Reverse Shell & Bind Shell — Testing
#Cybersecurity
#Blue_Team
#DFIR
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ
บางทีก็สงสัยเหมือนกันนะครับสำหรับการเข้าไปทำ Case ที่ถูกโจมตี และโดนฝั่ง Backdoor & C2 & Web Shell พวกนี้ คือ Hacker มันเจาะเข้ามาและมันเข้าไปวาง File และก็ Persistence บน Server ได้อย่างไร นิ โดยขอยกตัวอย่างในส่วนของ Windows or Linux ประมาณหนึ่งที่อาจจะพบเจออยู่บ่อย ๆ นะครับ เช่น
- Startup:
- Scheduled Tasks:
- Windows Service:
- Registry:
- Web Shell:
- DLL:
- Crontab:
- Script:
- Startup Script — Systemd:
คือ Path พวกนี้ เราอาจจะพบบ่อย หรือจะเป็น สิ่งที่เราต้องตรวจสอบเลย ว่า Case ที่เราไปทำนั้น มันมี Backdoor & C2 ฝั่งอยู่หรือป่าว เอาเป็นว่าลักษณะ Backdoor & C2 ที่เจอ ก็จะประมาณนี้ และมันก็สงสัยว่าทำไม่ Hacker มันถึงเข้ามาวาง File Backdoor ได้ละ ? Hacker มัน เทพ ๆ จัด ๆ เลย สามารถ Bypass EDR, Bypass Security Control, Evasion โอโห้ Hacker มันทำท่า พวกนี้เลยรึ และกว่า Hacker มันจะเข้ามาได้ หน้าจะต้องใช้เวลา หน้าดูเลย และ Hacker ที่เข้ามาก็ต้องเป็นระดับ APT โหด ๆ แน่เลย!! ความคิดมาเลย… แต่คือพอเข้าไปตรวจสอบ File ต่าง ๆ เช่นแค่ง่าย ๆ เลย HASH ไป Check Virustotal, หรือ โยนใส่ Any.run อ่าว ๆ มันก็เจอ เป็น Malware นี้หว่า… แอ๊ะ ๆ ทำไม่ถึง เครื่องที่ถูกว่าง มันไม่ Detection ละ… และ Port ที่มันใช่งาน มันก็ไม่ใช่ Port Well Know นี้หว่า และทำไม่มันถึง Run ได้ล๊ะ ทั้ง ๆ ที่ Hacker มันก็ไม่ได้ใช่ Techniques/Tactics ที่โหด ๆ เลยนี้หว่า มันก็แค่ File Backdoor ธรรมดา นี้หว่า!!! 555 สรุปเลยก็คือ เครื่อง Victim ไม่มี Antivirus และก็ทำ Policy Network [All,All, Any Any] จริง ๆแล้ว แค่ มีการติดตั้ง Antivirus[EPP or EDR] มันก็สามารถ Detection ได้ล๊ะ และถ้า ทำ Policy Firewall [Network Zone, Restric SourceIP, DestinationIP, Service, Port] แค่นี้ มันก็เพิ่มความปลอดภัย หรือ เพิ่ม Security ได้พอสมควรแล้วนะครับ แต่ปัญหาคือส่วนมากสำหรับปัญหาพวกนี้ มักจะเกิด กับหน่วยงาน หรือบริษัท ทีมีความละเลย เรื่องเล็ก ๆ พวกนี้แหละครับ 5555!!! นึกว่าจะได้ของดี ซะอีก 555 — — ได้ File ธรรมดา แต่ที่เข้ามาได้ มันก็คือ มันไม่มี Security Control อะไรเลยนี้หว่า 555!! คือจริง ๆแค่ มีการ Configure ให้มีความรัดกุมมากขึ้น มันก็ช่วยได้เยอะเลยนะครับ — — ไป Testing กันเลยดีกว่าครับ !!!!
Reverse Shell:
- การทำงาน: Reverse Shell จะทำให้เครื่องที่ถูกโจมตี (เป้าหมาย) เชื่อมต่อกลับไปยังเครื่องของผู้โจมตี
- ขั้นตอน: ผู้โจมตีจะรอการเชื่อมต่อขาเข้า (เช่น บนเครื่องของผู้โจมตีที่เปิดพอร์ตไว้รอรับการเชื่อมต่อ) เมื่อผู้โจมตีทำการ execute reverse shell บนเครื่องเป้าหมายได้ เครื่องเป้าหมายจะเชื่อมต่อกลับมาหาผู้โจมตี
- ข้อดี: Reverse Shell มักจะเจาะผ่านไฟร์วอลล์และ NAT ได้ง่ายกว่า เพราะเป็นการเชื่อมต่อจากเครื่องเป้าหมายไปหาเครื่องผู้โจมตี
Remark: ถ้าเรามาตรวจสอบ Network Traffic โดยการ Filterring Source IP: victim เราจะเห็นว่าเครื่อง Victim นั้น negotiation ไปยัง IP และ Port ของ Hacker
Bind Shell:
- การทำงาน: Bind Shell จะทำให้เครื่องเป้าหมายเปิดพอร์ตเพื่อให้ผู้โจมตีสามารถเชื่อมต่อเข้าไปได้
- ขั้นตอน: ผู้โจมตีจะพยายามเชื่อมต่อเข้าไปยังเครื่องเป้าหมายโดยตรง ซึ่งเครื่องเป้าหมายจะต้องเปิดพอร์ตไว้รอการเชื่อมต่อขาเข้า
- ข้อดี: เหมาะสำหรับสถานการณ์ที่เครื่องเป้าหมายไม่สามารถทำการเชื่อมต่อออกไปยังอินเทอร์เน็ตได้โดยตรง แต่สามารถเปิดพอร์ตสำหรับการเชื่อมต่อขาเข้าได้
Remark: ถ้าเรามาตรวจสอบ Network Traffic โดยการ Filterring Source IP: victim เราจะเห็นว่าเครื่อง Victim นั้น negotiation ไปยัง IP ของ Hacker โดย เครื่อง Victim เอง จะเป็นการ Open Port ฮะ!!
Conclusion:
- Reverse Shell: เครื่องเป้าหมายเชื่อมต่อออกไปยังเครื่องผู้โจมตี
- Bind Shell: เครื่องเป้าหมายเปิดพอร์ตให้ผู้โจมตีเชื่อมต่อเข้ามา
How to Protection:
- Configure Network Firewall: Configure Firewall Policy เพื่อจำกัดการเชื่อมต่อขาเข้าและขาออก โดยกำหนดเฉพาะ Source IP, Destination IP, Service, และ Port ที่จำเป็นเท่านั้น พร้อมออกแบบ Network Zone ให้ปลอดภัย
- Network Segmentation: แบ่ง Network Zone ด้วย VLAN และ Access Control Lists (ACLs) เพื่อจำกัดการเข้าถึงระหว่าง Network Zone
- Least Privilege: กำหนดสิทธิ์การเข้าถึงเฉพาะที่จำเป็น ลดสิทธิ์ของผู้ใช้ให้ต่ำที่สุดเท่าที่จำเป็น เพื่อป้องกันการโจมตีที่พยายาม “Privilege Escalation” สมมุติถึงจะเข้ามาได้แล้ว…แต่ได้ สิทธิ์ แค่ “Domain User” or “www-data” เข้ามาก็ทำอะไรไม่ได้ — — สุดท้ายแล้วก็ต้อง หาวิธี Privilege Escalation or Lateral Movement ไปหาเครื่องที่ดีกว่า 5555!! และในระหว่างนี้ละ ยังไงมันก็ต้องใช่เวลา แหละ !!!
- Install EDR: ติดตั้ง EDR และต้องมีการ Monitoring and Update Signature Version Up-to-date — — คือ ถ้ามีการ Update Version Up-to-date แล้ว และมีการ Configure Temper Protection ของ Policy Agent EDR ไม่ให้ใครมา Stop Service or Uninstall Agent ได้ ก็จะเพิ่มความปลอดภัยเช่นกัน…. และถ้า Hacker สามารถเข้ามาและ Bypass EDR ได้ ทั้ง ๆ ที่เรา Configure Strong Policy แล้ว นั้นแสดงว่า Hacker เก่งจริง 555 — แต่ถ้าในกรณีนี้ คือ ถ้าเรามีการ Monitoring อยู่ ยังไงก็หน้าจะเห็น Signal มั่งแหละ เพราะว่า เข้ามาแล้ว ยังไง ก็ต้องมีการ Download Tools เข้ามา เพื่อ ดำเนินการตามขั้นตอน แต่ถ้า มันไม่มี Alert เลย แสดงว่า เราเจอ Hacker ของจริง แว้ว ฮะ 5555!!
- Update & Upgrade OS: อัปเดตระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากช่องโหว่ !!! แต่มันจะมีความเสี่ยง ที่ระบบ มันจะเข้า ไม่ได้ 5555!!!!
- System Hardening: Scan CIS Benchmark เพื่อเพิ่ม Security ในระดับพื้นฐาน — แต่เพิ่มงานให้ IT — — แก้ไข ตาม CIS เมื่อยมือ!!! และแก้ไป ระบบจะพัง ไหม!!!
จริง ๆ ทำแค่นี้มันก็สามารถเพิ่มความปลอดภัยให้กับระบบเราได้พอสมควรนะครับ และ อาจจะไม่ต้อง เปลือง Budget มากนะ ครับ เน้นของที่มีอยู่แล้ว แค่ทำให้มันมีประสิทธิภาพ ก็เท่านั้น ฮะ
Reference:
https://infinitelogins.com/2020/01/25/msfvenom-reverse-shell-payload-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/reverse-shells/msfvenom
https://infinitelogins.com/2020/01/25/msfvenom-reverse-shell-payload-cheatsheet/
https://gist.github.com/dejisec/8cdc3398610d1a0a91d01c9e1fb02ea1
https://www.youtube.com/watch?v=IGjwWpgDNek
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ
#Share_Knowledge_and_Experience
