Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

admin 2022年10月1日10:46:57评论29 views字数 5128阅读17分5秒阅读模式

执行摘要

  • SentinelLabs 研究人员发现了一个我们称之为“Metador”的前所未见的高级威胁参与者。

  • Metador 主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。

  • 运营商高度关注运营安全,对每个受害者进行精心分割的基础设施管理,并在存在安全解决方案的情况下快速部署复杂的对策。

  • Metador 的攻击链旨在绕过本地安全解决方案,同时将恶意软件平台直接部署到内存中。SentinelLabs 研究人员发现了两个长期存在的 Windows 恶意软件平台的变体,以及其他 Linux 植入物的迹象。

  • 目前,还没有明确、可靠的归属感。踪迹指向多个会说英语和西班牙语的开发商和运营商,以及各种文化参考,包括英国流行朋克歌词和阿根廷政治漫画。

  • 虽然 Metador 似乎主要专注于实现符合国家利益的收集操作,但我们会指出高端承包商安排与特定国家无关的可能性。

  • 此版本号召威胁情报研究人员、服务提供商和防御者采取行动,共同追踪行动不受惩罚的难以捉摸的对手。

介绍

“威胁磁铁”一词用于描述如此理想的目标,以至于多个威胁参与者在收集过程中经常同居在同一台受害者机器上。SentinelLabs 研究人员在应对其中一个威胁磁铁的一系列复杂入侵的过程中,遇到了一个全新的威胁参与者。我们将这个威胁参与者称为“Metador”,指的是他们的一个恶意软件样本中的字符串“I am meta”以及来自命令和控制服务器的西班牙语响应的期望。

我们对 Metador 的研究在亚利桑那州的首届LABScon上进行了介绍。在这篇文章中,我们简要总结了我们的全部发现,其中包括详细报告、威胁指标和广泛的技术附录。

元数据 | 隐藏在威胁的磁铁中

有问题的威胁磁铁包含近十 (10) 个已知的来自中国和伊朗的威胁参与者的冗余分层,包括Moshen DragonMuddyWater其中,我们注意到使用了一个不寻常的 LOLbin,即 Microsoft Console Debugger cdb.exeCDB 是一个错综复杂的感染链的根源,它会产生两个内存恶意软件平台和其他 Linux 植入的迹象。

我们发现的入侵主要位于中东和非洲的电信公司、ISP 和大学。我们相信,我们只看到了显然是一个长期存在、来源不明的威胁行为者的一小部分操作。

在整个分析过程中,我们检索并分析了 Metador 使用的两种不同恶意软件平台的示例——“metaMain”和“Mafalda”。这些基于 Windows 的平台旨在完全在内存中运行,并且从不以未加密的方式接触磁盘,从而相对轻松地避开本机安全产品和标准 Windows 配置。Mafalda 的内部版本表明该平台已经使用了一段时间,仅在我们参与期间它的适应性就突出了积极和持续的发展。

我们还发现了其他植入物的迹象:

  • “Cryshell”——一种自定义植入程序,用于将内部网络中的连接反弹到外部命令和控制服务器,支持自定义端口敲击序列。

  • 未知的 Linux 恶意软件用于从目标环境中的其他机器窃取材料,并将其收集的信息路由回 Mafalda。

跟踪 Metador 运营范围的部分困难在于他们严格遵守基础设施分段。攻击者使用每个受害者的单个 IP 并构建。

归因于 Metador 仍然是一个混乱的谜团。我们遇到了多种语言,具有多种开发人员的不同特质。有迹象表明开发人员和操作人员之间存在分离,尽管缺乏样本,但至少其中一个平台的版本历史表明其开发历史远远超出了我们所发现的入侵。

技术概述

在被 Metador 感染几个月后,有问题的 Magnet of Threats 部署了我们的 XDR 解决方案。因此,我们没有迹象表明在这种或其他感染中使用的原始感染载体。

一旦到达目标,Metador 操作员可以在多个执行流程之间进行选择,以加载一个或多个模块化框架。我们的 Magnet of Threats 上使用的执行流程将 WMI 持久性机制与不寻常的 LOLbin 相结合,以启动我们命名为“metaMain”的多模式内存植入的解密。

metaMain 是一个功能丰富的后门,但在这种情况下,Metador 操作员使用 metaMain 植入程序将名为“Mafalda”的后续模块化框架解密到内存中。

Mafalda 是一个灵活的交互式植入程序,支持 60 多个命令。对于 Metador 运营商来说,它似乎是一项非常有价值的资产,较新的变体表现出强烈的混淆性,使其难以分析。

Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

Metador 的多框架执行流程

metaMain 支持的许多执行流程

metaMain 是一个植入框架,用于维护对受感染机器的长期访问。它为操作员提供了广泛的功能,如键盘和鼠标事件记录、截图盗窃、文件下载和上传,以及执行任意 shellcode 的能力。

后门敏锐地意识到自己的执行上下文,因此以两种模式之一运行。开发人员通过在日志中写出“我是元”或“我是主要”来指定这些模式。我们参考这两种模式选择将平台命名为“metaMain”。

metaMain 支持多个 start_method(即执行流程),每个方法的后门操作略有不同。支持的方法有 CDB_DEBUGGER、HKCMD_SIDELOADING 和 KL_INJECTED。我们在下面简要描述 CDB_DEBUGGER,即在我们的 Magnet of Threats 上看到的执行流程。提供了对此和其他 start_methods、配置工件和支持的命令的更完整描述

CDB_DEBUGGER 启动方法

顾名思义,这种执行方案依赖于微软控制台调试器 CDB 来执行执行过程。在此方法中,根据植入物是在元模式还是主模式中调用,有两种可能的变化。我们见证了它在元模式中的使用,将 metaMain 植入物变成了 Mafalda 植入物的美化加载器。

在这种情况下,metaMain 的持久性依赖于WMI Event Subscriptions的滥用。操作员注册一个名为 的事件消费者hard_disk_stat

Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

hard_disk_stat事件消费者

启动五到六分钟后,该事件触发 LOLbin 的执行,cdb.exe.

Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

WMI 事件订阅

攻击者使用以下命令行:

cdb .exe  -cf  c : windows  system32  cdb .ini  c : windows  system32  defrag .exe  -module  fcache13 .db

Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

cdb.exe命令

调试脚本,cdb.ini用于将少量 shellcode 注入到被调试的进程中,以加载 metaMain。shellcode 从c:windowssystem32SpeechSpeech02.dbDLL 的唯一目的是读取、解密和加载 metaMain 编排器,存储为Speech03.db.

在元模式下调用时,metaMain 充当作为参数提供的有效负载的加载器-module在我们观察到的案例中,执行的模块是fcache13.db一个加密的 Mafalda 有效载荷。

Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

主要和元执行模式

Mafalda 后门概述

Mafalda 植入程序扩展了 metaMain 提供的后门功能,并且是一个积极维护、持续进行的项目。我们观察到 Mafalda 后门的两种变体:

  • 'Mafalda Clear Build 144' - 编译时间为 2021 年 4 月

  • “混淆的 Mafalda 变体”——编译时时间戳为 2021 年 12 月

较新的 Obfuscated Mafalda 变体将支持的命令数量从 54 个扩展到 67 个,并且充斥着使分析极具挑战性的反分析技术。

有趣的是,我们注意到如果主机名称是 WIN-K4C3EKBSMMI,Mafalda 会打印加密的调试器消息,这可能表明开发人员使用的计算机的名称。

Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

加密的调试器消息

如果 Mafalda 成功建立到 C2 服务器的连接,它会构建并发送一个初始数据包,其中包含有关主机环境和正在运行的 Mafalda 版本的信息。Mafalda 然后循环执行,与 C2 服务器交换数据包。

每个数据包都具有给定的类型和子类型,由标识号唯一标识,内部分别称为outer OPCinner OPC

  • 0x71类型的数据包对 Mafalda 的运行没有影响。

  • 0x72类型的数据包指示 Mafalda 退出循环并在休眠期后重新连接到 C2。

  • 0x73类型的数据包指示 Mafalda 该数据包具有子类型:

    • 子类型0x810x82指示 Mafalda 使用存储在数据包中的命令标识号执行后门命令。

    • 任何其他子类型都会指示 Mafalda 退出循环并在休眠期后重新连接到 C2。

Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

Mafalda后门操作概述

Mafalda 后门命令

Mafalda 后门共有 67 个命令,其中 13 个是在较新的变体中添加的,这表明 Mafalda 植入程序是一个维护的、正在进行的项目。

完整的未混淆命令列表以及开发人员的描述可从我们的完整报告中获得。一些仅在较新的 Mafalda 变体中可用的更有趣的命令包括:

  • 命令 55 – 将文件或目录从攻击者提供的源文件系统位置复制到攻击者提供的目标文件系统位置。

  • 命令 60 – 读取内容

    %USERPROFILE%AppDataLocalGoogleChromeUser DataLocal State

    并将内容发送到名称以 . 为前缀的 C2 loot

  • 命令 63 - 进行网络和系统配置侦察

  • 命令 67 - 从驻留在受害者网络中的另一个植入程序中检索数据并将数据发送到 C2

后门命令的功能范围非常广泛,包括凭证盗窃、数据和信息盗窃、命令执行、系统注册表和文件系统操作以及 Mafalda 重新配置。

Cryshell 和其他植入物

当启用 TCP KNOCK 通信方式时,metaMain 和 Mafalda 植入程序可以通过另一个植入程序与 C2 服务器建立间接连接。在 Windows 系统上,这种植入物在内部被称为“Cryshell”。metaMain 和 Mafalda 通过端口敲门和握手过程向 Cryshell 验证自己。

Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

Mafalda 向 Cryshell 验证自己

Mafalda 还支持使用另一个植入程序从 Linux 机器检索数据,该植入程序将数据作为名称前缀为 的数据包的一部分发送到 C2 loot_linux尽管这个未命名的 Linux 植入程序和 Cryshell 可能是相同的,但 Mafalda 通过不同的端口敲门和握手过程向 Linux 植入程序验证自己。

基础设施

在我们观察到的所有 Metador 入侵中,运营商对每个受害网络使用一个外部 IP 地址。该 IP 用于通过 HTTP (metaMain, Mafalda) 或原始 TCP (Mafalda) 进行命令和控制。在所有确认的情况下,服务器都托管在荷兰托管服务提供商 LITESERVER 上。

除了 HTTP,外部 Mafalda C2 服务器还支持通过端口 29029 的原始 TCP 连接。我们还观察到 Metador 的一些基础设施在不寻常的端口上托管 SSH 服务器。虽然 SSH 通常用于远程访问 *nix 系统,但我们很难相信成熟的威胁行为者会以这种方式暴露他们的基础设施。相反,它们很可能被用来通过 Mafalda 的内部 portfwd 命令传输流量。

我们能够识别出另外一台我们认为由 Metador 参与者操作的服务器,该服务器也托管在 Liteserver – 上5.2.78[.]14该 IP 托管看似恶意的域,networkselfhelp[.]com可能已被用作 Metador 入侵的 C2。如果是这样,这表明 Metador 运营商不仅利用 IP 进行入侵,而且还利用域。

归因

有限的入侵次数和对目标的长期访问表明威胁行为者的主要动机是间谍活动。此外,恶意软件的技术复杂性及其积极的开发表明一个资源充足的团队能够获取、维护和扩展多个框架。

Metador 主要出现在中东和非洲的电信、互联网服务提供商 (ISP) 和大学中,似乎旨在以多种冗余方式提供长期访问。

Mafalda 的内部文件表明,该植入物由一个专门的团队维护和开发,并为一组单独的操作员留下评论。

结论

遇到 Metador 是一个令人生畏的提醒,不同类别的威胁行为者继续在阴影中活动而不受惩罚。以前的威胁情报发现扩大了我们对存在的威胁类型的理解,但到目前为止,我们跟踪这些参与者的集体能力充其量仍然不一致。安全产品的开发人员尤其应该以此为契机,主动设计他们的解决方案,以监控最狡猾、资源最充足的威胁参与者。高端威胁参与者在一个主要奖励合规性和敷衍检测的市场中蓬勃发展。

从威胁情报研究社区的角度来看,我们非常感谢研究团队和服务提供商的贡献,他们愿意为这项研究分享他们的专业知识和遥测数据。

我们希望本出版物将激励进一步的合作,并为我们提供 Metador 之谜的答案,为此,我们敦促感兴趣的研究人员阅读本报告的完整版本,其中还可以找到一份妥协指标列表,及其扩展技术附录。

作者:胡安·安德烈斯·格雷罗-萨德、阿米泰·本·舒山·埃利希和亚历山大·米连科斯基

原文始发于微信公众号(祺印说信安):Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日10:46:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Metador之谜| 隐藏在电信公司、ISP和大学中的未知威胁http://cn-sec.com/archives/1315586.html

发表评论

匿名网友 填写信息