1. 簡介
在 2023 年,Cisco Talos 發現了一場針對關鍵基礎設施組織的複雜網路攻擊行動,由名為 ToyMaker 的 Initial Access Broker(IAB)策劃,並與 Cactus ransomware group 合作。本報告剖析了 ToyMaker 使用的技術方法、工具和基礎設施,重點聚焦於其定制後門程式 LAGTOY (又名 HOLERUN)以及 Cactus 隨後採用的雙重勒索策略。分析整合了 Cisco Talos、Malware News、SOC Prime 和 Cyjax 的發現,提供對這場多階段攻擊的細緻觀察。
2. ToyMaker 攻擊鏈的技術分析
2.1 初始存取與偵察
ToyMaker 利用直接暴露在網際網路上的伺服器(例如 Pulse Secure VPN)中的未修補漏洞來獲得初始存取。入侵後,Threat actor 使用雙用途工具和原生(native) Windows 指令進行快速偵察:
-
系統列舉
:執行指令如
whoami、net user、ipconfig /all和nltest /domain_trusts以收集系統和網域資訊。 -
認證收集(Credential Harvesting)
:使用合法的鑑識工具 Magnet RAM Capture 從記憶體傾印(memory dumps)中提取認證。輸出檔案使用
7za.exe壓縮,並透過 PuTTY 的 SCP(pscp.exe)外洩。
2.2 LAGTOY Backdoor:架構與功能
LAGTOY 是一個輕量但持久的後門程式,專為指令執行和 Reverse shell 建立而設計。主要技術特徵包括:
-
反除錯機制
:
-
未處理例外過濾器
:利用
kernel32!SetUnhandledExceptionFilter()偵測除錯器。若偵測到除錯器,客制化過濾器會被繞過,中止執行。
-
未處理例外過濾器
:利用
-
持久性
:以 Windows 服務形式安裝,命名為
WmiPrvSV,使用以下指令:sc create WmiPrvSV start=auto error=ignore binPath= C:\Program Files\Common Files\Services\WmiPrvSV.exe
確保系統重啟後仍能存活。 - C2 通信 :
2.3 移交至 Cactus Ransomware
初始入侵後三週,Cactus 利用竊取的認證提升權限並部署勒索軟體。主要活動包括:
- 橫向移動 :透過 WSMAN 腳本(script)和 PowerShell 遠端執行網路掃描,以識別高價值目標。
-
資料外洩
:使用
7z.exe壓縮敏感資料,設定排除篩選(例如-xr!*.dll -xr!*.exe),並透過curl.exe外洩。 - 勒索軟體部署 :利用工具如 AnyDesk、eHorus Agent 和 Metasploit 注入的二進位檔案(例如 PuTTY)來維持持久性,並停用恢復機制(例如刪除磁碟區陰影副本)。
3. 入侵時間軸
根據入侵分析:
| 天數 | 活動 | Threat Actor |
|---|---|---|
| 第 0 天 | 透過未修補的伺服器進行初始入侵 | ToyMaker |
| 第 1 天 |
建立假使用者帳戶(
support
帳戶)
|
ToyMaker |
| 第 2 天 | LAGTOY 部署 | ToyMaker |
| 第 21 天 | Cactus 開始網路列舉(network enumeration) | Cactus |
| 第 23 天 | 資料外洩與壓縮 | Cactus |
| 第 25 天 | 勒索軟體 Payload 部署 | Cactus |
4. 防禦建議
為減輕 IAB 和勒索軟體威脅:
- 修補管理 :優先處理暴露在網際網路上的系統漏洞(例如 Pulse Secure VPN)。
- 認證強化 :強制執行多因素驗證(MFA)和定期密碼輪換。
-
網路監控
:部署 Sigma 規則(例如偵測
sc create指令)並監視異常的 SSH/RDP 活動日誌。 - 記憶體保護 :限制在生產環境中執行 Magnet RAM Capture 等工具。
5. 結論
ToyMaker 展示了 IAB 在勒索軟體供應鏈中日益增長的複雜性。透過分隔初始存取和勒索軟體部署,Threat actor 實現了操作效率並規避偵測。LAGTOY 後門的反分析功能和時間邏輯突顯了行為偵測框架的需求。組織必須採取主動措施,包括威脅情報共享和零信任架構,以對抗此類多階段攻擊行動。