关键词

恶意代码加载器、数据窃取、域控

在这份威胁分析报告中，Cybereason GSOC团队分析了一个由Bumblebee加载器感染的案例，详细描述了从最初的Bumblebee加载器感染到整个网络失陷的攻击链。

1. 主要发现

用户自行执行：大多数带有Bumblebee加载器的感染是从终端用户执行LNK文件开始的，这些LNK文件使用系统二进制文件来加载恶意软件。恶意软件的传播是通过带有附件的钓鱼邮件或包含Bumblebee加载器文件的链接来完成的。

密集侦察和数据窃取：Bumblebee加载器进行密集的侦察活动，并将执行命令的输出重定向到文件以进行渗透。

活动目录获取：攻击者攻击活动目录来窃取用户的登录账号和密码等机密数据，并通过这些机密数据进行横向运动。初始入侵和攻击活动目录的时间间隔不到两天。

快速发展中：许多攻击者正从BazarLoader、Trickbot和IcedID等加载器过渡到Bumblebee加载器。Bumblebee加载器正在快速发展中，逐渐变成许多攻击者选择的加载器。

情况严重：根据 GSOC 的调查结果，威胁参与者的下一步是部署勒索软件，由于Bumblebee以交付勒索软件而闻名，涉及该加载程序的攻击必须被视为严重攻击。

检测和响应：报告中提供了事件的深入概述，有助于了解受攻击的范围以及对客户环境的影响。报告中还尽可能地提供了攻击的各方面属性，以及缓解和隔离威胁的建议。

2. 介绍

2022年3月，Google威胁分析小组发现了一个新的恶意软件加载程序。由于其User-Agent名称为独特的“ Bumblebee”，所以该加载程序被命名为Bumblebee。该加载程序常被用作命令和控制服务器（C2）通信工具的一部分。

Bumblebee加载器主要通过钓鱼邮件传播，这些电子邮件包含ISO格式的附件或文件下载链接，以从外部来源下载文件。最初执行时需要用户解压文件，挂载ISO镜像，然后单击Windows快捷方式（LNK）文件来触发。

初次执行后，Bumblebee加载器最常见的后利用活动是权限提升、侦察和凭证窃取，本文后续会详细介绍。

Bumblebee攻击者在整个攻击过程中都使用Cobalt Strike框架。攻击者使用所获得的凭据访问活动目录并创建一个NTDS.dit的副本，其中包含整个活动目录的数据。最后，通过域管理员帐号进行横向移动，创建本地用户帐号以及使用Rclone软件窃取数据。

Cybereason GSOC团队发现攻击者正从使用Bazarloader，Trickbot和Icedid等加载器转变为使用Bumblebee加载器，Bumblebee加载器正处于快速发展状态，逐渐变成许多攻击者的选择。

3. 分析

（1）时间线

以下表格为初始入侵到最终数据窃取的时间线：

活动	时间
初始入侵	T0
信息收集 / nltest, net, whoami	T0 + 30 min
命令与控制 / 加载Meterpreter代理	T0 + 4 h
权限提升 / Zerologon利用	T0 + 4 h
命令与控制 / Cobalt Strike beacon 执行	T0 + 6 h
凭证窃取 / 注册表项	T0 + 6 h
信息收集 / adfind, ping, curl	T0 + 6.5 h
凭证窃取和权限提升 / 通过procdump64.exe导出LSASS 内存	T0 + 19 h
凭证窃取 / 窃取NTDS.dit并获取活动目录权限	T0 + 22 h
横向移动 / Cobalt Strike socks隧道 (RDP)	T0 + 24 h
数据窃取 / Rclone	T0 + 3 d

（2）初始入侵及命令执行

Cybereason GSOC团队发现了以下Bumblebee恶意软件的传播方式：

用户收到包含ISO格式附件或包含文件下载链接的钓鱼邮件；

用户解压文件，挂载ISO镜像；

点击ISO镜像挂载后得到的LNK文件触发Bumblebee攻击载荷。

图1：Bumblebee攻击流程

Bumblebee 攻击者搭建一个恶意网站来诱导用户下载。要感染系统，终端用户必须首先手动解压缩包含 ISO 文件的压缩包，挂载该文件，然后执行 Windows 快捷方式(LNK)。

LNK文件嵌入了相关命令，用于调用Bumblebee动态链接库(DLL)和获取返回(.rsp)文件，其中调用动态链接库是通过LOLBin库的odbcconf.exe工具实现的。形如[Bumblebee 具体名称].rsp的文件引用了Bumblebee DLL库：

图2：Bumblebee感染步骤

图3：终端用户解压缩并执行Bumblebee攻击者传播的LNK文件

odbcconf.exe加载ldraddx64.dll动态链接库文件，该文件为Bumblebee加载器的实际文件名。下图说明了Bumblebee的ISO映像内容(DLL，RSP和LNK文件)：

图4：ISO文件挂载后的内容

Bumblebee DLL文件通过LNK文件目标属性中的odbcconf.exe -f [Bumblebee 具体名称].rsp命令来加载。[Bumblebee 具体名称].rsp文件指向[Bumblebee 具体名称].dll文件，该文件为Bumblebee的攻击载荷。

（3）立足点

最初感染后，Bumblebee将代码注入多个进程，以便在受感染的终端上建立牢固的立足点。进程odbcconf.exe创建本地WMI调用以生成新进程。

因此，下面两个进程是从 wmiprivse.exe (Windows 管理规范提供者服务)派生出来的：

• 注入Meterpreter代理代码的wabmig.exe（Microsoft联系人导入工具。

• Meterpreter代理是用于渗透测试的工具，提供远程控制功能。

注入Cobalt Strike beacon的wab.exe（Microsoft通讯簿应用）:

图5：Bumblebee利用WMI运行wab.exe和wabmig.exe，并注入的动态代码

（4）权限提升和Cobalt Strike部署

Bumblebee通过将CVE-2020-1472 (Zerologon)利用代码注入到rundll32.exe中，来实现权限提升：

图6：CVE-2020-1472, Zerologon利用代码

Bumblebee使用用户帐户控制（UAC）绕过技术在被感染的机器上部署高权限的后渗透工具。该方法使用fodhelper.exe实现，它是一个受信任的二进制文件，这意味着Windows 10启动执行对应程序时将不会显示UAC窗口：

图7：通过fodhelper.exe绕过UAC，以及对winlogon.exe进行代码注入

fodhelper.exe用于运行“cmd.exe /c rundll32.exe C:ProgramDataCisco[Cobalt strike].dll”命令，其中[Cobalt Strike] .dll所在的MainProc是Cobalt Strike 框架的beacon文件，它是一个用于执行的导出函数。

Cobalt Strike是一个工具模拟框架，主要用于模拟红队作战。但是，Cobalt Strike也被恶意攻击者积极用于进行入侵后的恶意活动。Cobalt Strike是一个模块化框架，具有一系列对恶意攻击者有用的功能，例如命令执行、进程注入和凭证盗窃等。

（5）凭证窃取

在被感染机器上获取系统权限后，Bumblebee使用下面详述的两种方法执行凭证窃取。

使用的第一种方法是本地安全授权子系统服务（LSASS）进程内存导出。在Windows系统域上，本地用户名和密码存储在LSASS进程的内存空间中。Bumblebee使用procdump64.exe导出此进程的内存，以访问敏感信息：

图8：Bumblebee导出lsass.exe内存

第二种凭证窃取的方式是通过reg.exe来提取用户的注册表项：

HKLM SAM: 安全帐户管理器(SAM)数据库是Windows存储用户帐户信息的地方；

HKLM Security: 本地安全中心(LSA)存储用户登录状态和LSA密钥；

HKLM System: 包含可用于解密/加密LSA机密和SAM数据库的密钥:

图9：Bumblebee提取注册表项

Bumblebee攻击者会获取导出的注册表，进行压缩，并通过网络隧道渗出：

图10：Bumblebee窃取包含凭证信息的导出文件

Bumblebee攻击者离线处理收集到的凭证，并尝试提取明文密码。凭证盗窃和下一步活动之间的时间间隔约为3小时。

（6）侦察

攻击者在受害者组织网络中获取立足点后，会以各种方式收集信息。攻击者常使用nltest、ping、netview、tasklist和Adfind等工具，收集域名、用户、主机和域控制器等与受害者组织相关的信息。

AdFind（名为“af.exe”）是一个用于查询活动目录的公开工具，已被多个攻击者使用：

图11：Bumblebee执行多种行为监测命令

在侦察阶段，Bumblebee攻击者先后与受害者组织内的200多个IP地址和域名通信，最明显的是Microsoft Exchange，Windows Server Update Services（WSUS）等服务器。

下面的表格中给出了统计的侦察命令：

命令	描述
nltest /domain_trusts	枚举Windows活动目录（AD）环境中的信任关系
nltest /dclist:	枚举域中的所有域控制器
af.exe -f "(objectcategory=person)" > ad_users.txt	枚举活动目录中的所有用户对象，并将输出存储在文件中
af.exe -f "objectcategory=computer" > ad_computers.txt	枚举活动目录中的所有计算机对象，并将输出存储在文件中
whoami /all	显示当前访问令牌中的所有信息，包括当前用户名、安全标识符（SID）、权限和当前用户所属的组。
curl ifconfig[.]me	使用外部服务检索机器的公开可见IP地址
ping {hostname} -n 1	枚举活动主机
Tasklist /s {IP address}	列举特定主机上的进程列表
net user {username} /domain	迫使网络用户切换到当前域控制器上执行，而不是在本地计算机上执行
net group "domain admins" /domain	枚举作为域管理员组成员的用户，以便操纵指定域控制器（DC）执行枚举活动
net view \{IP address} /all	枚举特定系统上的所有共享计算机和资源

（7）横向移动

Bumblebee使用Cobalt Strike代理进行横向移动。我们可以在远程桌面协议(Remote Desktop Protocol，RDP)的TCP端口3389上看到多个连接的进程:

图12：Bumblebee通过Cobalt Strike代理进行横向移动

在横向移动之后，攻击者使用远程管理软件“any desk” 维持在受害者组织网络中的持久性：

图13：Bumblebee攻击者使用Anydesk进行横向移动

（8）活动目录攻击

在攻击者获得高权限用户及其密码后，攻击者将访问卷影副本。卷影副本是Microsoft Windows中包含的一项技术，可以创建计算机文件或卷的备份副本或快照。

Bumblebee使用 Windows 管理规范命令行工具(WMIC)访问远程活动目录计算机，并使用 vssadmin 命令创建卷影副本。此外，攻击者还会从域控制器窃取NTDS.dit文件。

NTDS.dit文件是存储活动目录数据的数据库，包括有关用户对象、组和组成员身份的信息。该文件还存储域中所有用户的密码散列：

图14：Bumblebee创建远程活动目录的影子副本并窃取NTDS.dit文件

下面是与凭证窃取有关的命令，用于在活动目录进行权限提升：

wmic /node:"[Active Directory IP address]" /user:"[Compromised user name]" /password:"[Compromised user password]" process call create "cmd /c vssadmin create shadow /for=C: 2>&1"

wmic /node:"[Active Directory IP address]" /user:"[Compromised user name]" /password:"[Compromised user password]" process call create "cmd /c vssadmin list shadows >> c:log.txt"

type \[Active Directory IP address]c$log.txt

wmic /node:"[Active Directory IP address]" /user:"[Compromised user name]" /password:"[Compromised user password]" process call create "cmd /c copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy635WindowsNTDSNTDS.dit c:ProgramDatant & copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy635WindowsSystem32configSYSTEM c:ProgramDatant & copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy635WindowsSystem32configSECURITY c:ProgramDatant"

7za.exe a -mx3 nt.7z \[Active Directory IP address]c$ProgramDatant

为了最大化程度的获取活动目录域下的权限，攻击者：

• 创建计算机文件卷的卷影副本；

• 列出所有可获得的卷影副本并将其存储到一个文件中；

• 复制活动目录数据库(NTDS.dit)、包含凭证的注册表HIVE文件、以及包含敏感数据的卷影副本；

• 压缩输出目录并渗出。

（9）账号创建和数据渗出

攻击者使用先前获得的域管理员帐户来横向移动。初次连接后，他们使用Rclone软件创建本地用户和渗出数据。

用户创建命令如下：

net user [Attacker created username] P@ssw0rd!1 /add

net localgroup Administrators [Attacker created username] /add

图15：创建本地用户和使用rclone.exe进行数据窃取

rclone.exe进程将50GB的文件通过TCP 22端口(SSH)传输到一个位于美国的IP地址。

4. 缓解建议

安装反恶意程序软件。

安全地处理从Internet下载的文件以及源自外部来源的电子邮件。

定期将文件备份到安全的远程位置并实施数据恢复计划，确保在勒索软件攻击后能还原数据。

使用安全密码，定期修改密码，并在可能的情况下使用多因子验证。

遵循Microsoft提供的确保活动目录安全的最佳实践。

附录1 MITRE ATT&CK

攻击策略	技术或子技术
TA0001: 初始入侵	T1189: 诱导攻击
TA0001: 初始入侵	T1566.002: 网络钓鱼：鱼叉式钓鱼链接
TA0001: 初始入侵	T1078: 有效账户
TA0002: 执行	T1204.001: 用户执行：恶意链接
TA0002: 执行	T1204.002: 用户执行：恶意文件
TA0002: 执行	T1059.003: 命令和脚本解释器：Windows Command shell
TA0002: 执行	T1047: Windows管理工具
TA0004: 权限提升	T1548.002: 滥用权限提升机制：绕过UAC
TA0004: 权限提升	T1068: 权限提升利用
TA0005:防御规避	T1036.005: 伪装：合法名称或位置
TA0005:防御规避	T1055: 进程注入
TA0005:防御规避	T1218.008: 系统二进制文件代理执行: Odbcconf
TA0005:防御规避	T1218.011: 签名二进制文件代理执行: Rundll32
TA0005:防御规避	T1620: 反射式代码加载
TA0006: 凭证窃取	T1003.001: 系统凭证导出: LSASS内存
TA0006: 凭证窃取	T1003.002: 系统凭证导出: 安全账户管理
TA0006: 凭证窃取	T1003.003: 系统凭证导出: NTDS
TA0006: 凭证窃取	T1003.004: 系统凭证导出: LSA密钥
TA0007: 探测	T1018: 远程系统监测
TA0007: 探测	T1033: 系统管理员/用户探测
TA0007: 探测	T1057: 进程监测
TA0007: 探测	T1082: 系统信息监测
TA0007: 探测	T1087: 账号监测
TA0009: 收集	T1560.001: 归档收集的数据：通过工具程序归档
TA0009: 收集	T1039: 网盘数据
TA0010: 数据渗出	T1048: 通过外部协议渗出数据

附录2 攻击指标

IOC类型	IOC值
可执行文件	SHA-1 hash: af.exe (AdFind) 4acc9ddf7f23109216ca22801ac75c8fabb97019
IP地址	C2 server:  185.62.56[.]129 (受Bumblebee影响)

END

参考链接：https://www.cybereason.com/blog/threat-analysis-report-bumblebee-loader-the-high-road-to-enterprise-domain-control

https://www.cybereason.com/blog/threat-analysis-report-bumblebee-loader-the-high-road-to-enterprise-domain-control

编辑|王浩钧

审校|何双泽、金矢

本文为CNTIC编译整理，不代表本公众号观点，转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。

原文始发于微信公众号（国家网络威胁情报共享开放平台）：Bumblebee加载器：企业域控制之路