金融网络犯罪团伙的Commodity Builder及其infrastructure攻击

2018-11-02    来源:IT运维网

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

【作者: Palo Alto Networks(派拓网络)威胁情报团队Unit 42

威胁简报内容如下:

      现在,一个资深攻击者可以很轻松的使用普通工具、恶意软件、以及超级简单原始的投递方式,展开一场小型攻击并躲开调查和追溯。最常见的方法是使用鱼叉式网络钓鱼邮件通过社交工程来实施,或者使用诸如CVE-2017-0199 或ThreadKit builder这样的漏洞,来引起企业员工的注意或者关注。初步感染成功后,攻击者便开始部署高级定制化恶意软件以及其他高级工具,或者滥用Microsoft Windows中内置的众多实用程序,如PowerShell、CMSTP、Regsvr32 (这种滥用也被戏称为“靠土地为生”)。

      对于那些想要捕获威胁或者仅仅是自我保护的人来说,这类感染方式让识别工作变得如大海捞针一样困难。但即便这样,一旦有攻击者使用Commodity Builders或者工具,总会留下特定信号或者特征,我们可以据此来追踪网络攻击者的infrastructure。在这方面,最重名昭著的便是Cobalt Gang,这个犯罪团伙完全符合TTP三要素即战术Tactics、技术Techniques和过程Procedures,即便其头目今年在西班牙被捕,这个团伙依旧活跃。

      2018年10月,Palo Alto Networks威胁情报团队Unit 42对Cobalt Gang所进行的破坏活动进行了调查,并借助思科Talos 安全团队和Morphisec安全公司发布的相关报告里的最新信息,发现了这个犯罪团伙并与其infrastructure相关联。

      因此,我们能够识别出使用普通macro builder的行为,也能够识别出特定的文件元数据,进而实现对与Cobalt Gang相关的活动以及Infrastructure的追踪和归类。

近期发生的一则有关投递的典型案例

      近期有关Cobalt Gang攻击,也就发生在几天前,目前安全人员正在对这些攻击进行分析,分析结果显示Cobalt Gang的攻击投递方式简单易用。

通过持续观察,我们发现邮件是发动此类攻击最主要的途径。这类攻击首先将全球几大银行机构的员工设定为攻击对象,并向其发送标题为“Confirmations on October 16, 2018”的邮件。

      图一所示的例子,在多个流行的公共在线恶意软件库中都能找到。(SHA256:5765ecb239833e5a4b2441e3a2daf3513356d45e1d5c311baeb31f4d503703e).

图一,收到的邮件样本

      邮件附件为PDF文件,没有任何代码或漏洞。它通过社交工程手段劝说使用者点击链接进而下载恶意宏。这是Cobalt Gang惯用的手法,Talos也曾在报告里专门论述过。

图二,PDF文件内嵌链接

      PDF内容简单,内嵌链接,点击链接会打开一个Google合法地址,并重新引导浏览器浏览某个恶意文件:

图三,打开浏览器浏览某个恶意文件

      为了不被静态分析工具检测到,攻击者将PDF文件做得极度逼真:有空白页,有文本页,这样在分析过程中就会避开报警。而且,如果PDF文件页数很少,或内容很少的话,也会在静态分析中被重点检测。

图四,PDF静态分析

图五,PDF文件中使用的文本

      借助这两项技术,这类PDF文件几乎能够避开全部传统防病毒检测,从而在攻击第一阶段便通过邮件将恶意软件有效投送。

      恶意宏下载成功后,攻击者利用cmstp.exe系统工具运行scriptlet程序,从而帮助攻击者绕过AppLocker,进入负载投递的下一阶段。此项研究的目的不是对负载进行分析,而是聚焦攻击投递过程中涉及的各方面因素,从而对攻击者发动的行动及其采用的infrastructure进行有效追踪。

      但仅凭投递方法就能识别出攻击者的行动和目标,又是如何实现的呢?有关这部分内容,建议您参阅Palo Alto Networks Unit 42 研究团队发布的完整报告,报告地址:https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/

结论

Commodity attack 被广泛应用在犯罪和特定攻击中,很难被网络防护人员和威胁研究人员识别。Cobalt Gang就是这样的攻击者,它利用这种方法来实施攻击。

我们聚焦于macro builders的特定方面以及攻击者留下的元数据,从而开发出全新架构来实现对Cobalt Gang攻击活动和infrastructure的追踪和擒获。

Palo Alto Networks的客户可受到如下保护:

1.      WildFire对攻击活动中的恶意软件样本进行检测

2.      Traps在端点拦截这些攻击

3.      PAN-DB URL Filtering覆盖全部相关恶意域名

4.      AutoFocus创建标签以便于追踪Cobalt Gang团伙的犯罪活动

标签: Google 安全 代码 漏洞 网络 域名

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:华为与CSA联合发布云安全服务管理指南

下一篇:万物互联丨信核携手蓝云,共同繁荣云生态