初始存取與偵察
本報告提供對 UAT-7237,一高級持續性威脅(Advanced Persistent Threat, APT)團體, 所使用的策略、技術和程序(Tactics, Techniques, and Procedures, TTPs)的詳細技術分析。分析聚焦於該團體的初始存取、偵察、後入侵工具和持久性機制的技術,通過觀察到的命令行執行和工具功能獲得洞察。本報告旨在提供對 UAT-7237 操作框架的全面理解。
初始存取與偵察
UAT-7237 通過利用未更新的暴露於網際網路伺服器中的已知漏洞來啟動其操作。在成功入侵後,該團體進行快速 fingerprinting 以評估目標對於進一步惡意攻擊的價值。此偵察階段涉及通過一系列命令行工具識別內外部遠端主機。與其他立即部署 web shell 以獲得後門存取的 APT 團體不同,UAT-7237 展示了一種獨特的方法,通過使用 SoftEther VPN 客戶端來實現持久性和後續通過遠端桌面協議(RDP)存取。
觀察到的偵察命令包括:
-
cmd /c nslookup <victim's_domain>:用於網域名稱解析以識別目標系統。 -
cmd /c systeminfo:收集詳細的系統設定資訊。 -
cmd /c curl:可能用於網頁請求或資料傳輸。 -
cmd /c ping 8.8.8.8與cmd /c ping 141.164.50.141:網路連通性檢查,後者可能針對攻擊者控制的遠端伺服器。 -
cmd /c ipconfig /all:獲取全面的網路介面設定詳情。
在建立初始存取和基於 VPN 的持久性後,UAT-7237 準備轉向其他系統以進行擴散和進一步的惡意行動。這涉及網路列舉和網域名稱偵察:
-
cmd.exe /c cd /d "<remote_smb_share>"&net use:列舉網路共享。 -
cmd.exe /c cd /d "<remote_smb_share>"&dir \\<remote_smb_share>\c$:列出遠端 SMB 共享的內容。 -
cmd.exe /c cd /d "C:\"&net group "domain admins" /domain:識別域管理者。 -
cmd.exe /c cd /d "C:\"&net group "domain controllers" /domain:識別網域控制器。
除了標準的 Living Off the Land Binaries(LOLBins),UAT-7237 廣泛使用基於 Windows Management Instrumentation(WMI)的工具,特別是
SharpWMI
和
WMICmd
,進行偵察和擴散。這些工具能夠執行遠端 WMI 查詢並促進在遠端主機上執行任意命令和程式碼。其使用範例包括:
-
cmd.exe /c cd /d "C:\"&C:\ProgramData\dynatrace\sharpwmi.exe <IP> <user> <pass> cmd whoami:通過 SharpWMI 在遠端系統上執行whoami命令。 -
cmd.exe /c cd /d "C:\DotNet\"&WMIcmd.exe:執行 WMICmd。 -
wmic /node:<IP> /user:Administrator /password:<pass> process call create cmd.exe /c whoami:創建一個程序以通過 WMIC 遠端執行whoami。 -
wmic /node:<IP> /user:Administrator /password:<pass> process call create cmd.exe /c netstat -ano >c:\1.txt:遠端執行netstat -ano並將輸出重新導向到檔案。
進一步的系統 fingerprinting 使用基本的 Windows 命令,例如
systeminfo
、
tasklist
、
net1 user /domain
、
whoami /priv
和
quser
。
後入侵工具與目標行動
在成功入侵後,UAT-7237 部署了多種重新導向和開源工具。由 Talos 追蹤的一個顯著的重新導向工具是“SoundBill”。SoundBill 是一個 shellcode loader,據報導基於以中文編寫的“VTHello”。其主要功能是解碼磁碟上的檔案“ptiti.txt”並執行生成的 shellcode。此機制允許靈活的 payload 傳遞,從 Mimikatz 等認證 dump 工具到任意命令執行,甚至 Cobalt Strike payloads 用於持久存取。
SoundBill 的多功能性體現在其潛在使用案例(Use Case)中:
-
VTSB.exe privilege::debug sekurlsa::logonpasswords exit:執行類似 Mimikatz 的 payload 以提取認證。 -
c:\temp\vtsb.exe -c whoami:執行任意命令,例如whoami。
Talos 觀察到與 SoundBill 兼容的 Cobalt Strike beacons 通過 HTTPS 與位於
cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1.on.aws
的 Command and Control(C2)伺服器通信。這表明了一個利用雲端服務進行穩健性和規避的複雜 C2 基礎設施。
值得注意的是,SoundBill 包含兩個來自 QQ(中國即時通訊軟體)的嵌入式可執行檔案。這些檔案可能用作誘餌檔案,可能在魚叉式網路釣魚攻擊中用於誤導分析或顯得無害。
UAT-7237 還使用 JuicyPotato,一種 threat actors 常用的權限提升工具。此工具允許以提升的權限執行命令,如以下範例所示:
-
cmd.exe /c c:\hotfix\juicy2.exe -t * -c {6d18ad12-bde3-4393-b311-099c346e6df9} -p whoami:使用 JuicyPotato 以提升權限執行whoami。
JuicyPotato:權限提升
JuicyPotato 是一種廣泛認可的權限提升工具,常被 threat actors 用於在被滲透的 Windows 系統上獲得提升權限。它是 RottenPotatoNG 的武器化版本,利用 Windows 處理 impersonation tokens 和 COM(元件物件模型)物件的方式中的漏洞。具體來說,JuicyPotato 利用
BITS
(背景智慧傳輸服務)COM 介面與特定的 CLSIDs(類別 ID)來觸發 NTLM 認證中繼,從而模擬
SYSTEM
帳戶。這使得能夠以
SYSTEM
等級權限執行任意命令,這是持久存取和進一步入侵系統的關鍵步驟 [1]。
SharpWMI 與 WMICmd:基於 WMI 的橫向移動
UAT-7237 通過 SharpWMI 和 WMICmd 等工具廣泛使用 Windows Management Instrumentation(WMI),突顯了他們在 living-off-the-land 技術方面的熟練度,用於偵察和橫向移動。WMI 是一個強大的介面,允許管理 Windows 系統,其被攻擊者濫用是一種常見策略,以融入合法網路流量和管理活動中。
SharpWMI 是 WMI 功能的 C# 實現,使攻擊者能夠執行各種 WMI 操作,包括查詢系統資訊、執行程序以及管理遠端機器的服務。同樣,WMICmd 是一個命令行包裝器,便於進行 WMI 互動。這兩種工具都允許執行任意命令和程式碼,使其成為在被滲透網路內進行遠端執行和資料外洩的強大工具 [2, 3]。UAT-7237 使用這些工具表明了他們利用內建系統功能進行隱秘操作的明確意圖,這使得傳統安全解決方案更難以檢測。
SoundBill:重新導向 Shellcode Loader
SoundBill 是 UAT-7237 使用的重新導向 shellcode loader,據報導基於開源項目“VTHello”。此工具設計用於解碼被滲透系統上的檔案“ptiti.txt”並執行生成的 shellcode。SoundBill 的靈活性在於其能夠載入各種類型的 shellcode,包括用於認證 dump(例如 Mimikatz)、任意命令執行,甚至 Cobalt Strike beacons 用於持久存取。使用像 SoundBill 這樣的重新導向 loader 使 UAT-7237 能夠保持一定程度的隱秘性,並規避可能設定為標記已知惡意軟體 loader 的安全解決方案 [4]。
SoundBill 與 Cobalt Strike beacons 的 C2 通信已觀察到使用 HTTPS,連接到如
cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1.on.aws
的網域名稱。這表明使用雲端服務作為 C2 基礎設施,這由於這些服務的合法性質而進一步複雜化了檢測和阻斷工作。
此外,SoundBill 中嵌入來自 QQ(中國即時通訊軟體)的可執行檔案表明試圖將 malicious payload 偽裝成合法軟體。這種策略常用於魚叉式網路釣魚攻擊中,以提高成功入侵的可能性,通過對受害者和某些安全控制顯得無害。
設定變更
UAT-7237 試圖修改被滲透端點上的 Windows 作業系統設定,以促進其操作並維持持久性。這些變更包括:
-
通過註冊表修改禁用使用者帳戶控制(User Account Control, UAC)限制:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f -
啟用明文密碼儲存:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
該團體還存取元件服務管理控制台(
mmc comexp.msc
),可能是為了調整其惡意元件的權限,進一步鞏固其在受感染系統中的存在。
認證追蹤
UAT-7237 使用多種機制進行認證提取,Mimikatz 是主要工具。文章提到使用 Mimikatz 從受感染的端點提取認證。這是被滲透網路內橫向移動和權限提升的關鍵步驟。
持久性機制
除了初始的 VPN 基礎持久性外,UAT-7237 通過多種方法建立長期存取。通過 SoundBill 傳遞的 Cobalt Strike beacons 提供了一個強大且靈活的 C2 通道。修改系統設定,例如關閉 UAC 和啟用明文密碼儲存,進一步有助於維持持久性和促進未來存取。該團體對存取 VPN 和雲端基礎設施的興趣也表明其建立多重 Redundancy 持久性機制的策略。
規避技術
UAT-7237 依賴於一定程度重新導向的開源工具,是一個關鍵的規避技術。這種重新導向以及使用誘餌檔案(例如 SoundBill 中的 QQ 可執行檔案)旨在規避安全解決方案的檢測。使用 WMI 進行命令和程式碼執行也使他們能夠在合法系統功能內操作,使其攻擊更難與正常管理任務區分。利用雲端服務作為 C2 基礎設施進一步增強了其保持未被檢測的能力。
結論
UAT-7237 是一個複雜的 APT 團體,採用開源和重新導向工具的混合,結合 living-off-the-land 技術,以實現其目標。他們對偵察、持久性和認證提取的系統化方法,以及對網頁基礎設施實體的專注,突顯了一個明確的操作策略。其 TTPs 的技術分析為防禦者提供了寶貴的洞察,以增強其對類似威脅的檢測和緩解能力。該團體的適應性和對合法系統工具的使用強調了全面監控和行為分析在識別和對抗此類威脅中的重要性。