Sagan om hackingverktygens återkomst
Vi som jobbar med IT-säkerhet har den senaste tiden blivit välsignade med uppdateringar till två av de mest populära verktygen. I veckans blogg tänkte jag kika närmare på exakt vad de nya versionerna kommer med och hur de påverkar vårt arbete framöver.
Verktygen vi ska kika närmare på är Metasploit och CrackMapExec
Metasploit
Metasploit kan bäst summeras som ett ramverk innehållande moduler som hjälper dig exploatera kända brister och felkonfigurationer. Verktyget delar också en del aspekter med så kallade Command & Control-verktyg, exempelvis Cobolt Strike och Sliver, som vanligtvis används av både hotaktörer och Red Team-operatörer för större kampanjer riktade mot ett företags nätverk. Metasploits uppdatering 6.3 ser däremot ut att ändra banan mot ett fullfjädrat Command & Control-verktyg.
Version 6.3 släpptes i slutet av januari och kommer med en stor mängd nya implementationer som avsevärt förbättrar kapabiliteten till att utföra angrepp mot Active Directory-nätverk och även eskalera sina rättigheter lokalt på en övertagen maskin.
Bland höjdpunkterna finner vi bland annat:
- Stöd för Kerberos-autentisering över HTTP, LDAP, SMB och WinRM
- Flera moduler för LDAP-inriktade angrepp, däribland möjligheten att lägga till nya objekt, missbruka vanliga felkonfigurationer och kartlägga objekt.
- Nya moduler för privilegieeskalering som använder EFSRPC API (se även EfsPotato) för att eskalera rättigheter till NT-Authority\SYSTEM
- Stöd för att efterfråga TGT både via lösenord, NT-hashar och krypteringsnycklar, men även via PKINIT certifikat
- Mycket mer1
Själv ser jag en renässans (eller återkomst) för Metasploit, speciellt vid penetrationstester av nätverk och Red Team-övningar. Många av de funktioner som nu implementerats i ramverket utfördes tidigare lättast via separata verktyg som Impacket getTGT, Winpeas, etc. Det finns stora fördelar med att samla alla verktyg under ett paraply, inte minst när man befinner sig ute på ett skarpt test och kommer ihåg att man glömde ladda ner ett verktyg som specifikt var inriktat på att utföra ett viktigt steg i testerna.
Metasploits samspel mellan olika moduler underlättar dessutom hantering av utvunna uppgifter.
CrackMapExec
CrackMapExec beskrivs av utvecklarna som en schweizisk armékniv som hjälper till att kartlägga och angripa stora Active Directory-nätverk. Det är ett fantastiskt verktyg som jag började använda pinsamt sent i min karriär men som jag alltid blir imponerad av varje gång jag använder det. Version 5.2.2 av CrackMapExec är kanske inte lika ny som Metasploit 6.3 och släpptes faktiskt så sent som slutet av 2022. Antalet nya tillägg och förbättringar gör det dock till en uppdatering som absolut måste omnämnas.
Likt Metasploit så är antalet ändringar i version 5.2.2 alldeles för många för att lista, men tittar vi på höjdpunkterna finner vi bland annat:
- Automatiserad uthämtning av samtliga LAPS-lösenord från ett helt nätverk – Förutsatt att du komprometterat ett konto som är behörig att läsa LAPS.
- Stöd för kartläggning av användare med SMB null-sessioner.
- Stöd för att dumpa LSASS över en fjärranslutning (tekniskt sett en implementation av verktyget lsassy).
- Integration med Bloodhound – CrackMapExec kan numera skicka information direkt till Bloodhund och exempelvis markera konton där lösenord utvunnits som komprometterade.
- Än en gång – Mycket mer2
Summa summarum så har vi ett redan fantastiskt verktyg som blivit ännu bättre. Jag ser verkligen fram emot att använda CrackMapExec mer i framtiden då det är ett verktyg som ännu inte gjort mig besviken. Värt att notera är att medan verktyget är gratis så kräver den senaste versionen en prenumeration hos Porchetta Industries (där refererat till som sponsorskap) vilket går lös på $60 för 6 månader åtkomst. Helt klart prisvärt i mitt tycke!
1: https://www.rapid7.com/blog/post/2023/01/30/metasploit-framework-6-3-released/
2: https://wiki.porchetta.industries/news-2022/major-release-for-crackmapexec