Comments 98
Может быть случай, когда у свитча заканчивается память. Например, в сети много устройств и все их МАС адреса в память свитча не влезли. Тогда он переключается в режим хаба. Это аварийный режим. В нем свитч превращается в электрически прозрачный хаб, т.е. из устройства управления трафиком становится тройником для подключения витой пары. Поэтому ряд атак на свитч как раз построены на принципе переполнения таблицы адресов свитча. Но в свитчах от этого есть защита.
Если кратко, это все.
А теперь копаем дальше, если послать запрос по IP сегмента сети и который не будет в таблице маршрутизации, то да здраствует бродкаст или мультикаст скорее.
Responder позволяет подставлять себя вместо служб Windows и в итоге траффик будет идти к нему.
Более того: если есть четкое понимание того, что PS и CMD заблокированы, то можно попытаться забросить просто свою программу на комп (ну там скопировать файл с docx, который является архивом, потом распаковать его, скопировать неприметный jpg файл и потом сменить расширение на exe).
А, да, тут вы полностью правы. Если множество файлов с правами на запись не пересекается с множеством файлов с правами на запуск, то проблема по сути решена. Однако зачастую это просто невероятно сложно.
Однако код можно вызвать из кучи мест:
- Командная строка (даже сценаристы фильмов про это знают)
- VBA скрипты Excel'а и других офисных программ. При желании можно дать права на общение с Win API (такие права дает сам пользователь).
- vbs скрипты и прочая некрофилия.
Дело в том, UncleBance, что как бы вы не запрещали утечки данных, вы придете к одному из трех (в большинстве случаев):
- На компах невозможно эффективно работать: там старый (зато проверенный) софт, всё запрещено и обрезано, интернета нет, клавиатуры запрещены (иначе можно помигать светодиодом и передать информацию), удаленного доступа нет.
- На компах можно таки работать, однако есть известные способы утечки данных. О них знают админы, знает бизнес, потому работники слегка запугиваются УК и т.д. (в стиле: продашь нашу базу — сядешь). Кстати, это самый приемлемый способ, с моей точки зрения.
- Самый частый (с моей точки зрения): админы и бизнес гордо заявляют, что украсть ничего нельзя, всё закрыто политиками и крутостью ПО. Однако работнику нельзя пожаловаться на уязвимость (ведь по бумагам всё закрыто, т.е. уязвимости быть не может), а потому на деле это предыдущий пункт, просто про каналы утечек данных не знают даже админы.
Их NAC не охватывал всю сеть: любое подключение из рабочей кабинки было доверенным.
Хаб тупо ретранслирует любой сигнал во все порты, кроме того, откуда сигнал пришёл. Передача сигнала начинается сразу же по приходу — т.е. задержки околонулевые.
Простой свич принимает пакет целиков (ну или хотя бы заголовок) и по своим таблицам пытается определить — куда его надо отправить. Т.е. если адрес назначения в пакете недавно был в другом пакете адресом отправителя — то этот адрес будет в таблице; и свежий пакет отправится туда.
Если же в таблице нет такого адреса — то пакет рассылается по всем портам.
Очевидно, что броадкастовые адреса в таблицу не попадаются — и броадкастовые пакеты всегда рассылается по всем портам.
VLAN-свич в простейшем случае — это как бы несколько отдельных (не соединённых между собой) простых свичей. А т.к. эти виртуальные простые свичи ничем не соединены — то ни уникаст, ни броадкаст, ни ведьма в ступе не могут перейти из одной VLAN в другую (вот ответ на Ваш вопрос: «отсутствует», «не будет разлетаться»).
В более сложном случае — часть линков работает в транк-режиме («линк» == «два порта на концах линка»). При правильной настройке — вся группа VLAN-свичей выступает как единый VLAN-свич; соответственно, к ней (группе) относится то, что написано выше.
Что же касается при неправильной настройки — то тут возможно многое.
PS: Не надо ругаться. Лучше почитайте хотя бы Википедию.
Есть хабы, есть неуправляемые свитчи, есть упраляемые уровней L2 и L3… а есть продукция компании Hewlett Packard Enterprise. А конкретнее — HPE 1910-48 — скопированный со старого свитча 3COM Baseline Switch 2952-SFP Plus. А так же другие изделия HPE и ZyXEL серии 1910.
Так вот… эти чудо-приборы соединить между собой можно только одним транковым кабелем. Хоть напрямую, хоть через цепочку других свитчей. Ибо режим разделения портов на изолированные нетегированные VLAN (Port Based VLAN) реализован в них криво и косячно. Делишь порты на 2-3 отдельных VLAN, соединяешь каждый своим шнурком — связь рвется. Иногда между каким-то одним VLAN, иногда между обоими — еще звависит от того, задействованы или нет гигабитные порты.
4 месяца я писал в техподдержку HPE. В конце концов они сказали, что такое невозможно и используйте транковые каналы… Ты бач!!! У нас куча разных TrendNET, ZyXEL (1900 и 1920), D-Link и даже HPE 1620 — все поддерживат. А эти — нет. Да там поддерживать ничего не надо, на самом деле. Изоляция нетегированных VLAN между собой — это самая примитивная основа…
Короче, посоны, не покупайте это дерьмо серии HPE 1910 и ZyXEL GS1910. Как я почитал в Инете — это у них не единственный косяк в VLAN.
Модель 1910 — единственная в нашем зверинце, на которой протокол STP (в вариантах расширений STP/RSTP/MSTP) не только реализован, но и включен по умолчанию. Т.к. только расширение PVSTP строит отдельное дерево для каждого VLAN, а остальные — одно общее дерево, то топология с разделением на изолированные Port Based VLAN ошибочно принимается ими за избыточные связи и отдельные ветви отсекаются.
После отключения STP на HPE 1910-48 стенд заработал.
С ZyXEL GS1910-24 сложнее. Там в настройках по WEB-интерфейсу не нашел отключения STP. Но это не критично. Их у нас только 2 и они только 24-портовые. Можно найти, куда их приткнуть.
А ТП HPE — sucks!!! 4 месяца мозги выносили и так и не сказали мне в чем там дело и как это побороть!
А вот грамотный человек намекнул и за несколько часов проблема была решена!
Может быть, MITM через ARP-спуфинг с подменой адреса шлюза?
От него свич без дополнительных настроек не защитит.
Вкратце: либо современный коммутатор с ACL, настроенным на фильтрацию ARP-запросов, либо
современное железо уже не получается обмануть обычным ARP-reply если оно не отправляло запросА вот это вопрос интересный. За коммутаторы не скажу, но ПК и серверы вроде бы до сих пор обманываются без проблем.
Какая-то фантастическая история, с одной стороны вроде и терминология профильная, и отдельные техники по делу описаны — но все вместе выглядит так, будто автор текста все придумал. Совершенно нереальная последовательность событий. Ну и многие решения крайне сомнительно выглядят. Больше всего резануло, как пентестер читал почты/скайпы/мессенджеры сотрудников при этом не имея даже прав на локальный вход на их машины. То есть OWA и вебаппликации при всех прочих мерах безопасности — открыты для всех безлимитно? Ерунда рассказ, внутренние пентесты так не делаются.
Вот тут: "Ладно, идите к чёрту. Обойдусь без доступа к компьютерам. Залезу в их переписку! Так я и поступил. Я искал пароли в почте, Skype-чатах, проверил заметки и черновики в Outlook. Мне попалась куча личных паролей от чего угодно… Но ни одного от служебной учётки. Зато я нашёл письмо от отдела информационной безопасности, где говорилось, что они в течение недели планируют внедрить двухфакторную аутентификацию для почты. Похоже, мне ещё повезло."
Думаю, минимальная подготовка для такого пентеста все же нужна. Как и для написания статей. www.slideshare.net/dafthack/how-to-build-your-own-physical-pentesting-gobag
добавить немного "воды", экшона, любовную линию с симпатичной уборщицей и любимую кошку ГГ, взятую в заложники — получится отличный шпионско-хакерский блокбастер
Любой пентест в первую очередь это история человеческих ошибок и беспечности. В сферической идеально организованной с позиции ИБ инфраструктуре в вакууме возможностей для эскалации привилегий нет: все обновления установлены, ПО настроено оптимальным образом, работает мониторинг, шаблоны доступа тонко настроены. Такие организации даже встречаются и с честью проходят все тестирования получая минимум высосанных из пальца рекомендаций
этот «острый момент» не предусмотрела СБ
Наоборот – это значит, что СБ так построила свою работу, что ей помогают все сотрудники.
без предварительного информирования тестирующего об объекте тестирования
Я бы тут дополнил, что предварительное информирование может задать направление вектору атаки, поэтому и ломиться тестирующий будет по этому направлению. А когда тестирующему ничего не дано, то он может выкопать что-то и там, где этого никогда не ожидали.
Никто ничего никому не ломал:
"… Никто в финотделе никогда не запускает Powershell..."
Улыбнуло. Это какая-то отсылка? Тонкий юмор?
Никакого юмора, никаких отсылок. Просто заметили нетипичное для пользователя поведение.
Мне на ум приходит только одно — компьютер, на котором он что-то запустил, специально таким оставлен был, чтобы ловить всяких тёмных личностей.
А так, рассказ захватывающий, почти Мистер Робот. :)
Оно требовало двухфакторной аутентификации. Следующее тоже. И следующее. Да что ж за Алькатрас-то такой?! Ночной кошмар хакера!
Он физически находится в здании. Не говоря о SS7, поставить MITM БС можно!!!
В парралели перебирать можно целую кучу вариантов, а разный опыт позволил бы найти больше дырок.
Враг внутри: как я попался на инсайдерском редтиминге