令人毛骨悚然的以用户为中心的后期开发

我喜欢在参与期间看到红色和蓝色的队伍平息。如果双方避免自私的欲望,专注于手头的任务,效果最好;改进和培训是最终目标。这个争斗的进攻方面的关键部分是红队对用户采取对抗行动收集数据和实现目标的能力。在每个参与过程中,红队必须不断地了解用户行为 – 跟踪他们的动作利用他们的弱点映射关系以及分析生成的数据,以更好地完成对抗任务。通过收集,分析和处理基于用户的情报,红队有武装,准备成功完成培训目标,同时也开展现实的对抗行动。

键盘记录,剪贴板监控和屏幕截图提供了以用户为中心的后开发行为的简单示例,这些操作对于红队和跨界令人毛骨悚然的时候都是非常有用的。这些也是我最喜欢的技术之前和之后升级获得有价值的英特尔。严格遵守这些行动的数据,我们的团队可以获得关键ICS节点的密码,获取管理员访问敏感数据存储库(即医疗保健,财务等大型机)的屏幕截图,检索复制到剪贴板的路由器配置,以及许多更棒的事情 简而言之,这些行动对于大规模和长期参与的成功至关重要。

一个关键的事情是在一个红色的团队:你必须避免限制自己的某些行为或工具的习惯。你必须淹没近视和拓宽视野。当我用尽了想法时,我看着真正的对手看他们在做什么。几组威胁演员(即FlameDuqu 一直特别鼓舞人心,并驱使我们在利用针对用户的情报搜集方面“加强我们的游戏”。这些演员在他们的工具中似乎拥有广泛的模块化功能,使他们能够完成所需的操作。对于我们的团队,帝国  和打击拥有数据收集所需的大部分功能; 然而,我们经常想要深入挖掘,并展示对手可以执行的额外行动。在最近的参与中,这些具体操作是网络摄像头捕获和麦克风音频录制。

你可能会问:“真的吗?为什么我需要一个目标的音频/视频?“如果您已经问过,您可能会考虑头脑风暴,了解对手从系统中收集英特尔的方式或为什么收集这些信息。例如,音频捕获对于军事指挥中心或政治办公室来说是很有意义的。在一个单独的情况下,在私人办公室的高级C级执行官的视频捕获可能会导致良好的勒索材料的操纵或访问敏感的讨论。

在我走得太远之前,如果我没有提到Metasploit项目具有后开发能力来执行这些行动,那么我将会失职。由于几个失败的情况(所有工具都取决于情况),我把它自己去寻找或开发替代品…另外,我<3防守/防御型PowerShell。

录音

默认情况下Windows具有一个多媒体库,被称为“WinMM”。该库提供了一系列与音频设备进行交互的功能,可以播放或录制声音。一个特定的API,MCISendString允许您向MCI设备发送命令以完成上述操作。MCI设备是允许软件设备独立访问多媒体功能(如播放或录制)的Windows驱动程序。从本质上讲,这是一个容易的前端,很少掌握系统特定的设置。

我已经看到恶意软件在野外使用它作为一种便宜的方式来控制多媒体(打开cd rom驱动器,播放音频,录制音频等)。虽然它不是最性感的方法,它完成了工作。以编程方式,您只需执行API调用即可向主机发出信号以记录和保存音频。

我决定我希望这个功能通过PowerShell进行武器化。对于那些不熟悉的人来说,LoadLibrary是一个允许开发人员加载特定Windows DLL的API,而GetProcAddress是一个允许开发人员解析加载的DLL中特定功能的特定地址的API。使用PowerSploit的 Get-ProcAddressGet-DelegateType函数以及Matt Graeber(@mattifestation)写的博客文章,我可以加载winmm.dll,解析所需的函数并执行录音。我已经将Get-MicrophoneAudio提交给PowerSploit的开发分支,以便您也可以采取下一步爬行。

Get-MicAudio演示

对于一些后续工作,可以更新该脚本,或者可以开发另一个脚本,以便在MCI老化时使用DirectX执行音频录制,并且仅支持向后兼容性。

网络摄像头捕获

使用网络摄像头证明是稍微困难一点。幸运的是,我没有多少工作。Chris Ross(@xorrior)已经创建了Capture-Minieye,该脚本使用DirectX执行网络摄像头捕获并将其保存到磁盘。首先,该模块反映了为DirextXCaptureDirectShow加载.NET程序集。接下来,它利用附带的功能开始将视频文件记录到磁盘。我已经将这个模块用于Cobalt Strike内部的工作,并且已经按预期成功地捕获了视频。一个缺点是它产生大量的压缩文件。似乎有一些方法可以在DirectX程序集中使用压缩,但脚本目前不使用这些压缩方法。

捕获Minieye

防御

我觉得有责任为防范任何我谈论的事情提出防范措施; 然而,打击这篇文章中描述的技术的选择是有限的。用于监控端点的标准操作,如AV,HIDS,事件记录(WMF 5.0&PS Scriptblock Logging等)是您的朋友,但不会专门防止或检测大多数后期开发操作。事件监控在上下文中工作效果最好,某些事件,用户报告或帮助台票据在应用所有可用数据的上下文时将更有用。当您查看导致操作的一系列事件(即,使用服务帐户与终端服务器的交互式登录,用户可疑行为的用户帮助台,可疑的行为行为,HIDS警报)时,某些后采用操作将更有意义注射等)。

半开玩笑:为用户提供了一个超级简单的指示器就是网络摄像头。如果您的网络摄像头灯亮起,您不知道为什么…认为OPSEC并检查。我期待着任何别人的想法,我很高兴编辑这个帖子来添加它们。

免责声明

我强烈建议您审查联邦/州/地方法律对人员的记录以及通过您的联系方式协调所有行动。此外,请确保这些是根据参与规则的范围内的项目。围绕人员视频/音频录制的法律可能很复杂,因此您应该肯定可以验证这一点。还应考虑到国际隐私法。

结论

红队:我挑战你,寻求新的后采取行动来实现你的目标。不仅您会发现或开发成功模仿对手的令人敬畏的技术,而且您还将收集关键的英特尔,以丰富您的互动。此外,最棘手的事情通常会产生最大的影响。你的工作是教育和准备蓝队。

蓝色团队:我挑战你来检测和回应后期剥削行为,而不是严格把重点放在最初的剥削和预防上。这显然比说起来要困难得多,我承认你的工作要困难得多,但是与你的进攻方面有一点练习和团队合作有很长的路要走!

评论

还没有任何评论,你来说两句吧

你必须 登录 才能发表评论.