Эта подтехника подразумевает использование Server Message Block (SMB) и Windows Admin Shares для получения доступа к системе жертвы и управления ею. SMB - это сетевой протокол, обеспечивающий совместное использование ресурсов, таких как файлы и принтеры, в сети. Windows Admin Shares - это скрытые общие ресурсы, созданные по умолчанию в системах Windows и используемые для административных целей. Хотя SMB и администраторские ресурсы являются полезными инструментами для законного совместного использования ресурсов, злоумышленники также могут злоупотреблять ими в своих атакующих кампаниях.
Службы удаленного доступа: Общие SMB и административные ресурсы Windows
Server Message Block (SMB): SMB - это сетевой протокол, который используется для совместного использования ресурсов, таких как файлы и принтеры, между компьютерами в сети. SMB - это клиент-серверный протокол, что означает, что клиентский компьютер может получить доступ к ресурсам на сервере, отправляя запросы на сервер по протоколу SMB.
SMB можно использовать в качестве Службы удаленного доступа в том смысле, что она позволяет удаленным системам получать доступ к ресурсам в сети. Например, пользователь удаленной системы может подключиться к файловому серверу с помощью SMB и получить доступ к общим файлам на этом сервере. SMB также можно использовать для удаленного выполнения команд и сценариев, а также для удаленного управления службами и другими ресурсами системы.
Поскольку SMB - это протокол, а не служба, принимающая соединения от удаленных систем, он обычно не считается традиционной «службой удаленного доступа», такой как Telnet, SSH, RDP или VNC. Обычно он используется в сочетании с другими службами или протоколами, такими как NetBIOS или CIFS, для обеспечения удаленного доступа к ресурсам в сети.
Samba: Samba - это реализация протокола SMB с открытым исходным кодом, которая позволяет не-Windows системам, таким как Linux и macOS, получать доступ к ресурсам и обмениваться ими с Windows системами. Samba использует протокол SMB для обеспечения совместимости с Windows и позволяет не-Windows системам выступать в качестве файловых серверов и серверов печати в среде Windows.
Samba может быть Службой удаленного доступа, поскольку она позволяет удаленным системам получать доступ к общим ресурсам в сети. Например, пользователь удаленной системы может подключиться к файловому серверу под управлением Samba и получить доступ к общим файлам на этом сервере. Также Samba может использоваться для удаленного выполнения команд и сценариев, удаленного управления службами и другими ресурсами.
По своей функциональности Samba похожа на SMB, но реализована в виде отдельного программного пакета, который запускается поверх других операционных систем. Как и SMB, Samba обычно используется с другими службами или протоколами, такими как NetBIOS или CIFS, для обеспечения удаленного доступа к ресурсам в сети.
Общие ресурсы администратора: В Windows администраторский ресурс - это скрытый сетевой ресурс, который автоматически создается системой на каждом компьютере. Эти ресурсы позволяют администраторам удаленно получать доступ к компьютеру и управлять им по сети.
Существует несколько типов административных ресурсов, в том числе:
- C$: Этот ресурс позволяет администратору получить доступ к корню диска C на компьютере. Этот ресурс часто используется для установки программного обеспечения или удаленного доступа к файлам на диске C.
- ADMIN$: Этот ресурс позволяет администратору получить доступ к корневой папке системы на компьютере, которая содержит системные файлы и другие ресурсы, необходимые для работы компьютера.
- IPC$: Этот ресурс позволяет администратору получить доступ к именованным трубам и другим ресурсам межпроцессного взаимодействия (IPC) на компьютере.
По умолчанию эти ресурсы скрыты и недоступны для пользователей, не имеющих необходимых разрешений. Обратите внимание, что администратор должен указать имя ресурса и предоставить действительные учетные данные для доступа к ресурсу администратора.
Использование злоумышленниками SMB/Windows Admin Shares
Одним из способов злоупотребления злоумышленниками SMB является использование действительных учетных записей уровня администратора для удаленного доступа к сетевой системе по сети. Это позволяет им взаимодействовать с системой с помощью удаленных вызовов процедур (RPC), с помощью которых программа на одном компьютере может запрашивать услуги у программы на другом компьютере.
Используя SMB и RPC, злоумышленники могут передавать файлы в систему и выполнять переданные двоичные программы. Это может быть сделано через аутентифицированные сеансы через SMB/RPC, что означает, что атакующий должен предоставить действительные учетные данные для доступа к системе.
Существует несколько методов, которые злоумышленники могут использовать для выполнения кода в системе после получения доступа через SMB/RPC. К ним относятся создание запланированных задач или служб, которые автоматически выполняются в определенное время или при наступлении определенных событий, или использование Windows Management Instrumentation (WMI), которая представляет собой структуру для управления и автоматизации задач системного и сетевого администрирования.
Еще один способ, которым атакующие могут злоупотреблять SMB, - это использование уязвимостей в протоколе. В прошлом злоумышленники использовали несколько известных уязвимостей в SMB, таких как CVE-2020-1206 (SMBleed), CVE-2020-0796 (SMBGhost) и MS17-010 (EternalBlue).
Злоумышленники также могут использовать хэши NTLM для доступа к общим ресурсам администратора в системах с определенными конфигурациями и уровнями исправлений. NTLM (NT LAN Manager) - это протокол аутентификации, который используется для проверки подлинности пользователей в сети. Когда пользователь входит в систему, его пароль хэшируется с помощью алгоритма NTLM, а полученный хэш используется для проверки его личности. Техника Pass the Hash позволяет атакующему использовать украденный хэш NTLM для доступа к системе, не зная оригинального пароля. Это можно сделать на системах с определенными уровнями исправлений и конфигурациями, которые уязвимы для этого типа атак.
Известно, что злоумышленники злоупотребляют SMB и админскими ресурсами Windows, чтобы перемещаться по сети жертвы и получать доступ к дополнительным системам. Часто это делается путем получения действительных учетных данных и использования таких инструментов, как Net, PsExec и smbexec.py от Impacket, для взаимодействия с этими ресурсами и выполнения команд на удаленных системах.
Одна из распространенных тактик заключается в том, что злоумышленники перебором SMB получают доступ к этим ресурсам и перемещаются по ним, как в случае с Lucifer.
SMB и общие ресурсы администратора Windows также использовались для латерального перемещения рядом APT-групп, включая APT3 и APT32. В некоторых случаях эти группы использовали данные ресурсы для передачи файлов-имплантатов и удаленного выполнения, как, например, в случае APT41.
Другие группы, такие как Conti и Shamoon, использовали эти ресурсы для распространения вредоносного ПО в сетях жертв, что могло привести к компрометации всей сети. В случае с Kwampirs и Orangeworm вредоносное ПО даже копировалось через несколько общих ресурсов администратора Windows, чтобы перемещаться по сети.
Некоторые злоумышленники, такие как Deep Panda и Duqu, использовали действительные учетные записи для доступа к SMB-доступам и перемещения по сети. В других случаях, таких как HermeticWizard, злоумышленники использовали жестко закодированные учетные данные для аутентификации через NTLM к ресурсам SMB на удаленных системах.
В качестве недавнего примера можно привести группу Prestige ransomware, которая в октябре 2022 года скопировала полезную нагрузку на ресурс ADMIN$ удаленной системы. Затем Impacket используется для выполнения полезной нагрузки путем создания запланированной задачи или удаленного выполнения закодированной команды PowerShell на целевых системах.
В феврале 2022 года программа BlackByte ransomware создала SMB-доли для распространения AnyDesk, приложения для удаленного рабочего стола, на другие ресурсы в сети жертвы с помощью Cobalt Strike.
В качестве примера можно привести апрель 2022 года: загрузчик вредоносного ПО BumbleBee, используемый брокером начального доступа (IAB) EXOTIC LILY, использовал общие ресурсы SMB для перемещения вбок к контроллеру домена путем создания удаленной службы.