Codeby

BitlockMove - инструмент предназначенный для бокового перемещения с помощью Bitlocker. Создан на платформе .NET и может быть запущен из любой системы, способной загружать и выполнять сборки в памяти процесса.

Принцип работы
1️⃣Для компонента удалённого перечисления сеансов инструмент использует недокументированные API Microsoft, которые являются частью библиотеки winsta.dll. DLL связана с двоичным файлом, который является частью экосистемы Windows под названием qwinsta и может отображать информацию о сеансах на удалённом рабочем столе.
🔺WinStationOpenServerW - открывает дескриптор для указанного сервера.
🔺WinStationCloseServer - закрывает доступ к серверу.
🔺WinStationEnumerateW - перечисляет все сеансы в системе.
🔺WinStationQueryInformationW - получает информации о сеансе.

2️⃣В режиме атаки BitLockMove устанавливает удалённое соединение с целевым хостом через инструменты управления Windows (WMI) и выполняет запрос. Таким образом, получаются данные о состоянии службы удалённого реестра, и запрос пытается включить службу.

Путь к реестру создаётся для подготовки среды к перехвату COM. В частности, инструмент создаёт запись в реестре для ключа CLSID A7A63E5C-3877-4840-8727-C1EA9D7A4D50 и его подразделов. Этот ключ связан с BitLocker, поскольку процесс BaaUpdate.exe пытается загрузить этот отсутствующий ключ на устройствах Windows. Метод позволяет удаленно запустить процесс BitLocker. Это действие выполняется с помощью класса BDEUILauncher.

Режимы работы инструмента
🔺Перечисление (узнать, какие пользователи активны на целевом узле): BitlockMove.exe mode=enum target=<targetHost>.
🔺Атака (чтобы выполнить код в удалённой системе, необходимо указать целевое имя пользователя, путь к DLL, а также команду для выполнения): BitlockMove.exe mode=attack target=<targetHost> dllpath=C:\windows\temp\pwned.dll targetuser=local\domadm command="cmd.exe /C calc.exe".

🔺Обнаружение
Несмотря на то, что метод выполняется в контексте доверенного процесса BitLocker (BdeUISrv.exe), существует множество возможностей для его обнаружения на разных этапах.

Используемые инструментом API связаны с двумя библиотеками DLL: winsta.dll и wtsapi32.dll. Легальные инструменты, такие как qwinsta.exe и tsadmin.msc, загружают эти библиотеки в рамках своей функциональности. При обнаружении следует обращать внимание на события для нестандартных процессов, которые пытаются загрузить эти библиотеки.

🔺Следует отметить, что злоумышленники всегда могут внедрить свой имплант в один из этих доверенных процессов Microsoft. Однако это действие создаст дополнительные возможности для обнаружения, связанные с методом внедрения в доверенный процесс.

Please open Telegram to view this post

VIEW IN TELEGRAM

❤12👍8🔥8

www.tgoop.com/codeby_sec/9425

3.79K viewsSep 24 at 15:01

BitlockMove - инструмент предназначенный для бокового перемещения с помощью Bitlocker. Создан на платформе .NET и может быть запущен из любой системы, способной загружать и выполнять сборки в памяти процесса.

Принцип работы
1️⃣Для компонента удалённого перечисления сеансов инструмент использует недокументированные API Microsoft, которые являются частью библиотеки winsta.dll. DLL связана с двоичным файлом, который является частью экосистемы Windows под названием qwinsta и может отображать информацию о сеансах на удалённом рабочем столе.
🔺WinStationOpenServerW - открывает дескриптор для указанного сервера.
🔺WinStationCloseServer - закрывает доступ к серверу.
🔺WinStationEnumerateW - перечисляет все сеансы в системе.
🔺WinStationQueryInformationW - получает информации о сеансе.

2️⃣В режиме атаки BitLockMove устанавливает удалённое соединение с целевым хостом через инструменты управления Windows (WMI) и выполняет запрос. Таким образом, получаются данные о состоянии службы удалённого реестра, и запрос пытается включить службу.

Путь к реестру создаётся для подготовки среды к перехвату COM. В частности, инструмент создаёт запись в реестре для ключа CLSID A7A63E5C-3877-4840-8727-C1EA9D7A4D50 и его подразделов. Этот ключ связан с BitLocker, поскольку процесс BaaUpdate.exe пытается загрузить этот отсутствующий ключ на устройствах Windows. Метод позволяет удаленно запустить процесс BitLocker. Это действие выполняется с помощью класса BDEUILauncher.

Режимы работы инструмента
🔺Перечисление (узнать, какие пользователи активны на целевом узле): BitlockMove.exe mode=enum target=<targetHost>.
🔺Атака (чтобы выполнить код в удалённой системе, необходимо указать целевое имя пользователя, путь к DLL, а также команду для выполнения): BitlockMove.exe mode=attack target=<targetHost> dllpath=C:\windows\temp\pwned.dll targetuser=local\domadm command="cmd.exe /C calc.exe".

🔺Обнаружение
Несмотря на то, что метод выполняется в контексте доверенного процесса BitLocker (BdeUISrv.exe), существует множество возможностей для его обнаружения на разных этапах.

Используемые инструментом API связаны с двумя библиотеками DLL: winsta.dll и wtsapi32.dll. Легальные инструменты, такие как qwinsta.exe и tsadmin.msc, загружают эти библиотеки в рамках своей функциональности. При обнаружении следует обращать внимание на события для нестандартных процессов, которые пытаются загрузить эти библиотеки.

🔺Следует отметить, что злоумышленники всегда могут внедрить свой имплант в один из этих доверенных процессов Microsoft. Однако это действие создаст дополнительные возможности для обнаружения, связанные с методом внедрения в доверенный процесс.