今日威胁情报2020/12/14-16(第330期）

总有刁民想害朕

高级威胁分析

1、旺刺组织（APT-C-47）使用ClickOnce技术的攻击活动披露

ClickOnce是近年来微软发布的一种软件部署技术，它可以创建基于Windows的自更新应用程序，让这些应用程序可以在用户交互最少的情况下安装和运行。2019年的美国Blackhat大会上，美国国土安全部所属CISA局的攻防专家曾公布了利用最新的ClickOnce扩展文件（.appref-ms）进行恶意攻击的技术原理。该攻击方式区别于常规的恶意软件植入，由于微软设计的安装交互方式，使其非常容易被用于诱导安装恶意软件。

近期，360安全大脑检测到多起ClickOnce恶意程序的攻击活动，通过360高级威胁研究院的深入研判分析，发现这是一起来自朝鲜半岛地区未被披露APT组织的攻击行动，攻击目标涉及与半岛地区有关联的实体机构和个人，根据360安全大脑的数据分析显示，该组织的攻击活动最早可以追溯到2018年。目前还没有任何安全厂商公开披露该组织的攻击活动，也没有安全厂商公开披露利用该技术的真实APT攻击事件。由于此次攻击活动属于360全球首次捕获披露，我们根据该组织擅长攻击技术的谐音，将其命名为“旺刺”组织，并为其分配了新编号APT-C-47。

https://mp.weixin.qq.com/s/h_MUJfa3QGM9SqT_kzcdHQ

2、落鹰行动-史上影响力最大的供应链攻击行动揭秘
    美国时间2020年12月13日，据外媒报道美国多个重要政府机构遭受了国家级APT组织的攻击入侵，攻击疑似是由于基础网络管理软件供应商SolarWinds的产品缺陷导致。相关新闻报道后不久，美国网络安全公司FireEye和微软公司相继发布技术分析报告，披露了国家级APT组织针对SolarWinds产品供应链攻击，对相关软件植入的后门组件进行了技术分析。同时SolarWinds官方发布安全公告，公告该公司的SolarWinds Orion平台软件在2020年3月至6月之间发布的2019.4 - 2020.2.1版本，遭受了高度复杂的供应链攻击，提醒用户检查升级最新版本。

根据SolarWinds公司官网的客户介绍页显示，该公司的客户包括美国财富500强企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局，以及美国总统办公室等。该信息从侧面透露了，美国的核心企业、军事机构和政府机构已经遭受了史上最严重的APT攻击，美国的众多重要机构都已经被国家级APT组织入侵。
相对重点：

后门程序C&C通信的DNS请求中会判断A记录和CNAME记录，按内置硬编码的4个分类的 IP 段匹配以实施不同的命令控制策略。4个分类 IP 段分别为 Atm / Ipx / ImpLink / NetBios，该IP分类有如下特点：

1. Atm 分类, 大部分IP 段都为局域网地址, 此分类是用于过滤局域网段

2. Ipx分类，IP地址范围较小，属于不同国家地区的资产

3. ImpLnk 分类，在公开的信息中疑似被归属于微软的资产

4. NetBios分类, 主要命中在美国 / 英国 / 加拿大 / 爱尔兰地区

后门恶意代码的主要运行逻辑如下：

1. 判断当前进程名称是不是solarwinds.businesslayerhost，若不是则退出

2. 比较当前系统时间、dll的修改时间，如果小于12天，则退出,

   a)反之, 创建命名管道"583da945-62af-10e8-4902-a8f205c72b2e".

3. 获取当前系统加入的域名称，如果名称为空或无效，则退出

4. 生成UserID(MAC地址+域名称+MachineGuid)，失败则退出,

   a)如果成功, 则关闭前文中开辟的管道句柄

5. 对抗分析, 分别检测了分析工具文件名称列表、杀软服务名称列表、驱动文件列表

    a)如果有检出, 则不进行下一步操作, 如果杀软服务在有效的情况, 则尝试禁用服务

6. 网络连通测试, ping api.solarwinds.com，网络请求失败则退出

7. 生成DGA域名，发送请求响应

https://mp.weixin.qq.com/s/lh7y_KHUxag_-pcFBC7d0Q

    网上太多猜测了，我补充点失陷检测类方面的小tips：以后更新软件，怕被供应链，其实可以看下自己的网络请求，网络外联，win和linux 都有netstat 命令，实在不行，推荐个工具dnsquerysniffer，抓一天自己的网络请求包，或许能发现一些线索呢？

3、中招目标首次披露：SolarWinds供应链攻击相关域名生成算法可破解

https://mp.weixin.qq.com/s/v-ekPFtVNZG1W7vWjcuVug

DGA域名list:

https://github.com/bambenek/research/blob/main/sunburst/uniq-hostnames.txt

C2已被接管。

4、火眼和volexity发布的关于SolarWind的Orion软件产品供应链攻击的分析报告。结合上面两家安全公司的分析，十分建议重读、多读一下。

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/

关于这个产品的全球使用情况

https://app.binaryedge.io/services/query?query=country:国家%20SolarWinds%20Orion&page=1

https://www.zoomeye.org/searchResult?q=title%3A%22Solarwinds%20Orion%22

5、针对中国、韩语地区、日本、越南等亚洲国家的移动间谍软件攻击。开发的C2控台页面还是中文……

https://blog.lookout.com/lookout-discovers-new-spyware-goontact-used-by-sextortionists-for-blackmail

6、PyMICROPSIA：来自AridViper的新窃取木马，中东地区活动。PyMICROPSIA是一种基于Python的恶意软件，使用通过PyInstaller生成的Windows二进制文件专门针对Windows系统，该木马可能正在努力添加多平台支持（WINDOWSMACOS）

https://unit42.paloaltonetworks.com/pymicropsia/

技术分享

1、maze ransomware钻石模型以及各个元素分析

https://killbit.medium.com/applying-the-diamond-model-to-cognizant-msp-and-maze-ransomware-and-a-policy-assessment-498f01bd723f

2、Gitpaste-12挖矿的软件（变身蠕虫）攻击，利用以公开的多个攻击针对Web应用程序，IP摄像机，路由器等漏洞，控制并挖矿。downloader主要从github 中来……

https://blogs.juniper.net/en-us/threat-research/everything-but-the-kitchen-sink-more-attacks-from-the-gitpaste-12-worm

3、威胁情报分析理论

https://threatconnect.com/blog/infrastructure-research-hunting/

4、分析商业特马Agent Tesl

https://cofense.com/strategic-analysis-agent-tesla-expands-targeting-and-networking-capabilities/

5、深入研究地下商业的黑产组织Fxmsp

https://www.group-ib.com/resources/threat-research/fxmsp-report.html

6、机器学习训练样本，2000W

https://ai.sophos.com/2020/12/14/sophos-reversinglabs-sorel-20-million-sample-malware-dataset/

7、通过Wi-Fi信号从计算机中窃取数据（无Wi-Fi硬件）

https://thehackernews.com/2020/12/exfiltrating-data-from-air-gapped.html

https://arxiv.org/abs/2012.068844

漏洞相关

1、CVE-2020-25183，CVE-2020-25187，CVE-2020-27252，真正的远程“kill man”,医疗设备严重漏洞，还是针对人体心脏的设备……MyCareLink Smart 25000 Patient Reader

https://us-cert.cisa.gov/ics/advisories/icsma-20-345-01

网络战与网络情报

1、干扰国家大选案例，mark

https://www.reuters.com/article/facebook-africa-disinformation-idUSL1N2IV1SO

2、如链接所言。研究熊的好文。

https://newdirection.online/2018-publications-pdf/ND-report-RussiasInfluenceInBulgaria-preview-lo-res.pdf

3、印度一家总部位于诺伊达的私营公司为该国国防军提供技术解决方案的关键和机密数据遭到黑客入侵，导致机密信息被盗。ELCOM Innovations公司声称，网络攻击造成的损失估计达5亿卢比。划重点，诺伊达、ELCOM Innovations

https://ciso.economictimes.indiatimes.com/news/defence-tech-service-provider-firms-data-hacked-company-claims-rs-50-cr-loss/79736076

4、美国国土安全部（DHS），州政府（State）和国立卫生研究院（NIH）加入了5个（且还在不断增加）联邦机构的名单中，这些机构确认遭到了大规模的俄罗斯网络间谍攻击

https://boingboing.net/2020/12/14/dhs-state-and-nih-join-list-of-5-and-counting-federal-agencies-confirmed-hacked-in-massive-russian-cyberespionage-campaign.html

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2020/12/14-16(第330期）