Dit is het eerste deel van HACK stories, waarin we vertellen over onze Pentest en Red Team ervaringen. De HACK story van deze maand gaat over een fysieke Penetratietest, waarbij we het gehele netwerk van een organisatie overnamen en toegang verkregen tot gevoelige dossiers. Benieuwd hoe we dit voor elkaar hebben gekregen? Lees dan verder….

Informatie verzamelen

De eerste fase begon bij het verzamelen van informatie over de organisatie op het internet, zowel passief als actief. Denk hierbij aan het winnen van informatie over bijvoorbeeld medewerkers, locaties, satalietbeelden, social media, netwerk en meer. Na het verzamelen van informatie vanaf het internet, zijn we naar de locatie gegaan om fysiek te observeren. Hier houden we bijvoorbeeld in de gaten hoe medewerkers naar binnen- en buiten lopen, maar ook wat voor soort deuren er gebruikt worden, hoeveel deuren en ramen er zijn, of er open deuren of ramen zijn en wat voor kleding de medewerkers dragen. Alles wat tijdens de observatie gezien wordt, wordt genoteerd om later gebruik van te maken. Bij deze organisatie was te zien dat medewerkers naar binnen- en buiten liepen met een RFID-pasje. De meeste medewerkers hadden het pasje aan hun broek hangen. Een persoon uit ons team is vervolgens dichtbij een medewerker gaan lopen, waarna hij deed alsof hij op zijn telefoon bezig was. Hierdoor konden we een observatie van dichtbij doen op het pasje en tegelijkertijd beelden maken.

Voorbereiding

Na een aantal dagen grondige observatie op locatie zijn we terug gegaan ter voorbereiding. We hebben een vals pasje gemaakt, onze entry tools voorbereid en de juiste kleding uitgezocht. We zorgen er altijd voor dat we de juiste kleding hebben, dit is onderdeel van een goede voorbereiding. Als we ons bijvoorbeeld willen voordoen als medewerker, dan kopiëren we de dresscode nauwkeurig. Er zijn dan ook veel verschillende vermommingen die wij gebruiken, of het nou als onderhoudsmonteur is, of iemand die komt klussen, alles is mogelijk. Nadat alle elementen goed voorbereid waren, zijn we teruggereden naar de fysieke locatie van de organisatie.

Initiële toegang

Door middel van tailgaten* was het mogelijk toegang te krijgen tot het pand. Na het verkrijgen van toegang was het de bedoeling diverse doelstellingen te behalen. Deze doelstellingen zijn vooraf opgesteld in overeenstemming met de opdrachtgever. De doelstellingen voor deze fysieke penetratietest waren:

  1. Laat een rubber ducky achter in een laptop;
  2. Krijg toegang tot gevoelige dossiers;
  3. Dring de serverkamer binnen.

*Tailgaten: Tailgaten is het verkrijgen van toegang tot een beveiligde ruimte door achter een (geautoriseerde) persoon te lopen. Bijvoorbeeld meelopen achter een medewerker wanneer deze de deur opent.

Toegang tot “afgesloten gedeelte” van het pand

Om bij de serverkamer te komen, moest je naar het afgesloten gedeelte van het pand. Hier was een RFID-pasje voor nodig, die we niet hadden. We hadden het pasje van een medewerker eventueel kunnen clonen, maar dit nam teveel risico met zich mee. Het was dus nodig om een andere weg naar binnen te vinden. De deur bleek niet beveiligd tegen grendel- en under-door attacks, waardoor het mogelijk was om op een betere en makkelijkere manier toegang te krijgen. Door middel van flipperen* (of traveler hook?) was het mogelijk de deur onopvallend open te krijgen binnen 10 seconden tijd.

*Flipperen: “Inbrekers flipperen een deur die niet op slot gedraaid zit gemakkelijk open. Dit doen zij door een buigbaar plastic plaatje tussen de deur en het kozijn te schuiven. Ze duwen het plaatje langzaam richting het slot en kunnen zo het sluitmechanisme van de deur openduwen (door de dagschoot open te duwen).”

Het kopiëren van een sleutel voor persistente toegang

Na het openen van de onbeveiligde deur had de pentester toegang tot het kantoorgedeelte van het pand. De pentester wist op dit moment niet precies waar hij moest zijn en waar de serverkamer zat. Tijdens fysieke pentesten is het dan ook normaal om veel te lopen en op verkenning te gaan. De pentester is op zoek gegaan naar sleutels (voornamelijk op bureaus) om deze te klonen. Het gebeurd namelijk vaak dat medewerkers sleutels en pasjes laten liggen op bureaus. Op dat moment zaten er veel medewerkers achter hun bureau, waardoor het lastig was om zomaar een sleutel te pakken. De pentester is toen rond gaan kijken voor lege ruimtes, waar eventueel een pasje of sleutels op tafel konden liggen. Na 10 minuten verkennen was het raak. De pentester zag in een kantoorruimte een sleutelbos en pasje op een bureau liggen, waarna hij het pasje heeft gekloont en is gaan kijken of het pasje werkte op een deur. Het pasje werkte, waardoor toegang tot het afgesloten gedeelte van het pand was verkregen.

Toegang tot de serverroom

serverroom 1

Na toegang verkregen te hebben tot het afgesloten gedeelte van het pand is de pentester op zoek gegaan naar de serverkamer. Het was een groot bedrijf met veel medewerkers, dus dit was niet zo gezegd zo gedaan. De pentester is vervolgens naar de IT afdeling gelopen en kon voor toegang het gekloonde pasje gebruiken. Op de gang was een gesloten deur met een RFID-lezer, waar de pentester serverventilatoren hoorde draaien en servers hoorde piepen. Helaas werkte het gekloonde pasje niet op deze RFID-lezer, omdat het niet genoeg rechten had. Voor dit soort situaties hebben we altijd oplossingen, zo kon de pentester door middel van een inspectiecamera zien dat een under-door tool gebruikt kon worden om de deur te openen. Voor brandveiligheid is het vaak van belang dat de deur van binnenuit niet op slot is en geopend kan worden met een hendel. Dit zorgt er wel voor dat een under-door tool gebruikt kan worden om ongeautoriseerd toegang te verkrijgen tot de ruimte. De pentester heeft gewacht tot het lunchtijd was, zodat de aanval onopgemerkt uitgevoerd kon worden. Met behulp van de under-door tool kon de pentester onopvallend binnendringen in de serverkamer. Eenmaal binnen in de serverkamer heeft de pentester malware achtergelaten als bewijs voor de impact.

Toegang tot niet vergrendelde laptops

De pentester verliet de serverkamer, waarna hij een laptop zag die niet gelocked was. Hier heeft de pentester vervolgens een rubber ducky ingestoken. Door te communiceren met de pentester op afstand kon de fysieke pentester verifiëren dat er verbinding was met de C2*.

*C2: Een C2 infstructuur, ook wel Command-and-control infrastructuur genoemd, wordt door aanvallers gebruikt om communicatie te onderhouden met gecompromitteerde apparaten binnen een doelwitnetwerk. Op het gecompromitteerde apparaat draait een proces in de achtergrond, ook wel een payload genoemd. Door dit proces gaat verkeer (al dan niet via een proxy) vanaf de C2 naar het aparaat en andersom. Hierdoor kunnen de gecompromitteerde apparaten op afstand worden bediend.

Toegang tot gevoelige dossiers

De pentester moest nog één doelstelling behalen: toegang verkrijgen tot gevoelige dossiers. Dit hebben we de volgende dag uitgevoerd. De pentester had namelijk kasten gespot met een slotje erop in een ruimte op een etage. De kans was redelijk groot dat hier gevoelige documenten in zouden zitten, omdat de kasten op slot zaten. De pentester is de ruimte binnengegaan en heeft een aantal kasten gelockpickt. In de kasten zaten de gevoelige dossiers waar we naar op zoek waren. Als bewijs voor het rapport zijn er foto’s genomen.

Rapportage

Alle bewijzen, bevindingen en aanbevelingen zijn achteraf uitgewerkt in de vorm van een uitgebreide Pentest rapportage.

Slotstuk

Tijdens deze fysieke pentest is het ons gelukt om de doelen te behalen. Wij hebben initieel toegang verkregen tot het pand door te tailgaten. Hierna konden we in een afgesloten gedeelte van het gebouw komen door misbruik te maken van een kwetsbaarheid in een deurbeslag. In dit gedeelte van het gebouw, konden we een RFID pasje kopiëren. Door middel van een under-the-door attack kon er toegang verkregen worden tot de serverruimte. Verder waren er laptops die niet vergrendeld waren, waardoor we malware konden achterlaten met een rubber ducky. De gevoelige dossiers zaten in een kastje met een zwak slot die snel kon worden gelockpicked.

Ons advies voor bedrijven en organisaties op gebied van fysieke beveiliging, is om geen deuren open te houden voor anderen bij toegangsdeuren, hoe natuurlijk dit ook is, het is niet veilig. Ook adviseren wij om geen sleutels en pasjes op bureaus achter te laten en om laptops altijd te locken als medewerkers even weglopen, al is het maar vijf minuten. Alle gevoelige dossiers moeten opgeborgen worden achter een goed slot, die moeilijk te kraken is en ook moet het niet makkelijk te benaderen zijn voor iedereen. Laat geen onbevoegde personen binnen en zorg voor een goede aanmeldprocedure voor bezoekers.

Dit was HACK stories deel 1 over fysieke penetratietesten, in het volgende deel vertellen we over Red Teaming.