网络第5域

警惕:利用云助手进行演练和黑产攻击事件频发

字号+作者: 来源:安全内参 2024-07-01 00:00 评论(创建话题) 收藏成功收藏本文

研究发现多起利用具备“远控”功能的合法软件进行攻击的攻击事件,相关事件既包括真实的黑产攻击事件,也包括各类攻防演练活动相关的攻击事件。1 概述微步'...

研究发现多起利用具备“远控”功能的合法软件进行攻击的攻击事件,相关事件既包括真实的黑产攻击事件,也包括各类攻防演练活动相关的攻击事件。

T9Q品论天涯网

概述T9Q品论天涯网

T9Q品论天涯网

微步情报局通过近期的威胁狩猎发现了多起利用具备“远控”功能的合法软件进行攻击的攻击事件,相关事件既包括真实的黑产攻击事件,也包括各类攻防演练活动相关的攻击事件。鉴于24年演练在即,为了更好的帮助企业进行提前的排查和应对,微步情报局特总结了如下特点供参考:T9Q品论天涯网

  • 通过微步情报局的监测,相关被滥用的合法软件包括阿里云助手、长亭云助手、IP-Guard、山东固信、360云管理等软件。T9Q品论天涯网

  • 由于利用的合法软件均具备正常的数字签名,且部分软件所回连的域名均为相关企业的正常服务域名,因此相关攻击具备较强的隐蔽性,可以躲过大部分的杀毒软件的查杀和检测。T9Q品论天涯网

  • 由于相关攻击手法目前已经公开,且近期利用类似手法进行攻击的活动呈现上升趋势,因此我们建议相关企业采取有效措施进行排查和应对,微步情报局的建议请参考下方“应对建议”部分。T9Q品论天涯网

  • 微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。T9Q品论天涯网

应对建议T9Q品论天涯网

T9Q品论天涯网

对于CS架构的远控程序,微步情报可检出攻击者服务端资产IP,除此之外,客户可以根据远控软件的特性进行自我排查:T9Q品论天涯网

  • IP-Guard受控端程序常连接服务端主机8237端口,山东固信受控端常连接服务端主机13023端口T9Q品论天涯网

  • IP-Guard受控端程序含有数字签名:T.E.C Solutions (G.Z.)Limited,山东固信受控端含有数字签名:Shandong Gooxion Software Co.,Ltd.T9Q品论天涯网

T9Q品论天涯网

对于SaaS化架构的远控程序,受控端程序连接供应商的资产,可以根据访问资产进行排查:T9Q品论天涯网

  • 长亭牧云外联地址:T9Q品论天涯网

    collie-agent.chaitin.com (121.40.127.235:50051)T9Q品论天涯网

    rivers-collie.oss-accelerate.aliyuncs.comT9Q品论天涯网

  • 360云管理外联地址:T9Q品论天涯网

    admin.online.360.cnT9Q品论天涯网

    api.online.360.cnT9Q品论天涯网

T9Q品论天涯网

如果发现相关告警,因为这些软件都具备防卸载退出功能,所以常规的卸载退出方式无法直接使用,所以需要联系软件供应商进行卸载。T9Q品论天涯网

安全加固:T9Q品论天涯网

  • 及时更新威胁情报包T9Q品论天涯网

  • 攻防演练期间对邮件附件和即时通讯软件传播可执行性文件进行严格审核排查T9Q品论天涯网

  • 对内部员工进行防钓鱼安全培训T9Q品论天涯网

T9Q品论天涯网

攻击手法分析T9Q品论天涯网

T9Q品论天涯网

攻击者伪装为试用客户向远控软件供应商进行申请试用,如果供应商缺乏审核或者审核不严,就会导致攻击者获取到远控程序的安装包。攻击者在获取到合法远控后,一般会直接修改受控端安装程序名,伪装成各种钓鱼文件名称诱导受害者点击,这些受控端程序不需要受害者进行确认就可以做到无感安装,或者攻击者通过打包程序对受控端安装文件进行打包,并在打包程序的安装脚本中加入一些恶意功能,比如:搜索杀毒软件程序并诱导用户关闭,打开诱饵文档迷惑受害者等。T9Q品论天涯网

T9Q品论天涯网

合法远控存在不同类型,对于提供C/S架构安装包的远控供应商,攻击者在申请到使用资格后,会在攻击者服务器上部署远控程序控制端,然后生成受控端安装包分发给受害者进行控制,受害者主机上受控端程序链接的也是攻击者服务器地址。T9Q品论天涯网

T9Q品论天涯网

对于提供SaaS化部署的远控程序,攻击者申请使用的是一个SaaS化的管理平台账号,通过登陆管理平台来进行操作受控端,攻击者在管理平台上获取到受控端的安装包或者下载链接,分发给受害者进行安装,然后攻击者就可以在管理平台上对受控端进行控制,受害者主机上受控端程序链接的是SaaS化平台的地址。T9Q品论天涯网

T9Q品论天涯网

3.1 攻防演练事件案例T9Q品论天涯网

某次攻防演练期间,某云官方被演习红队攻击,导致某软件云端官方升级文件被投毒,升级包中包含阿里云助手软件(远控程序)。T9Q品论天涯网

然后以安全厂商的名义传播该软件存在漏洞诱导客户进行升级,升级该软件的客户会从云端下载升级文件,其中就包括攻击者嵌入的阿里云助手软件(远控程序)。T9Q品论天涯网

T9Q品论天涯网

3.2 黑产攻击事件案例T9Q品论天涯网

最近,微步情报局捕获到一大批使用合法远控的黑产样本,这也证明了黑产人员关注攻防一线,攻防技术的快速迭代使用:T9Q品论天涯网

T9Q品论天涯网

攻击者初始通过钓鱼邮件进行投递钓鱼链接,链接使用Cloudflare 短链接服务来重定向到真正钓鱼网站上,并且重定向网站域名一直在更换:T9Q品论天涯网

T9Q品论天涯网

而这些钓鱼网站通过模板搭建,主题多以“版式文件下载”为主,伪装为51发票网的发票文件进行诱导下载:T9Q品论天涯网

T9Q品论天涯网

这些样本连接的C2地址,根据不同软件使用的方式不一样,来决定是否为攻击者资产,比如IP-Guard,山东固信提供申请试用,试用后可自行搭建服务端,所以控制程序链接的C2为攻击者资产,但是北京长亭,360云管理提供SaaS化的试用,所以控制程序链接的C2为供应商资产。T9Q品论天涯网

T9Q品论天涯网

样本分析T9Q品论天涯网

4.1 基本信息T9Q品论天涯网

SHA256T9Q品论天涯网

080e6ffa9f1752be95a60a8d5fef3fb608d7b843b0a5073ae55909c0bb5ce454T9Q品论天涯网

SHA1T9Q品论天涯网

1cea9c60af8e342357b91d207ae9920ea5b25629T9Q品论天涯网

MD5T9Q品论天涯网

f5882efa48c175c335c993737d7dc123T9Q品论天涯网

文件类型T9Q品论天涯网

PE32 executable (GUI) Intel 80386, for MS Windows, Nullsoft Installer self-extracting archiveT9Q品论天涯网

文件大小T9Q品论天涯网

16.51 MBT9Q品论天涯网

文件名称T9Q品论天涯网

易用优税系统.exeT9Q品论天涯网

功能描述T9Q品论天涯网

安装IP-Guard客户端程序进行远控T9Q品论天涯网

T9Q品论天涯网

4.2 详细分析T9Q品论天涯网

攻击者通过NSIS打包IP-Guard相关程序:T9Q品论天涯网

T9Q品论天涯网

查看其NSIS安装脚本,发现其检查本地进程是否存在杀毒软件进程并引导退出杀毒软件程序:T9Q品论天涯网

T9Q品论天涯网

将相关程序放入到T9Q品论天涯网

C:\\Program Files (x86)\\Common Files\\SystemT9Q品论天涯网

C:\\Windows\\SysWow64\\T9Q品论天涯网

C:\\Windows\\System32\\T9Q品论天涯网

C:\\Windows\\T9Q品论天涯网

多个目录下,并将远控程序添加到防火墙规则允许通过,然后通过ExecShell命令启动程序:T9Q品论天涯网

T9Q品论天涯网

其中winrdlv3.exe程序为远控模块,加载同目录下的winoav3.dll, winwdgv3.dll等动态链接库T9Q品论天涯网

T9Q品论天涯网

最终链接C2:154.19.161.11:8237T9Q品论天涯网

T9Q品论天涯网

附录-IOCT9Q品论天涯网

C2T9Q品论天涯网

206.238.221.151:8237T9Q品论天涯网

206.238.197.136:8237T9Q品论天涯网

206.238.198.195:8237T9Q品论天涯网

154.19.161.11:8237T9Q品论天涯网

154.39.254.116:13023T9Q品论天涯网

206.238.196.75:13023T9Q品论天涯网

206.238.199.159:13023T9Q品论天涯网

HashT9Q品论天涯网

61fa512bea44a68bd4fb833d4a233c3eT9Q品论天涯网

929b6462f91bc9c7f28ed4b0f73f1f53T9Q品论天涯网

dab2e354b1d0ac1565dad315fe3bafa6T9Q品论天涯网

f5882efa48c175c335c993737d7dc123T9Q品论天涯网

fea5974071925131c8402234704a1c02T9Q品论天涯网

56d5168e68d16cafcae3d0134242887dT9Q品论天涯网

56d5168e68d16cafcae3d0134242887dT9Q品论天涯网

143af82a614c0e4fcabc473d55bb6f96T9Q品论天涯网

T9Q品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]