Caster Remix. Используем виртуальный MikroTik для постэксплуатации Windows

Содержание статьи

• Caster Remix
• CHR Deploy
• VXLAN-туннелирование
• Атака
• Зачистка
• Выводы

Не­дав­но я нашел новый спо­соб орга­низа­ции L2-тун­нелиро­вания про­тив сетей Windows. Вдох­новив­шись иде­ей пин­гви­на‑супер­шпи­она, я про­демонс­три­рую пос­тэкс­плу­ата­цию Windows с помощью вир­туаль­ного MikroTik CHR, который поз­волит про­вес­ти пивотинг и получить L2-дос­туп к целевой сети.

warning

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

17 июня 2020 года в «Хакере» выш­ла статья Андрея Жукова (@s0i37) про инте­рес­ный спо­соб пос­тэкс­плу­ата­ции Windows: для даль­нейше­го прод­вижения по сети и перех­вата учет­ных дан­ных внут­ри соз­дает­ся вир­туаль­ная машина на Linux. Для дос­тижения сво­ей цели Андрей исполь­зовал VirtualBox в silent-режиме. Основная идея в том, что­бы вир­туаль­ная машина на Linux работа­ла в режиме мос­та, при­чем в сам мост на Linux помеща­ется интерфейс, который смот­рит в сто­рону реаль­ной ОС. Так у этой машины появ­ляет­ся L2-дос­туп, который откры­вает воз­можнос­ти для атак каналь­ного уров­ня, таких как ARP-спу­финг или LLMNR/NBNS-спу­финг. Важ­ный момент: эта тех­ника тре­бует прав адми­нис­тра­тора на ском­про­мети­рован­ной Windows-машине.

Caster Remix

Я вдох­новил­ся иде­ей s0i37, ког­да пытал­ся най­ти новые спо­собы L2-тун­нелиро­вания про­тив Windows. Мне приш­ла в голову мысль запус­тить вир­туаль­ный роутер MikroTik CHR внут­ри реаль­ной Windows с помощью VirtualBox.

CHR (Cloud Hosted Router) — это вир­туаль­ный мар­шру­тиза­тор MikroTik, который мож­но уста­новить с помощью тех­нологий вир­туали­зации. И у него тоже есть воз­можность деп­лоя на VirtualBox. Я выб­рал имен­но его, так как RouterOS 7 — очень гиб­кий и мно­гофун­кци­ональ­ный инс­тру­мент. В нем есть необ­ходимый VXLAN, который работа­ет ста­биль­но. На осно­ве идеи s0i37 я при­думал сле­дующую кон­цепцию:

• деп­лой CHR внут­ри Windows при пос­тэкс­плу­ата­ции;
• се­тевая нас­трой­ка CHR в режиме bridge в VBOX;
• соз­дание пол­ноцен­ного L2-тун­неля с VXLAN, брид­жинг интерфей­сов и получе­ние дос­тупа.

Схе­ма иссле­дова­ния

info

Этот век­тор работа­ет кор­рек­тно толь­ко для реаль­ных физичес­ких машин, так как при экс­плу­ата­ции вир­туаль­ных машин могут воз­никнуть проб­лемы с про­хож­дени­ем тра­фика из‑за того, что на интерфей­се ском­про­мети­рован­ной вир­туал­ки может не быть нераз­борчи­вого режима.

Я пос­тро­ил дос­таточ­но неболь­шую сеть для демонс­тра­ции ремик­са, но мой метод может работать из любой точ­ки сетевой инфраструк­туры, так как Ethernet-фрей­мы в тун­неле будут переда­вать­ся поверх L3-соеди­нений с помощью VXLAN-тун­нелиро­вания.

CHR Deploy

MikroTik CHR мы исполь­зуем в качес­тве L2-шлю­за, но он будет работать на осно­ве VirtualBox. Вот толь­ко VirtualBox нуж­но каким‑то обра­зом уста­новить на целевой хост, а при этом не всег­да есть воз­можность обес­печить себя гра­фичес­кой обо­лоч­кой. Я пре­дус­мотрел этот сце­нарий и нашел спо­соб «тихой» уста­нов­ки VirtualBox, а так­же спо­соб орга­низа­ции вир­туаль­ной машины.

Источник: xakep.ru