0X01 基本情報
| 特定の情報 | 詳細 |
|---|---|
| ATT&CK番号 | T1592-001 |
| 戦術段階 | 偵察 |
| オペレーティング·システム | Windows 10 エンタープライズ エディション LTSC |
| 作成時間 | 2022 年 11 月 7 日 |
| 監視プラットフォーム | Tinder Security、Tinder Sword、sysmon |
0X02 技術原理
被害者を危険にさらす前に、攻撃者は被害者のホスト ハードウェアに関する情報を収集する可能性があります。この情報は、標的設定時に使用できます。ハードウェア インフラストラクチャに関する情報には、特定のホストのタイプとバージョン、および追加の防御手段を示す可能性のある他のコンポーネント (カード/生体認証リーダー、専用の暗号化ハードウェアなど) の存在など、さまざまな詳細が含まれる場合があります。
攻撃者は、アクティブ スキャン (ホスト名、サーバー フラグ、ユーザー エージェント文字列など) やフィッシングなど、さまざまな方法でこの情報を収集できます。攻撃者は、サイトを侵害し、訪問者のホストに関する情報を収集するように設計された悪意のあるコンテンツを植え付けることもできます。ハードウェア インフラストラクチャに関する情報も、オンラインまたはその他のアクセス可能なデータセット (求人情報、Web マップ、評価レポート、履歴書、購入請求書など) を介して攻撃者に公開される可能性があります。この情報を収集すると、他の形式の偵察 (オープンな Web サイト/ドメインの検索、オープンなテクノロジー データベースの検索など)、運用リソースの確立 (機能の悪用や機能の取得など)、または初期アクセスの有効化 (攻撃など) の可能性が開かれる可能性があります。ハードウェア サプライ チェーンまたはハードウェアの追加)。
0x03 環境を再現
| ツールリスト | 関連リンク |
|---|---|
| パワーシェル | https://learn.microsoft.com/zh-cn/skypeforbusiness/set-up-your-computer-for-windows-powershell/download-and-install-windows-powershell-5-1 |
| sysmon ロギング ツール | https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon |
| sysmon デフォルト ルール ファイル | https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml |
| sysmon インストール コマンド | sysmon64.exe -accepteula -i sysmonconfig-export.xml |
| 攻撃状態 | 犠牲ホストの権限を取得する |
0x04 再生処理
カメラ デバイスを列挙するには、powershell コマンドレットを使用します。この手法は、感染したホストにインストールされたカメラに関する情報を列挙する dcrat マルウェア バックドア機能に存在します。参照する
https://www.mandiant.com/resources/analyzing-dark-crystal-rat-backdoor
powershell を使用して次のコマンドを実行します。これには権限 (root/admin) が必要です。
Get-CimInstance -Query "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')"
USB ビデオ デバイスと EOS Canon カメラ デバイスが列挙されていることがわかります。コマンドの解釈により、プラグ アンド プレイ デバイスから画像とカメラ デバイスが取得されます。
Get-CimInstance: CIM サーバーからクラスの CIM インスタンスを取得します。
Win32_PnPEntity: プラグ アンド プレイ デバイスのプロパティを表す WMI クラス。
0x05 検出方法
1. ログの特徴
Process Create:
RuleName: -
UtcTime: 2022-11-09 07:04:57.045
ProcessGuid: {97e75c69-5119-636b-8519-00000000e101}
ProcessId: 17968
Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
FileVersion: 10.0.17763.1 (WinBuild.160101.0800)
Description: Windows PowerShell
Product: Microsoft® Windows® Operating System
Company: Microsoft Corporation
OriginalFileName: PowerShell.EXE
CommandLine: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
CurrentDirectory: C:\Users\Administrator\
User: DESKTOP-QBSHNDH\Administrator
LogonGuid: {97e75c69-008d-636b-49ec-070000000000}
LogonId: 0x7EC49
TerminalSessionId: 1
IntegrityLevel: High
Hashes: SHA256=DE96A6E69944335375DC1AC238336066889D9FFC7D73628EF4FE1B1B160AB32C
ParentProcessGuid: {97e75c69-008e-636b-b700-00000000e101}
ParentProcessId: 9728
ParentImage: C:\Windows\explorer.exe
ParentCommandLine: C:\Windows\Explorer.EXE
2.攻撃特性
Huorong Security カスタム保護ルールの名前は、powershell がカメラ デバイス保護を列挙し、操作ファイルが HKLM_System\CurrentControlSet\Services\Tcpip\Parameters\Hostname に登録され、操作の種類が [読み取り] です。
0x06 処分方法とルールの書き方
レジストリを監視して、powershell を介してカメラ/画像デバイスを列挙するアクションを理解します.powershell が列挙コマンドを実行すると、Tinder は保護されたレジストリを傍受するように求めますが、保護効果はありません.レジストリを介した保護のカスタマイズは不可能です.この効果は、powershell を無効にすることによってのみ対処できます。
火口保護規則
{
"ver":"5.0",
"tag":"hipsuser",
"data":[
{
"id":2,
"power":1,
"name":"powershell枚举相机设备防护",
"procname":"C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"treatment":1,
"policies":[
{
"montype":2,
"action_type":15,
"res_path":"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Domain"
},
{
"montype":2,
"action_type":15,
"res_path":"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Hostname"
},
{
"montype":2,
"action_type":15,
"res_path":"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\*"
}
]
}
]
}
0x07 まとめ
実験から、被害ホストの権限を取得した後、システム内の一部のハードウェア情報は、偵察段階で PowerShell を介して読み取ることができることがわかります; Huorong セキュリティ ソフトウェアは、Huorong 傍受ルールをカスタマイズした後、傍受しません。レジストリ エントリが保護されている場合、Huorong はアクセスが拒否されたことを示し、システムのハードウェア情報は引き続き読み取ることができるため、この方法を使用してウイルス対策防御をある程度回避できます。