一例针对中方机构的准APT攻击中所使用的样本分析

Size: px

Start display at page:

Download "一例针对中方机构的准APT攻击中所使用的样本分析"

说惠
5 years ago
Views:

1 一例针对中方机构的准 APT 攻击中所使用的样本分析安天安全研究与应急处理中心 (Antiy CERT) 首次发布时间 :2015 年 05 月 27 日 14 时 32 分本版本更新时间 :2015 年 05 月 27 日 14 时 32 分

2 目录 1 背景事件样本分析前导文件与样本加载关键机理 APT-TOCS 的主样本 (SAMPLEB) 分析脚本 1 分析模块 1 分析模块 2 分析模块 3 分析攻击技术来源的验证分析模块 1 比较模块 2 反汇编指令比较模块 3 数据包对比分析 COBALT STRIKE 特点总结附录一 : 关亍 COBALT STRIKE 及其作者的参考资料附录二 : 关亍安天安天实验室版权所有, 欢迎无损转载第 2 页

3 1 背景安天近期发现一例针对中方机构的准 APT 攻击事件, 在攻击场景中, 攻击者依托自动化攻击测试平台 Cobalt Strike 生成的使用信标 (Beacon) 模式进行通信的 Shellcode, 实现了对目标主机进行远程控制的能力这种攻击模式在目标主机中体现为 : 无恶意代码实体文件每 60 秒发送一次网络心跳数据包使用 Cookie 字段发送数据信息等行为, 这些行为在一定程度上可以躲避主机安全防护检测软件的查杀与防火墙的拦截鉴于这个攻击与 Cobalt Strike 平台的关系, 我们暂时将这一攻击事件命名为 APT-TOCS(TOCS, 取 Threat on Cobalt Strike 之意 ) APT-TOCS 这一个攻击的核心步骤是 : 加载 Shellcode 的脚本功能, 通过命令行调用 powershell.exe 将一段加密数据加载到内存中执行解密后的数据是一段可执行的 Shellcode, 该 Shellcode 由 Cobalt Strike ( 一个自动化攻击测试平台 ) 所生成安天分析小组根据加载 Shellcode 的脚本进行了关联, 亦关联出一个可能在类似攻击中的作为脚本前导执行文件的 PE 程序, 但由于相关脚本可以通过多种方式来执行, 并不必然依赖前导 PE 程序加载, 且其是 Cobalt Strike 所生成的标准攻击脚本, 因此无法判定该前导 PE 文件与本例攻击的关联这种基于脚本 +Shellcode 的方式注入内存执行没有硬盘写入操作, 使用信标 ( Beacon) 模式进行通信, 支持多信标通信, 可以同时和多个信标工作这种攻击方式可以不依赖载体文件进行攻击, 而可以依靠网络投放能力和内网横向移动按需投放, 这将会给取证工作带来极大的困难, 而且目前的一些沙箱检测产品也对这种攻击无效 APT-TOCS 攻击尽管看起来已经接近 APT 水准的攻击能力, 但并非更多依赖攻击团队自身的能力, 而是依托商业的自动化攻击测试平台来达成 2 事件样本分析 2.1 前导文件与样本加载 APT-TOCS 是利用了 powershell.exe 执行 Shellcode 的脚本实现对目标系统的远程控制安天分析人员认为攻击者掌握较多种最终可以达成多种脚本加载权限的远程注入手段, 如利用安全缺陷或漏洞直接实现脚本在主机上执行同时, 通过关联分析, 发现如下的二进制攻击前导文件 ( 以下简称 Sample A), 曾被用于类似攻击 : 病毒名称 Trojan/Win32.MSShell 安天实验室版权所有, 欢迎无损转载第 1 页

但加密数据存在差异, 该 PE 样本曾在 2015 年 5 月 2 日被首次上传到 Virustotal 图 1 PE 文件内嵌的使用 powershell.

4 原始文件名 ab.exe MD5 44BCF2DD262F12222ADEAB6F59B2975B 处理器架构 X86 文件大小 72.0 KB (73,802 字节 ) 文件格式 BinExecute/Microsoft.EXE[:X86] 时间戳 :02:12 数字签名 NO 加壳类型未知编译语言 Microsoft Visual C++ 该 PE 样本中嵌入的脚本, 与安天获取到的 Shellcode 脚本功能代码完全相同, 但加密数据存在差异, 该 PE 样本曾在 2015 年 5 月 2 日被首次上传到 Virustotal 图 1 PE 文件内嵌的使用 powershell.exe 加载加密数据该 PE 样本使用 WinExec 运行嵌入的恶意代码 : 图 2 使用 WinExec 函数调用 powershell.exe 加载加密数据由此可以初步看到, 这一前导文件可以被作为类似攻击的前导, 依托系统和应用漏洞, 不依赖类似文件, 依然可以实现脚本的执行与最终的控制从目前来看, 并不能确定这一前导样本与本起 APT 事件具有关联关系安天实验室版权所有, 欢迎无损转载第 2 页

5 2.2 关键机理 APT-TOCS 攻击远控的核心部分是依托 PowerShell 加载的加密数据脚本 ( 以下简称 Sample_B), 图 1 为脚本各模块之间的衍生关系和模块主要功能 : 2.3 APT-TOCS 的主样本 (SampleB) 分析图 3 各模块之间的衍生关系和模块主要功能 Sample B 文件的内容 (base64 的内容已经省略 ) 如下 : 图 4Sample B 的内容该部分脚本的功能是 : 将 base64 加密过的内容进行解密, 再使用 Gzip 进行解压缩, 得到模块 1, 并使用 PowerShell 来加载执行 2.4 脚本 1 分析脚本 1 的内容 (base64 的内容已经省略 ) 如下 : 安天实验室版权所有, 欢迎无损转载第 3 页

图 5 脚本 1 的内容此部分内容的功能是将经过 base64 加密的数据解密, 得到模块 1, 写入到 powershell.exe 进程内, 然后调用执行 2.

图 6HTTP GET 请求上图为使用 HTTPGET 请求, 获取文件 :http://-----------

图 8 写入模块 3 的数据模块 3 的数据虽然是以 MZ 开头, 但并非为 PE 文件, 而是具有后门功能的 Shellcode 图 9 以 MZ(4D 5A) 开头的 Shellcode 2.

图 10 发送请求数据上述 IP 域名和访问地址的解密方式是异或 0x69 从该模块的字符串与所调用的系统函数来判断, 该模块为后门程序, 会主动向指定的地址发送 GET 请求, 使用 Cookie 字段来发送心跳包, 间隔时间为 60 秒心跳包数据包括校验码进程 ID 系统版本 IP 地址计算机名用户名是否为 64 位进程,

9 图 10 发送请求数据上述 IP 域名和访问地址的解密方式是异或 0x69 从该模块的字符串与所调用的系统函数来判断, 该模块为后门程序, 会主动向指定的地址发送 GET 请求, 使用 Cookie 字段来发送心跳包, 间隔时间为 60 秒心跳包数据包括校验码进程 ID 系统版本 IP 地址计算机名用户名是否为 64 位进程, 并将该数据使用 RSA BASE64 加密及编码图 11 心跳包原始数据由于进程 ID 与校验码的不同, 导致每次传输的心跳包数据不相同校验码是使用进程 ID 和系统开机启动所经过的毫秒数进程计算得出的算法如下 : 加密后的心跳包使用 Cookie 字段进行传输 : 图 12 校验码算法安天实验室版权所有, 欢迎无损转载第 7 页

图 13 数据包内容 3 攻击技术来源的验证分析安天 CERT 分析人员关联的 PE 前导文件 Sample_A 和 Sample B 利用 PowerShell 的方法和完全相同, 但正应为相关脚本高度的标准化, 并不排除 Sample_A 与本次攻击没有必然联系而基于其他的情况综合分析, 我们依然判断是一个系列化的攻击事件, 攻击者可能采用了社工邮件文件捆绑系统和应用漏洞利用

10 图 13 数据包内容 3 攻击技术来源的验证分析安天 CERT 分析人员关联的 PE 前导文件 Sample_A 和 Sample B 利用 PowerShell 的方法和完全相同, 但正应为相关脚本高度的标准化, 并不排除 Sample_A 与本次攻击没有必然联系而基于其他的情况综合分析, 我们依然判断是一个系列化的攻击事件, 攻击者可能采用了社工邮件文件捆绑系统和应用漏洞利用内网横向移动等方式实现对目标主机的控制而在分析模块 1 时, 我们发现了 Beacon 等字符串, 依托过往分析经验, 怀疑该 Shellcode 与自动化攻击测试平台 Cobalt Strike 密切相关于是, 分析人员对使用 Cobalt Strike 生成的 Beacon 进行对比分析, 验证两者之间的关系 Cobalt Strike 是一款以 metasploit( 一个渗透测试平台 ) 为基础的 GUI 的框架式渗透工具,Cobalt Strike 的商业版, 集成了服务扫描自动化溢出多模式端口监听多种木马生成方式 (dll 木马内存木马 office 宏病毒和 Beacon 通信木马等 ) 钓鱼攻击站点克隆目标信息获取, 浏览器自动攻击等 3.1 模块 1 比较我们将模块 1 与使用 Beacon 生成的 Payload 进行比较, 发现只有三处数据不同, 分别为 :Get 请求时所发送的 Head 数据请求的文件名称和 IP 地址安天实验室版权所有, 欢迎无损转载第 8 页

2 模块 2 反汇编指令比较分析人员将样本的模块 2 与 Beacon 相关的文件进行比较, 发现两者的反汇编指令除了功能代码不同之外,

11 图 14 模块 1 对比左侧为样本模块 1, 右侧为由 Beacon 所生成的模块, 从图中对比来看, 可以得出结论, 模块 1 是由 Beacon 所生成在请求时的数据包截图如下 : 图 15 模块 1 发包数据对比 3.2 模块 2 反汇编指令比较分析人员将样本的模块 2 与 Beacon 相关的文件进行比较, 发现两者的反汇编指令除了功能代码不同之外, 其它指令完全一致, 包括入口处的异或解密加载系统 DLL 获取函数地址函数调用方式等, 下面列举三处 : 样本模块 2 Beacon 相关文件安天实验室版权所有, 欢迎无损转载第 9 页

13 该信息进行了加密, 每间隔 60 秒主动发送请求, 该数据为上线包 / 心跳包图 16 模块 3 数据包对比 3.4 Cobalt Strike 特点利用 Cobalt Strike 的攻击可以在目标系统中执行多种操作, 如 : 下载文件上传文件执行指定程序注入键盘记录器通过 PowerShell 执行命令导入 PowerShell 脚本通过 CMD 执行命令利用 mimikatz 抓取系统密码等 Cobalt Strike 具有以下特点 : 穿透沙箱躲避白名单机制与云检测内网渗透持久化攻击攻击多种平台安天实验室版权所有, 欢迎无损转载第 11 页

14 4 总结使用自动化攻击测试平台 Cobalt Strike 进行攻击渗透方式具有穿透防火墙的能力, 其控制目标主机的方式非常隐蔽, 难以被发现 ; 同时具备攻击多种平台, 如 Windows Linux Mac 等 ; 同时与可信计算环境云检测沙箱检测等安全环节和手段均有对抗能力从安天过去的跟踪来看, 这种威胁已经存在近五年之久, 但依然却缺乏有效检测类似威胁的产品和手段安天 CERT 分析小组之所以将 APT-TOCS 事件定位为准 APT 事件, 是因为该攻击事件一方面符合 APT 攻击针对高度定向目标作业的特点, 同时隐蔽性较强具有多种反侦测手段但同时, 与我们过去所熟悉的很多 APT 事件中, 进攻方具备极高的成本承担能力与巨大的能力储备不同, 其成本门槛并不高, 事件的恶意代码并非由攻击者自身进行编写构造, 商业攻击平台使事件的攻击者不再需要高昂的恶意代码的开发成本, 相关攻击平台亦为攻击者提供了大量可选注入手段, 为恶意代码的加载和持久化提供了配套方法, 这种方式降低了攻击的成本, 使得缺少雄厚资金也没有精英黑客的国家和组织依托现即有商业攻击平台提供的服务即可进行接近 APT 级攻击水准, 而这种高度模式化攻击也会让攻击缺少鲜明的基因特点, 从而更难追溯我们不仅要再次引用信息安全前辈 Bruce Schiner 的观点一些重大的信息安全攻击事件时, 都认为它们是网络战的例子我认为这是无稽之谈我认为目前正在发生而且真正重要的趋势是 : 越来越多战争中的战术行为扩散到更广泛的网络空间环境中这一点非常重要通过技术可以实现能力的传播, 特别是计算机技术可以使攻击行为和攻击能力变得自动化显然, 高度自动化的商业攻击平台使这种能力扩散速度已经超出了我们的预测我们需要提醒各方关注的是, 鉴于网络攻击技术具有极低的复制成本的特点, 当前已经存在严峻的网络军备扩散风险商业渗透攻击测试平台的出现, 一方面成为高效检验系统安全的有利工具, 但对于缺少足够的安全预算难以承担更多安全成本的国家行业和机构来说, 会成为一场噩梦在这个问题上, 一方面需要各方面建立更多的沟通和共识 ; 而另一方面毫无疑问的是当前在攻防两端均拥有全球最顶级能力的超级大国, 对于有效控制这种武器级攻击手段的扩散, 应该负起更多的责任同时,APT-TOCS 与我们之前所发现的诸多事件一样, 体现了一个拥有十三亿人口正在进行大规模信息化建设的国家, 所面对的严峻的网络安全挑战 ; 当然, 也见证着中国用户与安全企业为应对这种挑战所做的努力安天实验室版权所有, 欢迎无损转载第 12 页

附录一 : 关亍 Cobalt Strike 及其作者的参考资料 Cobalt Strike 是 Armitage 的商业版本 Armitage 是一款 Java 写的 Metasploit 图形界面的渗透测试软件, 可以用它结合 Metasploit 已知的 exploit 来针对存在的漏洞自动化攻击 bt5 kali linx 下集成免费版本 Armitage, 最强大的功能是多了个

15 附录一 : 关亍 Cobalt Strike 及其作者的参考资料 Cobalt Strike 是 Armitage 的商业版本 Armitage 是一款 Java 写的 Metasploit 图形界面的渗透测试软件, 可以用它结合 Metasploit 已知的 exploit 来针对存在的漏洞自动化攻击 bt5 kali linx 下集成免费版本 Armitage, 最强大的功能是多了个 Beacon 的 Payload Cobalt Strike 首次发布时间 :2012 年 6 月版本描述 Cobalt Strike1.45 及以前版本可以连接本机 windows 的 metasploit 的, 在后来就不被支持了, 必须要求连接远程 linux 的 metasploit Cobalt Strike1.46 系统分析器使用退回措施检查 java 报告版本信息, 修复了密钥生成漏洞 Cobalt Strike1.47 缓解了 Beacon 多重信息积压 ; 开启侦听器时进行全面检查 Cobalt Strike1.48 Beacon 增加了 timestomp 命令 ;bypassuac 特权文件复制完成等待至 10 秒 Cobalt Strike1.49 修复了 Windows XP 的 Beacon HTTP Stager 负载生成器 Cobalt Strike2.0 可塑性的命令和控制, 增加了 veil 选项到负载生成器 Cobalt Strike2.1 PowerShell 命令启动本地主要的 PowerShell; 更新了 build.sh 工具 Cobalt Strike2.2 重建过程注入和连接到目标系统上的 VNC 服务器, 新过程由于基于主机的防火墙更容易被忽略 ; 漏洞报告显示来自 ZDI,MSB,US-CERT-VU 和 WPVDB 的 URL 引用 Cobalt Strike2.3 用定制的编码器编码 Beacon 的 DNS 阶段 ;Beacon 增加了 runas 命令 pwd 命令 Cobalt Strike2.4 增加时间戳到 view - >web 日志项 ; 用不同参数重新生成默认 Beacon HTTPS 证书 ; 现在使用不同参数生成可塑的 C2 HTTPS 证书 ; 更新了可执行文件和 DLLS 的默认工具包 Cobalt Strike 作者 :Raphael Mudge( 美国 ), 他是 Strategic Cyber LLC( 战略网络有限责任公司 ) 创始人, 基于华盛顿的公司为 RED TEAM 开发软件, 他为 Metaslpoit 创造了 Armitage,sleep 程序语言和 IRC 客户端 jircii 此前作为美国空军的安全研究员, 渗透实验的测试者他设置发明了一个语法检测器卖给了 Automattic 发表多篇文章, 定期进行安全话题的演讲给许多网络防御竞赛提供 RED TEAM, 参加年黑客大会安天实验室版权所有, 欢迎无损转载第 13 页

16 教育背景 :Syracuse University 美国雪城大学, 密歇根科技大学目前就职 :Strategic Cyber LLC( 战略网络有限责任公司 ); 特拉华州空军国民警卫队技能 : 软件开发信息安全面向对象的设计分布式系统图形界面计算机网络设计博客系统社会工程学安全研究等等公司 / 项目 / 机构职位时间 Strategic cyber LLC 创始者和负责人至今特拉华州空军国民警卫队领导, 传统预备役至今 Cobalt strike 项目负责人 TDI 高级安全工程师 Automattic 代码 Wrangler Feedback Army, After the Deadline 创始人美国空军研究实验室系统工程师美国空军通信与信息军官支持的组织机构 : 大学网络防御竞赛 (CCDC) 东北 North East CCDC 东部地区 Mid Atlantic CCDC 环太平洋 Pacific Rim CCDC 2012, 2014 东南 South East CCDC 西部 Western Regional CCDC 国家 National CCDC 所做项目 : Sleep 脚本语言 ( 可扩展的通用语言, 使用受 JAVA 平台启发的 Perl 语言 )sleep 是开源的, 受 LGPL 许可 jircii( 可编写脚本的多人在线聊天系统客户端,Windows, MacOS X, and Linux 平台, 开源 ) 出版作品 : 使用 Armitage 和 Metasploit 的实弹安全测试 (Live-fire Security Testing with Armitage and Metasploit) linux 杂志安天实验室版权所有, 欢迎无损转载第 14 页

17 通过后门入侵: 使用 Armitage 的实施漏洞利用 (Get in through the backdoor: Post exploitation with Armitage)Hakin9 杂志教程: 用 Armitage 进行黑客攻击 Linux ( Tutorial: Hacking Linux with Armitage)ethicalhacker.net 校对软件服务设计 (The Design of a Proofreading Software Service)NAACL HLT2010 计算机的语言学和写作研讨会基于代理的流量生成 (Agent-based Traffic Generation)Hakin9 杂志等贡献 : cortana-scripts metasploit-loader malleable-c2-profiles layer2-privoting-client armitage 项目 : 商业合资企业类 After the Deadline Feedback Army Cobalt Strike 开源软件 Armitage Far East jircii Moconti One Hand Army Man s phperl Same Game Sleep 信息参考链接 : (google+) (GitHub) (youtube) 安天实验室版权所有, 欢迎无损转载第 15 页

18 附录二 : 关亍安天安天从反病毒引擎研发团队起步, 目前已发展成为拥有四个研发中心监控预警能力覆盖全国产品与服务辐射多个国家的先进安全产品供应商安天历经十五年持续积累, 形成了海量安全威胁知识库, 并综合应用网络检测主机防御未知威胁鉴定大数据分析安全可视化等方面经验, 推出了应对持续高级威胁 (APT) 的先进产品和解决方案安天技术实力得到行业管理机构客户和伙伴的认可, 安天已连续四届蝉联国家级安全应急支撑单位资质, 亦是 CNNVD 六家一级支撑单位之一安天移动检测引擎获得全球首个 AV-TEST(2013) 年度奖项的中国产品, 全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴关于反病毒引擎更多信息请访问 : 中文 ) 英文 ) 关于安天反 APT 相关产品更多信息请访问 : 安天实验室版权所有, 欢迎无损转载第 16 页

Trojan[DDOS]/Linux. Znaich分析笔记

Trojan[DDOS]/Linux. Znaich分析笔记安天安全研究与应急处理中心 (Antiy CERT) 目录编者按... 1 1 概述... 1 2 感染源... 1 3 样本分析... 3 4 总结... 7 附录一 : 参考资料... 7 附录二 : 关于安天... 7 安天实验室版权所有, 欢迎无损转载第 2 页编者按安天 CERT 这篇分析笔记完成于 2015 年 1 月 18 日, 但撰写后并未公开, 为让安全工作者更进一步了解 IoT