Just Security

🥇Следующий в подборке — кейс из номинации «Ловись рыбка» от автора @X0red.

Объект исследования

RDP и встроенные средства Windows (LOLBAS) для проведения социальной инженерии и проникновения в корпоративную сеть.

Результат

Фишинг через .rdp-файл привел к компрометации Active Directory: построен SSH-туннель, получен NTLMv2-хеш, реализована атака ProxyNotShell, извлечены пароли и получен полный контроль над инфраструктурой.

Ход исследования

1) Подготовка инфраструктуры и инструмента фишинга

- Создан RDP-сервер с публичным IP и доменом.
- Получен SSL-сертификат Let's Encrypt и использован для цифровой подписи .rdp-файла .
- Сформирован .rdp-файл с автологином и редиректом устройств, подписан и готов к рассылке.

3) Автоматизация начального доступа

- Использован pyrdp в MiTM-режиме для обхода аутентификации (автологин).
- При подключении к RDP, исполняется кастомное ПО MalRDP.exe, копирующее нужные файлы (включая OpenSSH) в директории пользователя.

3) Установка реверс-SSH-туннеля

- Созданы два ПО sshishing.exe и sshishing2.exe.
- Один файл поднимает SSH-туннель во внутреннюю сеть, второй — собирает информацию (net user /domain, ipconfig) и пересылает её через туннель.
- Одновременно триггерится запрос к внешнему ресурсу для утечки NTLM-хеша (через Responder).

4) Постэксплуатация и развитие атаки

- Через поднятый туннель выполнено сканирование внутренней сети.
- Обнаружен забытый и уязвимый почтовый сервер (ProxyNotShell).
- Утекший хеш позволил выполнить эксплойт, получить дампы SAM, SYSTEM, SECURITY, а позже — и сохраненные пароли из браузера.
- Найден пароль от учетной записи администратора AD, который привел к захвату инфраструктуры.

Полноценный текст с картинками доступен на Хакере 👈

Please open Telegram to view this post

VIEW IN TELEGRAM

www.tg-me.com/us/Just Security/com.justsecurity/377

1.3K viewsMar 27 at 06:06

🥇Следующий в подборке — кейс из номинации «Ловись рыбка» от автора @X0red.

Объект исследования

RDP и встроенные средства Windows (LOLBAS) для проведения социальной инженерии и проникновения в корпоративную сеть.

Результат

Фишинг через .rdp-файл привел к компрометации Active Directory: построен SSH-туннель, получен NTLMv2-хеш, реализована атака ProxyNotShell, извлечены пароли и получен полный контроль над инфраструктурой.

Ход исследования

1) Подготовка инфраструктуры и инструмента фишинга

- Создан RDP-сервер с публичным IP и доменом.
- Получен SSL-сертификат Let's Encrypt и использован для цифровой подписи .rdp-файла .
- Сформирован .rdp-файл с автологином и редиректом устройств, подписан и готов к рассылке.

3) Автоматизация начального доступа

- Использован pyrdp в MiTM-режиме для обхода аутентификации (автологин).
- При подключении к RDP, исполняется кастомное ПО MalRDP.exe, копирующее нужные файлы (включая OpenSSH) в директории пользователя.

3) Установка реверс-SSH-туннеля

- Созданы два ПО sshishing.exe и sshishing2.exe.
- Один файл поднимает SSH-туннель во внутреннюю сеть, второй — собирает информацию (net user /domain, ipconfig) и пересылает её через туннель.
- Одновременно триггерится запрос к внешнему ресурсу для утечки NTLM-хеша (через Responder).

4) Постэксплуатация и развитие атаки

- Через поднятый туннель выполнено сканирование внутренней сети.
- Обнаружен забытый и уязвимый почтовый сервер (ProxyNotShell).
- Утекший хеш позволил выполнить эксплойт, получить дампы SAM, SYSTEM, SECURITY, а позже — и сохраненные пароли из браузера.
- Найден пароль от учетной записи администратора AD, который привел к захвату инфраструктуры.

Полноценный текст с картинками доступен на Хакере 👈