Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

hacking tools

На днях ребята из хакерской группировки Shadow Brokers выложила в сеть очередную партию украденных инструментов у Equation Group, которая сотрудничает с АНБ. Для тех кто не в курсе АНБ, или как говорят наши американские братья NSA, — это секретная государственная структура, которая занимается взломом своих граждан на законной основе.

Ребята из Shadow Brokers уже давно пытаются продать эти хакерские инструменты в глубоком вебе в другом интернете. В начале цена была сумасшедшая, потом они начали ее спускать, но все тщетно.

Эксплуатация уязвимости Eternalblue

Содержание

  • Предисловие
  • Powershell Empire
  • Постэксплуатация
  • FuzzBunch
  • Защитные меры

Клиента они так и не нашли и решили выложить бесплатно. Предыдущие порции эксплоитов нечем особенно не впечатляли, но эти будут радовать хакеров еще долгое время. Особенно те, которые лежат в папке Windows.

Последний раз такой хэппенинг для хакеров был в 2008 году. Тогда хакерский андеграунд получил в руки уязвимость, которую эксплуатирует по сегодняшний день.

Почему, разве разработчики не пытаются выпускать обновления и закрывать дыры?

Да, пытаются, но некоторые товарищи знать не знают и слушать не хотят про информацию безопасность, они до сих пор сидят на Windows XP или других подобных старых дырявых версиях или не обновляют новые версии Винды. А таких как я называют параноиками (читаем комменты в наших пабликах). Вот почему подарок хакерам от Shadow Brokers будет актуален еще долгое время.

Вчера я раздобыл весь материал и просидел всю ночь изучая эти инструменты, сегодня утром решил, что об этом должны знать все подписчики и посетители сайта. Больше всего меня впечатлило несколько инструментов это: фреймвор FuzzBunch, Empire и эксплоит EternalBlue.

В этой статье я хочу показать, как используя эти инструменты хакеры могут взломать ваш компьютер эксплуатируя уязвимость ETERNALBLUE, ну и в конце статьи я дам рекомендации как защититься от подобного взлома.

На сегодняшний день Shodan находит 2,218,202 компьютеров с открытым 445 портом из них 120,156 из России. Часть из них могут быть взломаны удаленно эксплуатируя уязвимость MS17-010.

FuzzBunch позволяют эксплуатировать опасные RCE-уязвимости операционной системы Windows практически в автоматическом режиме. Эта уязвимость устранена с выходом пачта MS17-010: он устраняет 6 проблем Windows SMB Server, 5 из которых позволяют выполнить произвольный код через создание специального пакета Server Message Block (SMB) 1.0.

Статья носит исследовательский характер. При ее написании использовалась общедоступная информация. Применение описываемых техник или методик, или их частей в противозаконных и противоправных действиях запрещена. Соблюдайте законодательство.

По умолчанию арсенал Kali Linux позволяет проводить множество атак на машины под управлением ОС Windows, но двух современных инструментов в ней не хватает. В данной статье речь пойдет об инструментах Empire и FuzzBunch, которыми стоит дополнить ваш дистрибутив, чтобы существенно расширить возможности для эксплуатации и постэксплуатации Windows систем в сети.

Empire

Powershell Empire предоставляет модульную платформу для пост-эксплуатации, используя возможности средства автоматизации ОС Windows PowerShell.

Empire агенты полностью работают в оперативной памяти и их сложно детектировать средствами защиты, т.е. антивирусным ПО и системами предотвращения вторжений из-за того, что они написаны на скриптовом языке и во время выполнения между агентом и антивирусным ПО стоит интерпретатор скриптового языка, в отличие от классических пейлоадов, скомпилированных в ассемблер и исполняемый файл.

Установка Empire

  1. Скачиваем Empire с github
  2. Запускаем скрипт Empire/setup/install.sh для установки зависимостей в систему.
  3. Далее запускаем скрипт для инициализации базы данных Empire/setup/setup_database.py
  4. Установка завершена.

Запуск и базовая настройка Empire

Запускаем фреймворк скриптом ./empire и попадаем в главное меню

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Основные понятия, с которыми нам придется столкнуться это listener, stager и agent.
Listener – локальные IP адрес и порт, к которым должен подключаться агент при успешном выполнении на стороне жертвы.

Командой listeners переходим в режим конфигурирования листнера и создаем новый листнер по адресу

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Как видим, порт теперь прослушивается:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Stager – способ доставки Powershell Empire агента на машине жертвы. По аналогии с фреймворком Metasploit, существует stage0 и stage1, где будем считать, что stage0 – способ доставки Empire агента, а stage1 – сам агент. На самом деле процесс доставки несколько сложнее, о чем можно подробно почитать на официальном сайте.

Командой usestager можно выбрать следующие варианты для stage0 (далее стейджер):

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Самый распространенный стейджер – launcher, выберем его и настроим на подключение к листнеру test, который мы создали на предыдущем шаге.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Далее можно настроить некоторые параметры для стейджера:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

В частности опция Proxy по умолчанию выставлена в default, что означает использование системных настроек прокси на стороне жертвы.

Командой generate создается стейджер типа launcher.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Он представляет собой закодированную powershell команду в base64, которую необходимо выполнить на стороне жертвы.

Альтернативным способом генерации stage0 команды для стейджера launcher может быть команда:

launcher [имя_листнера] из меню listeners

Есть и другие стейджеры, которые могут быть использованы в зависимости от ситуации. Перечислим основные из них.

  • launcher_bat – агент доставляется на машину жертвы при запуске bat-файла.
  • launcher_vbs – агент доставляется на машину жертвы при выполнении vbs-скрипта.
  • macro – будет сгенерирован код для макроса, который можно внедрить в документ MS Office.
  • dll – запуск powershell агента внутри процесса, отличного от powershell.exe при помощи техники Reflective DLL loading.

Стейджер dll позволяет интегрировать Empire с фреймворком Metasploit и другими современными инструментами. При помощи эксплойта требуется провести инъекцию вредоносной DLL в атакованный процесс, после чего произойдет загрузка Empire агента в оперативную память машины жертвы и его выполнение.

Запустим сгенерированный код нашего стейджера launcher на машине «жертве»:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

На машине атакующего в интерфейсе Empire видим сообщение:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Это означает, что между машиной атакующего и машиной жертвы теперь установлено соединение и агент готов получать команды.

Для удобства можно переименовать агента:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Далее, для перехода в режим взаимодействия, выполним команду interact и при помощи команды help увидим доступные опции:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Постэксплуатация

После получения активной сессии с агентом нам доступно множество команд. Документацию по всем возможностям фреймворка можно найти на официальном сайте powershellempire.com.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Все модули разбиты на группы. В качестве примера продемонстрируем работу нескольких модулей.

Модуль credentials/powerdump для сбора хэшей пользователей.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Запуск mimikatz из меню агента Empire

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Получили пароль в открытом виде от поставщика WDijest

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

FuzzBunch

14 апреля 2017 года был опубликован новый дамп от группы хакеров, именующих себя The Shadow Brokers. Среди прочего в дампе находится фреймворк FuzzBunch, позволяющий эксплуатировать опасные RCE-уязвимости ОС Windows практически в автоматическом режиме. Основная порция обнародованных уязвимостей описана в бюллетене от Microsoft MS17-010. Так же для эксплуатации уязвимостей, обнародованных The Shadow Brokers, уже созданы модули для фреймворка Metasploit.

Установка FuzzBunch

Для установки FuzzBunch вам понадобится либо 32-битная Windows машина, либо Kali Linux с установленным окружением Wine. Мы воспользуемся вторым вариантом, чтобы оба инструмента, Empire и FuzzBunch, находились в одном дистрибутиве. Загрузим файлы на свою машину Kali Linux с github

Для работы FuzzBunch Нам потребуется Python 2.6 и, чтобы не захламлять ваше основное окружение Wine, я рекомендую создать новое. Для начала устанавливаем/обновляем Wine, если вы этого еще не сделали.

Создаем и инициализируем новое окружение:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Оставляем все без изменения:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

export WINEPREFIX=/root/.wine_fuzzbunch/

Проверяем, что окружение создалось успешно:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Добавляем в PATH требуемые директории

wine regedit.exe

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Устанавливаем fuzzbunch в окружение Wine:

[/crayon] Устанавливаем Python

Устанавливаем pywin32

Постинсталляция:

Запуск и эксплуатация MS17-010

Из окружения Wine выполняем следующую команду:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Будем атаковать 64-х битную Windows 7 машину с IP адресом 192.168.1.10, в то время как машина атакующего имеет IP адрес 192.168.1.3.

Задаем эти параметры при запуске.

Для выполнения вредоносного кода будем использовать уязвимость в протоколе SMB, которая носит название Eternalblue.

На вопрос о проверке параметров отвечаем утвердительно:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Оставляем все без изменения, кроме пункта о методе доставки. Тут выбираем FB.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

В завершении запускаем модуль на выполнение и видим сообщение Eternalblue Succeeded.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Постэксплуатация в связке с Empire

Создаем новый листенер:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

В качестве механизма доставки агента используем на этот раз dll. Если бы вы использовали Empire на отдельной машине, то для доставки стейджера на машину с FuzzBunch будет удобно сохранить его в каталог веб-сервера и затем скачать по сети.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Если у вас и Powershell Empire и FuzzBunch на одной машине, как в моем случае, то сохраняем файл в корень диска C окружения Wine.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Переходим снова в FuzzBunch, где открыта сессия с машиной жертвы, и используем модуль DoublePulsar.

Выбираем 64-битную архитектуру:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

В качестве пейлоада мы будем инжектировать DLL, созданную в Empire.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Указываем полный путь до DLL:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

C:\launcher.dll

Выполняем модуль:

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

В интерфейсе Empire получаем новую сессию и выполняем Mimikatz.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Получаем логины и пароли пользователей.

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

Empire и FuzzBunch: эксплуатация уязвимости Eternalblue

В то же время операционная система жертвы не выявляет атаки. В журналах Microsoft Security Essentials пусто, система работает стабильно. Таким образом, наш дистрибутив Kali Linux приобрел два современных инструмента для эксплуатации и постэксплуатации ОС под управлением Windows.

Как защититься?

В качестве средств защиты рекомендуется обновить Windows системы (если вы этого еще по каким-то причинам не сделали), использовать средства обнаружения и блокирования атак — firewall и т.д.

Например это можно сделать с помощью следующих команд:

Да, быть журналистом на сайте дело сложное. Вдруг появляется какая-то важная новость, пытаешься разобраться в ней и первым об этом написать, и на тебе, кто-то это сделает раньше тебя. В этот раз тоже самое. Закончил я анализ дампа Shadow Brokers, начал писать статью и на тебе. Кто-то ее уже выложил. В этот раз меня опередила лаборатория Pentestit, точнее Luca Safonov. Автором большей части этой статьи является именно он. Все респекты ему!

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *