下载 | 蜻蜓组织攻击多国能源机构 USCert展示完整攻击链 给出17页报告

自2017年5月起,蜻蜓组织威胁源起方将目标对准了政府实体和能源、水力、航空、核及关键制造部门,并成功入侵了一些受害者的网络。同时,威胁源起方对其他关键基础设施部门也发动了类似攻击。

国土安全部、联邦调查局和可信合作伙伴经过分析,发现了与此活动相关的独特指标IoC和行为。特别提请注意,就目前仍在持续的这一活动,赛门铁克于2017年9月6日发布的《针对西方能源部门的高级攻击团队“蜻蜓”》提供了更多信息。(小编,本文发布报告主要内容,完整报告见附件下载)

本攻击包括两类不同的受害者:阶段性和既定目标。早期受害者为一些周边组织,如网络不够安全的可信第三方供应商,本文将这些早期受害者统一称为“阶段性目标”。威胁源起方在攻击最终既定目标时将阶段性目标的网络作为据点和恶意软件仓库。网络威胁源起方的最终目的是入侵组织网络,这些组织的网络即本文中所称的“既定目标”。

本攻击中的威胁源起方使用了各种TTP,包括:

  1. 开源侦查
  2. 鱼叉式钓鱼邮件(从被入侵合法账号发出)
  3. 水坑域名
  4. 基于主机的利用
  5. 选定工业控制系统(ICS)基础设施目标
  6. 持续收集凭证

网络攻击链分析

国土安全部利用网络攻击链模型分析、讨论、分解恶意网络活动。攻击链包括侦查、武器化、传送、利用、安装、建立连接和执行攻击等七个阶段。本节将概况分析该框架中的各个活动。

第1阶段:侦查

威胁源起方有针对性而非随机地选取组织目标。阶段性目标与许多既定目标在攻击之前就有联系。我们知道的是,威胁源起方会积极获取组织所监控网络中的公开信息。国土安全部进一步评估认为,威胁源起方会试图找出与网络和组织设计以及组织内控制系统能力相关的信息。

通过取证分析,发现威胁源起方针对目标进行开源侦查,收集公司所控制网站上的信息。这是定向鱼叉式网络攻击中收集信息经常使用的策略。有些情况下,公司网站上的信息,尤其是看似很正常的信息,可能会包含可操作的敏感信息。例如,威胁源起方从公开的人力资源网页下载了一张小照片,照片扩大后变成高清图片,可以看到背景中的控制系统设备型号和状态信息。

分析还发现,威胁源起方利用入侵的阶段性目标的网络进行开源侦查,识别潜在的兴趣目标和既定目标。“兴趣目标”指据国土安全部观察,威胁源起方积极关注、但尚未入侵的组织。具体说,威胁源起方访问基于Web的可远程公开访问的基础设施,如网站、远程邮件访问门户和虚拟专有网络(VPN)连接。

第2阶段:武器化

鱼叉式钓鱼邮件TTP

在整个鱼叉式钓鱼攻击过程中,威胁源起方使用邮件附件,利用合法的微软Office功能通过服务器信息块(SMB)协议从远程服务器获取文件。(请求示例:file[:]//<remote IP address>/Normal.dotm。)作为微软Word所执行标准流程的一部分,该请求将用户的凭证哈希发送给远程服务器,以认证客户端,然后再获取所请求文件。(注意:传送凭证不需要获取文件。)接下来,威胁源起方可能会使用密码破解技术获取明文密码。一旦获取到有效凭证,他们就能伪装成授权用户。

第3阶段:传送

在试图入侵目标网络时,威胁源起方利用的是鱼叉式钓鱼邮件攻击,这与之前所述的TTP不同。鱼叉式钓鱼邮件使用通用的合同协议主题,主题行一般写有“协议&机密”,邮件内容为名为“''document.pdf”的通用PDF文件。(注意:附件名以两个撇号('')开始。)PDF文件本身无害,也不包含任何活动代码。文件提示用户,若未自动开始下载,则点击链接。(注意:PDF内部并无代码发起下载。)链接会通过短网址将用户定向至一个网站,提示他们获取恶意文件。

在之前报告中,国土安全部和联邦调查局发现了这类鱼叉式钓鱼邮件常用的主题,所有的邮件都会提及控制系统或流程控制系统。威胁源起方在针对既定目标组织时继续使用这些主题。邮件内容会提及通用工业控制设备和协议。邮件所利用的恶意微软Word附件看似合法的工控系统人员简历、邀请或政策文件,以诱使用户打开。文件名列表已在文末IOC中提供。

第4阶段:利用

威胁源起方在针对阶段性目标的钓鱼攻击中使用独特的TTP(连续重定向)。邮件中含有一个短网址链接将用户定向至http://bit[.]ly/2m0x8IH,这个链接再将用户重定向至http://tinyurl[.]com/h3sdqck,这个链接最后将用户重定向至最终目的网站http://imageliners[.]com/nitel。imageliner[.]com网站模仿正常网站的登录页面,提供邮件地址和密码输入字段。

在利用既定目标时,威胁源起方使用恶意的.docx文档抓取用户凭证。不过,国土安全部并未发现攻击者在用户系统中建立持久据点。文档试图利用SMB,通过TCP 445或139端口以及UDP 137或138端口建立“file:\\”连接来获取文件。该连接的目标为命令与控制(C2)服务器,这个服务器或为威胁源起方所有,或位于阶段性受害者的被入侵系统中。当用户认证为域用户后,会向C2服务器提供受害者哈希。本地用户会收到图形用户界面(GUI)提示,要求其输入用户名和密码。这个信息会通过TCP 445或139端口和UDP 137或138端口提供给C2服务器。(注意:泄露凭证信息不需要进行文件传输。)赛门铁克在报告中将这一行为与威胁源起方“蜻蜓”联系了起来。[3]

利用“水坑式”域名

水坑式攻击是威胁源起方针对阶段式目标采取的一种主要攻击方法。威胁源起方通过入侵可信组织的基础设施访问既定目标。尽管这些“水坑”可能存储知名组织的合法内容,但威胁源起方会修改这些内容,注入和引用恶意内容。约有一半的已知“水坑”为与流程控制、ICS或关键基础设施相关的为贸易刊物和情报网站。

利用类似的SMB采集技术,威胁源起方修改重定向至445端口的IP地址的JavaScript和PHP文件,从而窃取网站凭证,操纵网站。目标站点包括自定义开发的web应用和基于模板的框架。威胁源起方向header.php中注入一行代码。header.php是一个合法的PHP文件,实现重定向的流量。目前尚无迹象表明威胁源起方利用零日攻击操控网站,他们更倾向于利用合法凭证直接访问网站内容。

第5阶段:安装

威胁源起方利用窃取的凭证访问未采用多重验证的目标网络。[5]一旦成功进入既定目标的网络,威胁源起方就会从远程服务器下载工具。初始文件名包含.txt扩展名,然后被修改为其他适用的扩展名,一般为.exe或.zip。

例如,威胁源起方在获得既定受害人网络的远程访问权限后,采取以下行动:

  • 连接到91.183.104[.]150,下载多个文件,尤其是INST.txt文件。
  • 修改文件名称,如将INST.txt修改为INST.exe。
  • 在主机上执行文件,然后立即将其删除。
  • INST.exe的执行触发下载ntdll.exe,随即ntdll.exe出现在既定目标的被入侵系统的运行进程列表中。

在有关“蜻蜓”的报告中,赛门铁克将INST.exe的MD5哈希与Backdoor.Goodor关联。MD5存储在文末提及的IOC列表中。

恶意脚本会创建用户账户、禁用基于主机的防火墙、并在全局范围内开放3389端口提供RDP(远程桌面协议)访问。该脚本会试图将创建的新账户添加到管理员组中,从而提升权限。该脚本包括各语言的(西班牙语、意大利语、德语、法语和英语)的组名“administrator”的硬编码值。

此外,威胁源起方也创建了定时“重置”任务,使新创建的账户每八小时就自动退出。

成功访问阶段式目标后,威胁源起方将安装工具,执行攻击任务。有时,威胁源起方会安装免费版的Forticlient,该工具可能被用作既定目标的VPN客户端。

观察表明,为成功窃取凭证,威胁源起方会释放并执行开源的免费工具如Hydra、SecretsDump和CrackMapExec。从命名规范和下载位置可以看出,这些文件直接从公共位置(如GitHub)下载。取证分析表明很多这些工具会在威胁源起方访问系统时执行。值得注意的是,威胁源起方在入侵阶段式受害人的主机上安装Python 2.7,将Python脚本释放在C:\Users\<Redacted Username>\Desktop\OWAExchange\中。在上述文件夹结构中,名为“out”的子文件夹存储多个文本文件。

通过操控.LNK文件实现持续攻击

威胁源起方对.lnk文件进行操控,持续收集用户凭证。默认的Windows功能支持从Windows本地存储库中加载图标。威胁源起方将图标路径设置为其远程控制的服务器,从而利用该内置的Windows功能。这样,当用户访问这一目录时,Windows会试图加载图标,发起SMB认证会话。在此过程中,活跃用户的凭证通过威胁源起方试图建立的SMB连接传输。威胁源起方在虚拟桌面基础架构(VDI)和传统环境中采用这一攻击手段。

我们对SETROUTE.lnk、notepad.exe.lnk和Document.lnk这三个.lnk文件进行了观察。这些文件名看上去表明了使用情境,威胁源起方在使用这种方法时利用了多个其它文件名。我们通过这些.lnk文件观察到此次攻击使用了两个远程服务器。

创建本地账户

威胁源起方会在阶段式目标上创建多个账户,持续开展攻击行动。这些账户伪装成合法服务账户,似乎是为阶段式攻击目标量身定制的。威胁源起方创建的每个账户在攻击过程中都有其特定用途。国土安全部和FBI发现攻击者入侵了对于阶段式目标来说,兼具域控制器和邮件服务器功能的服务器,并在该服务器上创建了四个本地账户。

  • 账户1威胁源起方创建账户用于模拟阶段式目标上的备份服务。该账户通过上述的恶意脚本创建。威胁源起方利用该账户进行开源侦察和远程访问既定目标。该账户也被用于删除Forticlient软件。
  • 账户2威胁源起方利用账户1创建了账户2,用于模拟邮件管理账户。我们发现账户2执行的唯一行动是创建账户3。
  • 账户3威胁源起方在阶段式受害人Microsoft Exchange Server上创建了账户3。当威胁源起方使用账户2通过认证后,PowerShell脚本在RDP会话中创建账户3。所创建的Microsoft Exchange账户采用阶段式目标的命名规范(如名字的首字母大写加上姓氏)。
  • 账户4在攻击的后半部分,威胁源起方利用账户1创建了账户4—本地管理员账户。账户4用于删除以下类型日志:系统日志、安全日志、终端服务日志、远程服务日志和审计日志。注册表分析表明,该攻击活动可能已实现了脚本化。

第6阶段:建立连接

威胁源起方一般通过利用web shell入侵公共服务器,在内部网络中获得立足之地。我们在web服务器和邮件服务器中均发现了该攻击活动。然后,威胁源起方在443端口建立了加密连接,连接web shell。一旦成功连接web shell,威胁源起方从所控制的服务器上将其他恶意文件下载至公共服务器。随附的IOC列表上详细列出了威胁源起方使用的其中两个web shell(AutoDiscover.aspx和global.aspx)。尽管这两个web shell的MD5哈希文件名有差异,但内容相同。这些web shell与名为ciklon_z的web shell相关联。

国土安全部和FBI观察到威胁源起方利用远程访问服务和基础设施,如VPN、RDP和Outlook Web Access(OWA)。威胁源起方利用阶段性目标连接数个既定目标,有效地将前者变成了命令与控制中心。到现在为止,我们断定威胁源起方已经攻击了利用单因素认证的服务。国土安全部认为威胁源起方利用这一方法绕过了检测与归因分析。

阶段7:攻击ICS和SCADA基础设施

获得了既定受害人的访问权限后,威胁源起方进行了网络侦察操作,具体指威胁源起方确定和查看既定受害人网络中的文件服务器。威胁源起方查看ICS和SCADA系统相关的文件。国土安全部对目前入侵事件的分析表明,这些文件的最初文件名(如SCADA PANEL LAYOUTS.pdf或SCADA PANEL LAYOUTS.xlsx)包含ICS厂商名称以及该组织相关的ICS参考文档。

例如,威胁源起方访问企业网络(包含能源生成设施的控制系统的数据输出)中的工作站和服务器。在此攻击事件过程中威胁源起方创建了恶意的定时任务,调用带有scr.jpg参数的scr.exe。scr.exe的MD5哈希与ScreenUtil的MD5相匹配。赛门铁克发布的“蜻蜓2.0”报告称,ScreenUtil是威胁源起方所利用的一款工具。

解决方案

本次APT攻击者活动已影响多个组织,涉及能源、核电、水务、航空、建设和关键基础设施等部门。.国土安全部和联邦调查局鼓励网络用户和管理员利用以下检测和防护指南,防护攻击活动。

网路和基于主机的特征

国土安全部和联邦调查局建议网络管理员查看IP地址、域名、文件hash、网络特征、YARA规则和Snort特征,并将IP地址加入到监控列表,以确定组织内部是否有恶意活动发生。检查网络周边网络流量有助于确定网络中是否有可疑活动发生。网络防御者和恶意软件分析人员应利用YARA和.txt文件中提供的YARA和Snort特征识别可疑活动。

检测和防护措施

  • 通过比较附录中所列出的所有IP地址和域名,用户和管理员可检测鱼叉式网络钓鱼攻击、水坑攻击、Webshell攻击和远程访问活动:

     

     

     

     

     

     

     

     

     

     

    • 网络入侵检测系统/网络入侵防护系统日志
    • Web内容日志
    • 代理服务器日志
    • 域名服务器解析日志
    • 抓包(PCAP)库
    • 防火墙日志
    • 工作站互联网浏览历史日志
    • 基于主机的入侵检测系统/基于主机的入侵防护系统(HIPS)日志
    • 数据泄露防护日志
    • 交换服务器日志
    • 用户收件箱
    • 邮件过滤日志
    • 邮件内容日志
    • 杀毒邮件日志
    • OWA日志
    • 黑莓企业服务器日志
    • 移动设备管理日志
  • 要识别面向外部的服务器上的Webshell活动,比较附件中列出的IP地址、文件名和文件哈希值:

     

     

     

     

     

     

     

     

     

     

    • 应用日志
    • IIS/Apache日志
    • 文件系统
    • 入侵检测系统/入侵防护系统日志
    • PCAP库
    • 防火墙日志
    • 反向代理
  • 通过搜索工作站文件系统以及基于网络的用户目录,查找附录中列出的附件文件名和哈希值来检测鱼叉式网络钓鱼。
  • 通过搜索所有包含用户资料的.lnk文件,在VDI环境中检测持久性。
  • 通过识别被删除的日志检测威胁源起方所使用的逃逸技术。这可通过检查最后一次日志和搜索Windows系统日志上的104事件来实现。
  • 通过检查系统上的所有管理员用户来检测持久性,从而识别未经授权的用户,特别是近期创建的用户。
  • 通过检查所有用户远程访问系统的访问次数来检测对合法凭证的恶意利用。账户所有者应检查任何异常登录次数。
  • 通过验证任何用户凭据疑似遭遇攻击的用户的所有远程桌面和VPN会话,检测对合法凭据的恶意使用情况。
  • 通过在OWA日志中搜索附件中列出的所有IP地址检测鱼叉式网络钓鱼攻击。
  • 通过验证邮件服务器上创建的所有新邮件账户(特别是允许外部用户访问的账户)来检测网络鱼叉钓鱼攻击。
  • 通过在系统日志中搜索附件中列出的所有文件名来检测服务器持久性。
  • 通过在附件中列出的所有以.psl结尾的文件中搜索PowerShell日志检测横向运动和特权提升活动。(注意: 必须是PowerShell版本5,且PowerShell日志须在活动开始前启用。)
  • 在关键系统中检查所有已安全应用程序以识别未经授权的应用程序,特别是FortiClient VPN和Python 2.7,从而检测持久性。
  • 通过在注册表HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal中搜索REG_DWORD 100值检测持久性。在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\dontdisplaylastusername中搜索Services\MaxInstanceCount和REG_DWORD 1。
  • 通过在所有代理日志中搜索从没有域名的URL中的下载来检测安装。

适用于本次攻击活动的最佳实践

  • 通过阻断TCP端口139、445和相关UDP端口137,阻止网络边界上所有版本SMB和相关协议的外部通信。详情请参阅NCCIC/US-CERT发布的《SMB安全最佳实践》。
  • 阻断网络上边界网关设备上的WebDAV协议。
  • 检查VPN日志,以监控异常活动(如非工作时间登陆、未经授权的IP地址登陆和多个并发登陆)。
  • 在网络上部署Web和邮件过滤器。配置这些设备扫描已知的恶意域名、源和地址;在接收和下载信息前阻断它们。这有助于减少网络第一层防护的攻击面。利用包含云信誉服务的杀毒解决方案扫描主机和邮件网关上的所有邮件、附件和下载。
  • 根据行业最佳实践,从业务系统和网络中细分出任何关键网络或控制系统。
  • 确保在出入口有足够的记录和可视化。
  • 确保使用PowerShell版本5,并启用日志功能。旧版本PowerShell不提供对攻击者可能已执行的PowerShell命令的日志功能。启用PowerShell模块日志、脚本阻断日志和转录功能。将相关日志发送至中央日志库进行监控和分析。详情请参见FireEye博文《通过PowerShell日志功能实现更大可视化》。
  • 执行《NCCIC/US-CERT告警TA15-314A—被攻击的Web服务器和Webshell—威胁意识与指南》中规定的防护、检测和缓解策略。
  • 制定培训机制,通知最终用户关于邮件和网络的正确用户,强调当前信息与分析,包括常见钓鱼指标。应明确指导最终用户如何上报异常或可疑邮件。
  • 执行应用目录白名单。系统管理员应通过微软软件限制策略、AppLocker或类似软件执行应用或应用目录白名单。安全的默认设置可允许应用运行PROGRAMFILES、PROGRAMFILES(X86)、SYSTEM32和任意ICS软件文件夹。除特殊情况外,禁止其他位置。
  • 除特殊情况外,阻断来自不可信外部地址的RDP链接;定期例行检查例外情况。
  • 在安全信息事件管理工具中对关键系统的系统日志保存至少一年时间。
  • 确保配置应用程序,对事件响应调查进行相应程度的详情记录。
  • 考虑执行HIPS或其他控制措施,防御未经授权的代码执行。
  • 制定最小权限的控制措施。
  • 减少活动目录域和企业管理员账户的数量。
  • 根据攻击程度,重置所有本地和域系统中的所有用户、管理员和服务账户凭证。
  • 执行密码策略,要求所有用户设置复杂密码。
  • 确保网络管理员账户不进行外部连接。
  • 确保网络管理员使用最小特权账户进行邮件和互联网访问。
  • 使用双重因素认证,尤其是面向外部的接口和高风险环境(如远程访问、特权访问和敏感数据访问)。
  • 指定记录和审计特权账户活动的过程。
  • 启用对特权提升和角色变化进行记录和告警的功能。
  • 定期搜索公共信息,确保没有披露任何敏感信息。检查图片和文档,以防包含任何无意披露的敏感信息。
  • 指定足够的人员进行日志审查,包括告警记录。
  • 完善独立的安全风险检查。
  • 制定和参与信息共享工作。
  • 创建和维护网络与系统文档,及时进行事件响应。文档应包括网络架构、资产所有者、资产例行和事件响应计划。

IOC威胁情报下载(STIX)

经评估,国土安全部认定该活动为威胁源起方针对安全性较低的小型网络分阶段实施的入侵行动,目的是进入能源部门内重要的高价值资产所有者的网络,并在网络中横向移动。根据恶意软件分析和观察到的IOC,国土安全部确信,该攻击仍在持续,威胁源起方正积极向其长期行动的最终目标前进。本报告旨在为安全防御者提供有用信息,以识别、缩小恶意活动的攻击面。

相关文件如下:

TA17-293A针对能源等关键基础设施部门的高级持续威胁APT活动报告

点击图片下载

发表评论