记一次完整的针对物理隔离主机的入侵案例

  • A+
所属分类:安全文章

译文声明
本文是翻译文章,文章原作者 Trend Micro,文章来源:https://blog.trendmicro.com/原文地址:https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-troopers-back-usbferry-attack-targets-air-gapped-environments/

背景介绍

Tropic Trooper是一个针对台湾,菲律宾和香港军事,医疗保健,运输和高科技产业的活跃的APT组织。据报道,该组织使用鱼叉式网络钓鱼电子邮件并利用已知漏洞来实施攻击。该组织的主要动机是从事信息盗窃和间谍活动,该小组还采取了不同的策略,例如使用具有新行为的微调网络工具和使用监视软件进行移动

我们发现Tropic Trooper的最新活动集中在一次通过USBferry攻击(该名称源自相关研究中发现的一个样本),主要针对台湾和菲律宾军队的物理隔离网络。不过我们还观察了军事/海军机构,政府机构,军事医院甚至国家银行也是他们的攻击目标。该组织使用USBferry,这是一种USB恶意软件,可以对特定目标执行不同的命令,在攻击环境中保持隐蔽性,并通过USB存储设备窃取关键数据。我们从2018年开始跟踪这一活动,我们的分析表明该活动使用了伪造的可执行诱饵和USB木马策略来窃取信息。

根据来自趋势科技 Smart Protection Network™安全基础设施的数据,自2014年以来USBferry攻击一直活跃。我们发现该组织专注于从目标网络窃取与国防,海洋和船舶有关的文档,这更确信了Tropic Trooper的主要目的是窃取机密信息或情报。
::: hljs-center


图1. USBferry攻击的示例场景

:::

Tropic Trooper非常清楚,军事或政府组织在物理上隔离的环境中具有更强大的安全性。所以该小组会先针对可能没有安全保障的相关组织发起攻击。例如,我们观察到Tropic Trooper从军事医院转移到军队的物理隔离网络。

这篇博客文章概述了名为USBferry的USB恶意软件及其功能,以及用于渗透物理隔离环境的其他工具。关于攻击的更多细节可以在技术简介中阅读。

恶意软件剖析

我们首先知悉USBferry是来自普华永道的一份报告。该报告提到了与Tropic Trooper相关的样本,但没有提供详细的分析。我们进一步研究了它,发现了它的许多版本,包括几个程序数据库(PDB)字符串。一方面,在撰写本文时,USBferry恶意软件已经至少具有三个版本,且具有不同的变体和组件。以下是我们在恶意软件分析过程中一些要点:

• 第一个版本具有TROJ_YAHOYAH的一小部分。该恶意软件尝试检查目标计算机是否具有USB插件,并将USBferry安装程序复制到USB存储中。这些活动在不同的目标环境中有所不同;例如:一些执行命令,获取源目标文件或文件夹列表,以及将文件从物理隔离的主机复制到受感染的主机等。

::: hljs-center


图2. USBferry恶意软件的第一个版本,其中EXE文件是USBferry恶意软件,而DLL文件是特洛伊木马TROJ_YAHOYAH

:::

• 第二个版本具有与第一个版本相同的功能,并将组件组合成一个可执行文件。该版本还将恶意软件的位置及其名称更改为UF,即USBferry的缩写。

::: hljs-center


图3. USBferry恶意软件的第二个版本

:::

• 第三个版本保留了先前版本的功能,并通过驻留在rundll32.exe内存中提高了其在目标环境中的隐蔽性。
::: hljs-center


图4. USBferry恶意软件的第三个版本驻留在内存中

:::

USBferry如何瞄准空气间隙(物理隔离)主机

在我们的技术简介中,我们详细介绍了Tropic Trooper如何变更了在攻击中使用上述USBferry版本的方式。该组织通过USB蠕虫感染策略并通过USB将恶意软件安装程序运送到物理隔离主机中实现感染。

::: hljs-center


图5.使用USB蠕虫感染策略的USBferry恶意软件

:::

在这里,我们将讨论该组织使用的UF1.0 20160226版本(趋势科技检测为TROJ_USBLODR.ZAHB-A)的最新攻击链:
::: hljs-center


图6. USBferry攻击场景,版本UF1.0 20160226

:::

  1. 诱饵文件会首先删除flash_en.inf DLL文件(即USBferry加载器),然后尝试加载加密的USBferry恶意软件
  2. 加密的USBferry恶意软件会嵌入在加载程序的资源部分中,加载程序将其放入C: Users Public Documents Flash文件夹中并将其命名为flash.dat
  3. 加载加密的payload后,加载程序会将恶意DLL注入rundll32.exe中。USBferry恶意软件还会加载C&C配置文件和flash_en.dat,它们也位于C : Users Public Documents Flash中
  4. 然后,USBferry恶意软件尝试连接到下载站点,并使用Windows命令收集/复制目标主机数据。
    此版本会先检查网络连接;如果发现网络不可用,则尝试从目标计算机收集信息并将收集的数据复制到USB存储中。这样,USB将存储信息并发回C&C服务器。

Tropic Trooper使用的后门和其他工具

Tropic Trooper使用的一些后门会以注入的方式来执行其例程,而其他一些后门则直接执行并始终运行。该组织还使用隐写术试图掩盖了他们的后门程序,并逃避对恶意软件和网络外围设备的检测。要了解我们分析的后门详细情况,请查看我们的技术简介。
在这里,我们将介绍一些值得关注的后门。

• Svchost 3.2 20110818后门(检测为BKDR_SVCSHELL.ZAHC-A)-此后门与我们在先前研究中讨论的有效负载具有相似之处。根据恶意软件的版本号,该后门的第一个版本是在2011年或之前开发的。这意味着Tropic Trooper的活动已经进行了至少十年。
::: hljs-center


图7.后门版本名称,注册的服务名称和恶意软件组件的文件名

:::

• IDShell 1.0 20150310的后门(检测为BKDR_IDSHELL.ZTFC-A)–此后门的目的是对目标计算机进行侦察,该后门有两种类型,包括隐写jpg版本。与其他版本一样,它使用DNS协议与后门控制器进行通信。通信中的流量被加密来逃避检测。


::: hljs-center

图8.后门的通信流量

:::

• Welcome Server 2.0后门(检测为BKDR_TEBSHELL.ZTGK)–这是后门的最新版本,分为32位和64位版本,它使用不可见的Web Shell进行远程控制和逃避网络安全检测。它作为服务运行该进程,将后门通信隐藏在正常流量中,并使用自定义的TCP协议。它还改进了处理错误输入命令和未授权访问的方式。
::: hljs-center



图9.可执行版本将安装并命名为Windows服务,更改注册表以禁用错误显示,然后启动该服务

:::

Tropic Trooper在攻击中还使用了其他工具,例如:
• 命令行远程控制侦听器/端口中继工具,可以与后门进行通信。
• 后门有效载荷/隐写术有效载荷执行加载器,具有两个版本,可用于成功加载加密的有效载荷并随后删除自身。
• Internet上获得的端口扫描工具。

上面提供的概述强调了如何将关键信息放在物理隔离的网络中并不是防御网络间谍活动的解决方案。隐秘术不仅用于传递加密的有效载荷;它也可以用于将信息传输到C&C服务器。多种黑客工具和组件还可以帮助入侵者对不同网络和环境的成功攻击。Tropic Trooper之类的威胁行动者也可以使用不可见的Web Shell来隐藏其C&C服务器位置,这将使事件响应变得棘手。

MITRE ATT&CK矩阵

::: hljs-center

:::

## 最佳做法和趋势科技解决方案
根据对Tropic Trooper的最新进展表明,它们已经做好充分准备,针对政府机构和军事机构,以窃取情报。但目前该小组还需要很长时间来进行侦察,从而渗透到物理隔离的网络中。这项研究还指出了威胁行动者如何将潜在的易受攻击目标作为将攻击目标,并尝试扩展到其他更关键目标。

了解攻击策略和技术可以为评估潜在影响和采取防御策略提供所需的环境。组织可以采取以下措施来预防APT攻击:
• 强制最小特权原则。使用网络分段和数据分类来阻止横向移动并减轻暴露危害。
• 保持系统及其应用程序为最新版本。网络中的漏洞可以作为攻击的切入点。实施强大的补丁程序管理策略,并考虑对旧系统进行虚拟修补
• 定期监视网络外缘。在网关,端点,网络和服务器之间采用跨层检测和响应,以防御各种网络安全威胁。防火墙和入侵检测与防御系统可以帮助防御基于网络的攻击。

企业可以使用趋势科技Apex One™解决方案,该解决方案通过各种威胁检测功能(如恶意脚本、注入、勒索软件、内存和浏览器攻击的行为分析)提供可操作的见解,扩展的调查功能以及对网络的集中可见性。

当然还可以考虑使用多层安全解决方案,例如趋势科技™深度发现™。它通过专门的引擎,自定义沙箱以及贯穿整个攻击生命周期的无缝关联,提供漏洞利用和其他类似威胁的攻击的深入分析和主动响应,即使没有任何引擎或模式更新,它也可以检测到这些攻击。

相关推荐: IBOS 数据库模块 远程代码执行漏洞

一、后台弱口令fofa语句:body="IBOS" && body="login-panel"我们随便点一个进去弱口令:admin/admin但是经过多次测试发现存在弱口令的只有一两个,这就导致后面的步骤将无法继续进行,所以多找找就好二、任意文…