Apa itu pivoting dalam peretasan dan bagaimana penggunaannya dalam pentesting?

Di dunia peretasan Etika dan pengujian penetrasi, Anda akan terus-menerus mendengarnya. perputaran, gerakan lateral, dan jaringan internalIni bukan sekadar istilah populer: ini adalah salah satu keterampilan yang paling membedakan seseorang yang hanya melancarkan eksploitasi dari seseorang yang benar-benar memahami cara kerja infrastruktur perusahaan dari dalam.

Ketika sebuah organisasi melakukan segmentasi jaringan, menerapkan firewall internal, dan mengimplementasikan jaringan privat, tidak cukup hanya dengan meretas mesin pertama yang ditemukan. Mulai dari titik awal tersebut, kuncinya terletak pada... gunakan sistem itu sebagai batu loncatan untuk menjangkau server dan subnet yang tidak terlihat dari luar. Di situlah pivoting berperan.

Apa itu pivoting dalam peretasan dan pengujian penetrasi?

Secara sederhana, the Pivoting adalah teknik menggunakan mesin yang sudah terpakai sebagai jembatan. untuk mencapai jaringan, host, atau layanan lain yang tidak dapat diakses langsung dari mesin penyerang. Ini adalah fase tipikal dari pasca-eksploitasi dalam pengujian penetrasi atau operasi Tim Merah.

Bayangkan sebuah benteng: dari luar Anda hanya melihat tembok dan bangunan utama, tetapi begitu Anda melewati gerbang, Anda akan menemukan koridor internal, halaman dalam, dan ruangan tersembunyi yang bahkan tidak Anda ketahui keberadaannya dari luar. Tim pertama yang Anda rekrut adalah gerbangnya; melakukan pivot adalah semua yang Anda lakukan dari sana untuk menjelajahi "ruangan" lain dalam jaringan tersebut.

Dalam lingkungan dunia nyata, penyerang atau penguji penetrasi membobol sistem yang terekspos (misalnya, server di DMZ) dan kemudian mengkonfigurasi terowongan, penerusan port, atau VPN terbalik untuk mengarahkan lalu lintas mereka melalui mesin tersebut. Dari perspektif jaringan, semua serangan selanjutnya tampak berasal dari host internal yang "terpercaya", menyebabkan banyak kontrol keamanan mengabaikan aktivitas tersebut.

Tujuan utama dari pivoting adalah memperluas jangkauan serangan di dalam jaringan, tetap sebisa mungkin tidak mencolok saat menghitung mesin-mesin baru, menemukan aset-aset penting, dan mencoba mengeksploitasi kerentanan tambahan.

Hubungan antara perubahan haluan, peningkatan hak istimewa, dan pergerakan lateral

Dalam siklus serangan atau pengujian penetrasi, pivoting bukanlah hal yang terisolasi: hal ini hampir selalu dikombinasikan dengan peningkatan hak istimewa dan pergerakan lateralSetiap konsep mencakup bagian yang berbeda dari proses tersebut, tetapi dalam praktiknya semuanya saling terkait.

La peningkatan hak istimewa Ini merujuk pada peralihan dari pengguna dengan sedikit izin ke pengguna dengan hak akses tinggi (misalnya, dari pengguna standar ke pengguna dengan hak akses tinggi). akar atau administrator). Ini bisa horizontal, ketika Anda mengakses akun lain dengan level yang sama, atau vertikal, ketika Anda meningkatkan hak akses dalam sistem yang sama.

El gerakan lateral Ini menggambarkan proses berpindah dari host yang disusupi ke host lain dalam jaringan yang sama atau jaringan tetangga, menggunakan kembali kredensial yang dicuri, mengeksploitasi kerentanan internal, atau menyalahgunakan protokol seperti... UKM di QUICRDP atau WMI. Ini adalah "perluasan" keterlibatan dalam lingkungan tersebut.

Pivoting adalah bagian dari keseluruhan proses ini yang berfokus pada... perutean dan pengalihan lalu lintasDengan kata lain, mekanisme bagaimana Anda mengarahkan koneksi Anda melalui node perantara untuk mencapai sistem internal lain yang, dari tim penyerang Anda, Anda tidak memiliki jalur langsung ke sana.

Dalam alur tipikal, penyerang dapat: 1) Membobol server yang terekspos2) melakukan peningkatan hak akses untuk mendapatkan kendali penuh atas sistem, dan 3) mengkonfigurasi terowongan atau penerusan port untuk menggunakannya sebagai titik tumpu dan menjelajahi subnet internal lainnya.

Keuntungan dan risiko melakukan pivot dalam jaringan perusahaan

Bagi mereka yang melakukan audit keamanan, pivoting adalah alat penting karena memungkinkan mensimulasikan bagaimana penyerang yang realistis akan bertindak setelah berhasil mendapatkan pijakan awal. Tanpa melakukan perubahan strategi, banyak organisasi akan memiliki rasa aman yang palsu dengan hanya mengevaluasi sistem yang terpapar secara langsung.

Dari sudut pandang pertahanan, masalah besarnya adalah bahwa Sebagian besar lalu lintas yang dialihkan tampaknya sah.Karena berasal dari mesin internal, banyak solusi IDS/IPS dan pemantauan berfokus pada perimeter daripada lalu lintas timur-barat di dalam jaringan, sehingga menciptakan peluang bagi penyerang. Melengkapi hal ini dengan... Aturan ASR di Windows dan langkah-langkah lainnya membantu mengurangi sebagian dari risiko tersebut.

Selain itu, dengan menggunakan teknik seperti terowongan terenkripsi, VPN terbalik, atau proxy SOCKS, penyerang dapat sembunyikan isi sebenarnya dari komunikasi AndaHal ini membuat analisis oleh tim keamanan menjadi lebih sulit. Oleh karena itu, pivoting dianggap sebagai salah satu fase paling kritis dalam kampanye ransomware, spionase, atau eksfiltrasi data.

Sebagai imbalannya, teknik-teknik semacam ini juga membantu tim Red Team dan pentester untuk untuk menunjukkan secara jelas dampak dari kesenjangan tersebutJika satu mesin pengguna dapat terhubung ke pengendali domain atau basis data produksi, organisasi akan segera memahami seberapa serius masalah tersebut.

Jenis-jenis pivoting: VPN, proxy, tunnel, dan port forwarding

Ide dasar dari pivoting adalah sama, tetapi dapat diimplementasikan dengan berbagai cara, tergantung pada alat yang tersedia dan kendala jaringan. Jenis yang paling umum adalah: VPN pivoting, proxy pivoting, dan port forwarding.

Dalam beralih dengan VPNPenyerang membuat antarmuka jaringan virtual (tun/tap) antara mesin mereka dan host yang disusupi. Semua lalu lintas yang ditujukan untuk satu atau lebih subnet internal berjalan terenkripsi melalui antarmuka ini, seolah-olah penyerang terhubung melalui kabel di dalam jaringan korban. Alat-alat seperti... Ligolo-ng o sshuttle Mereka merupakan contoh yang baik dari pendekatan ini.

El pengalihan proksi Metode ini melibatkan konfigurasi layanan proxy (biasanya SOCKS) pada host yang disusupi, sehingga aplikasi penyerang mengirimkan lalu lintasnya ke proxy tersebut, yang kemudian meneruskannya ke tujuan internal. Metode ini sangat fleksibel karena memungkinkan pemindaian beberapa port dan mesin yang berbeda secara bersamaan. Chisel, ssh -D, rpivot atau modul Metasploit Ini adalah pilihan umum yang tersedia di sini.

Pada gilirannya, penerusan porta Metode ini membangun saluran langsung antara port lokal pada mesin penyerang dan port tertentu pada host internal, melalui mesin perantara. Kemampuannya lebih terbatas daripada proxy umum, tetapi biasanya sudah cukup. lebih cepat dan lebih stabil, sangat cocok untuk mengakses layanan tertentu seperti panel web, RDP, atau port basis data.

Dalam hal penerusan port, biasanya dibedakan antara penerusan lokal (penyerang mengekspos port lokal yang mengarahkan ke port jarak jauh), Jauh (host pivot mendengarkan dan meneruskan ke penyerang) dan dinamis (Proxy SOCKS disiapkan yang secara fleksibel mengarahkan beberapa koneksi ke berbagai tujuan internal).

Skenario pivot praktis: dari lompatan tunggal hingga rantai kompleks

Di laboratorium dan lingkungan pelatihan, biasanya dibuat topologi sederhana untuk Memahami konsep pivoting langkah demi langkahContoh klasiknya adalah jaringan dengan mesin Kali Linux sebagai penyerang dan tiga server. Linux atau Ubuntu yang saling terhubung dalam sebuah rantai.

Mesin penyerang hanya melihat mesin 1. Mesin ini, pada gilirannya, memiliki antarmuka kedua ke jaringan tempat mesin 2 berada, dan mesin 2 terhubung ke mesin 3 pada subnet lain. Tujuan dari latihan ini adalah untuk mencapai konektivitas dengan mesin 3, yang awalnya tidak dapat dijangkau dari Kali.

Dalam skenario seperti ini, alat-alat seperti... pahat dan kaus kakiChisel memungkinkan pembuatan terowongan HTTP yang aman antara penyerang dan mesin 1 (mode server pada penyerang, mode klien pada pivot), mengekspos proxy SOCKS yang kemudian digunakan dengan proxychain untuk mencapai mesin 2.

Socat berperan dalam hal ini. menyiapkan saluran dua arah Hal ini memungkinkan, misalnya, menerima reverse shell dari mesin internal yang jika tidak, tidak dapat terhubung langsung ke alamat IP penyerang. Mesin 1 mendengarkan pada sebuah port dan meneruskan pesan masuk ke mesin penyerang, di mana penyerang memiliki listener yang menjalankan netcat.

Pola ini dapat diulang di setiap hop: pada mesin 2, Chisel dikonfigurasi untuk beralih ke jaringan mesin 3, dan Socat digunakan lagi untuk menghubungkan pengalihan baru. Meskipun pada awalnya mungkin tampak sedikit membingungkan, dengan latihan akan menjadi jelas bagaimana setiap host perantara bertindak sebagai mata rantai dalam komunikasi.

Dalam lingkungan Red Team yang lebih kompleks, seringkali ditemukan rantai pivoting multi-hop menggunakan alat-alat seperti... Ligolo-ng, yang membuat antarmuka tun/tap pada setiap perangkat pivot dan rute khusus seperti route add 10.10.10.0/24 dev ligolo1, memungkinkan penyerang untuk bergerak melalui berbagai subnet (10.10.10.0/24, 20.20.20.0/24, 30.30.30.0/24, dll.) seolah-olah dia berada di dalam jaringan.

Beralih dengan alat khusus: dari SSH ke Metasploit

Untuk mengimplementasikan pivoting secara efisien, pentester memiliki serangkaian alat yang berfokus pada hal-hal berikut: tunneling, proxy, dan penerusan portBeberapa dirancang untuk penggunaan umum, dan yang lainnya terintegrasi dengan kerangka kerja eksploitasi yang lengkap.

Salah satu opsi yang umum digunakan adalah Terowongan SSHOpsi -D mengatur proxy SOCKS lokal yang mengarahkan lalu lintas melalui server SSH yang disusupi, sementara -L atau -R membuat penerusan port lokal atau jarak jauh. Ini adalah cara yang sederhana dan andal untuk melakukan pivot ketika Anda memiliki akses SSH ke sistem internal.

Alat seperti antar-jemput Fungsinya hampir seperti VPN berbasis SSH yang transparan: memungkinkan Anda untuk menentukan jaringan internal (misalnya, 10.10.10.0/24) dan mengarahkan lalu lintas ke jaringan tersebut melalui host penghubung, seringkali tanpa memerlukan hak akses administrator. Ini sangat nyaman ketika Anda menginginkan pengalaman "di dalam jaringan" tanpa banyak konfigurasi manual.

Proyek lain seperti rpivot Mereka memungkinkan Anda untuk menyiapkan proxy SOCKS terbalik: server berjalan di mesin auditor dan klien diinstal pada host yang disusupi, sehingga host yang disusupi tersebut membuat koneksi keluar. Ini berguna ketika aturan lalu lintas keluar hanya mengizinkan sedikit lalu lintas tetapi koneksi ke internet dapat dimulai.

Di lingkungan yang hanya menyediakan webshell, solusi seperti Tunna atau reGeorgyang membungkus lalu lintas permintaan HTTP melalui server web yang disusupi. Penyerang mengeksekusi sebuah naskah pada komputer Anda yang berkomunikasi dengan web shell, dan pada gilirannya mengekspos proxy SOCKS lokal untuk mengarahkan lalu lintas ke sumber daya internal.

Terdapat juga alat pasca-eksploitasi terintegrasi, seperti pwncat, yang menambahkan kemampuan penerusan port dari shell yang sudah ada, memfasilitasi pembuatan terowongan ke layanan seperti MySQL (misalnya, dengan mengalihkan port 3306 ke port lokal).

Pivoting dan Metasploit: rute, autoroute, dan portfwd

Metasploit Framework tetap menjadi salah satu platform yang paling banyak digunakan dalam pengujian penetrasi, dan bukan hanya untuk mengeksploitasi kerentanan: platform ini juga sangat siap untuk berputar dengan cara yang terkontrol setelah sesi Meterpreter diperoleh.

Dasar dari segalanya adalah memperoleh sesuatu terlebih dahulu. Sesi Meterpreter pada mesin dengan beberapa antarmuka atau rute ke jaringan lain. Misalnya, host Ubuntu dengan alamat IP 10.0.0.0/24 dan alamat IP lain 11.0.0.0/24 dapat berfungsi sebagai node penghubung antara mesin Kali dan server web internal di 11.0.0.10 yang tidak dapat diakses secara langsung.

Di dalam Metasploit, perintahnya adalah... rute Ini memungkinkan Anda menambahkan rute ke jaringan internal sehingga modul apa pun dalam kerangka kerja mengetahui untuk mengirim lalu lintas melalui sesi tertentu. Misalnya, `route add 11.0.0.0 255.255.255.0 1` akan menunjukkan bahwa semua lalu lintas ke jaringan 11.0.0.0/24 harus melewati nomor sesi Meterpreter 1.

Untuk mengotomatiskan proses ini, terdapat sebuah modul. pos/multi/kelola/rute otomatisAlat ini menganalisis antarmuka dan tabel perutean host yang disusupi dan secara otomatis menambahkan jaringan apa pun yang ditemukannya. Ini menghilangkan kebutuhan untuk memeriksa ipconfig atau route print secara manual di dalam sesi tersebut.

Di sisi lain, perintah portforward Kerentanan ini mengimplementasikan penerusan port dari sesi Meterpreter. Dengan perintah seperti `portfwd add -l 9500 -p 22 -r 11.0.0.10`, penyerang dapat mengalihkan semua yang dikirim ke port lokal 9500 mesin Kali mereka ke port 22 host internal 11.0.0.10, menggunakan mesin pivot sebagai perantara.

Kombinasi perintah route/autoroute dan portfwd memungkinkan penggunaan modul Metasploit yang mengarah ke IP lokal (misalnya, 127.0.0.1:9000) dan alat eksternal (browser, nmap, klien RDP, dll.) yang terhubung ke IP lokal. pelabuhan lokal Namun, pada kenyataannya, mereka sedang berbicara dengan layanan-layanan yang berada di lapisan dalam jaringan korban.

Enumerasi jaringan internal melalui sebuah poros.

Setelah titik tumpuan ditetapkan, hal itu tidak berguna tanpa rencana yang baik. Mencantumkan jaringan internal dan menemukan tujuan.Fase ini dapat diatasi dengan beberapa strategi yang saling melengkapi.

Hal pertama yang biasanya dilakukan adalah memanfaatkan hal tersebut. informasi yang sudah tersedia di mesin yang disusupi (Lihat artefak di Windows). File seperti /etc/hosts di Linux atau C:\Windows\System32\drivers\etc\hosts di Windows, serta cache ARP (perintah arp -a), dapat mengungkapkan IP dan nama host server dan perangkat yang telah berkomunikasi dengan sistem.

Hal ini juga perlu ditinjau kembali. pengaturan DNS lokalSebagai contoh, dengan menggunakan `/etc/resolv.conf` di Linux atau `ipconfig /all` di Windows, Anda dapat mengidentifikasi server DNS internal yang salah konfigurasi yang memungkinkan transfer zona. Ini dapat mengungkap subdomain dan layanan yang tidak terdeteksi dari luar.

Jika perangkat yang sudah terpasang tidak mencukupi, perangkat tersebut dapat ditingkatkan. biner statis dari utilitas seperti nmap atau skrip bash kecil atau Ular sanca yang melakukan ping atau pemindaian dasar. Sebuah loop sederhana yang melakukan ping pada rentang IP di latar belakang dapat mendeteksi mesin aktif dengan cukup cepat; juga umum untuk menjalankan utilitas izin seperti AksesChk untuk meninjau hak akses lokal.

Jika tidak memungkinkan untuk menjalankan alat jaringan pada pivot itu sendiri, satu-satunya pilihan yang tersisa adalah menggunakan memindai melalui proksi (Sebagai contoh, menggunakan proxychain dari mesin penyerang terhadap proxy SOCKS pada pivot). Opsi ini lebih lambat, terutama untuk port UDP, jadi disarankan untuk membatasinya pada port tertentu atau hanya menggunakannya jika tidak ada alternatif lain.

Taktik yang efektif melibatkan penggabungan pemindaian cepat dengan nmap (atau yang serupa) pada host yang disusupi untuk menemukan port yang terbuka, dan kemudian melakukan pemindaian kedua yang lebih mendalam dari mesin penyerang. hanya terhadap port-port tertentu tersebut menggunakan mesin skrip nmap NSE dan proxy yang telah dikonfigurasi.

Alat-alat penting untuk melakukan perubahan strategi di lingkungan dunia nyata

Selain yang sudah disebutkan, ada baiknya untuk memiliki katalog mental kecil tentang alat-alat yang membantu dalam berbagai situasi pengalihan, baik untuk tunneling maupun untuk menggunakan proxy dari sisi penyerang, dan memahami serangan yang memanipulasi WDAC yang dapat menghambat atau melindungi pasca-eksploitasi.

Di satu sisi terdapat utilitas yang membuat atau menggunakan proxy, seperti ProxyChains di Linux atau ekstensi seperti FoxyProxy di browser, yang memungkinkan Anda mengarahkan lalu lintas aplikasi tertentu melalui server SOCKS atau HTTP yang diatur pada host perantara.

Di sisi lain, kita menemukan solusi komprehensif seperti Metasploit dengan modul socks4a-nya, yang memungkinkan Anda untuk mengatur proxy internal dari sesi Meterpreter dan menggunakannya dari mesin auditor, atau seperti Chisel, yang membungkus koneksi TCP dalam terowongan HTTP yang dilindungi dengan SSH dan mendukung penerusan balik lokal dan jarak jauh.

Menarik juga merupakan hal yang umum. Platform pasca-eksploitasi seperti pwncatyang mempermudah pengelolaan beberapa sesi, menjalankan perintah untuk pengenalan, memuat biner, dan mengkonfigurasi penerusan port tanpa harus berpindah-pindah antara ribuan terminal yang berbeda.

Dalam skenario webshell, proyek seperti Tunna atau reGeorg menjadi hampir tak tergantikan, karena mereka mengubah file .php, .jsp, atau .aspx sederhana yang diunggah ke server menjadi sebuah saluran terowongan ke dalam yang dapat digunakan oleh pentester untuk membuka proxy lokal dan menyelidiki host internal lainnya.

Pada akhirnya, pilihan alat sangat bergantung pada... pembatasan keluar, dari izin yang diperoleh pada host yang disusupi dan dari jenis lalu lintas yang ingin Anda buat terowongan (HTTP, RDP, SMB, databasedll.). Umumnya beberapa metode digabungkan untuk beradaptasi dengan filter jaringan.

Pergerakan lateral, pencurian kredensial, dan rantai serangan.

Berputar hanyalah salah satu bagian dari keseluruhan proses. rantai serangan yang lebih luas yang mencakup pengintaian, pencurian kredensial, peningkatan hak akses, pergerakan lateral, dan seringkali eksfiltrasi atau enkripsi data (dalam kasus ransomware).

Proses dimulai dengan suatu fase Pengakuan Dalam skenario ini, penyerang mengumpulkan informasi tentang organisasi: domain, subdomain, teknologi yang digunakan, karyawan, pemasok, dan lain-lain. Teknik OSINT dan pemindaian eksternal digunakan untuk mengidentifikasi area serangan.

Setelah titik masuk ditemukan (misalnya, aplikasi yang rentan atau pengguna yang tertipu oleh phishing), langkah selanjutnya yang biasa dilakukan adalah... pembobolan dan pencurian kredensialHal ini dapat dilakukan dengan keylogger, alat seperti Mimikatz, serangan Pass-the-Hash atau Pass-the-Ticket di lingkungan Kerberos, atau dengan mengeksploitasi kebiasaan manajemen kata sandi yang buruk. Tindakan pencegahan tersedia, seperti... Konfigurasi Credential Guard di Windowsyang membuat pencurian dan penggunaan kredensial di lingkungan Windows menjadi sulit.

Dengan kredensial tersebut, penyerang bergerak secara lateral menggunakan protokol seperti SMB, RDP, WMI, atau lainnya, mencoba mencapai mesin dengan hak akses lebih tinggi atau server kunci, seperti pengendali domain, server basis data, atau repositori kode.

Sepanjang perjalanan ini, penggunaan pivoting memungkinkan mengatasi segmentasi jaringan internaldengan berpindah dari VLAN ke VLAN atau melalui server aplikasi ke basis data yang seharusnya tidak pernah dapat diakses dari internet. Seiring semakin banyak mesin yang disusupi, penyerang memperluas "peta mental" jaringan dan mempersiapkan potensi jalur pelarian atau jalur penyambungan kembali melalui pintu belakang.

Pada fase terakhir, jika tujuannya adalah ransomware atau eksfiltrasi data, penyerang akan menggunakan semua akses lateral tersebut untuk memaksimalkan kerugian atau nilai data yang dicuriDalam kasus spionase, ia akan berusaha untuk tetap berada di lingkungan tersebut lebih lama, meminimalkan kebisingan dan bergerak secara diam-diam agar tidak memicu peringatan.

Praktik yang baik, etika, dan pertimbangan hukum

Dari perspektif peretasan etis, sangat penting untuk diingat bahwa Segala jenis tes yang melibatkan gerakan memutar dan gerakan menyamping harus dilakukan dengan izin tertulis. dari pemilik infrastruktur. Ini bukan detail administratif, melainkan masalah hukum dan etika yang sangat penting.

Mereka mendokumentasikan setiap tindakan. Penguji penetrasi profesional menyediakan kemampuan pelacakan: jaringan yang diidentifikasi, kredensial yang diperoleh, terowongan yang dikonfigurasi, layanan yang diakses, dll. Kemampuan pelacakan ini memungkinkan klien untuk memahami baik vektor serangan maupun dampak nyata dari kerentanan yang terdeteksi, dan seringkali merekomendasikan langkah-langkah seperti... membatasi hak akses administratif untuk mengurangi luas permukaan untuk pergerakan lateral.

Selain itu, penggunaan alat secara bertanggung jawab sangat dianjurkan, dengan menghindari peningkatan lalu lintas yang berlebihan yang dapat mempengaruhi kinerja layanan dalam produksi atau menyebabkan pemadaman. Seringkali, jendela waktu yang jelas dan batasan jangkauan ditetapkan sebelum memulai kampanye.

Yang tak kalah penting adalah menjaga komunikasi yang berkelanjutan dan transparan dengan klienApa yang sedang diupayakan, mengapa, apa yang telah dicapai, dan apa risiko yang terlibat. Tujuannya bukan untuk "menang" melawan perusahaan, tetapi untuk membantunya memperkuat pertahanan terhadap penyerang sebenarnya yang akan bertindak tanpa rasa malu.

Jika Anda bekerja dengan jaringan yang mencakup data yang sangat sensitif (layanan kesehatan, perbankan, administrasi publik, dll.), disarankan untuk memperkuat langkah-langkah perlindungan selama pengujian penetrasi dan menyepakati bagaimana bukti yang dikumpulkan selama pengujian akan disimpan, diproses, dan dihapus.

Menguasai teknik pivoting bukan hanya tentang menghafal perintah SSH, Metasploit, atau Chisel; tetapi juga tentang memahaminya. bagaimana jaringan dirancang, bagaimana cara berpikir para pembela, dan bagaimana perilaku para penyerang tingkat lanjut.Ketika visi global ini diinternalisasi, teknik pembuatan terowongan dan pergerakan lateral berhenti menjadi campuran yang tidak teratur. Trik dan menjadi alat yang koheren dalam strategi keamanan ofensif yang terencana dengan baik.