TA Phone Home：EDR 规避测试揭露勒索者工具包

执行摘要

在最近一次涉及勒索企图的调查中，我们发现一名威胁行为者通过 Atera RMM 从初始访问代理处购买了对客户端网络的访问权限。我们发现威胁行为者使用恶意系统将 Cortex XDR 代理安装到虚拟系统上。他们这样做是为了测试一种利用自带易受攻击驱动程序 (BYOVD) 技术的新防病毒/端点检测和响应 (AV/EDR) 绕过工具。

• Cortex XDR和XSIAM
• 高级野火
• 高级 URL 过滤和高级 DNS 安全

概述

Unit 42 被要求协助处理一起勒索事件。在调查过程中，我们发现了两个参与攻击的终端，而这些终端对于客户环境来说是未知的。

为了测试 AV/EDR 绕过工具，这些端点安装了旧版本的 Cortex XDR 代理。在威胁者不知情的情况下，我们能够访问这些恶意端点。

我们还在系统上发现了一系列属于威胁行为者的工具包和其他文件，其中包括绕过工具。我们成功追踪并识别了 XSS 和 Exploit 等网络犯罪论坛上与销售此特定工具相关的帖子。

通过从恶意终端获取的文件和后续调查，我们发现了参与此事件的其中一名威胁行为者的真实身份。我们还发现了有关此人个人和职业背景的其他信息。

图 1 显示了第 42 部队调查的袭击事件的高级事件链。

图 1. 此次攻击的高级事件链。

AV/EDR 绕过工具

这个名为disabler.exe的特定工具似乎使用了EDRSandBlast的公开源代码，并对其进行了小幅修改，删除了 CLI 功能。图 2 中显示的 EDRSandBlast 源代码文件的内容与图 3 中显示的二进制文件中的内容相似，证明了这一点。我们在两张图中用红色标记了一些相似之处。

该工具的主要功能是定位并移除用户模式库和内核模式回调中的 EDR 挂钩。它包含一个配套文件wnbios.sys或WN_64.sys，这是一个易受攻击的驱动程序，该工具会尝试加载并获取访问权限。

图 2. EDRSandBlast 打印的一些字符串片段。

图 3. 在 disabler.exe 静态库中看到相同的字符串。

根据某个恶意端点中的某些文件和文件夹，我们搜索了 XSS 和 Exploit 等网络犯罪论坛，以确定此绕过工具的可能卖家。

识别绕过工具的卖家

该恶意系统的主机名为DESKTOP-J8AOTJS，在文件路径Z:freelance下包含几个名称有趣的目录。这让我们假设这些目录是其他各种附属机构的名称或绰号，如下图 4 所示。

图 4.恶意系统上的Z:freelance中的文件夹列表。

考虑到这一点，我们在网络犯罪论坛中搜索了与Z:freelance下的任何目录名称匹配的用户名。虽然其中一些要么太嘈杂，要么根本没有返回任何结果，但其余的确实返回了一些有趣的结果。匹配的名称一致以俄语发布，或者发布在俄罗斯的网络犯罪论坛上，最常见的是 XSS 和 Exploit。

最引起我们兴趣的用户名是Marti71。该用户名在多个地方发帖寻找绕过 AV/EDR 的工具。图 5 显示了其中一个示例，帖子翻译成英文后如下：

大家好！

有人有现成的解决方案来杀死防病毒软件吗？我准备购买几个带有常规支持/订阅的解决方案。

图5.Marti71询问杀毒软件。

该帖子的最后一篇帖子来自名为KernelMode 的用户帐户，建议使用 AV/EDR 绕过工具。

图 6. 用户 KernelMode 建议使用 AV/EDR 旁路工具。

转到图 6 中KernelMode帖子中的链接，我们发现KernelMode发起了一个销售 AV/EDR 绕过工具订阅的帖子，如图 7 所示。但是，该帖子中没有任何内容可以证实KernelMode背后的人是此绕过工具的开发者。

图 7.KernelMode 发布有关 AV/EDR 旁路工具销售的信息。

Marti71也在这个帖子上发布了如图 8 所示的帖子，这似乎表明对该工具的体验是积极的。

图 8.Marti71 对绕过工具的评论。

这篇俄语帖子翻译为总的来说，它会走，完成一些时刻，试图加速。Bitdef/sentic 飞得很快。

回到KernelMode的帖子，攻击者在最后提到他们将提供视频演示。我们能够获得演示该工具的多个录像档案。每个录像都显示了当时安装的特定 AV/EDR 代理，其中包括执行绕过工具，然后成功执行 Mimikatz。演示的目的是说明 AV/EDR 代理已被一定程度的绕过。

我们在恶意系统中也找到了此类工具演示录制文件。将恶意系统中的录制内容与KernelMode中的录制内容进行比较，发现它们完全相同。图 9 显示了其中一个录制内容的屏幕截图。

图 9. KernelMode 的 AV/EDR 旁路工具演示视频片段，同样在恶意系统上。

窥视 Rogue 系统

工具和文件概述

我们在恶意系统DESKTOP-J8AOTJS的共享Z:驱动器中检索了部分文件。图 10 显示了捕获的一些文件。

图 10. 根路径上的文件和文件夹。

捕获材料的亮点包括：

• 系统中存在加密档案文件ContiTraining.rar

• 提取的存档包含一个名为ContiTraining.torrent的 torrent 文件，该文件创建于 2021 年 8 月 14 日

• 该种子文件将访问以下服务器，下载2021 年公开泄露的 Conti 剧本：
  

• udp[://]tracker.coppersurfer[.]tk:6969
  udp[://]9.rarbg[.]到:2920
  udp[://]tracker.opentrackr[.]org:1337
  udp[://]tracker.leechers-paradise[.]org:6969
  udp[://]exodus.desync[.]com:6969

ContiTraining.torrent指定要下载的文件：

• Кряк 2019.rar
• Метасплоит US.rar
• Метасплоит RU.zip
• Network Pentesting.rar
• Cobalt Strike.rar
• Powershell for Pentesters+.rar
• Windows Red Team Lab+.rar
• WMI Attacks and Defense +.rar
• Abusing SQL Server Trusts in a Windows Domain+.rar
• Attacking and Defending Active Directory+.rar
• GCB.zip
• GeekBrayns Реверс-инжиниринг.rar

• 文件夹内含有个人身份信息 (PII) 和其他机密信息的文件，例如：

• 他们的名字

• 设备详细信息

• 电话号码

• 帐号

• 基于双因素身份验证的密钥

• AV/EDR 绕过工具的多个副本以及视频演示，如上所述

• Mimikatz 工具的各种版本，可能用于测试 AV/EDR 绕过工具

• 来自 GitHub 或地下论坛的各种工具，具有以下功能：

• Shellcode 生成和执行

• 内核驱动实用程序

• 代码混淆

• 保护绕过

• 绕过反作弊

• 俄罗斯某研究所研究人员关于编译器混淆的演示文稿

• 与 EDR 产品有关的安装程序和多个其他文件，可能再次用于测试 AV/EDR 绕过工具

• 包含托管付款详细信息的文本文件（如图 11 所示）

图 11.包含付款信息的文本文件。

• 另一个文本文件，包含主机 IP 地址及其凭据的长列表

• 这些凭证的一部分可能对应于各种受感染的主机。

• Р-1 表格费用电子表格

该恶意系统中引起我们注意的一个文件是Р-1 (акт выполненных работ) № <redacted> от <redacted>.xls，翻译过来就是“已完成工作的行为”。该电子表格包含一份“P-1 表格”，用于记录两家位于哈萨克斯坦的有限责任公司之间的交易，如图 12 所示。

根据哈萨克斯坦共和国政府采购网站上的一篇文章，P-1 表格用于记录已完成的工作、提供的服务、发票（如本例）和其他相关项目。该文件中披露的其中一家公司的名称透露了一条对于威胁行为者分析至关重要的信息。

图 12.从恶意系统中恢复的 P-1 表单。

AV/EDR 绕过工具记录的痕迹

我们之前提到过，有多个视频文件展示了 AV/EDR 绕过工具如何针对各种端点保护产品。这些文件与各种网络犯罪论坛上名为KernelMode的用户帐户提供的文件完全相同。

我们找到了图 13 所示的视频录像，并在 AV/EDR 代理面板和主机任务栏上记录了一些相关细节。

图 13. AV/EDR 旁路工具视频演示的屏幕截图。

根据图 13 中的视频，我们得出以下观察结果：

• AV/EDR 绕过工具正在虚拟机中进行测试，可通过 Oracle VM VirtualBox 访问。查看主机的任务栏（如上图 13 底部所示），似乎录制演示视频的人正在访问多个虚拟机实例。

• AV/EDR 代理面板上显示的虚拟机主机名为DESKTOP-J8AOTJS。这也恰好是我们成功捕获的攻击背后的恶意系统的主机名。通过这条信息，我们可以确认恶意系统是虚拟机。

• 代理面板上的管理控制台 URL 看起来相当不寻常：https[://]temp.vxsh[.]net。快速搜索此域名会发现一个 Telegram 频道，其中用户共享了一个假令牌来安装 AV/EDR 代理。对假令牌进行 Base64 解码会揭示该确切 URL。我们无法确认是否仍可以通过这个特定的假令牌安装代理。

• 查看主机中 Windows 任务栏中打开的应用程序标题，右侧第一个位于 Google Chrome 图标旁边的应用程序标题不完整，但其中似乎有一个名称显示为“Andr”。

• 在查看其余视频时，我们在任务栏中发现了相同的应用程序，但这次，第一个单词“Andry”出现在标题“Andry-ad...”中，如下图 14 所示。图标表明此应用程序可能是WinBox，这是一种用于远程登录和管理 Mikrotik 路由器的实用程序。我们认为“Andry”是登录 Mikrotik 路由器的用户名的一部分。

图 14. 演示视频之一中的 Windows 任务栏片段。

• 如上图 14 所示，任务栏中可见的另一个应用程序是OBS Studio，这是一款用于视频录制和直播的免费开源工具。威胁行为者经常滥用、利用或破坏合法产品以达到恶意目的。这并不意味着合法产品存在缺陷或具有恶意。

浏览器历史记录

通过 Cortex XDR，我们可以窥见DESKTOP-J8AOTJS上的 Edge 浏览器活动，如下图 15 所示。我们观察到对手的操作包括访问以下网站来搜索和下载某些工具，例如Process Hacker和Double Commander。

• ya[.]ru：Yandex（俄罗斯搜索引擎）

• sourceforge[.]net

图 15. 对手的浏览器历史记录的一部分。

其他发现

TTP 与 Conti 策略重叠

如上一节所述，恶意系统包含ContiTraining.rar，但我们没有发现任何迹象表明攻击者在恶意系统上下载了 Conti 剧本中的材料。然而，我们观察到 Conti 剧本与在此事件攻击链中捕获的战术、技术和程序 (TTP) 之间存在一些重叠，例如：

• 使用 Atera 代理访问客户端网络并保持持久性

• Cobalt Strike 信标活动

• 使用 PsExec 进行横向移动

• 使用 Rclone 实用程序进行数据泄露

Cobalt Strike Watermark 的发现

我们从攻击期间使用的 Cobalt Strike 信标中提取了配置数据，所有提取的配置数据中的水印 ID 为1357776117。到目前为止， Threatfox已经识别出与此特定 Cobalt Strike 水印 ID 相关的约 160 个唯一 IPv4 和域名。

Cobalt Strike 活动在勒索软件攻击中频繁出现，一小部分已识别的 Cobalt Strike IPv4 和域名也与 Dark Scorpius（又名 Black Basta）勒索软件有关。尽管 Cobalt Strike 与勒索软件有关，但我们在调查期间没有观察到任何部署勒索软件的尝试。我们推测这可能是因为威胁行为者在尝试进一步行动之前失去了对网络的访问权限。

威胁行为者剖析

恶意系统上的文件（例如 AV/EDR 绕过工具演示视频和 P-1 表格）构成了威胁行为者的操作安全 (OpSec) 故障，我们认为这些信息暴露了我们可以识别他们的能力。

我们识别了视频中捕捉到的姓名为“Andry”的个人的 LinkedIn 个人资料。该个人受雇于 P-1 表格中列出的哈萨克斯坦公司。此外，我们在俄罗斯社交网络平台 VKontakte 上找到了匹配的个人资料，其中揭示了有关该个人的更多详细信息。