Xin chào một lần nữa, đây là Shusei Tomonaga từ Trung tâm Phân tích.
Trong hệ điều hành Windows, các lệnh khác nhau (sau đây "Windows lệnh") được cài đặt theo mặc định. Tuy nhiên, những gì đang thực sự được sử dụng bởi người dùng nói chung chỉ là một phần nhỏ của nó. Mặt khác, JPCERT / CC đã quan sát thấy rằng những kẻ tấn công xâm nhập vào một mạng cũng sử dụng Windows lệnh để thu thập thông tin và / hoặc để lây nhiễm phần mềm độc hại trong mạng. Điều gì là đáng chú ý ở đây là khoảng cách giữa các lệnh Window được sử dụng bởi người dùng nói chung và của những kẻ tấn công. Nếu có một sự khác biệt rất lớn, nó sẽ có thể phát hiện hoặc hạn chế hành vi của những kẻ tấn công bằng cách giám sát / kiểm soát việc thực hiện lệnh của Windows.
Mục nhập này sẽ chứng minh làm thế nào để giảm thiểu những tác động tấn công bằng cách tiết lộ Windows lệnh rằng những kẻ tấn công sử dụng trên hệ điều hành Windows xâm nhập, và bằng cách hạn chế việc thi hành các lệnh đó là không cần thiết cho người dùng nói chung.
Phần mềm độc hại để điều khiển từ xa (Remote Access Tool / Trojan - RAT) có một chức năng để thực hiện các lệnh shell từ một môi trường từ xa. Với điều này, kẻ tấn công có thể thực thi Windows lệnh từ một môi trường từ xa.
Những kẻ tấn công đã cài đặt thành công phần mềm độc hại như vậy trong một mạng sẽ cố gắng để kiểm soát các hệ thống trong mạng theo trình tự sau để thu thập thông tin bí mật, vv
- Điều tra ban đầu: Thu thập thông tin của máy tính bị nhiễm
- Trinh sát: Hãy tìm thông tin lưu trong máy và các máy từ xa trong mạng
- Lây nhiễm: Lây nhiễm máy tính với phần mềm độc hại khác hoặc cố gắng truy cập vào các máy khác
lệnh Windows được sử dụng trong tất cả các giai đoạn trên. lệnh Windows tương ứng được sử dụng trong mỗi giai đoạn được giới thiệu ở đây dưới đây.
Điều tra ban đầu
Bảng 1 liệt kê các lệnh thường được sử dụng bởi những kẻ tấn công trong một nỗ lực để thu thập thông tin của máy bị nhiễm. "Thời gian thực hiện" có nguồn gốc từ số tiền của Windows lệnh được sử dụng bởi 3 nhóm tấn công khác nhau trong các máy chủ C & C tương ứng của họ (Vui lòng tham khảo Phụ lục A, B và C để biết chi tiết).
| Ranking | Command | Times executed |
|---|---|---|
| 1 | tasklist | 155 |
| 2 | ver | 95 |
| 3 | ipconfig | 76 |
| 4 | systeminfo | 40 |
| 5 | net time | 31 |
| 6 | netstat | 27 |
| 7 | whoami | 22 |
| 8 | net start | 16 |
| 9 | qprocess | 15 |
| 10 | query | 14 |
Những kẻ tấn công sử dụng các lệnh như "tasklist", "ver", "ipconfig" và "systeminfo", vv, và thu thập thông tin của các mạng lưới, quy trình và hệ điều hành để điều tra những loại máy họ đã thành công trong lây nhiễm. Đó có thể là cách họ làm cho chắc chắn rằng máy tính không phải là một sandbox cho mục đích phân tích phần mềm độc hại và như vậy.
Trinh sát
Lệnh được trình bày trong Bảng 2 thường được sử dụng để tìm kiếm các thông tin bí mật và các máy từ xa trong mạng.
| Ranking | Command | Times executed |
|---|---|---|
| 1 | dir | 976 |
| 2 | net view | 236 |
| 3 | ping | 200 |
| 4 | net use | 194 |
| 5 | type | 120 |
| 6 | net user | 95 |
| 7 | net localgroup | 39 |
| 8 | net group | 20 |
| 9 | net config | 16 |
| 10 | net share | 11 |
Những kẻ tấn công sử dụng "dir" và "loại" để tìm kiếm cho các tập tin. Đôi khi họ thu thập một danh sách tất cả các tập tin tài liệu trong máy tính bị nhiễm bằng cách thiết lập các tùy chọn và lập luận thích hợp cho "dir" lệnh.
Đối với tìm kiếm mạng, "net" được sử dụng. Đặc biệt, các lệnh sau đây thường được nhìn thấy:
- net view: Có được một danh sách các nguồn năng kết nối miền
- net user: Quản lý tài khoản địa phương / miền
- net localgroup: Có được một danh sách các người dùng thuộc nhóm địa phương
- net group: Có được một danh sách các người dùng thuộc nhóm miền nhất định
- net use: Truy cập vào các nguồn tài nguyên
Hơn nữa, các lệnh sau đây có thể được sử dụng trong một môi trường mà Active Directory được sử dụng (Vui lòng tham khảo Bảng 5 trong Phụ lục A). Những lệnh này được cài đặt trong Windows Server và không ban đầu tồn tại trong hệ điều hành client như Windows 7 và 8,1 - nhưng kẻ tấn công tải về và cài đặt các lệnh từ bên ngoài và thực hiện chúng.
- dsquery: Tìm kiếm các tài khoản trong Active Directory
- csvde: Lấy thông tin tài khoản trong Active Directory
Lây lan của nhiễm
Để xâm nhập máy từ xa và lây nhiễm phần mềm độc hại trong mạng, các lệnh sau đây thường được thực hiện:
| Ranking | Command | Times executed |
|---|---|---|
| 1 | at | 103 |
| 2 | reg | 31 |
| 3 | wmic | 24 |
| 4 | wusa | 7 |
| 5 | netsh advfirewall | 4 |
| 6 | sc | 4 |
| 7 | rundll32 | 2 |
*”wmic” cũng được sử dụng để trinh sát.
"At" và "wmic" thường được sử dụng để thực hiện các phần mềm độc hại trên máy từ xa.
Với "tại" lệnh, kẻ tấn công có thể thực thi lệnh trên máy từ xa, bằng cách đăng ký nhiệm vụ để thực hiện các tập tin với những cỗ máy được nối kết như sau.
at \\[remote host name or IP address] 12:00 cmd /c "C:\windows\temp\mal.exe"
Ngoài ra, bằng cách thiết lập các tùy chọn và lập luận sau đây với lệnh "wmic", kẻ tấn công có thể thực thi lệnh trên máy từ xa.
wmic /node:[IP address] /user:”[user name]” /password:”[password]” process call create “cmd /c c:\Windows\System32\net.exe user”Hạn chế Thi hành của Windows lệnh không cần thiết
Nó là công bằng để nói rằng các lệnh Windows được sử dụng bởi những kẻ tấn công bao gồm những người được sử dụng bởi người dùng nói chung, nếu được lựa chọn một cách cẩn thận. Với AppLocker và chính sách hạn chế phần mềm, hạn chế các lệnh như sự thực thi, nó sẽ có thể để hạn chế hành vi của kẻ tấn công. Ví dụ, nếu bạn muốn hạn chế các lệnh "net", bạn có thể thiết lập quy tắc như trong Hình 1. (Để biết chi tiết về cấu hình AppLocker, vui lòng xem trang web của Microsoft [1]).
 |
Ngoài ra, bằng cách cho phép AppLocker, sự kiện mà lệnh Windows được chọn đã được thực hiện hoặc đã cố gắng nhưng bị từ chối sẽ được ghi lại trong các bản ghi sự kiện, có thể được sử dụng để điều tra về Windows lệnh rằng những kẻ tấn công thực thi sau khi lây nhiễm vào máy tính với phần mềm độc hại.
 |
AppLocker cũng có thể chỉ theo dõi các lệnh Windows [2]. Với điều này, AppLocker không thể phòng ngừa việc Windows lệnh từ đang được thực thi, nhưng lịch sử thực hiện sẽ được ghi lại trong nhật ký sự kiện. Nếu người sử dụng tự mình sử dụng lệnh Windows mà có thể được sử dụng cho các cuộc tấn công, nó là một ý tưởng tốt để thiết lập AppLocker chỉ cho mục đích giám sát. (Windows thực hiện lệnh cũng có thể được theo dõi bằng cách kích hoạt "Quy trình kiểm toán sáng tạo" trong chính sách an ninh địa phương.)
Phần kết luận
Trong cuộc tấn công nhắm mục tiêu, những kẻ tấn công không chỉ sử dụng các chức năng thực hiện các phần mềm độc hại, nhưng cũng thường sử dụng Windows lệnh để theo đuổi mục đích của họ. Nếu các hoạt động như vậy có thể bị cản trở, lây lan của sự cố có thể được ngăn chặn trong một giai đoạn khá sớm. Tuy nhiên, nó có thể khó khăn để hạn chế việc sử dụng Windows lệnh ngay lập tức - vì vậy chúng tôi khuyến nghị là bắt đầu bằng cách thu thập các bản ghi của các quá trình thực hiện bằng cách sử dụng AppLocker, vv
Cảm ơn các bạn đã đọc.
- Shusei Tomonaga
Tài liệu tham khảo:
[1] Microsoft - Windows AppLocker https://technet.microsoft.com/en-us/library/dd759117.aspx
[2] Microsoft - Sử dụng kiểm toán để theo dõi nào ứng dụng đang được sử dụng
[1] Microsoft - Windows AppLocker https://technet.microsoft.com/en-us/library/dd759117.aspx
[2] Microsoft - Sử dụng kiểm toán để theo dõi nào ứng dụng đang được sử dụng
0 Comment:
Đăng nhận xét
Thank you for your comments!