הגליון המאה וחמישים של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-150 של DigitalWhisper!
החודש, לפני 26 שנים, פורסם הגליון ה-50 של המגזין המפורסם Phrack, בגליון זה פורסם המאמר "Cracking NT Passwords" ע"י כותב בשם Nihil. במאמרו, תיאר Nihil את הכלי Pwdump האגדי שנכתב באותה השנה (1997) ע"י Jeremy Allison (האגדי לא פחות) מצוות הפיתוח של Samba.
אני בטוח שרוב הקוראים מכירים את Pwdump, אך לכל אלה שלא, מדובר בסב-סבא של הסב-סבא של Mimikatz. לכלי אומנם הייתה רק אופציה אחת - שליפת התוכן מתוך ה-SAM של Windows והצגתו בפורמט בר טעינה לשרתי Samba. אחרי Jeremy Allison, יש שורה של מפתחים שהמשיכה והרחיבה את הכלי כך שיתמוך בעוד מערכות NT של Microsoft. כיום, Pwdump8 תומכת בכל הפורמטים עד Windows Server 2019 (והנה סקירה קצרה ונחמדה של הפיתוחים הנ"ל ע"י Openwall).
למרות שהשימוש בכלי (ובגלגוליו) כיום הוא ברובו זדוני, הפיתוח המקורי שלו נועד להקל על אנשי IT להקים ולחבר שרתי לינוקס בפרוטוקול SMB בסביבה Windows-ית.
זאת הפסקה הראשונה של המאמר:
"Recently a breakthrough was made by one of the Samba team members, Jeremy Allison, that allows an administrator to dump the one-way functions (OWF) of the passwords for each user from the Security Account Manager (SAM) database, which is similar to a shadowed password file in *nix terms. The program Jeremy wrote is called PWDUMP, and the source can be obtained from the Samba team's FTP server. This is very useful for administrators of Samba servers, for it allows them to easily replicate the user database from Windows NT machines on Samba servers. It also helps system administrators and crackers in another way: dictionary attacks against user's passwords. There is more, but I will save that for later."
בהמשך הפיסקה הוא מסביר מעט על המנגנון שמאחורי ה-LanMan ועל המגבלות שלו, ובאחת הפסקאות הוא אף רומז על האפשרות לבצע מתקפות PTH למקרים שבהם יש לתוקף גישה רשתית לאותה העמדה. בסוף, Nihil מציג כלי קטן שהוא כתב שמבוסס על התוכנה הזאת שעושה Brute Force לתוכן על מנת להשיג את הסיסמה המקורית שמאחורי ה-Hash.
אני ממליץ מאוד על קריאת המאמר מכמה סיבות, ואף אחד מהן היא לא טכנית:
- ראשית, התמימות. כיף לקרוא את המאמר ולראות את התמימות שעולה מכמעט כל מילה בו. מי שכתב את הכלי הוא לא איזה Blackhat שניסה להשתלט על רשתות של ארגונים, הוא "בסך הכל" מפתח מצוות הפיתוח של Samba, שחרט על דגלו להנדס לאחור את הפרוטוקול SMB של מיקרוסופט, שפשוט לא מוכנה לשחרר את הקוד שלו. אני בטוח שלפני שפותח הכלי, אנשי ה-IT בארגונים השונים חשבו פעמיים לפני שהם עברו לשרתים מבוססי לינוקס, כי זה אומר לבקש מכל עובד ועובד להרשם שוב פעם עם הסיסמה שלו ובכל פעם שהוא היה משנה אותה - לדאוג שהוא ישנה אותה גם בשרת הנוסף (מיקרוסופט הציגו אתActive Directory לאחר מכן, ממש לקראת שנת 2000(, וכעת, באמצעות הכלי הזה אין בכך צורך, Cronjob קטן על שרת ה-Samba וסינכרון הסיסמאות יתבצע באופן אוטומטי! (תחשבו איך זה, בתור PenTester-ים, להגיע לשרת בארגון, שבשם שמירת הרציפות התפקודית שלו, הוא נדרש להריץ פעם בכמה דקות Pwdump על ה-DC ודוחף את זה לתוך קובץ שאתם נגישים אליו...).
- שנית, כיף לראות איך פעולה כל כך בסיסית היום, נחשבה אז לפריצת דרך, זה גורם לחשוב על האם טכניקות האקינג שכיום נחשבות לשיא הפאר הטכנולוגי ייחשבו בעוד כמה שנים כל כך בסיסיות וילמדו בכל "Crash Course" או יופיעו בכל "Hacking 101". אם היום להציג את סטטוס דו"ח ה-PT שלך ל-ChatGPT כדי לקבל ממנו הוראות איך להתקדם ברשת נשמע קצת מוזר (אבל וואלה שווה לנסות), אז ייתכן שעוד 10 שנים, זה יהיה ברור של-Meterpreter יהיה פלאגין “AutoPT” - ששולח ל-ChatGPT (קיצור של Chat Generative Pen-Tester כמובן) את ה-Output של כל הפלאגינים שמורצים, ומקבל ממנו הוראות להמשך. ובעצם רוב העבודה של ה-Pen-Tester תהיה לנסות לדחוף Rubber Ducky לכמה שיותר פורטי USB של מחשבים בקומה. וברור שילמדו את זה בשעור הראשון של כל קורס שמכבד את עצמו...
- ושלישית, אני בטוח שאף אחד מהם, לא Jeremy Allison, לא Nihil, וכנראה גם לא daemon9 (העורך של אותו גליון) העלו ברוחם שפרסום הכלי והמאמר הזה יהווה את יריית הפתיחה של אחד ממרוצי החימוש הגדולים ביותר של עולם ההאקינג ואבטחת המידע. Microsoft משקיעה כל כך הרבה בהגנות כמו VBS או Credential Guard, וההגנה על סודותיהם של המשתמשים היא אחד ההיבטים המרכזיים בו היא משקיעה. ניתן לראות שימוש ב-Pwdump או Mimikatz על כל צורותיו בכמעט כל דו"ח שמתפרסם כיום, והם עשו, עושים ועוד ימשיכו לעשות לחברה כל כך הרבה כאב ראש לעוד הרבה זמן.
אז קריאה נעימה :)
ובל נשכח להביע את תודתנו הכנה לכל מי שעמל ובזכותו הגליון הזה פורסם! תודה רבה לורה מנס, תודה רבה לדן רווח, תודה רבה להילה זבולון, תודה רבה לאלעד ישעיהו ותודה רבה לנועם עובד!
החודש, הגליון כולל את המאמרים הבאים:
-
המרגל השקט - מתקפות מודרניות על אינטרקומים חכמים - מאת ורה מנס (Claroty / Team82)במאמר זה מספרת ורה את הסיפור מאחורי מחקר ספונטני שביצעה יחד עם צוותה ב-Claroty על רכיב אינטרקום שהותקן במשרדי חברתם. במסגרת המחקר צוותה והיא מצאו שלל חולשות אשר אפשרו לה בין היתר לפתוח את דלתות המשרד תוך כדי מעקף אותנטיקציה, פתיחת המצלמה מרחוק והזרמת הוידאו אל המחשב המרוחק, וכן הדלפת תמונות מכל מכשיר אינטרקום הקיים מדגם זה ומחובר לאינטרנט.
-
Finding a Local Privilege Escalation Vulnerability in a macOS App - מאת דן רווחאפליקציית VideoStream היא אפליקציית Wireless שמבצעת סטרימינג של וידאו ומוזיקה ל-Google Chromecast. עד אמצע 2022 היא הייתה קיימת כחלק מחנות האפליקציות של Chrome App Store, ולאחר הפסקת התמיכה ב-Chrome App Store היא המשיכה כאפליקציה עצמאית. על פי הנתונים מהאתר נראה ש-VideoStream די פופולרית ומותקנת על למעלה מ-5 מיליון מכשירים. המאמר הבא מתמקד בחולשת LPE שנמצאה באפליקציה זו ע"י דן ומתאר את תהליך המחקר וכתיבת האקספלויט. החולשה נמצאת במנגנון העדכון של Videostream ומאפשרת לתוקף לדרוס כל קובץ במערכת כ-root - מה שמאפשר שבסופו של דבר לתוקף להשיג הרשאות root.
-
נוסחה רעילה - מחקר נוזקת Excel - מאת הילה זבולוןבמאמר זה הילה מציגה מחקר אודות קובץ Excel אשר לקח חלק מקמפיין תקיפה נרחב ושיוצרו הצליח לשלב הנדסה חברתית עם יצירתיות טכנולוגית על מנת להפיל את קורבנותיו. כחלק מהמאמר הילה מציגה את הנושא של פקודות Macro במסמכי Office וכיצד ניתן לעקוף את מנגנוני הסריקה אודותם תוך כדי שימוש ב-"פורמולות", פיצ'ר עתיק במסמכי Office שנתמך מגרסאות ישנות מאוד של מערכת קבצים זו.
-
WinAPI Hashing - מאת אלעד ישעיהוהמאמר הבא עוסק בעיקרו בטכניקה בשם WinAPI Hashing המשמשת להתחמקות מתוכנות Anti-Virus שונות. WinAPI Hashing מתייחס לתהליך של יצירת ערך Hash ייחודי עבור מחרוזת נתונה עבור פונקציות Windows API. כותבי תוכנות זדוניות משתמשים בטכניקה זו כדי להתחמק מזיהוי על ידי מוצרי אבטחה המסתמכים על חתימות סטטיות או ניתוח התנהגותי. על ידי ערפול שמות הפונקציות והמודולים המשמשים את התוכנה הזדונית, קשה יותר למוצרי אבטחה לזהות ולחסום את ההתנהגות הזדונית. במאמר זה אלעד יציג כיצד טכניקה זו עובדת, כיצד לבצעה וכיצד לכתוב חוקי YARA אשר נועדים לאתר שימוש בה.
-
פתרון ה-CTF פסח של בסמ"ח 2023 - מאת נועם עובדכמדי שנה, גם השנה, החבר'ה מבסמ"ח פרסמו אתגר טכנולוגי בעל מספר חידות הקשורות בנושאים טכנולוגים שונים ומגוונים. במאמר זה נועם מציג את פתרנותיו לחידות אלו, את הכלים בהם הוא השתמש ואת דרך החשיבה שלו בעת הפתרון. את הפרסום לאתר ניתן היה למצוא במספר מקומות, אחד מהם היה חשבון האינסטגרם של בסמ"ח. פורסמה בו חידת מילים הקשורה להגדה של פסח ופתרון שלה יצר כתובת של אתר החידה.