TA Phone Home:EDR 规避测试揭露勒索者工具包

admin 2024年11月10日21:16:05评论9 views字数 5290阅读17分38秒阅读模式

TA Phone Home:EDR 规避测试揭露勒索者工具包

执行摘要

本文回顾了一起威胁行为者试图绕过 Cortex XDR 却未成功的事件。通过进一步深入研究该事件,我们发现该过程反而让我们深入了解了威胁行为者的操作。

在最近一次涉及勒索企图的调查中,我们发现一名威胁行为者通过 Atera RMM 从初始访问代理处购买了对客户端网络的访问权限。我们发现威胁行为者使用恶意系统将 Cortex XDR 代理安装到虚拟系统上。他们这样做是为了测试一种利用自带易受攻击驱动程序 (BYOVD) 技术的新防病毒/端点检测和响应 (AV/EDR) 绕过工具。

此虚拟系统与客户网络之间的连接无意中让 Unit 42 调查人员获得了一定程度的恶意系统访问权限。这让他们能够查看威胁行为者持有的各种工具和文件。虽然威胁行为者打算找到绕过 Cortex 的方法,但实际上,这一活动通过提供对威胁行为者工具、目标和角色的独特可见性,帮助 Unit 42 保护了其他组织。
在本报告中,我们概述了发生的攻击、AV/EDR 绕过工具的详细信息以及它在网络犯罪论坛上的销售情况。最重要的是,我们提供了 Unit 42 研究人员如何揭露其中一名威胁行为者的演练。我们将一窥与识别威胁行为者相关的所有发现。
Palo Alto Networks 客户可以通过以下产品更好地抵御上述威胁:
  • Cortex XDR和XSIAM
  • 高级野火
  • 高级 URL 过滤和高级 DNS 安全

概述

Unit 42 被要求协助处理一起勒索事件。在调查过程中,我们发现了两个参与攻击的终端,而这些终端对于客户环境来说是未知的。

为了测试 AV/EDR 绕过工具,这些端点安装了旧版本的 Cortex XDR 代理。在威胁者不知情的情况下,我们能够访问这些恶意端点。

我们还在系统上发现了一系列属于威胁行为者的工具包和其他文件,其中包括绕过工具。我们成功追踪并识别了 XSS 和 Exploit 等网络犯罪论坛上与销售此特定工具相关的帖子。

通过从恶意终端获取的文件和后续调查,我们发现了参与此事件的其中一名威胁行为者的真实身份。我们还发现了有关此人个人和职业背景的其他信息。

图 1 显示了第 42 部队调查的袭击事件的高级事件链。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 1. 此次攻击的高级事件链。

AV/EDR 绕过工具

这个名为disabler.exe的特定工具似乎使用了EDRSandBlast的公开源代码,并对其进行了小幅修改,删除了 CLI 功能。图 2 中显示的 EDRSandBlast 源代码文件的内容与图 3 中显示的二进制文件中的内容相似,证明了这一点。我们在两张图中用红色标记了一些相似之处。

该工具的主要功能是定位并移除用户模式库和内核模式回调中的 EDR 挂钩。它包含一个配套文件wnbios.sys或WN_64.sys,这是一个易受攻击的驱动程序,该工具会尝试加载并获取访问权限。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 2. EDRSandBlast 打印的一些字符串片段。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 3. 在 disabler.exe 静态库中看到相同的字符串。

根据某个恶意端点中的某些文件和文件夹,我们搜索了 XSS 和 Exploit 等网络犯罪论坛,以确定此绕过工具的可能卖家。

识别绕过工具的卖家

该恶意系统的主机名为DESKTOP-J8AOTJS,在文件路径Z:freelance下包含几个名称有趣的目录。这让我们假设这些目录是其他各种附属机构的名称或绰号,如下图 4 所示。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 4.恶意系统上的Z:freelance中的文件夹列表。

考虑到这一点,我们在网络犯罪论坛中搜索了与Z:freelance下的任何目录名称匹配的用户名。虽然其中一些要么太嘈杂,要么根本没有返回任何结果,但其余的确实返回了一些有趣的结果。匹配的名称一致以俄语发布,或者发布在俄罗斯的网络犯罪论坛上,最常见的是 XSS 和 Exploit。

最引起我们兴趣的用户名是Marti71。该用户名在多个地方发帖寻找绕过 AV/EDR 的工具。图 5 显示了其中一个示例,帖子翻译成英文后如下:

大家好!

有人有现成的解决方案来杀死防病毒软件吗?我准备购买几个带有常规支持/订阅的解决方案。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图5.Marti71询问杀毒软件。

该帖子的最后一篇帖子来自名为KernelMode 的用户帐户,建议使用 AV/EDR 绕过工具。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 6. 用户 KernelMode 建议使用 AV/EDR 旁路工具。

转到图 6 中KernelMode帖子中的链接,我们发现KernelMode发起了一个销售 AV/EDR 绕过工具订阅的帖子,如图 7 所示。但是,该帖子中没有任何内容可以证实KernelMode背后的人是此绕过工具的开发者。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 7.KernelMode 发布有关 AV/EDR 旁路工具销售的信息。

Marti71也在这个帖子上发布了如图 8 所示的帖子,这似乎表明对该工具的体验是积极的。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 8.Marti71 对绕过工具的评论。

这篇俄语帖子翻译为总的来说,它会走,完成一些时刻,试图加速。Bitdef/sentic 飞得很快。

回到KernelMode的帖子,攻击者在最后提到他们将提供视频演示。我们能够获得演示该工具的多个录像档案。每个录像都显示了当时安装的特定 AV/EDR 代理,其中包括执行绕过工具,然后成功执行 Mimikatz。演示的目的是说明 AV/EDR 代理已被一定程度的绕过。

我们在恶意系统中也找到了此类工具演示录制文件。将恶意系统中的录制内容与KernelMode中的录制内容进行比较,发现它们完全相同。图 9 显示了其中一个录制内容的屏幕截图。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 9. KernelMode 的 AV/EDR 旁路工具演示视频片段,同样在恶意系统上。

窥视 Rogue 系统

工具和文件概述

我们在恶意系统DESKTOP-J8AOTJS的共享Z:驱动器中检索了部分文件。图 10 显示了捕获的一些文件。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 10. 根路径上的文件和文件夹。

捕获材料的亮点包括:

  • 系统中存在加密档案文件ContiTraining.rar

  • 提取的存档包含一个名为ContiTraining.torrent的 torrent 文件,该文件创建于 2021 年 8 月 14 日

  • 该种子文件将访问以下服务器,下载2021 年公开泄露的 Conti 剧本:

  • udp[://]tracker.coppersurfer[.]tk:6969
    udp[://]9.rarbg[.]:2920
    udp[://]tracker.opentrackr[.]org:1337
    udp[://]tracker.leechers-paradise[.]org:6969
    udp[://]exodus.desync[.]com:6969

ContiTraining.torrent指定要下载的文件:

  • Кряк 2019.rar
  • Метасплоит US.rar
  • Метасплоит RU.zip
  • Network Pentesting.rar
  • Cobalt Strike.rar
  • Powershell for Pentesters+.rar
  • Windows Red Team Lab+.rar
  • WMI Attacks and Defense +.rar
  • Abusing SQL Server Trusts in a Windows Domain+.rar
  • Attacking and Defending Active Directory+.rar
  • GCB.zip
  • GeekBrayns Реверс-инжиниринг.rar
  • 文件夹内含有个人身份信息 (PII) 和其他机密信息的文件,例如:

  • 他们的名字

  • 设备详细信息

  • 电话号码

  • 帐号

  • 基于双因素身份验证的密钥

  • AV/EDR 绕过工具的多个副本以及视频演示,如上所述

  • Mimikatz 工具的各种版本,可能用于测试 AV/EDR 绕过工具

  • 来自 GitHub 或地下论坛的各种工具,具有以下功能:

  • Shellcode 生成和执行

  • 内核驱动实用程序

  • 代码混淆

  • 保护绕过

  • 绕过反作弊

  • 俄罗斯某研究所研究人员关于编译器混淆的演示文稿

  • 与 EDR 产品有关的安装程序和多个其他文件,可能再次用于测试 AV/EDR 绕过工具

  • 包含托管付款详细信息的文本文件(如图 11 所示)

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 11.包含付款信息的文本文件。

  • 另一个文本文件,包含主机 IP 地址及其凭据的长列表

  • 这些凭证的一部分可能对应于各种受感染的主机。

  • Р-1 表格费用电子表格

该恶意系统中引起我们注意的一个文件是Р-1 (акт выполненных работ) № <redacted> от <redacted>.xls,翻译过来就是“已完成工作的行为”。该电子表格包含一份“P-1 表格”,用于记录两家位于哈萨克斯坦的有限责任公司之间的交易,如图 12 所示。

根据哈萨克斯坦共和国政府采购网站上的一篇文章,P-1 表格用于记录已完成的工作、提供的服务、发票(如本例)和其他相关项目。该文件中披露的其中一家公司的名称透露了一条对于威胁行为者分析至关重要的信息。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 12.从恶意系统中恢复的 P-1 表单。

AV/EDR 绕过工具记录的痕迹

我们之前提到过,有多个视频文件展示了 AV/EDR 绕过工具如何针对各种端点保护产品。这些文件与各种网络犯罪论坛上名为KernelMode的用户帐户提供的文件完全相同。

我们找到了图 13 所示的视频录像,并在 AV/EDR 代理面板和主机任务栏上记录了一些相关细节。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 13. AV/EDR 旁路工具视频演示的屏幕截图。

根据图 13 中的视频,我们得出以下观察结果:

  • AV/EDR 绕过工具正在虚拟机中进行测试,可通过 Oracle VM VirtualBox 访问。查看主机的任务栏(如上图 13 底部所示),似乎录制演示视频的人正在访问多个虚拟机实例。

  • AV/EDR 代理面板上显示的虚拟机主机名为DESKTOP-J8AOTJS。这也恰好是我们成功捕获的攻击背后的恶意系统的主机名。通过这条信息,我们可以确认恶意系统是虚拟机。

  • 代理面板上的管理控制台 URL 看起来相当不寻常:https[://]temp.vxsh[.]net。快速搜索此域名会发现一个 Telegram 频道,其中用户共享了一个假令牌来安装 AV/EDR 代理。对假令牌进行 Base64 解码会揭示该确切 URL。我们无法确认是否仍可以通过这个特定的假令牌安装代理。

  • 查看主机中 Windows 任务栏中打开的应用程序标题,右侧第一个位于 Google Chrome 图标旁边的应用程序标题不完整,但其中似乎有一个名称显示为“Andr”。

  • 在查看其余视频时,我们在任务栏中发现了相同的应用程序,但这次,第一个单词“Andry”出现在标题“Andry-ad...”中,如下图 14 所示。图标表明此应用程序可能是WinBox,这是一种用于远程登录和管理 Mikrotik 路由器的实用程序。我们认为“Andry”是登录 Mikrotik 路由器的用户名的一部分。

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 14. 演示视频之一中的 Windows 任务栏片段。

  • 如上图 14 所示,任务栏中可见的另一个应用程序是OBS Studio,这是一款用于视频录制和直播的免费开源工具。威胁行为者经常滥用、利用或破坏合法产品以达到恶意目的。这并不意味着合法产品存在缺陷或具有恶意。

浏览器历史记录

通过 Cortex XDR,我们可以窥见DESKTOP-J8AOTJS上的 Edge 浏览器活动,如下图 15 所示。我们观察到对手的操作包括访问以下网站来搜索和下载某些工具,例如Process Hacker和Double Commander。

  • ya[.]ru:Yandex(俄罗斯搜索引擎)

  • sourceforge[.]net

TA Phone Home:EDR 规避测试揭露勒索者工具包

图 15. 对手的浏览器历史记录的一部分。

其他发现

TTP 与 Conti 策略重叠

如上一节所述,恶意系统包含ContiTraining.rar,但我们没有发现任何迹象表明攻击者在恶意系统上下载了 Conti 剧本中的材料。然而,我们观察到 Conti 剧本与在此事件攻击链中捕获的战术、技术和程序 (TTP) 之间存在一些重叠,例如:

  • 使用 Atera 代理访问客户端网络并保持持久性

  • Cobalt Strike 信标活动

  • 使用 PsExec 进行横向移动

  • 使用 Rclone 实用程序进行数据泄露

Cobalt Strike Watermark 的发现

我们从攻击期间使用的 Cobalt Strike 信标中提取了配置数据,所有提取的配置数据中的水印 ID 为1357776117。到目前为止, Threatfox已经识别出与此特定 Cobalt Strike 水印 ID 相关的约 160 个唯一 IPv4 和域名。

Cobalt Strike 活动在勒索软件攻击中频繁出现,一小部分已识别的 Cobalt Strike IPv4 和域名也与 Dark Scorpius(又名 Black Basta)勒索软件有关。尽管 Cobalt Strike 与勒索软件有关,但我们在调查期间没有观察到任何部署勒索软件的尝试。我们推测这可能是因为威胁行为者在尝试进一步行动之前失去了对网络的访问权限。

威胁行为者剖析

恶意系统上的文件(例如 AV/EDR 绕过工具演示视频和 P-1 表格)构成了威胁行为者的操作安全 (OpSec) 故障,我们认为这些信息暴露了我们可以识别他们的能力。

我们识别了视频中捕捉到的姓名为“Andry”的个人的 LinkedIn 个人资料。该个人受雇于 P-1 表格中列出的哈萨克斯坦公司。此外,我们在俄罗斯社交网络平台 VKontakte 上找到了匹配的个人资料,其中揭示了有关该个人的更多详细信息。

原文始发于微信公众号(Ots安全):TA Phone Home:EDR 规避测试揭露勒索者工具包

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月10日21:16:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   TA Phone Home:EDR 规避测试揭露勒索者工具包https://cn-sec.com/archives/3378007.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息