อันนี้เป็นอีกโพสต์หนึ่งที่ผมพยายามจะนำกลับมาอ่าน เพราะ Petya เช่นกัน โดยโพสต์นี้เราจะพูดถึง psexec ซึ่งเป็นช่องทางในการแพร่กระจายอีกช่องทางหนึ่งของ Petya Ransomware

Psexec เป็นเครื่องมือที่มากับ Sysinternal Suite ซึ่งเป็นชุดเครื่องมือสำหรับ admin ที่  Microsoft ทำขึ้น โดยสามารถนำมาใช้สั่งการคำสั่งต่างๆผ่านระบบ network ได้ ทำให้ psexec สามารถใช้ได้ทั้งสำหรับงาน admin เองและงานของ hacker ด้วยเช่นกัน และปกติการใช้งาน psexec จำเป็นต้องใช้ username และ password ในการสั่งการ ซึ่ง port ที่ psexec ใช้งานคือ 139 และ 445

จากตัวอย่าง hash ที่ 1 และ 2 คือ lanman hash กับ ntlm hash นั่นเอง ซึ่งโดยปกติแล้วหากเราต้องการจะใช้รหัสผ่านนั้นจำเป็นต้องมานั่ง crack ก่อน ก็กลายเป็นว่าเราสามารถหยิบมาใช้งานได้ทันทีผ่านตัวช่วยอื่นๆ (Metasploit มีการนำ psexec port ไปเป็น module ใน Metasploit ด้วย)

การ logon โดยการใช้งาน psexec

psexec มีการใช้งานด้วยกัน 2 แบบในการที่จะ authentication ไปยัง server ปลายทางโดย
1. คือการใช้สิทธิ์ของ user ที่เรา logged-on อยู่
2. คือการ specific username, password เข้าไปเอง

ซึ่งในข้อแรกเราสามารถทำการเปลี่ยน credential ได้โดยใช้ทั้ง mimikatz ,wce และอื่นๆ ซึ่งเปรียบเสมือนการใช้งาน hash ในการ authentication นั่นเอง ซึ่งวิธีนี้คือสิ่งที่เรียกว่า “Pass-The-Hash” (PTH)

psexec สามารถทำได้สารพัดตามที่เราจะคิดคำสั่งที่เราใช้งาน รวมถึงการเข้าใช้งานเครื่องปลายทางผ่าน cmd.exe ก็สามารถทำได้เช่นกัน

Log ที่เกิดจาก Psexec

Psexec เวลาที่จะทำการ authentication ไปจะเกิด Log ใน Windows 7 จะเกิด security log เป็น Event ID 4624, 4648 และ 4672

และเมื่อ logoff จะเกิด 4634

ส่วน System Log จะขึ้นเป็น log ของ PSEXESVC.exe ทั้ง 7045 (A service was installed in the system.) และ 7036 (The PSEXESVC service entered the running state., The PSEXESVC service entered the running state.) ครับ

ส่วนที่น่าจะดูเพิ่มเติมคือ Prefetch ไฟล์น่าจะพบ PSEXESVC.EXE ไฟล์ปรากฏอยู่ครับ

วิธีการ enable PSEXEC

1. Enable remote command

2. สำหรับการ Allow เฉพาะ IP

3. สำหรับการ enable remote sign

วิธีปิดการใช้งาน Psexec.exe

เราสามารถปิดการใช้งาน psexec ได้โดยการแก้ไข registry key ของ LocalAccountTokenFilterPolicy (ใช้สิทธิ์ administrator ในการทำ)

Source::