{"id":10122,"date":"2019-03-30T11:29:20","date_gmt":"2019-03-30T14:29:20","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=10122"},"modified":"2019-05-23T20:53:06","modified_gmt":"2019-05-23T23:53:06","slug":"commando-vm-a-primeira-distribuicao-ofensiva-windows","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2019\/03\/exploits\/commando-vm-a-primeira-distribuicao-ofensiva-windows\/","title":{"rendered":"Commando VM: a primeira distribui\u00e7\u00e3o ofensiva Windows"},"content":{"rendered":"


Para os penetration testers que buscam uma plataforma de testes Linux est\u00e1vel e suportada, a ind\u00fastria concorda que a Kali \u00e9 a melhor plataforma. No entanto, se voc\u00ea preferir usar o Windows como sistema operacional, talvez tenha notado que n\u00e3o existia uma plataforma que valha a pena. Como pesquisadores de seguran\u00e7a, cada um de n\u00f3s provavelmente passou horas personalizando um ambiente de trabalho do Windows pelo menos uma vez e todos usamos as mesmas ferramentas, utilit\u00e1rios e t\u00e9cnicas durante o envolvimento do cliente. Portanto, manter um ambiente personalizado enquanto mant\u00e9m todos os nossos conjuntos de ferramentas atualizados pode ser uma tarefa mon\u00f3tona para todos. Reconhecendo isso, criamos uma distribui\u00e7\u00e3o do Windows focada no suporte a penetration testers.<\/p>\r\n

Nascida da nossa popular VM FLARE, que se concentra em engenharia reversa e an\u00e1lise de malware, a VM Completa Ofensiva (\u201cCommando VM\u201d) vem com scripts automatizados para ajudar cada um de voc\u00eas a construir seu pr\u00f3prio ambiente de testes de penetra\u00e7\u00e3o e facilitar o processo de provisionamento e implementa\u00e7\u00e3o de VM . Esta postagem de blog tem como objetivo discutir os recursos do Commando VM, instru\u00e7\u00f5es de instala\u00e7\u00e3o e um exemplo de uso da plataforma. V\u00e1 at\u00e9 o Github para encontrar o Commando VM.<\/p>\r\n

Link: https:\/\/github.com\/fireeye\/commando-vm<\/a><\/p>\r\n



<\/p>\r\n

Sobre Commando VM<\/strong><\/p>\r\n

Os penetration testers costumam usar suas pr\u00f3prias variantes de m\u00e1quinas Windows ao avaliar os ambientes do Active Directory. Commando VM foi projetado especificamente para ser a plataforma para executar esses testes de penetra\u00e7\u00e3o interna. Os benef\u00edcios de usar uma m\u00e1quina Windows incluem suporte nativo para Windows e Active Directory, usando sua VM como uma \u00e1rea de preparo para estruturas C2, navegando em compartilhamentos mais facilmente (e interativamente) e usando ferramentas como PowerView e BloodHound sem ter que se preocupar em colocar arquivos de sa\u00edda nos ativos do cliente.<\/p>\r\n

O Commando VM usa pacotes Boxstarter, Chocolatey e MyGet para instalar todo o software e fornece muitas ferramentas e utilit\u00e1rios para suportar testes de penetra\u00e7\u00e3o. Esta lista inclui mais de 140 ferramentas, incluindo:<\/p>\r\n

Nmap<\/strong>
Wireshark<\/strong>
Covenant<\/strong>
Python<\/strong>
Go<\/strong>
Remote Server Administration Tools<\/strong>
Sysinternals<\/strong>
Mimikatz<\/strong>
Burp-Suite<\/strong>
x64dbg<\/strong>
Hashcat<\/strong><\/p>\r\n

Com essa versatilidade, o Commando VM pretende ser a m\u00e1quina Windows de fato para todos os penetration testers.<\/p>\r\n

Os vers\u00e1teis conjuntos de ferramentas inclu\u00eddos no Commando VM fornecem as ferramentas necess\u00e1rias para auditar suas redes e melhorar suas capacidades de detec\u00e7\u00e3o. Com uma biblioteca de ferramentas ofensivas, fica mais f\u00e1cil para as equipes acompanharem as ferramentas ofensivas e as tend\u00eancias de ataque.<\/p>\r\n

 <\/p>\r\n

Instala\u00e7\u00e3o<\/strong><\/p>\r\n

Como o FLARE VM, recomendamos que voc\u00ea use o Commando VM em uma m\u00e1quina virtual. Isso facilita a implanta\u00e7\u00e3o e fornece a capacidade de reverter para um estado limpo antes de cada compromisso.<\/p>\r\n

Presumimos que voc\u00ea tenha experi\u00eancia em configurar o seu pr\u00f3prio ambiente virtualizado. Comece criando uma nova m\u00e1quina virtual (VM) com estas especifica\u00e7\u00f5es m\u00ednimas:<\/p>\r\n

60 GB de espa\u00e7o em disco
2 GB de mem\u00f3ria<\/p>\r\n

Em seguida, execute uma nova instala\u00e7\u00e3o do Windows. O Commando VM foi projetado para ser instalado no Windows 7 Service Pack 1 ou no Windows 10, com o Windows 10, permitindo a instala\u00e7\u00e3o de mais recursos.<\/p>\r\n

Quando a instala\u00e7\u00e3o do Windows for conclu\u00edda, recomendamos que voc\u00ea instale suas ferramentas de convidado da VM espec\u00edficas (por exemplo, VMware Tools) para permitir recursos adicionais, como copiar \/ colar e redimensionar a tela. A partir desse ponto, todas as etapas de instala\u00e7\u00e3o devem ser executadas em sua VM.<\/p>\r\n

Verifique se o Windows est\u00e1 completamente atualizado com os patches mais recentes usando o utilit\u00e1rio Windows Update. Nota: talvez voc\u00ea precise verificar as atualiza\u00e7\u00f5es novamente ap\u00f3s a reinicializa\u00e7\u00e3o.<\/p>\r\n

Recomendamos que voc\u00ea tire um snapshot de sua VM nesse ponto para ter uma inst\u00e2ncia limpa do Windows antes da instala\u00e7\u00e3o.<\/p>\r\n

Navegue at\u00e9 uma das seguintes URLs e fa\u00e7a o download do reposit\u00f3rio Commando VM compactado em sua VM:<\/p>\r\n

https:\/\/github.com\/fireeye\/commando-vm<\/a>
http:\/\/gocommando.info<\/a><\/p>\r\n


Siga estas etapas para concluir a instala\u00e7\u00e3o do Commando VM:<\/p>\r\n

Descompacte o reposit\u00f3rio Commando VM em um diret\u00f3rio de sua escolha.<\/p>\r\n

Inicie uma nova sess\u00e3o do PowerShell com privil\u00e9gios elevados, Commando VM tenta instalar software adicional e modificar as configura\u00e7\u00f5es do sistema; portanto, privil\u00e9gios escalados s\u00e3o necess\u00e1rios para a instala\u00e7\u00e3o.<\/p>\r\n

No PowerShell, altere o diret\u00f3rio para o local onde voc\u00ea descompactou o reposit\u00f3rio Commando VM.<\/p>\r\n

Altere a pol\u00edtica de execu\u00e7\u00e3o do PowerShell para irrestrita, executando o seguinte comando e respondendo “Y” quando solicitado pelo PowerShell:<\/p>\r\n

Set-ExecutionPolicy unrestricted<\/span><\/p>\r\n

Execute o script de instala\u00e7\u00e3o install.ps1. Voc\u00ea ser\u00e1 solicitado a inserir a senha do usu\u00e1rio atual. O Commando VM precisa da senha do usu\u00e1rio atual para fazer o login automaticamente ap\u00f3s uma reinicializa\u00e7\u00e3o.<\/p>\r\n

Opcionalmente, voc\u00ea pode especificar a senha do usu\u00e1rio atual passando a “-password <current_user_password>” na linha de comando.<\/p>\r\n


Figure 2: Install script running<\/span><\/p>\r\n

 <\/p>\r\n

O restante do processo de instala\u00e7\u00e3o \u00e9 totalmente automatizado. Dependendo da velocidade da sua Internet, toda a instala\u00e7\u00e3o pode demorar entre 2 a 3 horas para terminar. A VM reinicializar\u00e1 v\u00e1rias vezes devido aos v\u00e1rios requisitos de instala\u00e7\u00e3o de software. Depois que a instala\u00e7\u00e3o for conclu\u00edda, o prompt do PowerShell permanecer\u00e1 aberto, esperando que voc\u00ea pressione qualquer tecla antes de sair. Depois de concluir a instala\u00e7\u00e3o, voc\u00ea ser\u00e1 apresentado com o seguinte ambiente de \u00e1rea de trabalho:<\/p>\r\n


Figure 3: Desktop environment after install<\/span><\/p>\r\n

 <\/p>\r\n

Neste ponto, recomenda-se reinicializar a m\u00e1quina para garantir que as altera\u00e7\u00f5es na configura\u00e7\u00e3o final entrem em vigor. Ap\u00f3s a reinicializa\u00e7\u00e3o, voc\u00ea ter\u00e1 instalado com sucesso o Commando VM. Recomendamos que voc\u00ea desligue a VM e, em seguida, tire outro snapshot<\/span> para salvar um estado de VM limpo para uso em futuros compromissos.<\/p>\r\n


Prova de conceito<\/strong><\/p>\r\n

Commando VM \u00e9 constru\u00eddo com o foco principal de apoiar compromissos internos. Para demonstrar os recursos de Commando VMs, criamos um exemplo de implanta\u00e7\u00e3o do Active Directory. Esse ambiente de teste pode ser planejado; no entanto, representa configura\u00e7\u00f5es incorretas comumente observadas pela Red Team da Mandiant em ambientes reais.<\/p>\r\n

Come\u00e7amos com o Commando VM executando varreduras de rede com o Nmap.<\/p>\r\n


Figure 4: Nmap scan using Commando VM<\/span><\/p>\r\n

 <\/p>\r\n

Procurando por uma “alternativa\/situa\u00e7\u00e3o f\u00e1cil\u201d que envolva baixa qualidade de configua\u00e7\u00e3o, encontramos uma m\u00e1quina host executando um servidor web interessante na porta TCP 8080, uma porta comumente usada para fins administrativos. Usando o Firefox, podemos nos conectar ao servidor via HTTP atrav\u00e9s da porta TCP 8080.<\/p>\r\n


Figure 5: Jenkins server running on host<\/span><\/p>\r\n

 <\/p>\r\n

Vamos iniciar o Intruder do Burp Suite e tentar for\u00e7ar o login. Navegamos at\u00e9 o nosso diret\u00f3rio Wordlists na pasta Desktop e selecionamos um arquivo de senha arbitr\u00e1rio dentro da SecLists.<\/p>\r\n


Figure 6: SecLists password file<\/span><\/p>\r\n

 <\/p>\r\n

Depois de configurar o Burp\u2019s Intruder e analisar as respostas, vemos que a senha “admin” nos concede acesso ao console do Jenkins. Cl\u00e1ssico.<\/p>\r\n


Figure 7: Successful brute-force of the Jenkins server<\/span><\/p>\r\n

\u00c9 sabido que os servidores Jenkins v\u00eam instalados com um console de script e s\u00e3o executados como NT AUTHORITY \\ SYSTEM nos sistemas Windows por padr\u00e3o. Podemos aproveitar isso e obter execu\u00e7\u00e3o de comando privilegiado.<\/p>\r\n


Figure 8: Jenkins Script Console<\/span><\/p>\r\n

Agora que temos a execu\u00e7\u00e3o do comando, temos muitas op\u00e7\u00f5es para a pr\u00f3xima etapa. Por enquanto, investigaremos a caixa e procuraremos arquivos confidenciais. Atrav\u00e9s da navega\u00e7\u00e3o diret\u00f3rios de usu\u00e1rios, encontramos um arquivo de senha e uma chave SSH privada.<\/p>\r\n


Figure 9: File containing password<\/span><\/p>\r\n

Vamos tentar validar essas credenciais no controlador de dom\u00ednio usando o CredNinja.<\/p>\r\n


Figure 10: Valid credentials for a domain user<\/span><\/p>\r\n

Excelente, agora que sabemos que as credenciais s\u00e3o v\u00e1lidas, podemos executar o CredNinja novamente para ver em quais hosts o usu\u00e1rio pode ter permiss\u00f5es administrativas locais.<\/p>\r\n


Figure 11:\u00a0Running CredNinja to identify local administrative permissions<\/span><\/p>\r\n

Parece que s\u00f3 temos permiss\u00f5es administrativas sobre o host anterior do Jenkins, 192.168.38.104. N\u00e3o se preocupe, agora que temos credenciais de dom\u00ednio v\u00e1lidas, podemos come\u00e7ar as atividades de reconhecimento contra o dom\u00ednio. Ao executar o comando\u00a0runas \/netonly \/user:windomain.local\\niso.sepersky cmd.exe<\/span> e digitar a senha, teremos um prompt de comando autenticado em funcionamento.<\/p>\r\n


Figure 12: cmd.exe running as WINDOMAIN\\niso.sepersky<\/span><\/p>\r\n

A Figura 12 mostra que podemos listar com \u00eaxito o conte\u00fado do compartilhamento de arquivo SYSVOL no controlador de dom\u00ednio, confirmando nosso acesso ao dom\u00ednio. Agora iniciamos o PowerShell e iniciamos a ca\u00e7a de compartilhamento com o PowerView.<\/p>\r\n


Figure 13: PowerView’s Invoke-ShareFinder output<\/span><\/p>\r\n

Tamb\u00e9m estamos curiosos sobre quais grupos e permiss\u00f5es est\u00e3o dispon\u00edveis para a conta de usu\u00e1rio comprometida. Vamos usar o m\u00f3dulo Get-DomainUser da estrutura de p\u00f3s-explora\u00e7\u00e3o PowerView para recuperar detalhes do usu\u00e1rio do Active Directory. Observe que o Commando VM usa a ramifica\u00e7\u00e3o “dev” do PowerView por padr\u00e3o.<\/p>\r\n


Figure 14: Get-DomainUser win<\/span><\/p>\r\n

Tamb\u00e9m queremos verificar se h\u00e1 mais acesso usando a chave SSH encontrada anteriormente. Olhando para as nossas varreduras de portas, identificamos um host com a porta TCP 22 aberta. Vamos usar o MobaXterm e ver se podemos usar o SSH nesse servidor.<\/p>\r\n


Figure 15: SSH with MobaXterm<\/span><\/p>\r\n

N\u00f3s acessamos o servidor SSH e tamb\u00e9m encontramos um caminho f\u00e1cil para fazer o root do servidor. No entanto, n\u00e3o conseguimos escalar privil\u00e9gios de dom\u00ednio com esse acesso. Vamos voltar a compartilhar a ca\u00e7a, come\u00e7ando com o compartilhamento de software oculto que vimos anteriormente. Usando o Gerenciador de arquivos, \u00e9 f\u00e1cil navegar pelos compartilhamentos no dom\u00ednio.<\/p>\r\n


Figure 16: Browsing shares in windomain.local<\/span><\/p>\r\n

Usando a sa\u00edda do comando Invoke-ShareFinder do PowerView, come\u00e7amos a vasculhar os compartilhamentos e procurar informa\u00e7\u00f5es confidenciais. Depois de passar por muitos arquivos, finalmente encontramos um arquivo config.ini com credenciais codificadas.<\/p>\r\n


Figure 17:\u00a0Identifying cleartext credentials in configuration file<\/span><\/p>\r\n


Usando o CredNinja, validamos essas credenciais no controlador de dom\u00ednio e descobrimos que temos privil\u00e9gios administrativos locais.<\/p>\r\n


Figure 18: Validating WINDOMAIN\\svcaccount credentials<\/span><\/p>\r\n

Vamos verificar as associa\u00e7\u00f5es de grupo para este usu\u00e1rio.<\/p>\r\n


Figure 19: Viewing group membership of WINDOMAIN\\svcaccount<\/span><\/p>\r\n

Sorte nossa, somos membros do grupo \u201cDomain Admins\u201d !<\/p>\r\n

 <\/p>\r\n

Conclus\u00e3o final<\/strong><\/p>\r\n

Todas as ferramentas usadas na demonstra\u00e7\u00e3o s\u00e3o instaladas na VM por padr\u00e3o, assim como muitas outras. Para obter uma lista completa de ferramentas e para o script de instala\u00e7\u00e3o, consulte o reposit\u00f3rio Commando VM Github. Esperamos abordar o feedback dos usu\u00e1rios, adicionar mais ferramentas e recursos e criar muitos aprimoramentos.<\/p>\r\n

Acreditamos que essa distribui\u00e7\u00e3o se tornar\u00e1 a ferramenta padr\u00e3o para os penetration testers e esperamos continuar aprimorando e desenvolvendo a plataforma de ataque do Windows.<\/p>\r\n

 <\/p>\r\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/www.fireeye.com\/blog\/threat-research\/2019\/03\/commando-vm-windows-offensive-distribution.html<\/a><\/p>\r\n

 <\/p>\r\n

 <\/p>\r\n

 <\/p>\r\n

 <\/p>\r\n\r\n

 <\/p>\r\n","protected":false},"excerpt":{"rendered":"

Para os penetration testers que buscam uma plataforma de testes Linux est\u00e1vel e suportada, a ind\u00fastria concorda que a Kali \u00e9 a melhor plataforma. No entanto, se voc\u00ea preferir usar o Windows como sistema operacional, talvez tenha notado que n\u00e3o existia uma plataforma que valha a pena. Como pesquisadores de seguran\u00e7a, cada um de n\u00f3s […]<\/p>\n","protected":false},"author":2,"featured_media":10133,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-10122","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/10122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=10122"}],"version-history":[{"count":15,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/10122\/revisions"}],"predecessor-version":[{"id":10194,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/10122\/revisions\/10194"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/10133"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=10122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=10122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=10122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}