Güvenlik araştırmacıları, tek, daha az izlenen bir bağlantı noktası olan Windows TCP bağlantı noktası 135 kullanarak bir ağda yanal olarak hareket etmesini sağlayan Sysinternals Psexec yardımcı programının bir uygulamasını geliştirdiler.
Psexec, yöneticilerin bir istemci yüklemeye gerek kalmadan ağdaki makinelerde uzaktan süreçleri yürütmelerine yardımcı olmak için tasarlanmıştır.
Tehdit aktörleri de aracı benimsedi ve sık sık ağa yayılmak, birden fazla sistemde komutları çalıştırmak veya kötü amaçlı yazılım dağıtmak için bir saldırının sömürü sonrası aşamalarında kullanıyorlar.
Impacket, ağ protokolleriyle çalışmak için Python sınıflarının bir koleksiyonudur
Orijinal Psexec, Sysinternals yardımcı programında mevcut olsa da, SMB ve IP, UDP, TCP gibi diğer protokolleri HTTP için bağlantıları sağlayan diğer protokollerle çalışmak için Python sınıflarının ithal koleksiyonunda bir uygulama da vardır. LDAP (Hafif Dizin Erişim Protokolü) ve Microsoft SQL Server (MSSQL).
Hem orijinal versiyon hem de Impacket varyantı benzer şekilde çalışır. Bir SMB bağlantısı kullanırlar ve SMB Ağı Dosya paylaşım protokolü üzerinden iletişim kurmak için açık olması gereken 445 numaralı bağlantı noktasına dayanırlar.
Ayrıca, işletim sistemi ile üst düzey iletişim sağlayan bir protokol olan Uzak Prosedür Çağrıları (RPC) aracılığıyla Windows Hizmetleri'ni (Oluştur, Yürütme, Başlat, Durdur) yönetir.
Genişletilmiş işlevsellik için, bağlantı noktası 135 gereklidir. Bununla birlikte, bu limanın engellenmesi bir tehdit oyuncusunun bir saldırıyı tamamlamasını engellemez, bu nedenle Psexec'in 445 bağlantı noktası çalışması için gereklidir.
Bu nedenle, savunucular çoğunlukla Psexec'in komutları yürütmesi veya dosyalar çalıştırması için gerekli olan 445 numaralı bağlantı noktasını engellemeye odaklanır. Bu çoğu durumda çalışır, ancak yeterli değildir.
Impacket Kütüphanesi'ne dayanarak, otomatik güvenlik doğrulama çözümü sağlayan bir şirket olan Pentera'daki araştırmacılar, Psexec aracının yalnızca 135 numaralı bağlantı noktasında çalışan bir uygulamasını oluşturdular.
Bu başarı, kötü niyetli PSEXEC etkinliğini kısıtlamak için sadece 445 numaralı bağlantı noktasını engellediğinden, çoğu saldırı için güvenilir bir seçenek olmadığından, savunma oyununda değişiklikler getiriyor.
Pentera kıdemli bir güvenlik araştırmacısı Yuval Lazar, “KOBİ protokolünün ikili yüklemek ve girdi ve çıktıyı iletmek için kullanıldığını bulduk.
Lazar, komutların dağıtılmış bilgi işlem ortamı / uzak prosedür çağrıları (DCE / RPC) aracılığıyla yürütüldüğü ve “çıktıdan bağımsız olarak çalıştır” işlemleri ile paylaşılan bir rapor ekler.
Pentera'dan Psexec varyasyonu, araştırmacıların nakliye veya çıktı için SMB bağlantı noktası 445 üzerinden iletişim kurmadan keyfi bir komut çalıştıran bir hizmet oluşturmasını sağlayan bir RPC bağlantısı kullanır.
Sysinternals Suite'teki orijinal Psexec'in aksine, Pentera’nın varyantının bir ağda seçilmemesi için daha yüksek bir şansı var, Lazar BleepingComputer'a verdiği demeçte, birçok kuruluş 445 ve KOBİ bağlantı noktasına bakıyor.
“Fark ettiğimiz şey, birçok kuruluş SMB ve Liman 445'e dayalı bir çok hafifletme uygularken, 135 gibi diğer önemli limanları göz ardı etmiyorlar” - Pentera'daki kıdemli güvenlik araştırmacısı Yuval Lazar
Lazar'ın yaptığı bir başka nokta, diğer Psexec uygulamalarının dosya tabanlı oldukları için SMB'yi kullanması gerektiğidir. Araştırmacı, Pentera’nın varyantının sözsüz olduğunu söyledi, bu da tespit edilmeyi zorlaştıracak.
Lazar’ın PSEXEC üzerindeki araştırması, Petitpotam [1, 2] ve DFSCOerce gibi güvenlik açıklarının risk RPC pozlarına dikkat çekmesine rağmen, hafifletmeler DCE/RPC'nin izlenmesini vurgulamıyor, ancak NTLM rölesi önleme ile ilgili.
Pentera’nın gözlemlerine dayanarak, RPC trafiğini engellemek veya izlemek kurumsal ortamlarda yaygın bir uygulama değildir. Birçok durumda nedeni, savunucuların RPC'nin kontrolsüz bırakılırsa ağa bir güvenlik riski getirebileceğinin farkında olmamalarıdır.
“Güvenlik ekipleri, bilgisayar korsanları tarafından farklı bağlantı noktalarının nasıl kullanılabileceğini anlamalıdır” - Yuval Lazar
CERT/CC'deki güvenlik açığı analisti Will Dormann, tek başına TCP bağlantı noktası 445'i engellemenin, araca dayanan kötü amaçlı etkinlikleri engellemek için yetersiz olduğunu kabul ediyor.
Araştırmacı BleepingComputer'a verdiği demeçte, "İnsanlar 445'i engellemenin sadece Psexec'i (ve diğer RPC ile ilgili şeyleri) önlemek için yeterli olduğunu düşünüyorlarsa, o zaman yanılıyorlar." Dedi.
Psexec, 445, 139 ve 135 bağlantı noktalarını gerektiren SMB ve RPC bağlantılarına dayanmaktadır. Ancak Lazar, HTTP'nin üstünde bir RPC uygulaması olduğunu da sözlerine ekledi, yani Psexec'in potansiyel olarak 80 bağlantı noktası üzerinde çalışabileceği anlamına geliyor.
Bilgisayar korsanları uzun süredir saldırılarında Psexec kullanıyorlar. Özellikle fidye yazılımı çeteleri, dosya şifreleme kötü amaçlı yazılımları dağıtmak için benimsedi.
Sadece bir saat süren bir saldırıda, Netwalker Fidyeware, yüklerini bir alan adındaki tüm sistemlerde çalıştırmak için Psexec'i kullandı.
Daha yakın tarihli bir örnekte, kuantum fidye yazılımı çetesi, buzlud kötü amaçlı yazılımlar aracılığıyla erişim kazandıktan sonra tamamlanması sadece iki saat süren bir saldırıda sistemleri şifrelemek için Psexec ve WMI'ya güveniyordu.
Haziran ayında Microsoft'un bir raporu, fidye yazılımı yüklerini dağıtmak için Psexec'i de kullanan Blackcat Fidyeware'den bir saldırı detaylandırıyor.
Başka bir örnek, Yanluowang fidye yazılımı çetesinin kayıt defteri değerlerini uzaktan eklemek için Psexec kullandığı ve tehdit oyuncusunun Windows oturum açma ekranında erişilebilirlik özelliklerinden yararlanmasına izin veren Psexec'i kullandığı yakın zamanda açıklanan Cisco Breach'den.
GÜNCELLEME [13 Eylül 10:10 EST]: ABD CERT Koordinasyon Merkezi'ndeki güvenlik açığı analisti Will Dormann'ın yorumuyla güncellendi.
Hacker, Küba fidye yazılımı saldırılarında yeni sıçan kötü amaçlı yazılım kullanıyor
Conti fidye yazılımı Kosta Rika hükümetini nasıl hackledi ve şifreledi
Kaynak: Bleeping Computer