2021攻击者基础设施报告

通过分析大量的后渗透利用（post-exploitation）工具包、自定义恶意软件和开源远程访问木马（RAT），研究人员对其背后的网络基础设施的建设与更改情况进行了跟踪研究。2017年以来，Recorded Future的Insikt Group检测发现了80余个新增恶意软件家族，包括RAT、高级持续威胁（APT）恶意软件、僵尸网络系列和其他商品工具；2021年，Recorded Future观察到了分属80多个家族的10000多台命令和控制（C2）服务器，其中大部分为Cobalt Strike Team服务器或属于僵尸网络家族，它们在过去的一年中采用了更具弹性和隐蔽性的措施，关键发现如下。

（1）研究人员在去年预测将有更多Sliver、Mythic、Covenant和Octopus C2架构出现，然而，数据显示虽然Covenant、Sliver和Mythic的使用量略有上升，但主要增长仍有赖于Cobalt Strike而非新的C2架构。

（2）25%的服务器（3400台）未出现在其它的开源情报中，他们只能通过特定的命令与控制数据库来识别。

（3）Emotet的回归成为头条新闻，同时在2021年Emotet缺席期间，其他僵尸网络一直在多样化和发展自身的基础设施，并隔绝与Emotet的联系。

识别恶意服务器可以作为对抗威胁的一种主动手段，攻击者必须首先破解或购买一个合法的服务器，在服务器上安装软件、调整设置、注册SSL证书并添加文件，这之后攻击者必须通过登录面板、使用SSH或远程桌面协议（RDP）来登录服务器，在服务器上开放一个端口以便所部署的恶意软件控制端能够从受害者处获取数据并发送管理命令，至此服务器才真正被用于恶意行动。

在开放、设置和登录服务器的过程中，攻击者同样会留下指纹，例如服务器中软件的版本、登录面板、SSL注册模式，或者探测器响应信息等。这些指纹的存在，使得在钓鱼邮件发送或注入开始之前就能实现对威胁的检测。

通过如下收集手段，可以揭示攻击者的大量信息：统计C2服务器的数量，可以帮助我们评估攻击行动的广度；比较相关恶意软件家族的入侵报告，可以帮助我们判断有多少入侵能够被识别，并预测有多少潜在威胁不能被发现；测量服务器的创建速度，可以帮助我们感知威胁活动的兴起与衰落。

(1）关于收集偏差的说明

C2服务器信息收集主要基于已知恶意软件家族及其服务端软件特征，这种收集方式本质上收集的是已知恶意软件家族的命令与控制框架、其衍生品、或者其基础支撑设施。如果一个IP对应的服务器中没有一台表现出给定家族的恶意活动，则该IP不会被认定为C2服务器。因为报告倾向于收集并披露与已知威胁相关的服务器信息，它不能作为异常行为识别或异常网络流量检测的代替品。

后渗透利用框架与僵尸网络基础设施的混合是被发现最多的恶意软件家族情形，如表1所示，Cobalt Strike服务器再次成为被检测出最多的C2控制器，占识别出的C2服务器总数的23.7%。与上年类似，Metasploit和Meterpreter占据C2的大部分，TrickBot与QakBot也出现在被检测出最多的5个家族之中。

_{表1：被检测到的C2基础设施排名}

（1）后渗透利用（post-exploitation）框架

估计出渗透工具使用者中红队与犯罪分子、间谍之间的比例是困难的，Cobalt Strike拥有不同的用户群体，并在勒索软件中最为常见，如表2所示，Mythic、Covenant和Sliver的使用量在2021年有所上涨，大部分渗透利用工具部署量与2020年相近，新增量可能得益于检测规则的更新与收集工作的增加，但这至少是各种工具仍被持续使用的一种表现。

_{表2：2021年检测到最常见的C2服务器攻击性安全工具}

通过预配置的TLS认证信息、信标载荷信息或HTTP标头信息等检出的Cobalt Strike Team服务器占全部检出C2服务器总数的23.7%。其中包括一小部分使用域名前置的C2，但大部分采用Cobalt Strike基础模型。报告无法估计有多少采用隔离或混淆手段的Cobalt Strike Team服务器被使用，以及被检测到的Cobalt StrikeTeam服务器中有哪些使用了可拓展配置文件。

2021年，黑莓研究人员根据信标载荷分析和扫描结果，观察到了大约6000个Cobalt Strike Team服务器。单纯依靠扫描识别和采用多种方法相结合的检测之间的差距，表明了有多少Team Server正在逃避识别（近3,000个），以及多样化收集和分析对防御的重要性。

2021年，微软、RiskIQ和Insikt Group都发现了利用已设置好的即用型Cobalt StrikeTeam代理服务器感染客户的实例。这种现象被称为Cobalt Strike C2-as-a-Service，这之中不包括各种加载器或用于勒索软件从其他访问途径启动操作的Cobalt Strike Team服务器。

Cobalt Strike检测量的提升部分得益于分析与检测技术的提高，以及主动收集机制的广泛使用，比如研究人员不断发布的能够通过解密Cobalt Strike Beacon流量实现的检测逻辑。

（2）僵尸网络

执法部门对Emotet僵尸网络进行了短暂的成功打击，这给加载器和僵尸网络市场留下了空白。尽管频繁被打断，僵尸网络仍是2019年和2020年产量最多、利润最高的威胁之一。在Emotet沉寂期间，其他运营商，如TR分销商（ChaseLdr，TA577）或TA551（Shathak）等都试图填补留下的垃圾邮件缺口。被认为是勒索软件前身的TrickBot、QakBot、Bazar、IcedID和Dridex都在进行更新，这里面IcedID与Egregor部署有关，TrickBot和Bazar家族与Ryuk和Conti的使用有关，Dridex与DoppelPaymer有关，QakBot与ProLock和DoppelPaymer部署有关。

在不同类型僵尸网络样本中，被引用的嵌入式C2服务器数量各不相同，其中平均每个TrickBot样本配置20台C2服务器，平均每个IcedID和Dridex样本配置3台服务器，平均每个QakBot样本配置142个C2 IP地址，平均每个重新面世的Emotet样本配置20台服务器。

_{表3：2021年检测到的C2服务器最常见的僵尸网络系列}

根据Recorded Future对C2服务器并发活动的采样数据显示，僵尸网络的活跃规模差异很大；在给定时间内维护的C2服务器，TrickBot为132台，Bazar最多达到99台，IcedID有83台，QakBot有72台，Dridex有32台。这一衡量标准只是基于Recorded Future平台中观测到的数据，并未考虑运营商如何划分基础设施。

    1）QakBot（QBot）

恶意软件的资源节中包含的配置文件显示，QakBot样本对应的平均C2数量最多。通过提取QakBot配置，观察到大约3200个IP地址；通过主动扫描观察到516个服务器。需要说明的是，由于有些QakBot样本使用TCP高端口，部分地阻碍了主动扫描。整个2021年的C2基础设施按照威胁行为划分。TR（ChaseLdr，TA577）和Obama部署的QakBot样本之间共享了95%的基础设施，Biden和Clinton的样本之间也共享了95%的基础设施。Abc分支机构相对独立，与Biden和Clinton的基础设施只有8%的重叠。此前，TR和Biden的附属机构在基础设施方面有很大的重叠。

    2）TrickBot

TrickBot在2021年间的大量基础设施部分按僵尸网络可以分割成2个不同的分支。每个分支都于2021年初由不同的服务器类型构建，然后从2021年3月开始使用雷同但分明的C2节点。Recorded Future的观测显示，“原始分支”为TrickBot客户端提供服务，而“二级分支”由TrickBot运营商或高度信任的分支机构使用。这种转变很可能是一种弹性工作：即使感染量较多的分支被删除或阻止，TrickBot操作员仍可以通过二级僵尸网络分支继续发送垃圾邮件。

    3）Bazar Family

BazarLoader（YerLoader、BazaLoader和KEGTAP）和BazarBackdoor（Syndet、BEERBOT）经常共享基础设施或部署类似的服务器配置。尽管该家族最初确实使用了Emercoin DNS（EmerDNS）作为命令和控制的主/备份域，运营商在2021期间经常依赖更直接的IPv4地址。BAZAR家族比这里列出的其他家族更能不断地进化他们的服务器软件，并在2021期间同时部署多个服务器配置，这可能是为了逃避检测。

    4）Dridex

相比之下，Dridex在其配置中硬编码的C2s列表要小得多。每个Dridex分支机构都使用嵌入在Dridex主负载中的不同配置文件。成员ID定期轮换或老化，这使得随着时间的推移很难跟踪其客户端或分发方法。Dridex定期更新其载荷，使其更隐蔽，但没有迹象表明，在Emotet被捣毁后，它对其基础设施也做了同样的更新。

    5）IcedID （BokBot）

与其他僵尸网络不同，IcedID不公开跟踪其客户或用户，但Recorded Future相信其开发者是在分支模式下运营的。IcedID基础设施在运营安全方面不太成熟，尽管识别其服务器的方法已经公布，但相同的服务器池仍在继续使用。因此即使IcedID成功地实现了感染，在后续的安全运营方面也赶不上其它家族。

   6）Emotet

Emotet的回归理所当然地引起了安全研究人员的担忧。在TrickBot加载新的Emotet样本后的24小时内，僵尸网络开始滥发信息。在一周内，第二个分支机构成立，为更多的全球垃圾邮件业务提供服务。在这两个时段，从样本中衍生出了40个经过正面识别的Emotet C2，另有45个服务器共享服务器模式，它们可能会被Emotet用作第1层服务器。观察到至少有4台服务器同时托管Dridex和Emotet Tier 1控制器软件。虽然总数并不比这里提到的其他僵尸网络多，但基础设施的创建率表明，运营人员有雄心让Emotet恢复其以前的知名度和权力。

Recorded Future观察了在130个不同国家的1650个托管提供商上创建C2基础设施的情况。虽然被滥用的服务器覆盖了全球大部分地区，但只占AS运营商总数（超过60000家）中一小部分。数据显示，最大的托管提供商在C2托管方面被滥用最多，2021年有20家AS运营商（占观察到的ASN总数的12%）被检测出超过100个C2服务器。如图1与表4所示，2021年：

（1）1630个AS运营商被观察到有托管C2服务器，但绝大多数只托管了100个或更少的C2。

（2）1454家AS提供商（占观察到的ASN总数的88%）托管的C2服务器不到10台。

（3）858家AS运营商（占观察到的ASN总数的52%）被观察到只托管1台C2服务器。

（4）130个国家被观察到托管C2服务器，其中24个国家仅承载1台C2服务器。

（5）美国发现4654台C2服务器，排名第一。

_{图1：检测到的C2服务器总数最多的国家（来源：Recorded Future）}

_{表4：托管最多的托管服务提供商}

在所有观察到的拥有托管C2的ASN中：Digital Ocean托管的C2服务器最多，为968台（7.1%），其中最常见的家族是Cobalt Strike，共识别出167台服务器；紧随其后的是Choopa LLC（最近更名为Constant Company），这是一家在美国以外运营的虚拟专用服务器提供商；2020年观察到的托管C2最多的Amazon.comInc.，在2021年跌至第三位。

虽然这些托管提供商提供了最多的C2服务器，但与其管辖范围内的服务器总数相比，C2服务器所占的比例微乎其微。表5显示了拥有C2服务器比例最高的10家供应商。这里的占比，是2021中观察到的C2服务器与AS公布的IPv4前缀的数量与相比。

_{表5：托管 C2 服务器占总服务器百分比最高的托管服务提供商}

研究人员预计，2022年C2服务器将采取更多的隔离措施和变化手段来躲避检测。为应对类似2020年那样被取缔的情况，TrickBot的运营商强化了他们的基础设施，以容纳更多的全球VPS服务器，这与他们之前依赖受感染的MikroTik路由器形成鲜明对比。从打击TrickBot和Emotet的行动中吸取的经验教训可能会使他们更依赖于破解设备、基础设施定期回收以及使用更具弹性的流量加密方法。

此外，Cobalt Strike用户也可能采用类似的方法来保护团队服务器免受研究人员的窥探。这或许将导致来自已知扫描引擎的流量下降，并使用重定向来掩盖团队服务器（或其他C2节点）的位置。这种趋势可能已经开始：黑莓基于提取配置和互联网扫描的检测方法，识别出的团队服务器数量大约是单独扫描的两倍。随着团队服务器隔离性的加强，互联网扫描已经成为威胁情报提供者的战场并引起攻击者和红队运营商的注意。

最后，C2环境预计将变得更加多样化。随着新的恶意软件家族和C2框架的发布，一部分攻击者将了解扫描和检测其服务器的威胁情报措施。这可能会在短期内部分降低威胁情报扫描工作的效率，但在中长期内会产生新的创造性方法。这场探测“猫鼠游戏”仍将继续，双方将不断创新以挫败对方。

为了辅助保护系统，研究人员提出以下建议：

（1）使系统和软件保持最新，并有可靠且经过测试的备份方法。

（2）由于暴露在外的RDP服务器经常被威胁参与者滥用，如果远程访问解决方案对日常运营至关重要，那么所有远程访问服务（如Citrix或RDP）都应该通过多因素身份验证来实现。

（3）使用高强度、复杂的密码对敏感文件进行密码保护。

（4）深度检测。

（5）主动检测为防御者创造了优势，让他们有准备时间来优化基于文件和网络的检测。

（6）通过SIEM中的关联搜索和Sigma查询，对常见的开源工具进行深度检测，以发现可疑行为、YARA中的可疑文件内容，以及Snort中的可疑或恶意网络流量。

（7）对每个家族的检测结果表明，开源工具的使用量在增加，在企业环境中进行基于网络和主机的检测时，优先考虑这些家族。

（8）外部网络检测只是检测过程的一部分，计算信标间隔标准偏差的深度检测方法或使用YARA进行内存检查，可以帮助识别恶意活动。

原文：

https://www.recordedfuture.com/2021-adversary-infrastructure-report/

编辑 | 陈潇

编审 | 李小萌、金矢

本文为CNTIC编译整理，不代表本公众号观点，转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。