Güvenlik araştırmacıları, daha az izlenen tek bir bağlantı noktası olan Windows TCP bağlantı noktası 135 kullanarak bir ağda yanal olarak hareket etmeye izin veren Sysinternals PsExec yardımcı programının bir uygulamasını geliştirdiler.
PsExec, yöneticilerin bir istemci yüklemeye gerek kalmadan ağdaki makinelerde işlemleri uzaktan yürütmelerine yardımcı olmak için tasarlanmıştır.
Tehdit aktörleri de aracı benimsemiştir ve ağa yayılmak, birden fazla sistemde komut çalıştırmak veya kötü amaçlı yazılım dağıtmak için bir saldırının istismar sonrası aşamalarında sıklıkla kullanıyor.
Impacket ağ protokolleriyle çalışmak için bir Python sınıfları koleksiyonudur
PsExec ve ihtiyaç duyduğu TCP bağlantı noktaları
Orijinal PsExec şu anda mevcutken Sysinternals yardımcı program paketiayrıca, SMB ve HTTP, LDAP (Hafif Dizin Erişim Protokolü) ve Microsoft SQL için bağlantıları etkinleştiren IP, UDP, TCP gibi diğer protokolleri destekleyen ağ protokolleriyle çalışmak için Python sınıflarının Impacket koleksiyonunda bir uygulama vardır. Sunucu (MSSQL).
Hem orijinal sürüm hem de Impacket varyantı benzer şekilde çalışır. Bir SMB bağlantısı kullanırlar ve SMB ağ dosya paylaşım protokolü üzerinden iletişim kurmak için açık olması gereken 445 numaralı bağlantı noktasını temel alırlar.
Ayrıca Windows hizmetlerini (oluşturma, yürütme, başlatma, durdurma) işletim sistemiyle üst düzey iletişim sağlayan bir protokol olan Uzaktan Yordam Çağrıları (RPC) aracılığıyla yönetirler.
Ancak genişletilmiş işlevsellik için 135 numaralı bağlantı noktası gereklidir. Ancak bu bağlantı noktasının engellenmesi, bir tehdit aktörünün bir saldırıyı tamamlamasını engellemez, bu nedenle PsExec’in çalışması için 445 numaralı bağlantı noktası gereklidir.
Bu nedenle, savunucular çoğunlukla PsExec’in komutları yürütmesi veya dosyaları çalıştırması için gerekli olan 445 numaralı bağlantı noktasını engellemeye odaklanır. Bu çoğu durumda işe yarar ancak yeterli değildir.
Yeni PsExec uygulaması
Impacket kütüphanesine dayanarak, araştırmacılar Sanatçıotomatik bir güvenlik doğrulama çözümü sağlayan bir şirket, yalnızca 135 numaralı bağlantı noktasında çalışan PsExec aracının bir uygulamasını oluşturmuştur.
Kötü amaçlı PsExec etkinliğini kısıtlamak için yalnızca 445 numaralı bağlantı noktasını engellemek artık çoğu saldırı için güvenilir bir seçenek olmadığından, bu başarı savunma oyununda değişiklikler getiriyor.
Pentera’da kıdemli bir güvenlik araştırmacısı olan Yuval Lazar, “SMB protokolünün ikili dosyayı yüklemek ve giriş ve çıkışı iletmek için kullanıldığını bulduk” diye açıklıyor.
Lazar, BleepingComputer ile paylaşılan bir rapora, komutların Dağıtılmış Bilgi İşlem Ortamı / Uzaktan Yordam Çağrıları (DCE/RPC) aracılığıyla yürütüldüğünü ve “çıktıdan bağımsız olarak çalıştırıldığını” ekler.
kaynak: Pentera Labs
Pentera’nın PsExec varyasyonu, araştırmacıların taşıma veya çıktı için SMB bağlantı noktası 445 üzerinden iletişim kurmadan rastgele bir komut çalıştıran bir hizmet oluşturmasını sağlayan bir RPC bağlantısı kullanır.
kaynak: Pentera Labs
Tümüyle izleme gerekli
Sysinternals paketindeki orijinal PsExec’in aksine, Pentera’nın varyantının bir ağda tespit edilmeden kayma şansı daha yüksek, dedi Lazar, BleepingComputer’a çünkü birçok kuruluş 445 numaralı bağlantı noktasına ve SMB’ye göz kulak oluyor.
“Fark ettiğimiz şey şu ki, birçok kuruluş KOBİ’lere ve 445 numaralı bağlantı noktasına dayalı birçok azaltmayı uygularken, 135 gibi diğer önemli limanları gözden kaçırıyor” – Pentera Kıdemli Güvenlik Araştırmacısı Yuval Lazar
Lazar’ın vurguladığı bir diğer nokta, diğer PsExec uygulamalarının dosya tabanlı oldukları için SMB kullanması gerektiğidir. Araştırmacı, Pentera’nın varyantının dosyasız olduğunu ve bunun tespit edilmesini zorlaştıracağını söyledi.
Lazar’ın PsExec ile ilgili araştırması, PetitPotam gibi güvenlik açıklarının [1, 2] ve DFSCoerce RPC’nin oluşturduğu risklere dikkat çekmiştir, hafifletmeler DCE/RPC’yi izlemeyi değil, NTLM geçiş önlemeyi vurgulamaktadır.
Pentera’nın gözlemlerine dayanarak, RPC trafiğini engellemek veya izlemek kurumsal ortamlarda yaygın bir uygulama değildir. Çoğu durumda bunun nedeni, savunucuların, kontrol edilmediği takdirde RPC’nin ağ için bir güvenlik riski oluşturabileceğinin farkında olmamasıdır.
“Güvenlik ekipleri, onları ne için izleyeceklerini bilmeleri için bilgisayar korsanları tarafından farklı bağlantı noktalarının nasıl kullanılabileceğini anlamalıdır” – Yuval Lazar
Will DormannCERT/CC’deki güvenlik açığı analisti, 445 numaralı TCP bağlantı noktasının engellenmesinin, araca dayanan kötü amaçlı etkinlikleri engellemek için tek başına yetersiz olduğunu kabul ediyor.
Araştırmacı, BleepingComputer’a “İnsanlar 445’i engellemenin yalnızca PsExec’i (ve RPC ile ilgili diğer şeyleri) önlemek için yeterli olduğunu düşünüyorlarsa, yanılıyorlar” dedi.
PsExec, 445, 139 ve 135 numaralı bağlantı noktaları gerektiren SMB ve RPC bağlantılarını temel alır. Ancak Lazar, HTTP’nin üzerinde bir RPC uygulaması olduğunu, yani PsExec’in potansiyel olarak 80 numaralı bağlantı noktası üzerinde de çalışabileceğini ekledi.
Fidye yazılımı oyuncuları arasında popüler olan PsExec
Bilgisayar korsanları uzun süredir saldırılarında PsExec kullanıyor. Özellikle fidye yazılımı çeteleri, dosya şifreleyen kötü amaçlı yazılımları dağıtmak için bunu benimsedi.
NetWalker fidye yazılımı sadece bir saat süren saldırıda kullanılan PsExec yüklerini bir etki alanındaki tüm sistemlerde çalıştırmak için.
Daha yakın tarihli bir örnekte, Quantum fidye yazılımı çetesi, Sistemleri şifrelemek için PsExec ve WMI IcedID kötü amaçlı yazılımı aracılığıyla erişim sağlandıktan sonra tamamlanması yalnızca iki saat süren bir saldırıda.
Microsoft’un Haziran ayında hazırladığı bir rapor, bir BlackCat fidye yazılımından saldırıfidye yazılımı yükünü dağıtmak için PsExec’i de kullandı.
Başka bir örnek, yakın zamanda açıklanan Cisco ihlaliYanluowang fidye yazılımı çetesinin kayıt defteri değerlerini uzaktan eklemek için PsExec’i kullandığı ve tehdit aktörünün Windows oturum açma ekranında bulunan erişilebilirlik özelliklerinden yararlanmasına izin verdiği yer.
Güncelleme [September 13, 10:10 EST]: Makale, ABD CERT Koordinasyon Merkezi’nde güvenlik açığı analisti Will Dormann’ın yorumuyla güncellendi.