【文章转载】AV/EDR绕过未遂：深入揭露网络勒索攻击者的工具与战术

这篇文章回顾了一个威胁行为者试图绕过Cortex XDR但未能成功的事件。通过深入调查， Navin Thomas等人反而从中获取了关于该威胁行为者的行动细节。

在最近一次涉及敲诈勒索的调查中， Navin Thomas等人发现该威胁行为者通过初始访问代理从Atera RMM购买了对客户网络的访问权限。威胁行为者利用虚拟系统安装了Cortex XDR代理，这样做的目的是测试一种利用“自带漏洞驱动程序”（BYOVD）技术的新型杀毒软件/终端检测和响应（AV/EDR）绕过工具。

虚拟系统与客户网络之间的连接无意中为Unit 42的调查人员提供了对这些恶意系统的某种访问权限，使他们能够看见威胁行为者持有的各种工具和文件。尽管威胁行为者的目标是找到绕过Cortex的方法，但实际上，这些行为反而帮助了Unit 42更好地保护其他组织，提供了独特的视角来了解威胁行为者的工具、目标和身份。

在本报告中， Navin Thomas等人概述了攻击的细节、AV/EDR绕过工具的具体情况，以及该工具在网络犯罪论坛上的销售情况。最重要的是， Navin Thomas等人将展示Unit 42研究人员如何设法揭露其中一名威胁行为者的全过程，并展示与识别该威胁行为者相关的所有发现。

Palo Alto Networks的客户可以通过以下产品更好地抵御上述威胁：

• Cortex XDR和XSIAM
• Advanced WildFire
• 高级URL过滤和高级DNS安全

如果您认为自己可能遭受了攻击或有紧急问题，请联系Unit 42事件响应团队。

Unit 42团队受邀协助处理一起勒索事件。在调查过程中， Navin Thomas等人发现了两个攻击中使用的终端设备，这些设备并不属于客户的环境。

为了测试一种AV/EDR绕过工具，这些设备上安装了旧版本的Cortex XDR代理。威胁行为者并未察觉到， Navin Thomas等人实际上可以访问这些恶意终端。

Navin Thomas等人还在系统中发现了一系列属于威胁行为者的工具包和其他文件，其中包括绕过工具。Navin Thomas等人成功地追踪并识别了与这种特定工具销售相关的帖子，这些帖子出现在像XSS和Exploit这样的网络犯罪论坛上。

通过从这些恶意终端获取的文件和后续的调查， Navin Thomas等人发现了涉及此事件的其中一名威胁行为者的真实身份，并找到了有关其个人及职业背景的更多信息。

图1展示了Unit 42团队所调查的此次攻击的高层次事件链条。

该工具名为“disabler.exe”，似乎是基于公开可用的EDRSandBlast源代码进行的小幅修改，并移除了CLI功能。这一点可以通过EDRSandBlast源代码文件中内容的相似性来验证，如图2所示，并在二进制文件中引用的内容则见图3。Navin Thomas等人在这两张图中用红色标出了这些相似之处。

该工具的主要功能是针对并移除用户模式库中的EDR挂钩以及内核模式的回调。它包含一个配套文件，名为“wnbios.sys”或“WN_64.sys”，这是一个易受攻击的驱动程序，工具会尝试加载它并获得访问权限。

根据在其中一个恶意终端上发现的某些文件和文件夹， Navin Thomas等人在XSS和Exploit等网络犯罪论坛上进行了搜索，以确定该绕过工具的可能卖家。

识别绕过工具的卖家

这个恶意系统的主机名为 DESKTOP-J8AOTJS，在文件路径 Z:freelance 下包含了几个具有有趣名称的目录。基于此， Navin Thomas等人推测这些名称可能是其他多个关联者的名字或代号，如下图4所示。

基于以上信息， Navin Thomas等人在网络犯罪论坛上搜索了与 Z:freelance 下目录名称相匹配的用户名。虽然有些用户名搜索结果非常嘈杂，或者没有任何结果，但剩下的用户名却有一些有趣的线索。这些匹配的用户名往往在俄语或以俄语为主的网络犯罪论坛上发布内容，其中最常见的论坛是 XSS 和 Exploit。

其中一个最引起 Navin Thomas等人兴趣的用户名是 Marti71。这个用户名在多个地方发布了寻找绕过 AV/EDR 工具的帖子。图 5 显示了其中一个例子，翻译成中文如下：

大家好！

有没有现成的解决方案可以终结杀毒软件？我准备购买多种解决方案，并希望能获得定期支持/订阅。

该讨论帖中的最后一条回复来自一个名为 KernelMode 的用户账户，推荐了一款绕过 AV/EDR 的工具。

根据 KernelMode 在图 6 中的帖子链接进行进一步分析， Navin Thomas等人发现 KernelMode 启动了一条讨论帖，销售一种绕过 AV/EDR 的工具订阅服务，如图 7 所示。不过，该帖子中并没有任何内容能够确认 KernelMode 背后的人是该工具的开发者。

Marti71 也在该讨论帖中发言，如图 8 所示，似乎表达了对该工具的正面使用体验。

这段俄文帖子翻译为：“总体来说，可以使用，正在完善一些细节，尝试加快速度。Bitdefender/Sentinel 很快就被卸掉。”

回到 KernelMode 的帖子，这名威胁行为者在帖子末尾提到会提供视频演示。Navin Thomas等人成功获取了多个演示该工具的录制视频档案。每段录制展示了特定的 AV/EDR 代理的安装过程，之后执行了绕过工具，并成功运行了 Mimikatz。演示的目的是为了展示 AV/EDR 代理被绕过的效果。

Navin Thomas等人在恶意系统中也找到了此工具演示录制的视频文件。将恶意系统中的录制与 KernelMode 提供的录制进行比较，发现它们完全相同。图 9 显示了其中一段录制的截图。

工具和文件概述

Navin Thomas等人从恶意系统 DESKTOP-J8AOTJS 的共享 Z: 驱动器中获取了一部分文件。图 10 显示了一些捕获到的文件。

以下是捕获材料的亮点：

• 系统中存在一个加密的归档文件 ContiTraining.rar
• 解压后的归档文件包含一个名为 ContiTraining.torrent 的种子文件，创建于 2021 年 8 月 14 日
• 该种子文件会连接以下服务器以下载 2021 年公开泄露的 Conti 操作手册：
• udp://tracker.coppersurfer.tk:6969
• udp://9.rarbg.to:2920
• udp://tracker.opentrackr.org:1337
• udp://tracker.leechers-paradise.org:6969
• udp://exodus.desync.com:6969
• ContiTraining.torrent 指定下载的文件包括：
• Кряк 2019.rar
• Метасплоит US.rar
• Метасплоит RU.zip
• Network Pentesting.rar
• Cobalt Strike.rar
• Powershell for Pentesters+.rar
• Windows Red Team Lab+.rar
• WMI Attacks and Defense +.rar
• Abusing SQL Server Trusts in a Windows Domain+.rar
• Attacking and Defending Active Directory+.rar
• GCB.zip
• GeekBrayns Реверс-инжиниринг.rar
• 一个文件夹，包含有关某个个人的个人身份信息 (PII) 以及其他机密信息，例如：
• 他们的姓名
• 设备详情
• 电话号码
• 账户号码
• 基于两因素认证的密钥
• 多个 AV/EDR 绕过工具的副本以及前述的视频演示
• Mimikatz 工具的多个版本，可能用于测试 AV/EDR 绕过工具的功能
• 多种从 GitHub 或地下论坛获得的工具，具有以下功能：
• Shellcode 生成与执行
• 内核驱动工具
• 代码混淆
• 防护绕过
• 反作弊绕过
• 一位来自俄罗斯研究机构的研究员关于编译器混淆的演示文档
• 一个安装程序以及多个与某款 EDR 产品相关的文件，可能用于再次测试 AV/EDR 绕过工具
• 一个包含托管支付详情的文本文件（如图 11 所示）

• 另一份文本文件中包含了大量主机 IP 地址及其凭据
• 其中部分凭据很可能与多个被攻陷的主机相对应。
• Р-1 表单的费用电子表格

恶意系统中的一个文件引起了 Navin Thomas等人的注意，文件名为 Р-1 (акт выполненных работ) № <已编辑> от <已编辑>.xls，翻译为“已完成工作的证明”。该电子表格包含了一个“P-1 表单”，用于描述两个位于哈萨克斯坦的有限责任公司之间的交易（如图 12 所示）。

根据哈萨克斯坦共和国政府采购网站上的一篇帖子，P-1 表单用于记录已完成的工作、所提供的服务、发票（如在此案例中）及其他相关项目。该文档中披露的其中一家公司名称在威胁行为者画像中揭示了一条重要的信息。

AV/EDR绕过工具录制的工件

Navin Thomas等人之前提到，存在多个演示AV/EDR绕过工具的视频文件，展示了该工具对各种终端防护产品的绕过能力。这些文件与一个名为KernelMode的用户账号在多个网络犯罪论坛上提供的视频完全相同。

在图13中， Navin Thomas等人找到了这些视频中的一个录制片段，并注意到了一些关于AV/EDR代理面板以及主机任务栏的相关细节。

根据图13中的视频， Navin Thomas等人的观察包括：

• AV/EDR绕过工具测试环境：工具在虚拟机中进行测试，并通过Oracle VM VirtualBox访问。从图13底部的任务栏可以看出，录制视频的人正在访问多个虚拟机实例。
• 虚拟机主机名：AV/EDR代理面板上显示的虚拟机主机名为"DESKTOP-J8AOTJS"，这与 Navin Thomas等人捕获到的攻击后门系统的主机名一致。因此， Navin Thomas等人可以确认该后门系统是一个虚拟机。
• 管理控制台URL：代理面板上的管理控制台URL为"https[://]temp.vxsh[.]net"，看起来比较非常规。对该域名进行快速搜索，发现其关联了一个Telegram频道，用户在该频道分享了一个安装AV/EDR代理的虚假令牌。对该假令牌进行Base64解码后显示的正是这个URL。不过，目前 Navin Thomas等人无法确认代理是否仍可以通过这个特定的假令牌安装。
• 任务栏中的应用标题：从主机的Windows任务栏中可以看到打开的应用程序标题，其中在Google Chrome图标旁边的第一个应用程序标题不完整，但似乎显示为“Andr”。
• 用户名线索：在查看剩余视频时， Navin Thomas等人发现任务栏中出现了同样的应用程序，这次标题部分显示为“Andry-ad…”（见图14）。图标表明，这个应用程序可能是WinBox，一种用于远程登录并管理Mikrotik路由器的工具。Navin Thomas等人认为“Andry”可能是登录Mikrotik路由器的用户名的一部分。

• 如图14所示，任务栏中还可以看到另一个应用程序——OBS Studio，这是一款免费开源的视频录制和直播工具。威胁行为者经常滥用、利用或破坏合法产品以实现恶意目的。这并不意味着这些合法产品本身有缺陷或是恶意的。

浏览器历史记录

通过 Cortex XDR， Navin Thomas等人得以窥探到 DESKTOP-J8AOTJS 上 Edge 浏览器的活动，如图15所示。Navin Thomas等人观察到攻击者的操作包括访问以下网站来搜索和下载某些工具，例如 Process Hacker 和 Double Commander。

• ya[.]ru：Yandex（俄罗斯搜索引擎）
• sourceforge[.]net

TTP 与 Conti Playbook 重叠

在前一部分中提到，流氓系统中包含了 ContiTraining.rar，但 Navin Thomas等人未发现攻击者从流氓系统下载了 Conti playbook 的材料。然而， Navin Thomas等人观察到 Conti playbook 和此次攻击链中捕获的战术、技术和程序（TTPs）之间存在一些重叠之处，例如：

• 使用 Atera 代理访问客户端网络并维持持久性
• 使用 Cobalt Strike 进行信标活动
• 使用 PsExec 进行横向移动
• 使用 Rclone 工具进行数据外泄

Cobalt Strike 水印发现

Navin Thomas等人从攻击过程中使用的 Cobalt Strike 信标中提取了配置信息，所有提取到的配置信息中包含的水印 ID 都是 1357776117。根据 Threatfox 的数据，目前已确认大约 160 个与此特定 Cobalt Strike 水印 ID 相关的唯一 IPv4 地址和域名。

Cobalt Strike 活动在勒索软件攻击中经常被注意到，已识别的部分 Cobalt Strike IPv4 地址和域名也与 Dark Scorpius（又称 Black Basta）勒索软件有关联。尽管 Cobalt Strike 通常与勒索软件攻击有关，但在 Navin Thomas等人的调查中未观察到任何部署勒索软件的尝试。Navin Thomas等人推测，这可能是由于攻击者在采取进一步行动之前失去了对网络的访问权限。

在这个恶意系统上发现的文件，如 AV/EDR 绕过工具演示视频和 P-1 表格，构成了攻击者的操作安全（OpSec）失误，这些信息使 Navin Thomas等人能够更好地识别他们的身份。

Navin Thomas等人在 LinkedIn 上找到了与视频中捕获的名字 "Andry" 匹配的个人资料。该个人在 P-1 表格中列出的位于哈萨克斯坦的公司工作。此外， Navin Thomas等人还在俄罗斯社交平台 VKontakte 上找到了匹配的个人资料，揭示了更多有关此人的详细信息。

Navin Thomas等人还收集了有关雇佣该个人的组织的更多详细信息，包括其网站、法律地址和注册信息。根据该公司网站的内容，这家公司目前有五名员工，其中包括涉事个人。网站还提供了每位员工的个人和职业描述，这使 Navin Thomas等人能够进一步了解 Navin Thomas等人认为参与此次攻击的个人。

内核模式连接

以下是 Navin Thomas等人至今探讨的一些要点：

• 名为DESKTOP-J8AOTJS的流氓系统包含多段展示绕过AV/EDR工具对抗各种EDR产品的视频录制。
• 这些视频与使用“KernelMode”作为昵称的行为人在多个网络犯罪论坛上发布的内容完全一致。
• 录制中Windows任务栏显示了主机的名称。
• 此外，该流氓系统中还存在一份P-1费用表格，揭示了雇佣该个人的公司的名称。
• Navin Thomas等人基于这些信息追踪到了 Navin Thomas等人认为是真实身份的个人，以及与其相关的个人和职业详细信息。

综合上述几点， Navin Thomas等人以中等信心评估，涉事个人是KernelMode幕后人员之一，甚至可能是唯一的幕后人员。此外，基于其背景和 Navin Thomas等人收集到的相关信息，此人很可能是AV/EDR绕过工具的开发者之一，甚至是唯一开发者。

然而， Navin Thomas等人无法确定该个人是否是流氓虚拟机DESKTOP-J8AOTJS的所有者，进而无法确定其是否是整个攻击的幕后操纵者。这主要基于以下原因：

• 该流氓个人无疑是DESKTOP-J8AOTJS的活跃用户之一，但对该虚拟机的访问可能已被多个人共享，没有具体证据表明情况不是如此。
• 没有迹象表明DESKTOP-J8AOTJS直接参与攻击，除了用于绕过AV/EDR的目的之外。

近年来，AV/EDR绕过工具的使用呈现出不断增长的趋势，不仅限于此次讨论的事件。这些工具很可能会继续演变，以尝试利用各种安全平台的漏洞。

持续监控地下论坛为 Navin Thomas等人提供了关于这些工具的最新发展和技术的重要见解。威胁行为者和开发者通过订阅方式在这些平台上获利，定期发布更新作为其联盟支付计划的一部分。

这一事件使 Navin Thomas等人能够揭露一个流氓系统，进而发现该威胁行为者所拥有的工具包和文件。通过收集到的所有信息，Unit 42 揭示了 Navin Thomas等人认为是其中一位威胁行为者的真实身份，并评估了其在此事件中的参与情况。

为了防止类似攻击发生，组织应考虑屏蔽本报告中提供的攻击指标，因为这些指标与此次事件中观察到的武器库以及流氓系统中的工具包有关。更广泛地讲， Navin Thomas等人建议审查您的安全工具策略和配置，确保启用代理防篡改保护，以防止针对系统端点保护代理的恶意活动。

以下是为 Palo Alto Networks 客户提供的产品和服务中与该威胁组织相关的覆盖范围：

• Advanced WildFire：基于云的恶意软件分析服务，可精确识别已知样本为恶意软件。
• Advanced URL Filtering 和 Advanced DNS Security：识别与此活动相关的已知 URL 和域名为恶意。
• Cortex XDR 和 XSIAM：检测并防止本文提及的所有样本。

如果您认为自己可能已被攻击或有紧急事项，请联系 Unit 42 事件响应团队或拨打以下电话：

• 北美免费电话：866.486.4842 (866.4.UNIT42)
• EMEA：+31.20.299.3130
• 亚太地区：+65.6983.8730
• 日本：+81.50.1790.0200

Palo Alto Networks 已与网络威胁联盟 (CTA) 的成员分享了这些发现。CTA 成员使用此情报迅速为其客户部署防护，并系统地打击恶意网络行为者，了解更多关于网络威胁联盟的信息。

基于主机

基于网络

事件攻击生命周期

https://unit42.paloaltonetworks.com/edr-bypass-extortion-attempt-thwarted/