【作者: Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報(bào)團(tuán)隊(duì)Unit 42】

威脅簡(jiǎn)報(bào)內(nèi)容如下:

      現(xiàn)在，一個(gè)資深攻擊者可以很輕松的使用普通工具、惡意軟件、以及超級(jí)簡(jiǎn)單原始的投遞方式，展開一場(chǎng)小型攻擊并躲開調(diào)查和追溯。最常見的方法是使用魚叉式網(wǎng)絡(luò)釣魚郵件通過社交工程來實(shí)施，或者使用諸如CVE-2017-0199 或ThreadKit builder這樣的漏洞，來引起企業(yè)員工的注意或者關(guān)注。初步感染成功后，攻擊者便開始部署高級(jí)定制化惡意軟件以及其他高級(jí)工具，或者濫用Microsoft Windows中內(nèi)置的眾多實(shí)用程序，如PowerShell、CMSTP、Regsvr32 （這種濫用也被戲稱為“靠土地為生”）。

      對(duì)于那些想要捕獲威脅或者僅僅是自我保護(hù)的人來說，這類感染方式讓識(shí)別工作變得如大海撈針一樣困難。但即便這樣，一旦有攻擊者使用Commodity Builders或者工具，總會(huì)留下特定信號(hào)或者特征，我們可以據(jù)此來追蹤網(wǎng)絡(luò)攻擊者的infrastructure。在這方面，最重名昭著的便是Cobalt Gang，這個(gè)犯罪團(tuán)伙完全符合TTP三要素即戰(zhàn)術(shù)Tactics、技術(shù)Techniques和過程Procedures，即便其頭目今年在西班牙被捕，這個(gè)團(tuán)伙依舊活躍。

      2018年10月，Palo Alto Networks威脅情報(bào)團(tuán)隊(duì)Unit 42對(duì)Cobalt Gang所進(jìn)行的破壞活動(dòng)進(jìn)行了調(diào)查，并借助思科Talos 安全團(tuán)隊(duì)和Morphisec安全公司發(fā)布的相關(guān)報(bào)告里的最新信息，發(fā)現(xiàn)了這個(gè)犯罪團(tuán)伙并與其infrastructure相關(guān)聯(lián)。

      因此，我們能夠識(shí)別出使用普通macro builder的行為，也能夠識(shí)別出特定的文件元數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)對(duì)與Cobalt Gang相關(guān)的活動(dòng)以及Infrastructure的追蹤和歸類。

近期發(fā)生的一則有關(guān)投遞的典型案例

      近期有關(guān)Cobalt Gang攻擊，也就發(fā)生在幾天前，目前安全人員正在對(duì)這些攻擊進(jìn)行分析，分析結(jié)果顯示Cobalt Gang的攻擊投遞方式簡(jiǎn)單易用。

通過持續(xù)觀察，我們發(fā)現(xiàn)郵件是發(fā)動(dòng)此類攻擊最主要的途徑。這類攻擊首先將全球幾大銀行機(jī)構(gòu)的員工設(shè)定為攻擊對(duì)象，并向其發(fā)送標(biāo)題為“Confirmations on October 16, 2018”的郵件。

      圖一所示的例子，在多個(gè)流行的公共在線惡意軟件庫中都能找到。(SHA256:5765ecb239833e5a4b2441e3a2daf3513356d45e1d5c311baeb31f4d503703e).

圖一，收到的郵件樣本

      郵件附件為PDF文件，沒有任何代碼或漏洞。它通過社交工程手段勸說使用者點(diǎn)擊鏈接進(jìn)而下載惡意宏。這是Cobalt Gang慣用的手法，Talos也曾在報(bào)告里專門論述過。

圖二，PDF文件內(nèi)嵌鏈接

      PDF內(nèi)容簡(jiǎn)單，內(nèi)嵌鏈接，點(diǎn)擊鏈接會(huì)打開一個(gè)Google合法地址，并重新引導(dǎo)瀏覽器瀏覽某個(gè)惡意文件：

圖三，打開瀏覽器瀏覽某個(gè)惡意文件

      為了不被靜態(tài)分析工具檢測(cè)到，攻擊者將PDF文件做得極度逼真：有空白頁，有文本頁，這樣在分析過程中就會(huì)避開報(bào)警。而且，如果PDF文件頁數(shù)很少，或內(nèi)容很少的話，也會(huì)在靜態(tài)分析中被重點(diǎn)檢測(cè)。

圖四，PDF靜態(tài)分析

圖五，PDF文件中使用的文本

      借助這兩項(xiàng)技術(shù)，這類PDF文件幾乎能夠避開全部傳統(tǒng)防病毒檢測(cè)，從而在攻擊第一階段便通過郵件將惡意軟件有效投送。

      惡意宏下載成功后，攻擊者利用cmstp.exe系統(tǒng)工具運(yùn)行scriptlet程序，從而幫助攻擊者繞過AppLocker，進(jìn)入負(fù)載投遞的下一階段。此項(xiàng)研究的目的不是對(duì)負(fù)載進(jìn)行分析，而是聚焦攻擊投遞過程中涉及的各方面因素，從而對(duì)攻擊者發(fā)動(dòng)的行動(dòng)及其采用的infrastructure進(jìn)行有效追蹤。

      但僅憑投遞方法就能識(shí)別出攻擊者的行動(dòng)和目標(biāo)，又是如何實(shí)現(xiàn)的呢？有關(guān)這部分內(nèi)容，建議您參閱Palo Alto Networks Unit 42 研究團(tuán)隊(duì)發(fā)布的完整報(bào)告，報(bào)告地址：https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/

結(jié)論

Commodity attack 被廣泛應(yīng)用在犯罪和特定攻擊中，很難被網(wǎng)絡(luò)防護(hù)人員和威脅研究人員識(shí)別。Cobalt Gang就是這樣的攻擊者，它利用這種方法來實(shí)施攻擊。

我們聚焦于macro builders的特定方面以及攻擊者留下的元數(shù)據(jù)，從而開發(fā)出全新架構(gòu)來實(shí)現(xiàn)對(duì)Cobalt Gang攻擊活動(dòng)和infrastructure的追蹤和擒獲。

Palo Alto Networks的客戶可受到如下保護(hù)：

1.      WildFire對(duì)攻擊活動(dòng)中的惡意軟件樣本進(jìn)行檢測(cè)

2.      Traps在端點(diǎn)攔截這些攻擊

3.      PAN-DB URL Filtering覆蓋全部相關(guān)惡意域名

4.      AutoFocus創(chuàng)建標(biāo)簽以便于追蹤C(jī)obalt Gang團(tuán)伙的犯罪活動(dòng)

標(biāo)簽： Google 安全 代碼 漏洞 網(wǎng)絡(luò) 域名

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。