Как стать автором
Обновить
R-Vision
Разработчик систем кибербезопасности

Детектируем горизонтальное перемещение с SMBExec и AtExec

Уровень сложностиПростой
Время на прочтение10 мин
Количество просмотров4.6K

Привет, Хабр! Сегодня мы продолжим знакомить вас с инструментами, используемыми атакующими для горизонтального перемещения, а также способами детектирования их эксплуатации. В прошлом материале нами был рассмотрен достаточно известный инструмент PsExec, а сегодня мы поговорим о SMBExec и AtExec - других не слишком сложных, если говорить об исполнении атаки, но достаточно распространенных среди злоумышленников инструментах.

В этой статье мы подробно изучим принципы работы SMBExec и AtExec, проведем анализ возможных источников событий, а после чего представим возможный вариант обнаружения их использования как в теории, так и на практике.

SMBExec

SMBExec - один из скриптов набора Impacket, работа которого, также как и в PSExec, основывается на удалённом создании сервиса и его последующем запуске.

Как известно, сервис запускает тот исполняемый файл, что указан в его конфигурации, вместе с различными параметрами. При использовании SMBExec с каждой запускаемой командой создаётся новый сервис, в конфигурацию которого выставляется путь до, например, cmd.exe и параметры к нему (например, whoami).

Пример запуска SMBExec
$ python3 smbexec.py Domain/Username:password@10.150.x.16

Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation

[!] Launching semi-interactive shell - Careful what you execute
C:\Windows\system32>ipconfig

Windows IP Configuration
Ethernet adapter Ethernet0:

   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 10.150.x.16
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.150.x.1

C:\Windows\system32>whoami
nt authority\system

Можно выделить два фундаментальных этапа работы SMBExec:

  1. Запрос к RPC интерфейсу svcctl, ответственному за удалённое управление сервисами;

  2. Создание самого сервиса, который ответственен за непосредственный запуск команды.

Рисунок 1. Механизм работы инструмента SMBExec
Рисунок 1. Механизм работы инструмента SMBExec

Теперь посмотрим, как именно можно отследить его эксплуатацию.

В поисках артефактов

Составить единое и качественное правило детектирования, которое бы покрывало все случаи использования SMBExec только на основе логов создания сервиса, проблематично, так как суть атаки заключается в возможности запуска исполняемых файлов с аргументами. А это выливается в однострочные реверс-шеллы и команды. Если же строить детектирование на основе логов, содержащих запуск cmd.exe или powershell.exe, то неизбежной будет проблема "игры в крота", где начнут появляться другие возможности для запуска зловредной команды (список LOLBAS тому подтверждение).

Поэтому при детектировании SMBExec стоит учитывать не только события создания сервиса, но и события доступа к RPC (запрос Named Pipe svcctl и попытку вызова RPC), которые показывают, что сервис был запущен удалённо, а не локально. Эти события представленны ниже:

В событии создания сервиса EventID 4697 необходимо определить какой по типу сервис сейчас создаётся - "родной" для Windows или от третьей стороны. Это можно сделать, посмотрев на поле Service Type. В таблице ниже под спойлером показаны возможные значения типов сервисов:

Список значений типов сервисов

Документация Microsoft говорит о следующем:

Value

Service Type

Description

0x1

Kernel Driver

A Kernel device driver such as a hard disk or other low-level hardware device driver.

0x2

File System Driver

A file system driver, which is also a Kernel device driver.

0x8

Recognizer Driver

A file system driver used during startup to determine the file systems present on the system.

0x10

Win32 Own Process

A Win32 program that can be started by the Service Controller and that obeys the service control protocol. This type of Win32 service runs in a process by itself (this is the most common).

0x20

Win32 Share Process

A Win32 service that can share a process with other Win32 services.

0x110

Interactive Own Process

A service that should be run as a standalone process and can communicate with the desktop.

0x120

Interactive Share Process

A service that can share address space with other services of the same type and can communicate with the desktop.

Определенный вид сервисов, а именно per-user сервисы (для каждого пользователя), имеют специфические типы, не отраженные в основной таблице. Например:

Рисунок 2. Per-user сервис
Рисунок 2. Per-user сервис

Per-user сервисы запускаются в контексте пользователя как часть пользовательского сеанса в фоновом режиме, когда он входит в систему.

Для создания экземпляров per-user сервисов система использует шаблоны. Если шаблон именуется, к примеру, UnistoreSvc, то к названию экземпляра будет добавляться еще и некоторое рандомное значение, например, UnistoreSvc_bd00d6ea.

У шаблонов, как и у экземпляров есть свои собственные типы:

  • для шаблонов - 0x50 (individual process) и 0x60 (shared process);

  • для экземпляров - 0xD0 (individual process) и 0xE0 (shared process).

Опираясь на вышеперечисленные типы, в контексте детекта нас будут интересовать сервисы с типом 0x10 и 0x110.

Так мы можем отделить все встроенные в Windows сервисы и смотреть только на пришедшие "извне". Теперь наша задача состоит в разделении сервисов, которые созданы как легитимным софтом, так и атакующими. Здесь как раз и возникает проблема ложных срабатываний. Чаще всего легитимный софт не использует параметры к собственным сервисам, и таким образом можно избежать части ложных срабатываний. Также их можно избежать, если применить корреляцию по полю Username между событиями использования RPC и событием создания сервиса в тот же момент.

Другой возможный вариант, когда в созданных сервисах могут быть изменены команды, что не будет зафиксировано в событии EventID 4697. Об этом свидетельствует документация Microsoft:

Выдержка из MSDN:

Note that this is the path to the file when the service is created. If the path is changed afterwards, the change is not logged. This would have to be tracked via Process Create events.

Эта возможность рождает другой метод Lateral Movement, который мы рассмотрим чуть позже.

Создание и возможное изменение сервисов отслеживается по ветке реестра HKLM\System\CurrentControlSet\Services, в которой содержится информация обо всех сервисах машины. Каждая подветка - это определённый сервис, где находится ключ ImagePath, содержащий в себе полную команду для сервиса.

Детектировать такое поведение можно как с помощью Sysmon, так и с помощью выставленного заранеe SACL и событий из журналов EventLog. Мы приведем сразу оба варианта. Пример лога от Sysmon c EventID 13 - Registry value set показан на рисунке 3:

Рисунок 3. Изменение значения ветки реестра
Рисунок 3. Изменение значения ветки реестра

При настройке SACL в журнале Security изменения значения ветки реестра можно отследить по событию 4657 - A registry value was modified (рисунок 4):

Рисунок 4. Изменение значения ветки реестра
Рисунок 4. Изменение значения ветки реестра

Таким образом у нас есть возможность детектировать не только изменения в сервисах, но и создание новых. Данные события можно также использовать как альтернативу событиям EventID 4697.

Мы разобрались с тем, как можно фиксировать создание и изменение сервисов, но только в контексте их локального создания, а что будет, если создать сервис удаленно? Рассмотрим это дальше.

Удалённое создание сервисов

Как и в случае с PsExec, чтобы отследить факт удаленного создания сервиса, нужно обратить внимание на событие с EventID 5145 (Detailed File Share).Это событие доступа к именованному каналу с именем svcctl - интерфейсу , который позволяет управлять сервисами на удаленном устройстве. Однако оно имеет свой недостаток, так как формируется только в случае подключения к Named Pipe через SMB посредством IPC$. Тогда как подключение напрямую по RPC совершенно игнорирует. Подробнее об этой проблеме можно прочесть в статье RPC и способы его мониторинга.
Данный недостаток можно исправить с помощью механизма RPC Filtering , после настройки которого появившиеся события скажут нам о подключении к менеджеру сервисов как с помощью RPC, так и с помощью SMB.

Настройка RPC Filtering

Для генерации логов нужно сделать отдельное правило для аудита svcctl интерфейса (UUID == 367abb81-9844-35f1-ad32-98f038001003), которое выглядит так:

rpc filter
add rule layer=um actiontype=permit audit=enable
add condition field=if_uuid matchtype=equal data=367abb81-9844-35f1-ad32-98f038001003
add filter

После чего необходимо сохранить и применить его с помощью команды:

netsh -f rpcauditrule.txt

Следовательно, при использовании svcctl мы можем получать логи, подобные событиям с EventID 5145 (Detailed File Share), но они будут формироваться, даже если пользователь подключился по RPC напрямую - EventID 5712 (A Remote Procedure Call (RPC) was attempted).

Теперь, когда мы определились с событиями, которые будем использовать, нам нужно собрать их воедино и построить возможное правило детектирования.

Итоги по событиям и построение правила детектирования

При построении правила детектирования эксплуатации SMBExec мы воспользуемся следующими событиями:

  • Событие удалённого запроса к менеджеру сервисов, доступное нам благодаря RPC Filtering (EventID 5712):

Рисунок 5. Удалённый запрос к менеджеру сервисов
Рисунок 5. Удалённый запрос к менеджеру сервисов
  • Событие создания сервиса (EventID 4697):

Рисунок 6. Создание сервиса BTOBTO
Рисунок 6. Создание сервиса BTOBTO

Поле Service File Name в стандартных ситуациях должно содержать только путь до исполняемого файла и аргументы к нему. Во время атаки поле содержит команду для cmd.exe, скрывающеюся за переменной %COMSPEC%.

Для удобства мы также попробуем фильтровать типы запуска сервисов, которые будут бесполезны атакующему при Lateral Movement.

Таблица от Microsoft, покажет нам какие типы запуска сервисов можно отбросить при поиске атаки.

Типы запуска сервисов

Value

Service Start Type

Description

0

Boot

A device driver started by the system loader. This value is valid only for driver services.

1

System

A device driver started by the IoInitSystem() function. This value is valid only for driver services.

2

Automatic

A service started automatically by the service control manager during system startup.

2

Automatic Delayed

A service started after all auto-start services have started, plus a delay. Delayed Auto Start services are started one at a time in a serial fashion.

3

Manual

A service started by the service control manager when a process calls the StartService function.

4

Disabled

A service that cannot be started. Attempts to start the service result in the error code ERROR_SERVICE_DISABLED.

И мы увидим, что единственные приемлемые для атакующего типы запуска - 2 и 3.

Перейдем к детектированию эксплуатации SMBExec.

Возможное правило детектирования

Исходя из приведённых событий, ниже представлено псевдо-правило для обнаружения использования SMBExec по созданию им сервиса и подключению к svcctl удалённо:

SELECT *
FROM EventCode=5712
WHERE  ((Name, LogonId)) IN
(
	SELECT (Account_Name, Logon_ID)
	FROM EventCode=4697
	WHERE
	Service_File_Name IN ("*.exe *", "*.exe\ *", "%*% *") AND
	Service_Start_Type IN (2, 3) AND
	Service_Type IN ("0x10", "0x110")
)

Данное правило будет учитывать только сервисы, не встроенные в Windows с автоматическим или ручным типом запуска.

А теперь давайте рассмотрим другой инструмент для горизонтального перемещения - AtExec.

AtExec

AtExec - также один из скриптов набора Impacket, чья работа основывается на создании запланированных задач (scheduled tasks). Планировщик задач может управляться удалённо, и, конечно, посредством него существует возможность создавать запланированные задачи. Они, в свою очередь, исполняют команды, которые отображены в примере под спойлером:

Пример запуска инструмента
$  python3 atexec.py DOMAIN/username:password@10.150.x.16 whoami
Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation

[!] This will work ONLY on Windows >= Vista
[*] Creating task \WVhfEDnX
[*] Running task \WVhfEDnX
[*] Deleting task \WVhfEDnX
[*] Attempting to read ADMIN$\Temp\WVhfEDnX.tmp
[*] Attempting to read ADMIN$\Temp\WVhfEDnX.tmp
nt authority\system

Работа инструмента AtExec выглядит следующим образом:

  1. Запрос к RPC интерфейсу atsvc, ответственному за удалённый запуск планировщика задач;

  2. Создание запланированной задачи с произвольным именем, которая в последствии может использоваться для запуска различных команд или исполняемых файлов.

Рисунок 7. Механизм работы инструмента AtExec
Рисунок 7. Механизм работы инструмента AtExec

Изучив принцип работы AtExec, проанализируем особенности детектирования данного инструмента и те сложности, которые могут при этом возникнуть.

Возможные сложности

Сложность обнаружения эксплуатации данного инструмента заключается в большом шансе ложных срабатываний, ведь инструмент использует возможности Windows, применяемые легетимным ПО. Эмпирически получилось установить определённую последовательность логов, фиксирующую создание, запуск и завершение задачи, которую выполнил злоумышленник по порядку, характерному только для атаки.

К этому мы можем добавить обращение пользователя по RPC к Named Pipe с именем atsvc, отвечающее за функционал менеджера задач. Но необязательно, поскольку детектирование в любом случае основывается на логах Scheduled tasks , а создать задачу через RPC может любое легитимное ПО.
Для детектирования мы будем использовать события журнала Applications and Services Logs -> Microsoft -> Windows -> TaskScheduler.

Теперь давайте подробнее рассмотрим логи TaskScheduler и узнаем какая информация будет полезна при построении возможного правила.

Идем по следам

Для обнаружения эксплуатации инструмента AtExec нами были выбраны наиболее информативные события, а именно:

Рисунок 8. Событие регистрации запланированной задачи пользователем
Рисунок 8. Событие регистрации запланированной задачи пользователем
Рисунок 9. Событие запуска запланированной задачи
Рисунок 9. Событие запуска запланированной задачи

Созданная задача сразу же запускается от имени NT AUTHORITY\SYSTEM. Но мы будем учитывать тот факт, что контекст запускаемой задачи может изменяться.

Рисунок 10. Событие запуска экземпляра запланированной задачи планировщиком задач
Рисунок 10. Событие запуска экземпляра запланированной задачи планировщиком задач
Рисунок 11. Событие успешного завершения экземпляра запланированной задачи планировщиком задач
Рисунок 11. Событие успешного завершения экземпляра запланированной задачи планировщиком задач

Затем задача удаляется тем же пользователем, что и создал ее. Возможно также учесть этот лог при детектировании, но злоумышленник может просто не удалять задачу и тогда правило не сработает.

Рисунок 12. Событие удаления запланированной задачи пользователем
Рисунок 12. Событие удаления запланированной задачи пользователем

Теперь, когда мы увидели, как именно в событиях отображается эксплуатация данного инструмента, попробуем составить возможный вариант детектирования инструмента AtExec.

Возможное правило детектирования

Основываясь на событиях, приведенных выше, было составлено псевдо-правило:

SELECT *
FROM EventCode = 100
WHERE (TaskName) IN
(
	SELECT TaskName
	FROM EventCode = 110
    WHERE User = "System"
		SELECT TaskName
		FROM EventCode = 102
        WHERE User = "NT AUTHORITY\SYSTEM"
			SELECT TaskName
			FROM EventCode = 106
			WHERE User != "NT AUTHORITY\SYSTEM"
)

Логика детектирования здесь следующая: если ScheduledTask создается от имени обычного пользователя, а после запускается от имени системы, и, при этом, это один и тот же ScheduledTask, то срабатывает алерт.

Заключение

В данной статье мы рассказали о таких инструментах, как SMBExec и AtExec, и наглядно представили принцип работы каждого из них в контексте методов горизонтального перемещения, используемых атакующими. Также здесь мы рассмотрели теоретические аспекты обнаружения и на практике разобрали возможные источники логов для построения детектирующего псевдо-правила. И по итогу были представлены варианты псевдо-правил для обнаружения эксплуатации как SMBExec, так и AtExec.

Надеемся, что статья оказалась вам полезной! Оставляйте ваши комментарии ниже и пишите вопросы :-)

Авторы:
- Черных Кирилл (@Ruucker), аналитик-исследователь киберугроз;
- Мавлютова Валерия (@IceFlipper), младший аналитик-исследователь киберугроз.

Теги:
Хабы:
Всего голосов 5: ↑5 и ↓0+5
Комментарии0

Публикации

Информация

Сайт
rvision.ru
Дата регистрации
Дата основания
Численность
201–500 человек
Местоположение
Россия

Истории