AttackIQ发布了一个新的全功能攻击图,模拟了在中国赞助的对手对美国国防工业基地组织的攻击中观察到的策略,技术和程序(TTP)。
原文链接:https://www.attackiq.com/2022/10/06/attack-graph-response-to-us-cert-alert-aa22-277a/
2022年10月4日,网络安全和基础设施安全局(CISA)与联邦调查局和国家安全局(FBI)联合发布了一份网络安全咨询(CSA),详细介绍了多个中国赞助的威胁行为者在攻击国防工业基地(DIB)组织时使用的策略,技术和程序(TTP)。
该警报详细说明了他们认为可能是多个高级持续性威胁(APT)参与者的活动,这些参与者在2021年1月首次破坏了受害者。初始访问向量是未知的,但参与者首先获得了对组织的 Microsoft Exchange 服务器的访问权限,他们在该服务器中收集有关 Exchange 环境的信息并执行邮箱搜索敏感信息。
接下来的一个月,参与者开始在从商业 VPN 提供商进行连接时使用凭据泄露的 Exchange Web 服务。参与者还扩展了他们的访问权限,并开始使用本机命令外壳应用程序探索受害者的网络,并开始收集数据以进行渗透。他们还开始使用开源Python工具包Impacket横向移动并针对其他远程系统执行命令。
三月份,参与者继续通过利用其他微软交易所漏洞来扩展他们的访问,这些漏洞使他们能够丢弃中国斩波网络外壳,后来又放弃了一个名为HyperBro的定制后门。最后,在七月份,参与者部署了一个名为协同卷发器的新自定义外泄工具,该工具用于将剩余的敏感文件泄露到OneDrive。
虽然警报没有将活动直接归因于任何特定的行为者或原籍国,但攻击中使用的策略和恶意软件清楚地指向中国赞助的威胁组织。交易所漏洞首先被中国威胁行为者Hafnium发现和使用,但后来被许多其他团体采用。HyperBro后门已被中国威胁行为者独家使用,并特别归因于APT27 / 铁虎 / 熊猫使者。这种威胁行为者在针对美国DIB公司方面有着悠久的历史记录,并且在过去几年中一直专注于中东和北非(MENA)地区。
这些攻击可能是中国威胁行为者对美国公司进行以经济为中心的网络间谍活动重新产生兴趣的开始,自当时的美国总统巴拉克•奥巴马(Barack Obama)和中国总理习近平签署网络协议以来,这种兴趣已经显着减少。AttackIQ 发布了一个新的功能齐全的攻击图,该攻击图模拟此警报中描述的 TTP,以帮助我们的客户保护自己免受这些威胁参与者的侵害。
针对 AttackIQ 的新攻击图验证安全程序性能对于降低风险至关重要。通过使用 AttackIQ 安全优化平台,安全团队将能够:
- 针对被许多不同威胁参与者滥用的常见异地生活发现技术评估安全控制性能。
- 针对具有长期成功窃取敏感信息记录的威胁参与者评估其安全态势。
- 持续验证检测和预防管道,超越参与者使用的大量初始访问漏洞。
[美国证书 AA22-277A]中国威胁行为者窃取DIB组织的敏感信息
我们的攻击图从未知的初始入侵方法开始,从执行发现命令开始。威胁参与者使用本机内置工具和命令开始了解受感染的主机。首先收集有关系统配置、正在运行的进程、当前登录的用户和管理组的信息。
系统信息发现 (T1082):本机 和 命令用于获取受感染主机的计算机名称和有关系统的基本详细信息。hostname
systeminfo
进程发现 (T1057):Window的内置命令作为命令进程执行,结果将保存到临时位置的文件中。tasklist
损害防御:禁用或修改工具 (T1562.001):执行并传递进程 ID 以停止正在运行的进程。执行组件使用它来禁用 Exchange 服务器上运行的安全工具。taskkill
系统所有者/用户发现 (T1033):用于确定当前运行的 web 外壳所使用的帐户。query user
whoami
权限组发现:本地组 (T1069.001):该参与者有兴趣找出特权本地组(如远程桌面用户和本地管理员)的成员身份。它们通过执行查找来实现此目的。net localgroup
在了解受感染的主机后,参与者需要收集有关受感染资产的网络的信息。收集有关网络适配器、打开的网络连接和任何可用网络共享的详细信息,将为威胁参与者提供开始横向移动和发现其他感兴趣目标所需的数据。
系统网络配置发现 (T1016):资产的网络配置是使用标准 Windows 实用程序(如 、 、 和 )收集的。ipconfig
arp
route
nltest
系统网络连接发现 (T1049): 使用参与者能够获得与受感染资产之间建立的远程连接列表。netstat
网络共享发现 (T1135):本机工具用于列出与 的所有本地映射网络共享。net
net share
在横向移动之前,对手需要评估他们是否可以与互联网通信,并为从 Exchange 服务器收集的数据的初始泄露做好准备。
互联网连接发现 (T1016.001):参与者使用两个不同的命令来查看他们是否可以访问外部网站。第一次尝试使用 ping 来查看它们是否可以解析合法站点的 IP 地址。一旦他们确认他们可以解析一个外部IP地址,他们用来尝试从网站下载文件并将其保存到临时目录。certutil
文件和目录发现 (T1083):参与者使用 PowerShell cmdlet 以递归方式查询驱动器并列出所有文件。dir
存档收集的数据:通过实用程序存档 (T1560.001):继续利用 PowerShell cmdlet,执行组件用于压缩他们打算从服务器泄露的文件。Compress-Archive
伪装 (T1036):将参与者重命名为,以尝试将其作为受害者期望在其主机上运行的正常系统实用程序融入其中。此方案将合法工具重命名为 并尝试执行它。winrar.exe
vmware.exe
vmware.exe
当参与者在第二天返回时,他们通过检查环境变量和搜索特定的运行过程来继续探索受感染的主机。演员继续探索和搜索其他感兴趣的文件。由执行组件创建的工件和文件已清理。
系统信息发现 (T1082): 这次执行的actor设置为打印所有环境变量。这些变量可以成为不同应用程序使用的凭据和重要配置设置的重要来源。
文件和目录发现 (T1083):此方案不使用 PowerShell,而是使用传统命令来查找感兴趣的文件并输出到临时文件。dir
主机上的指示器删除:文件删除 (T1070.004):使用者创建的文件和其他工件已使用该命令删除。rar
del
演员们最不想得到的就是硬盘上所有内容的完整文件列表,包括任何隐藏文件。他们再次确认,在引入可以导出主文件表的 PowerShell 脚本之前,他们可以使用外部 IP 解析外部 IP。ping
入口工具传输 (T1105):此方案在两个单独的方案中下载到内存并保存到磁盘,以测试网络和终结点控制及其防止传递已知恶意内容的能力。此方案将下载并保存 .Export-MFT.ps1 script
从初始主机收集了所需的所有内容后,是时候将数据泄露回actor的服务器了。参与者首先在命名的目录中暂存文件,然后通过未报告的协议进行渗透。它们还引入了 Impacket 脚本实用程序,用于横向移动并在远程系统上执行命令。debug
数据暂存 (T1074):此方案标识 Office 文档并将其复制到临时暂存目录。
通过未加密的非 C2 协议 (T1048.003) 进行外泄:该报告没有确定初始文件是如何泄露的。此方案使用 HTTP POST 将数据泄露到受攻击IQ 控制的服务器。
窗口管理规范 (T1047):攻击者使用 Impacket 的脚本使用 WMI 在远程系统上执行命令和有效负载。此方案使用相同的命令在远程目标上执行命令。wmiexec.py
wmic
当执行组件开始使用其他漏洞或 WMI 命令迁移到其他系统时,他们开始降低其他有效负载。演员们使用了中国斩波网壳和他们定制的HyperBro后门。
入口工具传输 (T1105): HyperBro 通常作为自解压可执行文件提供,可将三个文件放到磁盘。合法的二进制文件、旁加载的恶意 dll 以及包含恶意软件的设置和命令与控制服务器的加密配置文件。
HyperBro 是一个 DLL 文件,它通过使用 DLL 旁加载技术执行,该技术启动一个合法的可执行文件,该可执行文件加载它认为是自己的 DLL 文件。当 DLL 文件被打开时,程序执行控制将被接管,HyperBro 开始其恶意活动。恶意软件将执行一个进程,并将自己的代码注入该进程的内存中。它们在发出初始命令和控制请求之前使用服务或注册表运行密钥进行持久性。svchost
DLL 旁加载 (T1574.002):执行合法的可执行文件,该可执行文件加载存储在已替换为 AttackIQ dll 文件的同一目录中的 DLL 文件。
绕过用户帐户控制 (T1548.002):恶意软件试图通过设置注册表项来禁用 UAC。
工艺注射 (T1055):此方案将 DLL 文件注入到另一个正在运行的进程中,并验证是否可以创建金丝雀文件。
视窗服务 (T1543.003): 使用本机命令行工具创建将在重新启动时执行的新服务。sc
注册表运行项/启动文件夹 (T1547.001):如果攻击图无法创建服务,它将转置并尝试在 Run 键中创建新的注册表启动值。
应用层协议: Web 协议 (T1071.001):超布罗将 HTTP 用于命令和控制流量。此方案向受攻击IQ 控制的服务器发出初始 HTTP POST 请求,该服务器模拟由真正的 HyperBro 感染发出的确切 Web 请求。
威胁参与者使用的最后一个有效载荷是共价吊带。此恶意软件用于将文件泄露到微软一个驱动程序共享。共价吊链器分两部分提供,一个解码器可执行文件和加密的共价吊链器。解码器使用 WMI 获取磁盘信息,并将其用作解密共价吊床的密钥。
窗口管理规范 (T1047): 解码器使用 WMI 查询来检索磁盘序列号:SELECT volumeserialnumber FROM win32_logicaldisk WHERE Name='C:'
扩展攻击图的机会
“通过 Export-MFT.ps1 模块导出主文件表”的场景是针对此攻击图开发的,但默认情况下未包含它,因为它可以从超过半 GB 或更多的数据生成,这可能会将文件系统填充在可用空间有限的资产中。如果用户想要添加它,则可以在将 MFT 文件保存到文件系统(步骤 20)后包括该方案,以根据安全控制测试该文件的执行情况。
检测和缓解机会
由于威胁参与者正在使用许多不同的技术,因此很难知道在预防和检测机会中优先考虑哪些技术。AttackIQ 建议先关注在我们的方案中模拟的以下技术,然后再转到其余技术。
1. 系统网络配置发现:互联网连接发现 (T1016.001):
描述
攻击者可能会检查受感染系统上的互联网连接。这可以在自动发现期间执行,并且可以通过多种方式完成,例如使用 Ping
、、 和网站请求。tracert
certutil
GET
1a.检测
使用 EDR 或 SIEM 产品,您可以创建检测,以便在未经授权的用户使用陆地二进制文件来检查受感染设备上的互联网连接时发出警报。在这种情况下,已观察到威胁参与者使用作为首选工具。certutil
Process Name == (“cmd.exe” OR “Powershell.exe”)
Command Line CONTAINS (“Certutil” AND “-urlcache” AND “-split” AND “-f”)
Username NOT IN (<List of expected admins utilizing certutil>)
1b.缓解措施
尽管 MITRE 没有为此技术提供缓解措施,但可以通过禁用解释器和非管理组中的用户来保持领先。您可以通过应用程序白名单来实现此目的。certutil
2. 滥用提升控制机制:绕过用户帐户控制 (T1548.002):
描述
攻击者可能会绕过 UAC 机制来提升系统上的进程权限。Windows 用户帐户控制 (UAC) 允许程序提升其权限(跟踪为完整性级别,范围从低到高)以在管理员级别权限下执行任务,可能是通过提示用户进行确认
2a.检测
使用 EDR 或 SIEM 产品,您可以创建检测,以便在 UAC 尝试通过 Windows 注册表禁用时发出警报。
Process Name = (“cmd.exe” OR powershell.exe”)
Command Line CONTAINS (“reg add” AND “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” AND “EnableLUA” AND “/d 0”)
2b.缓解措施
MITRE 为滥用提升控制机制提供了以下缓解措施:绕过用户帐户控制 (T1548.002):
3. 创建或修改系统进程: Windows 服务 (T1543.003):
描述
攻击者可能会创建或修改 Windows 服务,以重复执行恶意有效负载作为持久性的一部分。当 Windows 启动时,它会启动称为执行后台系统功能的服务的程序或应用程序。
3a.检测
使用 EDR 或 SIEM 产品,您可以创建检测,以便在由于对抗性行为而可能创建了恶意服务时发出警报。在这种情况下,威胁参与者将尝试创建名为 “” 的服务。不要将此与良性窗口防御服务“”混淆:windefenders
windefend
Process Name = (“cmd.exe” OR “powershell.exe”)
Command Line CONTAINS (“sc” AND “Create” AND “windefenders”)
3b.缓解措施
MITRE 为“创建或修改系统进程”提供了以下缓解措施:Windows 服务 (T1543.003):
总结
总之,此攻击图将评估安全和事件响应流程,并支持针对使用本机系统工具、共享开源脚本和他们自己的定制恶意软件来实现其目标的参与者改进安全控制态势。通过持续测试和使用此攻击图生成的数据,您可以将团队的注意力集中在实现关键安全结果上,调整安全控制,并努力提高针对已知和危险威胁的总体安全计划有效性。
AttackIQ随时准备帮助安全团队实施此攻击图和 AttackIQ 安全优化平台的其他方面,包括通过我们的共同管理安全服务 AttackIQ 先锋。