Mandiant的工作人员在2018年2月至2020年9月之间的入侵调查中发现了UNC1945组织的威胁活动,该组织攻陷托管服务提供商,利用对第三方网络的访问,针对金融和专业咨询行业内的特定目标进行攻击。UNC1945组织针对的目标是Oracle Solaris操作系统,还利用一些攻击工具和实用程序攻击Windows和Linux操作系统,加载和操作自定义虚拟机,并使用了多种技术来逃避检测。UNC1945组织可利用漏洞、攻击工具和恶意软件对多个操作系统进行访问,也很重视其攻击活动的隐秘性和操作性,在其交互操作中可以发现该组织的高级技术能力。
攻击者使用独特的战术、技术和程序(TTPs),能够表明其在Unix环境中进行攻击活动的丰富经验。并对于Windows操作系统也具有极高的攻击能力。他们成功地在多个隔离网络中进行漫游,并利用第三方访问将操作扩展到了最初受害者目标的范围之外。此外,UNC1945组织还在几个预先配置的有漏洞利用工具的虚拟机上进行操作,这些虚拟机可以使用其自定义工具集来逃避检测和取证。
2018年末,UNC1945组织入侵了一个Solaris服务器,并安装了一个被称为SLAPSTICK的后门,来获取连接的详细信息和凭据,以便于进一步行动。Mandiant的工作人员在同一时间观察到SSH服务器的活动受到威胁。但由于可用的证据不足,下一次活动迹象是在2020年中旬被发现,当时观察到另一台Solaris服务器连接到了威胁攻击者的基础设施。根据恢复的组件,推断其驻留的时间大约为519天。尽管无法确定2018年末的初始访问是如何完成的,但Mandiant的工作人员确实观察到了UNC1945通过 SSH直接连接到受害者的Solaris 10服务器,因为当时SSH服务器直接暴露在互联网上。
在2020年年中,Mandiant的工作人员观察到UNC1945在Solaris 9服务器上部署了EVILSUN(一个远程漏洞利用的利用工具,包含了对CVE-2020-14871的0day漏洞利用)。当时,通过端口8080观察到从服务器到威胁攻击者IP地址的链接。
Mandiant的工作人员发现并报告了CVE-2020-14871,这是Oracle Solaris可拔插身份验证模块(PAM)中一个最近修复漏洞,该漏洞使未经身份验证的攻击者可以通过多种协议访问网络,从而利用和破坏操作系统。
根据黑市网站2020年4月的一篇文章,“Oracle Solaris SSHD”远程漏洞利用工具的价格约为3000美元,这可能与EVILSUN有关。
此外,Mandiant的工作人员还确认了暴露在互联网上的Solaris服务器存在严重的漏洞,其中包括无需身份验证即可远程利用的可能性。
威胁攻击者使用了名为SLAPSTICK的可拔插身份验证模块的后门,来在Solaris 9服务器上建立立足点。这可以使用户用硬编码密码访问系统,并允许威胁攻击者提升特权并保持持久性。如下:Log –font –unix | /usr/lib/ssh/sshd sshd kbdint - can <Encoded Password> <IP REDACTED> Magical Passwordauth.info | sshd[11800]: [ID 800047 auth.info] Accepted keyboard-interactive for root from <IP REDACTED> port 39680 ssh2auth.notice | su: [ID 366847 auth.notice] ‘su root’ - succeeded for netcool on /dev/pts/31
UNC1945组织将合法的pam_unix.so文件和SLAPSTICK的副本放在/ lib64 / security文件夹中。一天后,该攻击者会在同一工作站上设置一个定制的Linux后门,Mandiant将其命名为LEMONSTICK。LEMONSTICK功能包括命令执行,文件传输和执行以及建立隧道连接的功能,如下:FileItem:changed | /usr/lib64/security/pam_unix,so [57720]Audit log | [audit_type: USER_END] user pid=10080 uid=0 auid=0 msg='PAM: session close acct=root" : exe="/usr/sbin/sshd" (hostname=1.239.171.32, addr=1.239.171.32, terminal=ssh res=success)'"FileItem:Accessed | /var/tmp/.cache/ocb_static
尽管主机没有直接访问互联网的权限,但UNC1945组织使用SSH端口转发机制获得并维持了对其外部基础设施的访问。SSH端口转发是一种在SSH协议中实现的机制,用于通过加密的SSH连接(隧道)传输任意网络数据。此功能可用于穿越防火墙或为恶意程序从互联网访问内部网络添加加密机制。从下表可以看出与,UNC1945组织使用的不同配置文件,具有类似的主机别名、指定选项和选项顺序:| config1 | config2 |
Host <redacted>
HostName <redacted>
Port 900
User <redacted>
IdentityFile <redacted>
KbdInteractiveAuthentication no
PasswordAuthentication no
NoHostAuthenticationForLocalhost yes
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
RemoteForward 33002 127.0.0.1:22 | Host <redacted>
HostName <redacted>
Port 443
User <redacted>
IdentityFile <redacted>
KbdInteractiveAuthentication no
PasswordAuthentication no
NoHostAuthenticationForLocalhost yes
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
ServerAliveInterval 30
ServerAliveCountMax 3
RemoteForward 2224 <redacted>:22 |
UNC1945组织在多个主机上放置了自定义QEMU虚拟机(VM),该虚拟机通过在任意Linux系统中运行“ start.sh”脚本来启动。该脚本包含TCP转发设置,威胁攻击者可以将这些设置与SSH隧道结合使用,从而使其虚拟机可以直接访问命令和控制服务器,以混淆与客户基础结构的交互。虚拟机运行的是一个带有预加载脚本和工具的Tiny Core Linux(一款体积极小且高度可扩展的微型Linux发行版)。此外,Mandiant的工作人员分析了虚拟机文件系统的时间戳,该时间戳与UNC1945组织的总体运行时间线一致。虚拟机包含许多工具,如网络扫描器,漏洞利用和侦察工具。Tiny Core Linux预加载的工具包括Mimikatz,Powersploit,Responder,Procdump,CrackMapExec,PoshC2,Medusa,JBoss漏洞扫描程序等。降低操作可见性的措施包括将工具和输出文件放置在临时文件系统安装点中(该临时安装点存储在易失性内存中)。此外,UNC1945组织使用内置的实用程序和公共工具来修改时间戳并有选择地操作Unix日志文件。UNC1945组织通过名为LOGBLEACH的自定义ELF程序进行反取证。攻击者使用内置的Linux命令来更改文件和目录的时间戳,并使用LOGBLEACH清除日志以阻止取证分析,如下所示:$ ./b -C -y -a$ mv b /usr/lib64/libXbleach.so.1$ cd /usr/lib64/$ touch -acm -r librpmio.so.3.2.2$ touch -acm -r libyaml-0.so.2
为了进一步混淆活动,在Solaris系统的内存中执行了一个名为STEELCORGI的Linux ELF加壳程序。该恶意软件包含各种反分析技术,包括反调试,反跟踪和字符串混淆。它使用环境变量作为密钥解压最终压缩文件。
在成功建立立足点后,UNC1945组织收集了凭据,提升其特权,并成功地通过多个网络横向移动。UNC1945通过SLAPSTICK和开源工具(例如Mimikatz)获得了凭据,这些工具使整个网络的横向移动变得容易,从而可以获得对网络其他部分和第三方环境的直接访问。SLAPSTICK窃取的凭据用于通过SSH遍历客户网络,并将SLAPSTICK部署到其他主机。在成功进行身份验证之后,SLAPSTICK将显示一条欢迎消息,如图1所示。图1:SLAPSTICK后门欢迎标语
UNC1945使用ProxyChains下载PUPYRAT,PUPYRAT是一个开源、跨平台、多功能的远程控制和后续利用工具,主要用Python编写。对于一个目标,威胁攻击者使用虚拟机启动对Linux和HP-UX终端的SSH暴力破解。从看似随机的用户名开始,然后转移到合法的Linux和Windows帐户,威胁攻击者成功地在Linux终端上建立了SSH连接。在成功提升了HP-UX终端和Linux终端的权限之后,UNC1945组织安装了三个后门:SLAPSTICK、TINYSHELL和OKSOLO。UNC1945组织在Microsoft Windows环境中使用IMPACKET和SMBEXEC来远程执行命令,而不需要向目标上传有效负载。SMBEXEC允许威胁攻击者像PsExec一样操作,而无需使用RemComSvc。使用该工具有两个主要的模式,方便攻击者进行攻击:共享模式,允许指定一个共享,所有内容都将通过该共享执行;服务器模式,允许目标计算机将已执行命令的输出发送回本地共享文件夹。在一个受害者的设备中,Mandiant的工作人员观察到UNC1945组织通过远程桌面协议(RDP)横向移动到Windows服务器,然后查看服务器管理器面板,查看和修改与RDP相关的系统防火墙规则并检查两个终端安全服务应用程序的设置。
Mandiant的调查发现,威胁攻击者保留了各种工具与受害者网络进行交互。除了自定义工具之外,UNC1945组织的虚拟机还包含了各种工具(例如网络扫描器、漏洞利用和侦察;参见相关工具和恶意软件部分)。在一些入侵中,UNC1945组织使用了一个被识别为侦察工具的SPARC架构的可执行程序。根据可公开获得的信息,这个可执行程序被称为Luckscan或BlueKeep,后者是BKScan工具包的一部分(参见图2)。图2:威胁攻击者使用的SPARC可执行侦察工具命令行
BlueKeep,又名“bkscan”扫描器,可以在未经身份验证和已通过身份验证(当启用网络级别身份验证时)的情况下工作。BlueKeep(CVE-2019-0708)是在微软的远程桌面协议(RDP)中发现的一个安全漏洞,该漏洞允许远程代码执行。
尽管进行了多阶段操作,Mandiant的工作人员仍未观察到数据泄露的证据,也无法确定UNC1945组织是其调查中大多数入侵中的攻击者。但在至少一个案例中,Mandiant的工作人员在威胁攻击者活动的最后阶段观察到了ROLLCOAST勒索软件的部署,但Mandiant的工作人员并未将此活动归因于UNC1945。因为此时受害者环境的访问权很有可能被出售给了另一个团体。UNC1945组织开展这一活动的易用性和广泛性表明,一个成熟、持久的攻击者能够轻松地利用各种操作系统,并访问大量的资源和工具集。考虑到0day攻击和虚拟机的使用,以及遍历多个第三方网络的能力,Mandiant的工作人员预计这个有动机的威胁团体将继续针对关键行业进行有针对性的攻击,同时利用可能缺乏安全防护的操作系统。
EVILSUN是一种远程攻击工具,它使用SSH键盘交互身份验证暴露的漏洞(CVE-2020 -14871)获得对SPARC或i386架构的Solaris 10和11系统的访问权。远程利用工具与通过命令行传递的主机建立SSH连接。默认端口是正常的SSH端口(22),但是这个端口可能会被替换。作为握手的一部分,EVILSUN以明文形式通过链接传递字符串SSH-2.0-Sun_SSH_1.1.3。LEMONSTICK是一个具有后门功能的Linux可执行命令行实用程序。此后门可以执行程序、传输文件和隧道连接。LEMONSTICK可以通过两种不同的方式启动:传递-c命令行参数(带有可选文件)和设置'OCB'环境变量。当以' -c '命令行参数启动时,LEMONSTICK生成一个交互式Shell。当以OCB模式启动时,LEMONSTICK希望从STDIN读取数据,预期使用blowfish算法加密STDIN数据。解密后,它将根据名称调度命令,例如:“执行终端命令”,“连接到远程系统”,“发送和检索文件”,“创建套接字连接”。LOGBLEACH是ELF实用程序,其主要功能是基于通过命令行提供的过滤器,从指定的日志文件中删除日志条目。以下日志文件已在恶意软件中进行了硬编码,但可以指定其他日志路径:/var/run/utmp/var/log/wtmp/var/log/btmp/var/log/lastlog/var/log/faillog/var/log/syslog/var/log/messages/var/log/secure/var/log/auth.log
OKSOLO是将外壳程序绑定到指定端口的公共后门。可以对其进行编译以支持密码身份验证,也可以将其放入根Shell中。OPENSHACKLE是一种侦查工具,可收集有关已登录用户的信息并将其保存到文件中。OPENSHACKLE注册Windows 事件管理器回调以实现持久性。ProxyChains允许从HTTP(HTTPS)和SOCKS(4/5)代理服务器上使用SSH,TELNET,VNC,FTP和任何其他互联网应用程序。此“代理程序”可以为任何应用程序提供代理服务器支持。PUPYRAT(又名Pupy)是一个开源,多平台(Windows,Linux,OSX,Android),多功能远程控制和后续利用工具,主要使用Python编写。它的特点是全在内存中执行,占用空间很小,可以使用各种传输方式进行通信,可以迁移到进程中(反射注入),还可以从内存中加载远程Python代码,Python包和Python C扩展。STEELCORGI是Linux ELF程序的打包程序,它使用执行环境中的密钥解密有效负载。首次启动时,恶意软件会找到最多四个包含数值的环境变量。该恶意软件使用环境变量值作为密钥来解密要执行的其他数据。SLAPSTICK是Solaris PAM后门,可使用硬编码的密码授予用户访问系统的权限。TINYSHELL是轻量级远程Shell客户端/服务器,支持标准远程Shell协议(包括rlogin、telnet、ssh等),它可以充当后门,提供远程Shell执行和文件传输。
FE_APT_Trojan_Linux_STEELCORGI_1FE_APT_Trojan_Linux_STEELCORGI_2FE_HackTool_Linux64_EVILSUN_1FE_HackTool_Linux_EVILSUN_1HackTool.Linux.EVILSUN.MVXHXIOC UUID: e489ce60-f315-4d1a-a888-77782f687eecEVILSUN (FAMILY) 90005075FE_Trojan_Linux_LEMONSTICK_1FE_APT_Tool_Win32_OPENSHACKLE_1FE_APT_Tool_Win_OPENSHACKLE_1HXIOC UUID: 4a56fb0c-6134-4450-ad91-0f622a92701cOPENSHACKLE (UTILITY) 90005006FE_APT_Backdoor_Linux64_SLAPSTICK_1FE_APT_Backdoor_Linux_SLAPSTICK_1FE_Backdoor_Win_PUPYRAT_1FE_APT_Pupy_RATFE_Ransomware_Win64_ROLLCOAST_1FE_Ransomware_Win_ROLLCOAST_1HXIOC, 45632ca0-a20b-487f-841c-c74ca042e75a; ROLLCOAST RANSOMWARE (FAMILY)Ransomware.Win.ROLLCOAST.MVX
d5b9a1845152d8ad2b91af044ff16d0b (SLAPSTICK)0845835e18a3ed4057498250d30a11b1 (STEELCORGI)6983f7001de10f4d19fc2d794c3eb5342eff2273d423a7ae6c68e3ddd96604bcd505533ae75f89f98554765aaf2a330aabaf1d04982449e0f7ee8a34577fe8af
46.30.189.0/241.239.171.0/3266.172.12.0/24
ATT&CK策略类别
| 技术 |
初始访问
| T1133 External Remote Services T1190 Exploit Public-Facing Application |
执行
| T1059 Command and Scripting Interpreter T1059.001 PowerShell T1064 Scripting |
持久性
| T1133 External Remote Services |
横向移动
| T1021.001 Remote Desktop Protocol T1021.004 SSH |
防御规避
| T1027 Obfuscated Files or Information T1070.004 File Deletion T1070.006 Timestomp T1064 Scripting T1553.002 Code Signing |
检测
| T1046 Network Service Scanning T1082 System Information Discovery T1518.001 Security Software Discovery |
横向移动
| T1021.001 Remote Desktop Protocol T1021.004 SSH |
命令和控制
| T1071 Application Layer Protocol T1090 Proxy T1105 Ingress Tool Transfer T1132.001 Standard Encoding
|
本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。
原文链接:https://www.fireeye.com/blog/threat-research/2020/11/live-off-the-land-an-overview-of-unc1945.html原文标题: Live off the Land? How About Bringing Your Own Island? An Overview of UNC1945 
还没有评论,来说两句吧...