакер находится на компьютере менеджера.
С помощью Bloodhound были определены атаки на AD.
Так с помощью самописного mimikatz был скомпромитирован пароль пользователя. Далее получен хэш-пароля и пробручен. Пароль пользователя: qwerty_summer_2022.
После чего был получен Silver ticket, все через тотже mimikatz, что дает доступ хакеру к любым сервисам в AD через kerberos аутентификацию. Где он попал на FTP-server, где хранятся различные документы.
7. Выполнение действий.
Хакер смог попасть на FTP-server, где хранятся различные документы. Так он смог найти документ, где находится расчетный счет компании, информацию о конкурентах, проведение pr-компании и бухгалтерские отчеты.
Sign in with Wallet
Connect another wallet