卡巴斯基:APT构造2019行动大清点(上) | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

卡巴斯基:APT构造2019行动大清点(上)

Sunbet_行业观察 申博 168次浏览 已收录 0个评论

期近将过去的2019年,APT构造又做了哪些恶?它们的生长意向是什么?我们又能从个中挖掘出如何的规律?这些问题想要直白回覆并不随意马虎,因为研究职员不大概完整相识一切进击事宜及它们背地的生长效果,但我们可以试着从差别的角度来处置惩罚这个问题,以便更好地明白所发作的事变,并从中取得后见之明。

供应链进击

近年来,供应链进击是最风险和有用的感染门路之一,越来越多地被用于高等进击行动中——个中最着名的要当属ShadowPad后门、讹诈软件ExPetr和被后门化的东西CCleaner。这类进击针对了产物生命周期中,从初始开发阶段到终究用户的各个环节,触及人力、构造、物质和智力资本的种种。哪怕供应商的基础装备是平安的,但其供应商的装备中大概包含破绽,从而危害到供应链,致使毁灭性和不测的数据走漏变乱。

本年1月,我们就发明过一同名为ShadowHammer 行动的供应链进击事宜。进击者以华硕的及时更新运用递次为感染初始源举行进击。这类及时更新运用递次是一种预装运用,用于自动举行BIOS、UEFI驱动和运用递次更新。进击者运用盗取到的华硕数字证书对旧版本的华硕软件举行变动,注入本身的歹意代码,包含木马的华硕运用递次运用了正当的数字署名,而且被放到官方的华硕更新服务器上举行流传和下载,使得大多数平安解决方案没法将其辨认。据估计,有 50 万用户经由历程华硕的自动更新收到了歹意后门,但进击者只对个中 600 台计算机发动了针对性的后续进击。

APT构造信息反走漏

本年3月,有人在Twitter上走漏了隶属于伊朗国度背景的APT进击构造APT34(别名oilrig、HelixKitten)的黑客东西及相干职员信息。平安专家证明走漏信息确切跟APT 34构造有关。宣布的信息还包含66个APT34构造受害者,主如果中东区域的政府机构和金融、动力等企业,与之前所掌握关于APT 34构造的状况符合。

4月22日,另一针对中东国度区域的APT构造MuddyWater信息又遭暴光,一个名为Bl4ck_B0X的用户在Telegram频道上宣布了MuddyWater构造成员信息,以至详细到成员的父母和配头,4月27日还暴光了 其C2服务器的相干信息,但到了5月1日,该频道对民众封闭,状况改成私家,封闭的缘由尚不清晰。

今后Hidden Reality网站上又暴光了伊朗RANA研究所数据,此次进击者挑选了任何人都能阅读的网站,披露了RANA机构计算机收集运营相干的内部文档、聊天记录,以及受害者信息等。此前揭秘的信息更多会集合在东西、源代码和设置文件上。

第三季度,中东区域的APT局势生长值得关注,尤其是伊朗短时间内又发作了多起数据泄密事宜。

在对走漏者所运用的材料,基础装备和专用网站的仔细剖析后,我们推想上述这些事宜大概都与Sofacy / Hades构造有关。

新构造现身

2017年,神奇黑客整体Shadow Brokers走漏了一个名为“ Lost in Translation ”的数据库,据称是从美国国度平安局(NSA)处入侵取得,包含一系列破绽应用和黑客东西,比方赫赫有名的永久之蓝破绽和WannaCry讹诈病毒。

但重点是,走漏的文件中另有一个名为sigs.py的Python剧本文件,该文件被NSA用作内置的歹意软件扫描递次,可以搜检体系是不是已被另一个APT构造损坏,即他国网军的进击陈迹,从而经由历程是不是存在进击陈迹而实行下一步支配。文件实行的每次搜检都是作为在体系中查找唯一署名的函数完成的,比方唯一称号或注册表途径的文件。sigs.py中列出了44个条目,也就是NSA能辨认的44个APT构造,个中许多APT构造都还没有暴光于民众眼前。

而本年,我们肯定了sigs.py文件中标注的第27个APT构造——DarkUniverse。依据代码相干性,我们以为 DarkUniverse 就是支配ItaDuke 歹意行动的幕后黑手,此次行动针对西亚和非洲东北部的医疗机构、核能机构、军事构造和电信公司举行,共有20多个单元受到影响。他们运用的重要组件是一个相称简朴的 DLL,仅具有一个导出的功用,却能完成了持久性、歹意软件完整性、C2 通讯以及对其他模块的掌握。

挪动进击

挪动进击如今险些成了每一个APT构造的标配了,2019年有许多如许的案例发作。

本年5月,英国《金融时报》报导称,黑客应用了WhatsApp的一个0 day破绽,能读取用户的加密聊天记录、开启麦克风和摄像头、装置特务软件等,而应用破绽的历程只需要进击者经由历程WhatsApp给用户打电话即可,经由历程呼唤触发WhatsApp的缓冲区溢出,进而让进击者掌握运用递次并在个中实行恣意代码。WhatsApp很快就宣布了一个破绽补丁。10月,WhatsApp对以色列NSO团体提起诉讼,控告后者对这一破绽的开发应用行动,并宣称NSO将此手艺用于20个差别国度的1400多名客户身上,个中包含人权活动人士、记者及其他相干人士,但诉讼遭到了NSO的反对。

7月,我们引见了在野发明的最新版FinSpy特务软件。FinSpy是由德国Gamma Group公司制作的特务软件,经由历程其在英国的子公司Gamma Group International向环球的政府和执法机构出卖,被用于在种种平台上收集用户的私家信息。FinSpy有iOS和Android两个版本,出如今近20个国度。

8月,谷歌的Project Zero团队宣布报告剖析了最少14个在野发明的iOS 0 day破绽,这些破绽被用在5个开发链中,影响从 iOS 10 到 iOS 12 的险些每一个版本。14个破绽中有 7 个面向 iPhone 的 Web 阅读器、五个面向内核、两个瞄向零丁的沙箱转义。据谷歌报导,进击者大概从三年前就入手下手对一些网站提议水坑进击,但谷歌没有枚举被入侵网站的详细信息,只宣称这些网站“每周都有不计其数的接见者”,是一种没有针对性的进击。

9月,“收集军火商”Zerodium公司示意,Android的0 day如今要比iOS的代价高,公司愿意为零点击的Android 0 day付出250万美元的用度,比拟该公司之前为长途iOS逃狱付出的200万美元的上限有了大幅进步。统一月份,Android媒体驱动递次v412 (Video4Linux) driver被曝出高危0 day破绽,同时又曝出另一Android破绽,进击者可以运用SMS音讯完整接见受感染装备上的电子邮件,这一破绽使凌驾10亿的三星、华为、LG、索尼等智能手机受到影响。

APT构造的生长意向

Turla

本年在视察中亚的一些歹意活动时,我们肯定了一个名为Tunnus的新后门,并将其归于Turla APT构造。Tunnus是基于.NET的歹意软件,可以在受感染的体系上运转敕令或实行文件支配并将效果发送到C2。

Turla还建立了一个名为Topinambour的新dropper,用于分发其臭名远扬的歹意软件JavaScript KopiLuwak。歹意软件险些完整是“无文件的”:只要在感染的末了阶段,将一个用于长途治理的加密木马嵌入计算机的注册表中。Turla构造还用两个跟KopiLuwak相似的歹意软件举行收集特务活动——.NET RocketMan木马和PowerShell MiamiBeach木马。

Turla的另一款新东西Reductor是COMPfun木马的继续者,进击者入侵Chrome和Firefox阅读器后可以应用TLS追踪用户。Reductor一个有目共睹的方面是,进击者花了许多精神来支配已装置的数字根证书,并运用唯一的与主机相干的标识符标记出站TLS流量。该歹意软件将嵌入式根证书增加到目标主机,许可支配员经由历程定名管道长途增加其他证书。进击者不需要打仗收集数据包,相反,他们剖析了Firefox源代码和Chrome二进制代码,修改了个中的PRNG代码,并针对每一个用户增加唯一的标识符,从而使TLS流量带有唯一的指纹,致使黑客可以随意马虎在收集上追踪来自受感染主机的加密流量。

Sofacy

2019 SWPU CTF Web Writeup

前言 12月比赛有点少,手有点生了,发现SWPU又开始了,还记得去年质量挺高的,于是来玩玩,下面是web的解题记录。 easy_web 随便注册一个用户进入,发现有广告发送的地方,随手测试: 点入发现触发了sql报错: 随手又试了一下: 发现确实可以闭合: 首先尝试联合查询注入: exp:
0′ union select  1,2,3,’a’=’a
waf:
0’unionselect1,2,3,’a’=’a 发现空格会被替换成空,于是尝试用如下方式bypass: 0’/**/union/**/select/**/1,2,3,’a’=’a 但发现列数过多,随机放弃这个方法,选择报错注入: 1’/**/||/**/ST_LatFromGeoHash(concat(0x7e,(select/**/database()),0x7e))/**/||’a’=’a 测试过程中发现,o

Zebrocy是我们于2015岁尾发明的一款归属于Sofacy构造的歹意软件家属,由Delphi下载器、AutoIt下载器和Delphi后门构成,重要针对欧亚区域举行特务活动。本年Zebrocy再次升级,在6月份对东南亚某一交际事务机构的进击中运用了一个新Python剧本——PythocyDbg,此剧本重要供应收集代办和通讯调试功用的隐秘收集。

早在2019年终,Zebrocy就改变了开发方向,运用了Nimrod/Nim言语,这是一种语法相似于Pascal和Python的编程言语,可以把目标递次编译为JavaScript 或 C 言语。该构造用于鱼叉式收集垂纶的Nim下载递次和其他Nim后门代码现在都由Zebrocy生成,并与AutoIT剧本、Go和Delphi模块一同托付。

本年9月,Zebrocy在欧洲多地提议进击,试图猎取电子邮件通讯、凭据和敏感文件,此次行动重要针对的是列国的国防和交际机构。

Platinum

6月,我们发明一系列高度庞杂的收集特务进击行动,其目标是盗取南亚的交际、政府和军事实体的信息。这些进击行动延续了近六年,对个中运用的东西手腕进一步视察后发明,背地的进击者为PLATIUM构造——一个我们以为已消逝的收集特务构造。能在云云长的时间里坚持行动隐藏,是因为Platinum运用了一种前所未见的隐写手艺。

而本年岁终,我们又发明了Platinum的一个新后门——Titanium,该歹意软件与一个称为ProjectC的东西集之间存在某些相似性,申明之前应用ProjectC举行的CloudComputating行动也可以归因于Platinum。

Lazarus

客岁,Lazarus构造应用AppleJeus歹意软件对Mac OS用户睁开加密钱银盗取行动,本年又运用自定义PowerShell剧原本治理和掌握Windows/macOS 歹意软件,进一步拓展了加密进击。

Lazarus更新东西的速率很快,除了加密进击外,还盗取了韩国某游戏公司的递次源码售卖。到了三季度,又入侵了缅甸一家银行,经由历程群众登录凭据转储递次和克己的PowerShell剧本举行横向挪动来猎取高代价主机信息。

Lazarus旗下有两个子构造,离别名为BlueNoroff和Andariel,后者专注于韩国的地缘政治和金融谍报的特务活动。本年,Andariel为易受进击的weblogic服务器构建新的c2基础装备,进击者胜利后会植入了由韩国平安软件供应商正当署名的歹意软件。因为韩国方面的快速反应,这个署名很快就被撤销了。歹意软件是一种全新的后门,名为Apollozeus,它是由一个具有庞杂设置的shellcode启动的。这个后门运用了一个相对较大的shellcode,以使剖析变得难题。别的,它还会郑重地实行终究的有用负载。这个歹意软件的发明让我们找到了几个相干的样本,以及进击者用来流传它的文档。

DarkHotel

10月,我们发明了一同面向朝鲜的垂纶进击事宜,重要针对贩子,交际实体和人权构造,进击者运用了高针对性的Ghost RAT歹意软件,可完整掌握受害者电脑。据推想,这场行动已举行了三年多。

Lamberts

Lamberts是一个或多个要挟构造都在运用的东西集,它包含收集驱动的后门、几代模块化后门、信息收集东西以及用于实行损坏性进击的擦除器。有关Lamberts的更多信息,请拜见我们之前“拆解Lamberts东西包”的报告。

本年,Lamberts军火库中又增加了几类新武器。Silver Lambert好像是Gray Lambert的继任者,它是一个成熟的后门,能完成一些特定的NOBUS和OPSEC观点,比方经由历程搜检服务器SSL证书哈希来防备C2 sink-holing ,为伶仃实例自动卸载(即C2不可用的处所)和初级文件擦除功用。中国航空部门就受到过Silver Lambert的影响。

Violet Lambert是一种模块化后门,应该是在2018年开发布置的,能在种种Windows版本(包含Windows XP,Vista和更高版本的Windows)上运转,我们在中东区域视察到了它的存在陈迹,同时还发明了别的三种后门——前两个称为Cyan Lambert(包含Light和Pro版本),第三个称为Magenta Lambert,后者重用了较早的Lamberts代码,而且与Green、Black和White Lamberts具有多个相似之处。此类歹意软件能举行收集侦听,守候把戏ping,以及能异常隐藏地实行payload,而我们一向没法对其举行解密。就在我们发明后不久,一切受感染的电脑都离线了。

LuckyMouse

LuckyMouse构造最少自2018年4月以来便一向针对越南政府和交际实体睁开“SpoiledLegacy”进击行动,此次行动被怀疑是是之前IronTiger行动的继续。进击者运用Cobalt Strike和Metasploit渗入测试框架,重要以收集服务的破绽为初始感染序言,别的也经由历程垂纶邮件举行感染。除了渗入测试框架外,进击者还运用NetBot下载器和内网穿透大杀器——EarthWorm,以及将HTran TCP代办源代码包含到歹意软件中来重定向流量。一些NetBot设置数据包含LAN IP,表明它从本地收集中另一台受感染的主机下载下一阶段文件。

LuckyMouse此次的目标依然是内部数据库服务器。感染的末了阶段,进击者针对32位和64位体系,离别运用特制的注入体系历程内存的木马。值得强调的是,感染链中的一切东西,都运用了走漏的HackingTeam代码,动态殽杂Win32 API挪用。

从2019年终入手下手,我们在中亚和中东视察到LuckyMouse活动的激增。进击者好像将重点放在电信运营商、大学和政尊府。感染序言是鱼叉式收集垂纶以及大概的水坑进击。只管客岁有许多文章都议论了LuckyMouse的TTP,但LuckyMouse并没有对其举行任何变动,依然依托本身的东西在受害者的收集中站稳脚跟。在新活动中,他们运用HTTPBrowser作为第一阶段,用Soldier Trojan作为第二阶段。LuckyMouse变动了其基础装备,因为它好像只依赖于IPv4地点,而不是C2的域名,我们以为这是为了限定相干性。

HoneyMyte

HoneyMyte APT已活泼好几年了,在过去的几年中采用了多种手艺,对缅甸、蒙古、埃塞俄比亚、越南和孟加拉国的政府,以及位于巴基斯坦、韩国、美国、英国、比利时、尼泊尔、澳大利亚和新加坡的外国大使馆提议进击。本年将目标瞄准了缅甸天然资本治理相干的政府构造和一个非洲大陆构造,表明HoneyMyte的重要效果之一是收集地缘政治和经济谍报。

Icefog

自2011年以来,Icefog一向针对重要位于韩国,日本和亚洲中部的政府机构、军事承包商、航运构造、电信运营商、卫星运营商、产业和高科技公司和群众媒体。在2013年该构造被暴光后,运作速率有所放慢,但是2018年后,Icefog又入手下手对中亚的政府机构和军事承包商提议了大规模打击。

在最新一波进击中,感染始于包含了歹意文件的鱼叉式收集垂纶电子邮件,应用已知破绽并终究布置了payload。在2018年到2019年终,终究的payload都是典范的Icefog后门,但自2019年5月今后,进击者好像改变了态度,转向运用Poison Ivy后门。Poison Ivy是一类歹意DLL文件,运用了一种称为加载递次挟制(load order hijacking)的手艺,经由历程正当署名的递次举行加载。这类手艺异常广泛,在之前的Icefog活动中也运用过。

在视察历程当中,我们还检测到横向活动中运用的东西,我们视察了从GitHub下载的群众TCP扫描器、从体系内存转储凭据的Mimikatz变体、用于盗取敏感信息的自定义键盘记录递次,以及另一个名为Quarian的新版本后门的运用。Quarian后门被用来在受害者的基础装备内建立隧道以防止收集探测。Quarian的功用包含支配长途文件体系、猎取受害者信息、盗取保留的暗码、下载或上传恣意文件、运用端口转发建立隧道、实行恣意敕令和启动反向shell。
本文翻译自:https://securelist.com/ksb-2019-review-of-the-year/95394/


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明卡巴斯基:APT构造2019行动大清点(上)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址