آکادمی روزبه

از سری ابزار های Sysinternal می باشد.

با استفاده از این ابزار می توانید نرم افزار هایی که در پوشه startup ، برنامه هایی که scheduled شدن ، dll های شناخته شدن ، کلید های رجیستری ، درایور های نصب شده و سرویس های در حال اجرا در سیستم عامل ویندوز را شناسایی کنیم.

لینک دانلود نرم افزار:

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

در درس SEC511 می آموزیم بسیاری از بدافزار های موجود برای اینکه دسترسی خود را حفظ کنند، با ایجاد کلید های رجیستری، به عنوان یک سرویس و schedule task حتی پس از ریستارت سیستم عامل همچنان دسترسی خود را حفظ می نمایند.

هکر ها در مرحله بعد ا زنفوذ به سازمان (Post-exploitation) تلاش میکنند به دو هدف از هاستی که ستخیر کرده اند به هاست های دیگر بروند :

1- یافتن داده های حساس

2- انتقال داده های جمع آوری شده به محلی که امکان خروج از سازمان برای آنها فراهم است

لذا این عمل انتقال از هاست به هاست دیگر یعنی  Pivot یا Lateral movement  نیازمند آن است که در برنامه کشف یا هانت سازمان بیاید .

در شکل زیر ایده ای برای استفاده از Zeek  را برای کشف این موضوع مرور کنید

برای اجرا شدن برنامه ها و Exe ها بایستی قابلیت های مورد لزوم برنامه، از نحوه تعامل با سیستم عامل تا مدیریت حافظه رادر آن نهاد . با ابداع DLL  ها یعنی کتابخانه های آماده ، برنامه نویسان و حتی خود ویندوز لازم نیست همه چیز را از نو بنویسند لذا برای  برخی موارد مثلا پرینت، DLL مربوطه را صدا منیزنند یا یک کپی از آن رادر فولدر خود نگهدای میکنند .
مکانیسم کنترل اصالت DLL ها و مدیریت تخصیص آنها در ویندوز دارای اشکال اساسی در معماری ویندوز است که در مانیفست ویندوز آمده است لذا امکان خوراندن یک DLL  اشتباه و بدخواهانه به نرم افزا وجود دارد .
البته ادعای ویندوز برآن است که با عمل امضای دیجیتال سعی در مدیریت این موضوع داشته است اما در عمل حتی در سال گذشته ، دور خوردن MSTDC  با  روش تزریق DLL را شاهد بودیم
در این حمله هکر یک DLL مورد استفاده برنامه را دستکاری کرده تا عمل مدنظر هکر را انجام دهد و منتظر میماند تا برنامه اصلی اجرا شده و DLL را صدا بزند
 
ما برای تست این موضوع یک اسکربپت پاورشل را بریتان ارایه میدهیم امیدواریم تست کنید و نتیجه بگیرید.
 https://www.powershellgallery.com/packages/PowerSploit/3.0.0.0/Content/CodeExecution%5CInvoke-DllInjection.ps1

خیلی از افرادی که تو حوزه امنیت کار می کنن از قدرت بالای لاگ های windows غافل می شوند. دوستانی داشتم که با وجود اینکه توی SOC کار می کردن ولی نمی تونستن توی لاگ های ویندوز دنبال یک anomaly بگردن.

فرض کنید یک سازمان اصلا SOC ندارد، خب اون موقع علاوه بر اینکه یه زمانی باید بذاریم لاگ رو جمع آوری کنیم حتی بعضا مجبور می شویم زمانی را برای نوشتن regex و پارسینگ اختصاص بدیم.

با ابزار APT-Hunter می تونیم رفتار های مشکوک رو پیگیری کنیم تا هر چه زود تر مچ گروه های APT رو بگیریم. حدود 60 usecase در خود دارد و به راحتی می توان usecase ویژه یک سازمان را طراحی و توسعه داد. channel های Sysmon , Security , System , Powershell , Powershell_Operational , ScheduledTask , WinRM , TerminalServices , Windows_Defender را پشتیبانی می کند.

برای نوشتن usecase حتما regex را به خوبی یاد بگیرید.

لینک ابزار APT-Hunter

https://github.com/ahmedkhlief/APT-Hunter

ورودی ابزار فایل CVS یا EVTX ( خروجی Event Viewer ) می باشد.

Microsoft Exchange Server یک صندوق ورودی ایمیل، تقویم و یک نرم افزار سازمانی است. از سازمان های کوچک تا بزرگ از این محصول استفاده می نمایند.

تقریبا دو ماه پیش 4 آسیب پذیری مهم روی سرور های Exchange شناسایی شد و بسیاری از سازمان ها را تحت تاثیر خود قرار داد. نتایج جست و جو در سایت shodan نشان می دهد که همچنان نسبت به رفع آسیب پذیری اقدامی نشده است.

اسکریپتی که امروز میخام معرفی کنم به ما در شناسایی رفتار های مشکوک در سرور exchange را می دهد.

این اسکریپت بر اساس ابزار PowerForensics تولید و توسعه داده شده است. هدف آن شناسایی webshell ها در سرورهای Microsoft‌Exchange می باشد. در لینک زیر می توانید به کد دسترسی پیدا کنید:

https://github.com/FixTheExchange/Invoke-ExchangeWebShellHunter

با دستور زیر اسکریپت را اجرا نمایید:

powershell -nop -Exec bypass -File .\Invoke-ExchangeWebShellHunter.ps1

لازم به ذکر می باشد، در ویندوز سرور های 2016 و 2019 تست شده است.

یک‌ابزار‌ متن باز یا open source می باشد که کاملا رایگان‌ می باشد. این ابزار توانایی‌ شناسایی‌ بد‌افزارها‌ و web shell و ارتباطات Command and Control یا C&C را دارد. با زبان پایتون توسعه داده شده است و با استفاده از indicator of compromise (IoC) و رول های Yara ( حدودا 3000 رول رایگان ) و بررسی Hash فایل ها ارتباطات مشکوک را شناسایی می کند.

در لینک زیر می توانید به سورس کد این ابزار دسترسی پیدا کنید:

https://github.com/Neo23x0/Loki

می توانید تمامی پروسس های مشکوکی که توسط Loki شناسایی می شود را در سایت virustotal آپلود کنید و بررسی نهایی را انجام دهید.
ممکن است فایل کامپایل شده ی این ابزار توسط آنتی ویروس مخرب شناسایی شود که می توانید به جای استفاده از نسخه کامپایل شده، خودتان با راهنمایی های داخل سایت github کامپایل نمایید.

همچنین این ابزار قابلیت ارتباط با MISP را نیز دارد.

در مقاله  های بعدی بیشتر در مورد ابزار های Threat Hunting می نویسیم.