1 概述
微步情报局通过近期的威胁狩猎发现了多起利用具备“远控”功能的合法软件进行攻击的攻击事件,相关事件既包括真实的黑产攻击事件,也包括各类攻防演练活动相关的攻击事件。鉴于24年演练在即,为了更好的帮助企业进行提前的排查和应对,微步情报局特总结了如下特点供参考:
通过微步情报局的监测,相关被滥用的合法软件包括阿里云助手、长亭云助手、IP-Guard、山东固信、360云管理等软件。
由于利用的合法软件均具备正常的数字签名,且部分软件所回连的域名均为相关企业的正常服务域名,因此相关攻击具备较强的隐蔽性,可以躲过大部分的杀毒软件的查杀和检测。
由于相关攻击手法目前已经公开,且近期利用类似手法进行攻击的活动呈现上升趋势,因此我们建议相关企业采取有效措施进行排查和应对,微步情报局的建议请参考下方“应对建议”部分。
微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。
2 应对建议
对于CS架构的远控程序,微步情报可检出攻击者服务端资产IP,除此之外,客户可以根据远控软件的特性进行自我排查:
IP-Guard受控端程序常连接服务端主机8237端口,山东固信受控端常连接服务端主机13023端口
IP-Guard受控端程序含有数字签名:T.E.C Solutions (G.Z.)Limited,山东固信受控端含有数字签名:Shandong Gooxion Software Co.,Ltd.
对于SaaS化架构的远控程序,受控端程序连接供应商的资产,可以根据访问资产进行排查:
长亭牧云外联地址:
collie-agent.chaitin.com (121.40.127.235:50051)
rivers-collie.oss-accelerate.aliyuncs.com
360云管理外联地址:
admin.online.360.cn
api.online.360.cn
如果发现相关告警,因为这些软件都具备防卸载退出功能,所以常规的卸载退出方式无法直接使用,所以需要联系软件供应商进行卸载。
安全加固:
及时更新威胁情报包
攻防演练期间对邮件附件和即时通讯软件传播可执行性文件进行严格审核排查
对内部员工进行防钓鱼安全培训
3 攻击手法分析
攻击者伪装为试用客户向远控软件供应商进行申请试用,如果供应商缺乏审核或者审核不严,就会导致攻击者获取到远控程序的安装包。攻击者在获取到合法远控后,一般会直接修改受控端安装程序名,伪装成各种钓鱼文件名称诱导受害者点击,这些受控端程序不需要受害者进行确认就可以做到无感安装,或者攻击者通过打包程序对受控端安装文件进行打包,并在打包程序的安装脚本中加入一些恶意功能,比如:搜索杀毒软件程序并诱导用户关闭,打开诱饵文档迷惑受害者等。
合法远控存在不同类型,对于提供C/S架构安装包的远控供应商,攻击者在申请到使用资格后,会在攻击者服务器上部署远控程序控制端,然后生成受控端安装包分发给受害者进行控制,受害者主机上受控端程序链接的也是攻击者服务器地址。
对于提供SaaS化部署的远控程序,攻击者申请使用的是一个SaaS化的管理平台账号,通过登陆管理平台来进行操作受控端,攻击者在管理平台上获取到受控端的安装包或者下载链接,分发给受害者进行安装,然后攻击者就可以在管理平台上对受控端进行控制,受害者主机上受控端程序链接的是SaaS化平台的地址。
3.1 攻防演练事件案例
某次攻防演练期间,某云官方被演习红队攻击,导致某软件云端官方升级文件被投毒,升级包中包含阿里云助手软件(远控程序)。
然后以安全厂商的名义传播该软件存在漏洞诱导客户进行升级,升级该软件的客户会从云端下载升级文件,其中就包括攻击者嵌入的阿里云助手软件(远控程序)。
3.2 黑产攻击事件案例
最近,微步情报局捕获到一大批使用合法远控的黑产样本,这也证明了黑产人员关注攻防一线,攻防技术的快速迭代使用:
攻击者初始通过钓鱼邮件进行投递钓鱼链接,链接使用Cloudflare 短链接服务来重定向到真正钓鱼网站上,并且重定向网站域名一直在更换:
而这些钓鱼网站通过模板搭建,主题多以“版式文件下载”为主,伪装为51发票网的发票文件进行诱导下载:
这些样本连接的C2地址,根据不同软件使用的方式不一样,来决定是否为攻击者资产,比如IP-Guard,山东固信提供申请试用,试用后可自行搭建服务端,所以控制程序链接的C2为攻击者资产,但是北京长亭,360云管理提供SaaS化的试用,所以控制程序链接的C2为供应商资产。
4 样本分析
4.1 基本信息
SHA256 | 080e6ffa9f1752be95a60a8d5fef3fb608d7b843b0a5073ae55909c0bb5ce454 |
SHA1 | 1cea9c60af8e342357b91d207ae9920ea5b25629 |
MD5 | f5882efa48c175c335c993737d7dc123 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows, Nullsoft Installer self-extracting archive |
文件大小 | 16.51 MB |
文件名称 | 易用优税系统.exe |
功能描述 | 安装IP-Guard客户端程序进行远控 |
4.2 详细分析
攻击者通过NSIS打包IP-Guard相关程序:
查看其NSIS安装脚本,发现其检查本地进程是否存在杀毒软件进程并引导退出杀毒软件程序:
将相关程序放入到
C:\\Program Files (x86)\\Common Files\\System
C:\\Windows\\SysWow64\\
C:\\Windows\\System32\\
C:\\Windows\\
多个目录下,并将远控程序添加到防火墙规则允许通过,然后通过ExecShell命令启动程序:
其中winrdlv3.exe程序为远控模块,加载同目录下的winoav3.dll, winwdgv3.dll等动态链接库
最终链接C2:154.19.161.11:8237
附录-IOC
C2
206.238.221.151:8237
206.238.197.136:8237
206.238.198.195:8237
154.19.161.11:8237
154.39.254.116:13023
206.238.196.75:13023
206.238.199.159:13023
Hash
61fa512bea44a68bd4fb833d4a233c3e
929b6462f91bc9c7f28ed4b0f73f1f53
dab2e354b1d0ac1565dad315fe3bafa6
f5882efa48c175c335c993737d7dc123
fea5974071925131c8402234704a1c02
56d5168e68d16cafcae3d0134242887d
56d5168e68d16cafcae3d0134242887d
143af82a614c0e4fcabc473d55bb6f96
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】