卡巴斯基:2019Q3高等持续性要挟(APT)趋向剖析报告 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

卡巴斯基:2019Q3高等持续性要挟(APT)趋向剖析报告

申博_安全预警 申博 41次浏览 未收录 0个评论

菲律宾娱乐

菲律宾娱乐提供最新的娱乐新闻八卦头条,电竞资讯新闻,主播资料大全,主播视频合集的综合性娱乐文章站,全新全意为用户带来第一手娱乐资讯。

,

序言

卡巴斯基环球研讨与剖析团队(GreAT)在近两年多来一向在宣布高等延续性要挟(APT)运动的季度报告。这些报告内容主要基于我们的要挟谍报研讨,供应了我们在内部APT报告中已宣布、细致议论的内容。我们愿望经由历程该报告,凸起展示应当充足引发人人关注的严重事宜和发明。

本报告重点关注我们在2019年第三季度视察到的歹意运动。

主要发明

2019年8月30日,来自Google Project Zero团队的Ian Beer宣布了一份剖析报告,对在野外发明的14个iOS 0-day破绽举行了剖析,并在5个破绽应用链中运用了这些0-day,以提拔未知要挟参与者的特权。只管运用水坑进击在2010年以后的几年中比较盛行,但时至今日,已不再那末盛行。依据Google的说法,很多被水坑进击的网站能够在三年前就宣布了破绽应用顺序。只管文章中没有包含有关感染网站或许它们是不是依然运动的细致信息,但该系列文章宣称,这些网站每周依然有不计其数的接见者。用于感染用户的第一阶段Webkit破绽应用顺序之间没有任何差异,只是换成了受益者在iPhone上运用Safari阅读网站,该破绽也存在于其他阅读器(比方:Chrome)中。进击者没有针对特定目的发起进击,但依据受益者用户的人数,表明该进击多是针对特定群体的,这些被水坑进击的网站都包含一些邻近的话题。这一系列文章没有更深切地揭破要挟参与者,然则该歹意构造能够在两年内不停更新破绽应用链,这表明该构造具有大批资本,而且有比较高等的手艺才能。在感染后,歹意软件一般不会被受益者感知到,将会每隔60秒对其C2举行一次Ping操纵。歹意软件能够接见体系中的种种文件,同时还能够追踪GPS定位。关于进击者来讲,没有任何要领能防备用户重新启动计算机,然则从受益者帐户中盗取登录Cookie的功用能够继承为进击者供应接见此数据的权限。

在Google的博客文章宣布后不久,Volexity宣布了有关进击中用于分发歹意软件的水坑网站的更多细致信息,指出“针对维吾尔族群众的战略性网络入侵”。Citizen Lab宣布了针对Android的研讨效果,指出在2018年11月到2019年5月之间,位于中国西藏某构造的高等成员是此次进击的目的人物(被Citizen Lab称为POISON CARP),进击者假装非政府构造工人、记者或其他冒充身份,应用WhatsApp中的歹意链接来完成进击。这些链接指向能应用网络阅读器破绽的代码,这些破绽能够在iOS和Android装备上装置特务软件,偶然还能够在OAuth网络垂纶页面上装置特务软件。

在2019年9月上旬,0-day掮客公司Zerodium示意,Android破绽如今已比iOS破绽更加抢手,破绽应用者如今愿望为Android 0-day破绽付出250万美元。这一金额,与该公司曾为长途iOS逃狱破绽所付出的200万美元的最高奖金有了显著的增进。相比之下,Zerodium还减少了对Apple一键破绽应用的付出。同一天,在Android媒体驱动顺序v412(Video4Linux)驱动中发明了一个高危的0-day破绽。Google在2019年9月的平安更新中未包含此破绽,该破绽能够致使特权晋级。在几天后,发明了一个Android破绽,使凌驾10亿的三星、华为、LG和索尼智能手机易受进击,进击者能够应用短信息完整接见受感染装备上的电子邮件。

与俄罗斯相干的歹意运动

Trula(又称为Venomous Bear、Uroburos和Waterbug)对其东西集举行了严重更新。在视察中亚区域的歹意运动时,我们发明了一个新型后门,我们以为该后门很有多是这一APT构造开辟的。这个歹意软件名为Tunnus,是基于.NET的后门顺序,能够在受感染的体系上运转敕令或实行文件操纵,并将效果发送到C2。停止现在,C2基本构造都是运用具有破绽的WordPress易受进击站点建立的。依据我们的遥测,Tunnus的歹意运动最先于2019年3月,在我们7月宣布内部报告时该歹意软件依然坚持活泼。

Trula还将其臭名远扬的JavaScript KopiLuwak歹意软件包装在一个名为Topinambour的投放东西中,这是一个新的.NET文件,该构造正在运用新文件经由历程受感染的装置顺序包分发和投放KopiLuwak,这些装置顺序用于VPN等正当软件顺序。个中的一些修正是为了协助Turla回避检测。比方,C2基本构造运用的IP地点好像是模拟一般的LAN地点。该歹意软件险些完整是“无文件的”,感染的末了阶段是一个用于长途管理的加密木马,会修正用户计算机的注册表,以保证歹意软件在预备就绪时能够接见。另有两个类似于KopiLuwak的木马,分别是运用.NET的RocketMan,以及运用PowerShell的MiamiBeach木马,它们用于网络特务运动。我们以为,要挟行动者会布置这些版本,并运用能够检测KopiLuwak的平安软件来庇护其目的。这三个植入东西都能够对目的举行指纹辨认,网络有关操纵体系和网络适配器的信息,盗取文件,同时还能够下载并实行其他歹意软件。MiamiBeach还具有截图功用。

9月,Zebrocy歹意软件影响着全部欧洲,触及多个北约国度及协作伙伴,该歹意软件尝试猎取电子邮件通讯、凭证和敏感文件的接见权限。这一次的歹意运动类似于以往的Zebrocy歹意运动,在电子邮件中运用了与目的相干的内容,ZIP附件中包含无害的文档,以及运用修正后的图表和雷同文件名的可实行文件。该歹意构造还应用长途Word模板从正当的Dropbox文件同享站点提取内容。在这次进击者,Zebrocy运用Go言语的后门和Nimcy变种,针对欧洲和亚洲的国防及交际目的发起进击。

与中国相干的歹意运动

活泼了几年之久的HoneyMyte(又称为Temp.Hex、Mustang Panda)在过去几年中采纳了差别的手艺来完成进击,而且专注于种种目的设置文件。在从2018年年中最先的初期进击中,该要挟参与者布置了PlugX植入东西以及类似于CobaltStrike的多阶段PowerShell剧本。该歹意运动针对缅甸、蒙古、埃塞俄比亚、越南和孟加拉国的政府实体。近期,我们发明了HoneyMyte的一组新歹意运动,这些歹意运动依赖于几种东西的进击,详细包含:(1)PlugX植入东西;(2)一个多阶段东西包,类似于CobaltStrike多阶段东西和无阶段投放东西,个中包含PowerShell、VB剧本、.NET可实行文件和Cookie盗取东西等;(3)应用DNS挟制歹意软件举行ARP投毒,经由历程HTTP向中毒的主机供应Flash更新和Microsoft更新,以举行横向挪动;(4)种种体系和网络实用顺序。考虑到该歹意运动中,以缅甸天然资本管理相干的政府构造和非洲的主要大陆构造为目的,我们以为HoneyMyte的主要目的就是网络地缘政治和经济谍报。只管军事构造的目的是孟加拉国,但一般目的能够与该区域的地缘政治运动有关。

在2019年终,我们在中亚和中东都发明LuckyMouse歹意运动趋向有显著增进。关于这些新的运动,进击者好像将重点放在电信运营商、大学和政尊府。其感染序言是直接进击、鱼叉式网络垂纶以及潜伏的水坑进击。LuckyMouse并没有转变其任何TTP(战术、手艺和顺序),而是继承依托本身的东西在受益者的网络找到立足点。新的歹意运动将HTTPBrowser作为第一阶段,然后将Soldier Trojan作为第二阶段。进击者对其基本构造举行了调解,现在他们依托IPv4地点作为其C2,而不再是域名,这一调解能够视为是进击者在尝试限定其相干性。在9月份我们宣布有关LuckyMouse的内部报告时,该进击者依然在延续运动。

我们在2018年1月的内部报告《ShaggyPanther:亚太区域华语歹意运动汇总》中引见过ShaggyPanther,这是一套曾针对台湾和马来西亚发起进击的歹意软件和入侵组件。相干组件和歹意运动的汗青能够追溯到十年前,类似的代码能够追溯到2004年,其编译时候戳一向存在。今后,我们屡次检测到ShaggyPanther的歹意运动,近来一次发明是在7月份,在一台位于印度尼西亚的效劳器上发明,与此同时,3月份时我们还在叙利亚发明该歹意运动的存在。经由比较,我们发明在2018年和2019年的后门代码中包含了新的殽杂层,而且不再保护明文C2字符串。现在,我们已肯定了效劳器的初始感染序言,是一个在多个中国歹意构造之间同享的WebShell——SinoChoper/ChinaChopper。SinoChoper不仅能够用于辨认主机、开启后门,还能够盗取电子邮件存档或举行其他歹意运动。只管并不是一切事宜都能追溯到效劳器端的破绽应用,但我们确切发明了这两种状况,并获得了有关其分阶段装置历程的信息。在2019年,我们视察到ShaggyPanther针对Windows效劳器发起进击。

运用 Ghidra 剖析 phpStudy 后门

这次事件已过去数日,该响应的也都响应了,虽然网上有很多厂商及组织发表了分析文章,但记载分析过程的不多,我只是想正儿八经用 Ghidra 从头到尾分析下。 1 工具和平台 主要工具: · Kali Linux · Ghidra 9.0.4 · 010Editor 9.0.2 样本环境: · Windows7 · phpStudy 20180211 2 分析过程 先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。 根据网上公开的信息:后门存在于 php_xmlrpc.dll 文

中东区域

在8月1日,Dragos宣布了一篇名为《石油和天然气要挟透视择要》的进击概述,个中形貌了一个被称为Hexane的新要挟参与者。依据该报告,Hexane已对准非洲、中东和西南亚的石油、天然气和电信行业。Dragos称他们已在2019年5月肯定了该构造,并将其与OilRig和CHRYSENE关联。只管还没有公然宣布IoC,但一些研讨职员已在Twitter中同享相干哈希值,以回应Dragos的状况表露。我们的剖析表明,基于TTP举行剖析,Hexane与OilRig现实上仅稍有类似,Dragos也在研讨中提到了这一点。假如现实如此,近期来自Lab Dookhtegan和GreenLeakers的泄密事宜就该构造的涌现供应了一些假定。因为暴露和进击要领的走漏,OilRig能够只是更换了其东西,并坚持继承运转。这意味着,他们会对该歹意构造的公然表露展开天真且敏捷的相应。或许,有多是一些目的类似的新型构造运用了一些OilRig的TTP。Hexane的歹意运动好像从2018年9月摆布最先,第二波歹意运动在2019年5月最先。在一切进击历程当中,所运用的东西都是由具有履历的开辟职员开辟而成的。投放东西的不停发展好像表明,在重复实验的历程当中,进击者正在测试怎样更好地回避检测。我们之所以依据TTP推断该歹意运动与此前的OliRig歹意运动相干联,是依据前文所形貌的重复实验历程、经由历程鱼叉式网络垂纶分发简朴的投放东西,以及基于DNS的C2渗入。

Symantec在2019年9月18日表露,TortoiseShell是一个与未知APT参与者相干的新型歹意运动集群。Symantec宣称歹意运动最初最先在2018年7月,而且一年后依然在运动。Kaspersky还发明了差别的TortoiseShell组件,最早能够追溯到2018年1月。依据我们的遥测,迄今为止,一切的进击都发生在沙特阿拉伯。Symantec的报告还证实,发明的大多数现实感染都在雷同的位置。进击者布置了Syskit后门,然后将其用于侦探环节。布置在受益主机上的其他东西能够网络文件,并运用RAR举行紧缩,以尝试网络更多的体系信息。在个中一个案例中,进击者布置了TightVNC长途管理东西来猎取对计算机的完整接见权限。Symantec在这些受益者计算机中提取到了OliRig歹意东西的陈迹,我们没法证实这一点。另外,他们还在文章中提到了经由历程供应链进击举行分发的能够性。我们看到,该歹意软件是经由历程捏造的应用顺序完成分发,时候约莫在报告宣布前的2个月。我们宣布报告时,正值沙特阿拉伯的国度假期,但在报告宣布后不久,这个网站就被激活了。但是,我们没有发明任何能够发生要挟的供应链进击应用顺序。

东南亚和朝鲜半岛

近来,我们发明了伪装成挪动通讯顺序、与加密钱银应用顺序相干的新型Android歹意软件。这类新型歹意软件与KONNI之间存在多少联络,KONNI是Windows环境下的一种歹意软件,曾用于进击人权构造和对朝鲜半岛事件感兴趣的个人或构造。KONNI此前也曾陈对加密钱银举行进击。被感染的应用顺序不会从特定的生意业务应用顺序中盗取加密钱银或改动钱包地点,该歹意软件具有完整的功用,能够掌握受感染的Android装备,并运用这些功用来盗取个人加密钱银。我们与当地CERT严密协作,以封停进击者的效劳器,从而使我们有机会对其举行视察。

近期,我们跟踪了BlueNoroff的新型歹意运动。特别要提出的是,我们在缅甸发明了一家遭到该歹意运动损害的银行,并与其分享了我们发明的IoC。经由历程如许的协作,我们能够获得有关进击者怎样横向挪动以接见高代价主机的有用信息,比方:运用SWIFT的银行体系工程师的主机。进击者运用公然的登录凭证转储顺序和克己的PowerShell剧本举行横向挪动。BlueNoroff还采纳情势不太罕见的新型歹意软件,能够会影响我们的剖析进度。依据敕令行参数的差别,这个歹意软件能够作为被动后门、主动后门或隧道东西运转。我们置信,该歹意构造会依据差别的体式格局运转此东西。另外,我们发明该要挟参与者进击土耳其的目的时,运用了另一种PowerShell剧本。该PowerShell剧本具有与此前类似的功用,但BlueNoroff不停对其举行修正,以回避检测。

Kaspersky视察到了他们近来一次的歹意运动,该运动应用了FireEye称为DADJOKE的歹意软件。该歹意软件在2019年1月初次在野外运用,今后一向不停发展。自2019年1月以来,我们仅视察到该歹意软件在较少的歹意运动中运用,一切进击都针对东南亚区域的政府、军事和交际实体。近来的歹意运动在8月29日展开,好像只针对为军事构造工作的少数职员。

Andariel APT构造被以为是Lazarus的一个部属构造,近来一次是在2017年被韩国金融平安研讨所(FSI)报告。该要挟参与者一向专注于韩国的地缘政治特务运动和金融谍报。我们已宣布了有关该歹意构造的几份内部谍报报告。近期,我们视察到该要挟参与者展开了新的运动,针对易受进击的WebLogic效劳器构建新的C2基本架构,在我们剖析的示例中为CVE-2017-10271。在胜利打破后,进击者植入了带有韩国平安软件供应商正当署名的歹意软件。因为韩国CERT敏捷回响反映,这一证书很快被打消。该歹意软件是一种称为ApolloZeus的新型后门,由具有庞杂设置数据的Shellcode包装顺序启动。该后门运用相对较大的Shellcode,以使剖析历程变得异常难题。另外,它还完成了一组功用,能够实行终究的Payload。该歹意软件的发明,让我们找到了几个相干的样本,以及进击者用来分发该歹意软件的文档,从而使得我们对歹意运动有了更好的相识。现实上,我们以为该进击是历久歹意运动中的前期预备阶段,能够表明进击者运用我们新发明的东西替换掉歹意软件框架。

其他值得关注的发明

在有名的Shadow Brokers走漏“Lost in Translation”中,包含一个值得关注的Python剧本sigs.py,该剧本包含很多功用来搜检体系是不是已被另一个要挟参与者攻下。每个搜检都被完成为一个函数,该函数在体系中寻觅唯一的署名,比方:具有唯一称号或注册表途径的文件。只管某些搜检为空,但sigs.py中照样列出了44个条目,个中很多都与还没有公然表露的未知APT相干。在2018年,我们肯定了sigs.py文件中包含的第27个函数的APT构造,将其称为DarkUniverse。依据个中唯一的代码堆叠,我们以为DarkUniverse能够与ItaDuke歹意运动相干联。其主要组件是一个相称简朴的DLL,仅具有一个导出的功用,该功用完成了持久性、歹意软件完整性、C2通讯以及对其他模块的掌握。我们在西亚、非洲东北部发明了约莫20名受益者,个中包含医疗机构、原子能机构、军事构造和电信公司。

自2019年年终以来,我们已视察到用于Android的新型RCS(长途掌握体系)植入东西的运转状况。RCS为差别的客户运用差别的水印,这使得我们能够在野外关联歹意运动,以猎取该歹意软件是不是依然在运用的全局信息,包含近来的示例。我们发明,2月份在埃塞俄比亚运用了RCS,而在摩洛哥也检测到带有雷同水印的其他样品。所运用的布置要领取决于要挟参与者,最罕见的要领包含运用马上通讯效劳(Telegram和WhatsApp)将带有RCS的正当后门应用顺序直接发送到目的。

总结

为了回避检测,要挟参与者正在不停更新其东西集。在本季度,我们已在Turla的Tunnus后门和Topinambour投放东西的开辟历程当中清晰地看到这一点。

然则,当视察到一个新型歹意运动时,我们并不能马上清晰所运用的东西是由原有的要挟参与者对其东西修正而来,照样由现有的APT构造开辟的全新东西。以Hexane为例,现在尚不清晰这是OilRig的一项新开辟效果,照样由位于中东、非洲和亚洲西南部区域具有类似目的的新歹意构造运用OilRig的TTP展开的进击。

在第二季度的报告中,我们初次注意到,以韩国为中间的APT歹意运动继承主导着东南亚区域的歹意运动。

只管Zerodium在iOS破绽方面的付出低于Android破绽,但明显这些挪动装备破绽依然在以很高的价钱出卖中。我们对RCS植入顺序在Android上的延续运用举行了研讨,同时Google和Citizen Lab对多个iOS 0-day破绽应用也举行了研讨,上述研讨都配合展现了一个现实——挪动平台如今已成为APT进击的新目的。

与平常一样,我们会在末了申明,我们的报告是对已知要挟情势的剖析。然则,须要再次强调的是,只管我们不停勤奋革新,但依然会有一些庞杂的进击未被我们发明。

本文翻译自:https://securelist.com/apt-trends-report-q3-2019/94530/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明卡巴斯基:2019Q3高等持续性要挟(APT)趋向剖析报告
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址