介紹

Splunk 威脅研究團隊揭露了一項網際網路服務提供者 （ISP） 基礎設施供應商的攻擊。該攻擊使用簡單的工具濫用受害者電腦，安裝加密挖礦Payload和二進位檔，具有認證濫用(Credential abuse)、資料洩露和部署其他犯罪軟體的能力等功能。攻擊者執行侵入性最小的作以避免被發現，主要使用 Python 和 PowerShell 等Script語言進行透視和 C2操作。

關鍵戰術和技術

• 初始存取 （T1078）：對 ISP 基礎設施的暴力攻擊。
• Defense 規避：禁用安全產品功能並修改檔案和目錄權限。
• 負載部署：刪除二進位檔並將其隱藏在名為“Migration”的資料夾中。
• 資料洩露：使用 Command and Control （C2） 伺服器和 Telegram API 呼叫。
• 持久性：通過Registry run key和啟動資料夾建立持久性。
• 權限提升：修改Registry。
• 遠端服務：濫用 Windows 遠端管理 （WINRM） 和 SSH。
• 自動收集：從剪貼簿竊取資訊。
• 自動滲透：將資料發送到 Telegram Bot C2 伺服器。
• Indicator Removal：檔案刪除和停止服務。
• Account Access Removal（帳戶存取權限刪除）：註銷活躍使用者。

Payload分析

• MIG.RDP.EXE：一個 RAR SFX 可執行檔，用於刪除和執行批次處理和可執行檔。它會禁用 Windows Defender Antivirus 並修改目錄權限。
• Migrate.exe：將檔案放入 C:\Windows\Tasks 資料夾中，包括Bitcoin miner、設定檔以及用於檢查 AV 和惡意軟體分析的工具。它還限制對檔案的存取並從 C2伺服器下載其他元件。
• X64.exe：一個自動解壓縮的 RAR SFX 可執行檔，用於刪除 C:\Windows\Migration 資料夾中的檔案。它使用 masscan 進行主動掃描並嘗試 SSH 連接。

入侵指標 （IOC）

與此攻擊關聯的檔的SHA256 Hash清單：

Splunk 安全檢測

Splunk 威脅研究團隊開發了檢測來識別與此攻擊相關的潛在指標。

• 可疑程序的檔案路徑
• 在可疑路徑中創建可執行檔或Script
• 在啟動資料夾中執行 Windows 啟動或登錄自動啟動
• Windows 檔案和目錄權限啟用繼承
• Windows 檔案和目錄權限刪除繼承
• Telegram Bot API 的 Windows DNS 查詢請求
• Windows 遠端管理執行 Shell
• Windows 檔案和目錄啟用唯讀權限
• 通過 Logoff Exec 刪除 Windows 帳戶存取權限
• Windows 混淆檔或來自 RAR SFX 的資訊

建議

• 使用 Enterprise Security Content Updates 應用程式或 Splunk Security Essentials 應用程式使用Blog中提供的檢測。
• 監控Blog中列出的IOC。
• 加強密碼策略以防止暴力攻擊。
• 查看並限制 WINRM 的使用。
• 確保系統為最新版以防止已知的漏洞攻擊。

結論

綜上所述，Splunk 威脅研究團隊發現了一個針對ISP基礎設施供應商的訊息竊取攻擊。攻擊者使用簡單的工具和Script語言來安裝加密挖礦Payload並竊取敏感資訊，同時最大限度地減少他們的足跡以逃避檢測。

• 主要內容包括攻擊者使用的技術，例如暴力破解攻擊、防禦規避和通過Telegram Bot進行資料洩露。
• 對 MIG 等Payload的分析。RDP.EXE、Migrate.exe 和 X64.exe 揭示了攻擊的各個階段，從初始存取到持久性和資料盜竊。
• 該Blog還提供 IOC 和 Splunk 安全檢測，以説明組織識別和緩解這種威脅。
• 通過對列出的 IOC 實施建議的檢測和監控，組織可以加強對類似資訊竊取攻擊的防禦。
• 利用 Splunk 的安全解決方案並隨時瞭解最新威脅是保持數位彈性(Digital Resilience)的關鍵步驟。

參考資料