Обход защиты: скрытие артефактов

Дата: 04.09.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности

В этой статье пойдет речь о различных методах, которые реализуются злоумышленником, чтобы избежать его обнаружения. Пользователь, скрывая артефакты в целевой системе, способен незаметно воплотить в жизнь свой замысел.

Введение

Артефактом можно считать любой важный системный файл, который включает в себя информацию, связанную с документацией, планами тестирования, образами и даже некоторыми исполняемыми модулями.

Операционные системы способны скрывать эти артефакты, чтобы избежать нарушения работы пользователей и предотвратить изменение файлов или функций системы в рабочей среде. Однако злоумышленник может воспользоваться этими функциями, чтобы осуществить свои злые намерения, скрывая артефакты, которые, таким образом, обеспечивают ему надежный способ быть не обнаруженным.  

Стоит попробовать понять данное утверждение на простом примере.

Необходимо предположить, что злоумышленник проникает в машину жертвы и получает доступ к сеансу, который, таким образом, позволяет ему использовать систему. Самое первое, что сделает мошенник, — это незаметно создаст файл и скроет его полезную нагрузку, например, используя функцию операционной системы, которая также скрывает артефакты. После того, как злоумышленник уже скрыл свою полезную нагрузку, он может воспользоваться этим для воплощения в жизнь своего злого умысла, обманув системного администратора.

С учетом всего сказанного, надо рассмотреть различные подходы, которые используют хакеры, чтобы скрыть их присутствие.

Скрытие файлов и каталогов

Злоумышленники могут загрузить скрытые файлы или каталоги, чтобы избежать механизмов обнаружения.

Нужно открыть свою командную строку, это сделает человек, запустив ее от имени администратора. Кроме того, он создаст папку в каталоге. В данном случае пользователь назвал ее ignite на рабочем столе. То же самое может быть достигнуто, если человек выполнит команду dir.

Чтобы скрыть файл, который пользователь только что создал, ему следует выполнить следующую команду:

attrib +h +s +r ignite

Отлично!! Теперь файл скрыт, но стоит разобраться, как отобразить его. Для этого человеку нужно выполнить следующую команду:

attrib -s -h -r ignite

На приведенном ниже скриншоте можно увидеть, что, когда пользователь ввел команду “dir”, его файл вновь оказался на рабочем столе.

Скрытие пользователей

Злоумышленники могут задействовать скрытых пользователей для маскировки наличия учетных записей, которые они создают. В этом разделе статьи будет подробно описан механизм, как можно скрыть определенных юзеров.

Использование командной строки

Итак, стоит открыть командную строку и создать пользователя, в данном случае он получил имя «ignite». Пользователь может быть создан с помощью команды: net user ignite / add.

Теперь, когда юзер был добавлен в систему, человеку нужно активировать его, что можно сделать, выполнив следующую команду:

net user ignite /active:yes

Человек скроет пользователя «ignite», выполнив команду:

net user ignite /active:no

Чтобы проверить, вступили ли в силу изменения, следует просто перезагрузить компьютер. Здесь человек заметит, что этот пользователь больше не виден на странице входа.

Итак, чтобы вновь отобразить пользователя и вернуть его видимость, нужно повторно ввести команду:

net user ignite /active:yes

Человек увидит, что пользователь “ignite” снова виден на странице входа в систему.

Использование редактора реестра

Этот метод может быть более сложным в сравнении с предыдущим, но о нем полезно узнать. Итак, настала пора исследовать этот способ и спрятать нужного пользователя.

В окне запуска человек введет «Regedit» в строке поиска.

Как только он войдет в раздел редактирования реестра, ему следует перейти по пути: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Теперь, когда пользователь перешел по пути, упомянутому выше, стоит щелкнуть правой кнопкой мыши на «Winlogon» -> «Select New» и выбрать «Key».

После завершения описанного выше процесса пользователь переименует новый ключ, созданный как “SpecialAccounts”.

Затем он щелкнет правой кнопкой мыши на SpecialAccounts -> Select New и выберет Key. Он также переименует этот ключ в “UserList”.

Можно увидеть, что были созданы два новых ключа. Одним из них является «SpecialAccounts» для «Winlogon» и второй ключ «UserList» для раздела «SpecialAccounts».

Справа следует выполнить следующие действия: правая кнопка мыши -> выбрать Select New -> значение DWORD (32-разрядное), как показано ниже на картинке.

Новый ключ должен быть назван как пользователь, которого нужно будет скрыть. В данном случае этот новый ключ получил имя «ignite», поскольку человек хочет спрятать именно этого пользователя.

Теперь следует закрыть редактор реестра и перезагрузить компьютер, чтобы изменения вступили в силу. Пользователь теперь скрыт и не будет отображен.

Чтобы вернуть ему видимость, человек вновь откроет редактор реестра и перейдет к следующему пункту:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList.

Затем он дважды щелкнет по пользователю «ignite», изменит значение данных с 0 на 1 и нажмет Еnter.

Необходимо снова перезагрузить систему, чтобы изменения вступили в силу. Пользователь теперь отображается на странице входа.

Скрытие файловых систем

Злоумышленники могут использовать скрытую файловую систему для незаметного проведения вредоносных атак как для пользователей, так и для других средств безопасности. Файловые системы представляют собой структуру для хранения и доступа к данным из физического хранилища. Итак, настало время подробнее разобраться, как это работает.

Метод 1: с помощью командной строки

К примеру, есть диск Е, который пользователь хочет скрыть.

Нужно открыть раздел диска в командной строке с помощью команды «diskpart».

Теперь следует перечислить все доступные диски, используя команду «list volume».

Поскольку все тома находятся на экране, стоит выбрать именно тот, который содержит диск, что нужно скрыть. В данном случае пользователь выбирает том 3, выполнив команду: select volume 3.

Отлично!! Почти все, теперь, чтобы скрыть диск, следует выполнить команду:

remove letter e

На приведенном ниже скриншоте можно увидеть, что диск E был успешно скрыт.

Далее, чтобы отобразить диск, необходимо просто выполнить команду «assign letter e».

Метод 2: использование редактора реестра

Для этого метода пользователь откроет редактор реестра, как описано в разделе «Скрытие пользователей», и перейдет по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

После перехода по вышеупомянутому пути пользователь щелкнет правой кнопкой мыши на проводнике -> выберет «Select New» -> значение DWORD (32-разрядное), как показано ниже на картинке.

Будет создан новый ключ, который необходимо переименовать в «NoDrives».

Теперь, когда новый ключ был переименован в “NoDrives”, следует дважды щелкнуть по нему и изменить базу с шестнадцатеричной на десятичную. Пользователь сделает это, введя в поле данных Value в соответствии с диском, который он хочет скрыть.

В данном случае, поскольку будет скрыт диск E, пользователь установит значение data равным «16», так как десятичное значение алфавита E равно “16”. Человек может установить его в соответствии с его предпочтениями и потребностями.

Надо перезагрузить систему еще раз и проверить наличие дисков.

Отлично!! На приведенном ниже скриншоте можно увидеть, что диск теперь скрыт.

Чтобы отобразить диск, нужно вернуться в раздел “Regedit”, как описано выше, и перейти далее в другой раздел HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Пользователь щелкнет правой кнопкой мыши на «NoDrives» и просто удалит его. Ему следует перезагрузить систему и убедиться, что диск вновь отображается.

Метод 3: использование управления дисками

Настала пора открыть «Управление дисками», выполнив команду «compmgmt.msc» в диалоговом окне «Выполнить», как показано ниже.

Пользователь выберет диск, который хочет скрыть, и щелкнет по нему правой кнопкой мыши.

Затем человек выберет пункт «Change Drive Letters and Paths».

После завершения описанного выше шага пользователь выберет диск и нажмет на кнопку «Remove».

Необходимо перезагрузить систему, и человек заметит, что диск теперь скрыт. В данном случае диск Е больше не отображается.

Стоит вновь вывести диск Е на экран, вернувшись к управлению дисками. Пользователь дважды щелкнет на новом томе и выберет пункт «Change Drive Letters and Paths». Человек нажмет на кнопку «Add» и добавит нужный диск, выбрав опцию «Assign the following drive letter» и нажав на кнопку «ОК».

Атрибуты файлов NTFS

Злоумышленники могут использовать атрибуты файлов NTFS, чтобы скрыть свои вредоносные данные и избежать обнаружения. Каждый раздел формата файловой системы новой технологии (NTFS) содержит таблицу основных файлов (MFT), которая ведет записи для каждого файла/каталога в системе. Стоит понять, как можно выполнить описанную выше атаку.

Пользователь снова откроет командную строку от имени администратора, чтобы создать файл с некоторыми данными в нем:

echo Welcome to ignite Technologies > file.txt

На изображении ниже можно увидеть, что файл был создан с определенными данными.

Теперь стоит создать еще один файл внутри file.txt, но на этот раз пользователь сделает его таким же скрытым с помощью следующей команды:

echo Join Our Training Programs > file.txt:hidden

На приведенном ниже скриншоте видно, что файл “hidden” полностью скрыт.

Пользователь продолжит и введет команду: type file.txt:hidden, после нажмет на Enter. Он заметит, что файл все еще не виден.

Но как проверить его содержимое?

Следует ввести команду: more < file.txt:hidden.

Обнаружение

Для обнаружения такого типа атак можно использовать следующие методы:

  • Мониторинг процессов командной строки для действий, указывающих на сокрытие артефактов.
  • Мониторинг журналов событий и аутентификации для получения записей об используемых скрытых артефактах.
  • Мониторинг файловой системы и команд Shell на предмет использования скрытых атрибутов.

Автор переведенной статьи: Tanish Bugnait.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

пять × 5 =