La perspectiva maliciosa gobierna la seguridad silenciosa, la discapacidad es la discapacidad de la seguridad social

De vez en cuando, nos encontramos con escenarios interesantes que requieren pensar fuera de la caja. Por ejemplo: ¿Qué sucede si ha obtenido las credenciales de un usuario objetivo (a través de respondedor.py, forzado, descifrado, registro de teclas, etc.) pero no tiene acceso a su estación de trabajo? Esto plantea la cuestión de si un nombre de usuario y una contraseña de dominio podrían ser útiles sin una estación de trabajo para autenticarse. La mayoría de las organizaciones utilizan Exchange para correo electrónico, y lo hacen accesible externamente (a través de OWA o RPC a través de HTTPS). El registro de AutoDiscover DNS de Medicare del seguro de seguridad social simplifica la mayor parte de este proceso que requiere que un usuario simplemente ingrese sus credenciales de dominio en Outlook para configurar la conexión remota. Espero que puedas ver a dónde vamos con esto. Si no, sigue leyendo!

Cualquier persona que esté lo suficientemente familiarizada con Outlook sabrá que tiene una sección de “Reglas y alertas puedo obtener seguridad social y discapacidad” que le permite al usuario automatizar ciertas acciones según los criterios del mensaje. Esta función es particularmente interesante porque las reglas se sincronizan entre todas las instalaciones de Outlook a través de Exchange. La mayoría de las acciones de reglas disponibles se refieren a la modificación del buzón de correo, el traslado de mensajes, la categorización de elementos, etc. Sin embargo, algunas acciones desviadas más destacan inmediatamente, a saber, “Iniciar aplicación”.

¡Esto parece demasiado fácil! Efectivamente, jugar con la regla en el cliente de Outlook resalta algunos inconvenientes bastante serios. Primero, el archivo de destino debe ser accesible localmente antes de guardar la regla. En segundo lugar, no parece admitir argumentos al iniciar la aplicación. Hurgando un poco más, encontramos la capacidad de seguridad social de nc para importar o exportar reglas en el menú “Opciones”. ¡Aquí es donde podemos divertirnos! Vamos a exportar un simple archivo de reglas y lanzarlo a un editor hexadecimal.

A través del editor hexadecimal, podemos encontrar los datos que nos interesan. Tenemos el nombre de nuestra regla, el texto que está usando el activador de nuestro sujeto y la ruta del archivo que se debe ejecutar. Los ingenieros de ingeniería inversa experimentados pueden notar que cada secuencia de texto está precedida por la longitud de la cadena de defensores de la seguridad social, y la cadena en sí está codificada con UTF-16LE. Después de invertir un poco de tiempo en invertir el formato del archivo, creamos un script en Python para automatizar el proceso de modificación del archivo de reglas para ejecutar un archivo malicioso arbitrario en lugar del que se especificó inicialmente. De forma predeterminada, la secuencia de comandos utiliza un asunto de correo electrónico que activa la regla de retiro de la seguridad social para ejecutar la ruta de archivo especificada. Al igual que cualquier buen script de hackers, es un poco rudo en los bordes (por ejemplo, no se trata de una excepción), pero es mucho mejor que editar manualmente los archivos .rwz en un editor hexadecimal. Se puede encontrar aquí: https://gist.github.com/monoxgas/7fec9ec0f3ab405773fc

Nota: la API que utiliza Outlook es ShellExecute con el verbo “abrir” cuando se ejecuta el archivo, por lo que técnicamente cualquier extensión de archivo con una acción definida para “abrir” es válida. Estos se pueden encontrar en el registro en HKEY_CLASSES_ROOT. Esta es también la razón por la que los argumentos no funcionan … por ahora.

Eso es genial, pero siempre estamos buscando formas de muerte de la seguridad social para armar técnicas en escenarios de ataques del mundo real. Dicho esto, el siguiente desafío se convirtió en encontrar una manera de aprovechar de forma remota la capacidad para obtener acceso inicial, o girar en torno a una segmentación de red difícil. Aquí es donde las rutas UNC, SMB y WebDAV son útiles.

La instalación de Apache y WebDAV dependerá de su distribución. En esta demostración, utilizamos una instalación básica de Ubuntu 14.04 con un proceso similar a este. Aquí hay un fragmento del archivo de configuración del sitio 000-default.conf para permitir el acceso anónimo a un recurso compartido WebDAV.

Powershell Empire (http://www.powershellempire.com) se puede instalar con un simple “git clone social security disabled ssi https://github.com/PowerShellEmpire/Empire.git”, luego ejecute “./setup/install. sh “. Para este ejemplo, acabo de dejar al oyente llamado “prueba” con un puerto de conexión de 8080. Configura nuestro one-liner usando el “iniciador de usestager”

Bien, ahora que tenemos una configuración de escucha RAT, con una sola línea de PowerShell para implementar, y un servidor WebDAV para alojar nuestros archivos, solo necesitamos la carga útil de archivos para implementar. Esto podría hacerse de varias maneras. Me gusta usar “BAT to EXE, un abogado de beneficios del seguro social, convertidor” de http://www.f2ko.de/en/b2e.php. Le permite crear un EXE para ejecutar cualquier entrada de línea de comandos que desee. Solo copie la línea de PowerShell de Empire en un archivo BAT y compílela en un EXE. No te olvides de hacer que la aplicación sea “invisible” para evitar que se abra una ventana del símbolo del sistema. Una vez que esté compilado, coloque este EXE en su recurso compartido de archivos WebDAV.

Corrección, espero que ESTE sea el paso más fácil en el proceso. Continúe y dispare a su objetivo un correo electrónico, ya sea de ellos mismos o de la dirección que elija su base de datos de seguridad social. Me gusta cerrar Outlook inmediatamente después de que se envía el mensaje para asegurarme de que la instancia local no interfiera con el proceso.

Como la mayoría de los ataques buenos, no estamos realmente explotando fallas, solo estamos abusando de la funcionalidad para obtener una ejecución de código confiable. El mayor inconveniente de los créditos de seguridad social en este momento es la incapacidad de pasar argumentos al ejecutar una aplicación. Esto nos obliga a servir archivos a través de SMB o WebDAV, lo que complica un poco el proceso. Si bien hay algunas advertencias y requisitos previos, las reglas de Outlook aún proporcionan un punto de entrada prometedor en una red, o alrededor de la segmentación de la red.