“Это был не просто взлом. И мы не просто зашли в дверь. Оказалось, что периметр объекта начинался там, где никто этого не ожидал - на крыше.”
Привет! С вами пентестер Ян. В этот раз я хочу поделиться с вами своим авторским переводом рассказа от компании Dark Wolf (оригинал тут).
Для тех кто не знает, физический пентест или как его еще называют RedTeam - это особая разновидность пентеста при котором разрешено атаковать не только IT-системы, но и, как уже понятно из названия, проникать лично в офис заказчика и там искать зацепки для дальнейшей компрометации корпорации вцелом. К примеру, пароли на листочках на раскиданные по рабочим местам очень помогают...
Подробные отчеты о физическом пентесте - это большая редкость, так как этичных хакеров обычно сковывают NDA (договор о неразглашении). К примеру, я бы сам мог рассказать о как минимум дву-трёх отличных кейсах, но увы договор есть договрор. Поэтому рад с вами поделиться хотя бы этим переводом.
Брифинг
Современный OSINT включает множество полезных источников информации. Нельзя ограничиваться Google картами, снимками улиц, фотками, и прочими очевидными патернами.
Мы копнули глубже и это был джекпот! Нам удалось заполучить точную виртуальную планировку объекта через сайт управляющей компании: схемы коммуникаций, разметки дверей, номера этажей, точек входа, даже примерную высоту потолков.
Как это пригодилось? Все просто -, зная каждый пожарный выход, коридор, и лестничную площадку, можно найти наиболее уязвимое место для проникновения в здание.
Всё началось с того, что нашей команде было поручено провести полную проверку режимного объекта. Нашей целью были не только физические объекты, но и IT-инфраструктура заказчика.
Несколько дней подряд мы околачивались рядом с фуд-кортами и кафешками вблизи здания заказчика, занимаясь копированием бейджиков зазевавшихся сотрудников по пути за кофе.
Это банальные 125 килогерцовые RFID-бейджики, которые есть у любого офисного работника. Клонирование таких карт происходит с помощью специального девайса типа футуристичного чемоданчика из фильмов вроде «Мистера Робота». Этот подход стар, как мир, но все еще эффективен. Надо подойти поближе к жертве и, изображая беседу или телефонный звонок, дать время аппаратуре сделать свою работу. В итоге, у нас полная копия карты бейджика.
Продолжая наблюдение, мы заметили, что используется панель доступа DoorKing с цифровым кодом рядом с главным входом. Мы покопались в интернете нашли дефолтный PIN админа, и как оказалось, он к ней подошёл.
Это позволило нам позже отключить весь контроль доступа к дверям, оказавшись внутри. Без сирен. Без камер. Без следов.
Стоит упомянуть, что это было не какое-то обычное здание, а Федеральный Объект, cодержащий cекретную информацию (SCIF - Sensitive Compartmented Information Facitlity). Поэтому ставки были высоки.
Контроль был строжайшим, но, как оказалось, не везде. А всё из-за того, что информация необходимая для проникновения оказалась в общем доступе, открыв путь для взлома.
Red Team в действии
Закончив предварительную разведку, мы начали рассматривать крышу здания. Нами была обнаружена пожарная лестница снаружи здания. Она была также четко видна на заполученной нами планировке.
Это нам очень пригодилось, потому что крыша объекта и лестница были расположены почти впритык к зданию соседнего отеля.
Сразу возникла идея: Если бы у нас была подходящая комната в том отеле, то можно было бы без проблем перепрыгнуть из окна отеля на крышу, а затем на пожарную лестницу с заветной дверью.
Мы подрядили одного из наших сотрудников Остина договориться с отелем и заполучить эту комнату.
“Прошу прощения, можно ли мне другую комнату?”, вежливо спросил он, ставя свой чемодан позади себя на ресепшене.
“Что-то не так?”, озадаченно поинтересовался клерк.
“Все в порядке. Нам просто понравилась та комната, в которой мы останавливались в прошлый раз. Это у нас традиция такая - всегда брать одну и ту же комнату. Поэтому если можно, дайте нам именно ее.”
Клерк кивнул и услужливо предоставил нам комнату, которая была рядом с нужной нам крышой.
Как только мы оказались в комнате, сразу начали атаковать WiFi заказчика. Силы сигнала было предостаточно, благодаря направленным антеннам по 15 дБ.
Помните: всегда имейте при себе список целей (scope) базовых станций, разрешенных для пентеста. Ведь очень нежелательно и противозаконно атаковать сторонние сети любыми методами типа wifite и адаптерами типа ALFA.
И вот наступила ночь и, достав инструменты, мы с Брентом смогли открыть окно отеля. Затем перепрыгнули на крышу и перешли на пожарную лестницу объекта.
Внимание! Не переодевайтесь в “ниндзя” во время ночных операций. Оставьте свои маски и темные шмотки дома. В данной ситуации, будет достаточно надеть обычные штаны, рубашки и куртки спокойных оттенков. Не совершайте резких движений и не бегайте, чтобы не привлечь внимание и не вызвать подозрения.
Если бы нас засекли, то на этот случай у нас уже были готовые копии бейджиков, которые мы носили на шее, и легенда, что мы - обслуживающий персонал.
Подходя к двери на пожарной лестнице, я потянулся за набором отмычек Covert Companion, но Брент с ухмылкой остановил меня.
“Пацан, смотри что тут есть.”
На внешней стороне двери оказалась обыкновенная защелка.
Как нам позже пояснили, никто и не мог предположить, что возможно попасть на крышу из окна соседнего отеля. Поэтому пожарные выходы были замурованы только изнутри.
Брент просмотрел дверь на предмет сигнализации, которой не оказалось. Позже мы узнали, что сигнализацию на данной двери отключили при последнем техобслуживании и больше никогда не включали. Про эту дверь просто забыли. Внутри здания общая сигнализация была выключена на время уборки, которое мы прекрасно знали.
Я достал USB эндоскоп для смартфона, чтобы посмотреть что происходит по ту сторону двери прежде чем ее вскрыть. “Скрытая” камера с легкостью проскользнула под дверью, и старенький смартфон показал нам, что все чисто. Ничего кроме унылого фонаря с надписью ВЫХОД и дверной ручки на добротном бетонном лестничном пролете мы не увидели.
Мы открыли дверь и направились на нужный нам этаж, где находились рабочие места, переговорные и кабинеты начальства. Там взломали замки от некоторых шкафчиков, принадлежавших руководству, и нашли большое количество бейджиков. Это были те самые RFID-карты, которые предназначались для удаления, замены или выдачи новым сотрудникам.
Но больше всего нас обрадовали PIN-коды наклееные на бейджики. Еще покопавшись, мы нашли актуальные карты с фотографиями сотрудников похожими на нас и забрали их на всякий случай.
Путешествие в поисках конфиденциальных данных по офису заказчика продолжалось, и проникнув в бюро архивов через взломанную дверь, мы нашли серверную комнату. Переполненные счастьем, мы подключили наши ноуты к свободному порту и нашли уязвимость в ESDi сервере, с которого дампанули хэши нескольких учеток.
На десерт была найдена коробка с жесткими дисками, предназначенными для утилизации.
Затем мы еще несколько часов бродили по этажам в поисках артефактов и расставляли логгеры клавиатуры и прочие девайсы.
Там были и камеры наблюдения, но они все выводили изображение на ПК в приемной, над которым у нас уже был полный контроль.
Обезвредив системы безопасности, мы сделали селфи посреди комнаты наблюдения.
Покидая объект, мы оставили подарок: собственную точку Wi-Fi с бэкдором в их сеть, удостоверившись в доступности ее сигнала из комнаты отеля. Благодаря этому можно было спокойно атаковать их инфраструктуру не находясь в здании.
Важно помнить, что любая несанкционированная точка доступа может открыть дыру для других атакующих. Поэтому стоит удостовериться в исключительной безопасности вашего Wi-Fi оборудования.
В итоге, наше физическое проникновение обернулось в полную компрометацию инфраструктуры заказчика!
Авторское послесловие
Спасибо тем, кто дочитал до конца! Надеюсь, что вы смогли что-то из этого извлечь.
До новых встреч!
Данная статья предоставляется в информативных целях для рекомендации по повышению безопасности информационных ресурсов. Запрещается использование данных материалов в целях атаки на системы третьих лиц и может повлечь за собой уголовную ответственность. Поэтому автор снимает с себя всякую ответственность за использование данного материала третьими лицами в противоправных целях!
