1 概述
9月下旬,美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)发布了一份有关黑客入侵美国联邦机构的公告(AR20-268A)(《Federal Agency Compromised by Malicious Cyber Actor》)。该报告并未指出具体攻击者,但确详细说明了黑客入侵的技术手段、基础设施以及新型的独特的恶意软件使用。CISA指出,黑客通过某种方式获得联邦政府机构多位员工有效凭据,它们使用这些凭据进入网络。CISA猜测攻击者可能使用Pulse Secure VPN中的已知漏洞。之后,黑客通过命令行工具在代理计算机之间横向移动,并下载自定义的恶意软件,且通过该自定义恶意软件访问该机构文件服务器,将文件压缩为zip文件并渗漏到黑客服务器。安全研究人员根据木马特性对比,发现该恶意软件与从The United Arab Emirates某处上传到VT的另一个样本匹配,该样本使用Meterpreter和Cobalt Strike组合而成的独特作品,且多层混淆。
10月初,Wired和网络安全公司Dragos根据已知线索,发布报告表明以上黑客攻击幕后黑手可能是APT28。指向APT28的线索是基于联邦调查局(FBI)在今年5月发布的通知,Wired根据该通知发布有关GRU入侵美美国政府以及能源部门报告。该通知列出了APT28基础设施中的几个IP地址。
Dragos研究人员Joe Slowik注意到该通知中APT28活动中使用的匈牙利服务器的IP地址与CISA列出的IP地址相同,他表示“基于基础设施的重叠,加上与该事件的一系列行为以及针对美国政府的总体时间安排与目标,这与APT28在今年早些时候针对大选的攻击活动非常相似”。除了位于匈牙利服务器的IP重叠外,CISA列出的位于拉脱维亚的IP地址也与APT28产生联系。2019年能源部发布警告,该警告称APT28已经从拉脱维亚的一台服务器探查到一个美国政府组织的网络,而警告中提到的位于拉脱维亚的IP地址出现在CISA列出的IP地址清单中。
2 技术分析
2.1 技术细节
以下对涉及技术细节进行详细阐述。
入侵者拥有多个Microsoft Office 365账户和域管理账户的有效访问凭据,他们利用这些凭据对机构的网络进行初始访问。首先,入侵者从IP地址91.219.236.166登录到O365账户,然后浏览SharePoint上的页面并下载文件。入侵者通过TCP从IP地址185.86.151.223多次连接到受害组织的虚拟专用网络(VPN)服务器。CISA分析人员无法确定入侵者最初如何获得有效认证证书的,他们猜测可能利用Pulse Secure中的已知漏洞CVE-2019-11510从未打补丁的VPN服务器上获取凭据。
初始访问后,在有特权访问的情况下,入侵者还是通过IP地址91.219.236.166登录到O365的电子邮件帐户进行信息探索,浏览和下载服务器中主题有“Intranet access”和“VPN passwords”的电子邮件附件。他们通过远程桌面协议(Remote Desktop Protocol, RDP)从IP地址207.220.1.3登录到相同的电子邮件帐户,并枚举了活动目录和组策略密钥,然后更改组策略的注册表项。紧接着,入侵者使用了常见的Windows命令行进程-conhost、ipconfig、net、query、netstat、ping、whoami和plink.exe枚举受害网络。
入侵者随后多次尝试通过一个SMB客户端连接IP地址为185.86.151.223的虚拟专用服务器(VPS)。同时,入侵者使用之前创建的别名安全标识符账户通过SMB共享登录IP地址为185.86.151.223的VPS,然后入侵者在受害文件服务器上执行plink.exe(PuTTy的命令行版本,用于远程管理)。
入侵者通过穿创建持久安全套接字Shell(SSH)隧道/反向SOCKS代理在受害网络上建立持久性和命令控制通道,运行inetinfo.exe(一个独特的,多级恶意软件,用于下载文件)以及设置与IP地址78.27.70.237联系的本地挂载的远程共享。挂载文件让入侵者在攻击期间自由移动,同时留下更少痕迹。
入侵者创建本地账户用于数据收集、渗漏、持久性以及命令控制。他们使用本地账户进行如下操作。
- 浏览受害者文件服务器上的目录
- 将文件从用户的主目录复制到其本地挂载的远程共享
- 创建一个反向SMB SOCKS代理,允许连接入侵者控制的VPS和受害者组织的文件服务器
- 与Powershell模块Invoke-TmpDavFS.psm共同作用
- 使用tsclient(Microsoft Windows终端服务客户端)从帐户目录和文件服务器目录中窃取数据
- 使用上面的文件和目录创建zip压缩文件
2.2 入侵者的恶意软件
2.2.1 持久性SSH隧道/反向SOCKS代理
当以管理员身份登录时,入侵者创建了两个计划任务。这些任务协同工作以建立持久的SSH隧道和反向SOCKS代理。反向SOKCS代理通过端口8100进行通信。
计划任务 |
描述 |
ShellExperienceHost.exe |
此任务创建了到攻击者控制的IP地址为206.189.18.189的远程服务器的持久化SSH隧道,并使用端口转发允许从远程服务器端口39999通过端口8100连接到受害者文件服务器。此任务每天运行。 ShellExperienceHost.exe是plink.exe其中的一个版本,用于远程管理。 |
WinDiag.exe |
此任务是一个反向SOCKS代理,已预先配置为绑定到8100端口并侦听。WinDiag.exe 通过SSH隧道接收响应,并通过8100端口将响应转发到IP地址为185.193.127.17服务器上的443端口。此任务在系统boot启动时运行。 WinDiag.exe 具有与VPS登录名匹配的编译信息。 |
2.2.2 下载者:inetinfo.exe
入侵者创建一个计划任务运行inetinfo.exe,它下载system.dll和363691858文件以及inetinfo.exe的第二个实例。inetinfo.exe的第二个实例的system.dll解密363691858文件为二进制代码。解密后的363691858二进制文件被注入到inetinfo.exe的第二个实例中,以创建并连接到本地命名的隧道。注入的二进制在内存中执行shellcode,并连接185.142.236.198,之后下载进一步有效载荷并执行。
2.2.3 反向SMB SOCKS代理
PowerShell脚本HardwareEnumeration.ps1创建了一个反向SMB SOCKS代理,该代理允许攻击者控制的IP地址为185.193.127.18的VPS与受害组织的文件服务器之间通过443端口连接。HardwareEnumeration.ps1每天都通过计划任务执行PowerShell脚本。
HardwareEnumeration.ps1是Invoke-SocksProxy.ps1的副本,在GitHub上由安全研究人员创建和分发的免费工具。Invoke-SocksProxy.ps1通过SMB 的445端口创建从本地计算机到攻击者基础结构的反向代理。该脚本可能已根据网络威胁参与者的配置需求进行了更改。
2.2.4 PowerShell模块:invoke-TmpDavFS.psm
invoke-TmpDavFS.psm是一个PowerShell模块,用于创建Web分布式创作(Web Distributed Authoring)和WebDAV服务器,该服务器可以安装为文件系统,并通过TCP端口443和TCP端口80进行通信。
3 IoCs
IP |
185.86.151.223 –命令与控制–Latvia |
|
|
207.220.1.3 – C2–United States of America |
|
78.27.70.237 –渗漏–Finland |
|
185.193.127.18 –持久化–Sweden |
|
185.142.236.198–C2–Netherlands |
|
185.193.127.17–反向代理–Sweden |
|
|
4 参考链接
- https://us-cert.cisa.gov/ncas/analysis-reports/ar20-268a
- https://www.wired.com/story/russias-fancy-bear-hack-us-federal-agency/
5 白泽安全实验室
公众号搜索:白泽安全实验室
专注APT发现、检测、取证、溯源相关网络安全技术研究。发布APT相关威胁情报、分享最新研究成果。
来源:freebuf.com 2020-10-12 11:36:46 by: Viswing
请登录后发表评论
注册