最近,微软威胁情报中心(MSTIC)盘点了GADOLINIUM攻击组织技术的发展。GADOLINIUM被认为是一个国家级的APT攻击组织,近十年来一直在攻击全球范围内的海事和卫生行业。与大多数攻击组织一样,GADOLINIUM组织也跟踪安全从业人员的工具和技术,想办法找到这些技术的缺陷,进而进行攻击。该组织曾发送带有恶意附件的鱼叉式钓鱼邮件,使用云服务和开源工具来武器化恶意软件的有效载荷,试图获得对服务器的命令和控制,并通过混淆技术防止被发现。最近,MSTIC观察到攻击者新的目标已经扩展到亚太地区的高校和政府组织之外。从历史上看,GADOLINIUM使用了定制的恶意软件家族,分析人员可以识别和防御这些家族。作为回应,在过去的一年中,GADOLINIUM已开始修改其部分工具链,通过利用开源工具包来掩盖其活动,使分析人员更难以追踪。由于云服务经常提供免费试用或一次性支付(PayGo)的帐户服务,因此恶意攻击者找到了利用这些合法业务服务的方法。通过免费试用或PayGo帐户,他们可以使用基于云的技术来创建恶意基础架构,该基础架构可以快速建立,然后在检测到之前就以很少的成本关闭或放弃。以下关于GADOLINIUM组织的技术分析旨在为安全从业人员提供该攻击组织的攻击目标和信息,这些信息将有助于他们更好地抵御这些攻击。多年来,GADOLINIUM一直在尝试使用云服务来进行攻击,以提高操作速度和规模。图1来自于2016年建立的被GADOLINIUM控制的一个微软 TechNet配置文件。早期使用的TechNet配置文件的联系人插件嵌入了一个非常小的文本链接,该链接包含一个用于恶意软件读取的编码命令。
图1:GADOLINIUM控制的TechNet配置文件,内嵌了恶意软件链接
2018年,GADOLINIUM重新使用云服务,但这次它选择使用GitHub来存储命令。图2显示了在GADOLINIUM控制的分支存储库上GitHub历史记录。在这个存储库中,攻击者更新了markdown文本以向受害计算机发出新的命令。MSTIC(微软威胁情报中心)与微软GitHub的工作人员合作,禁封了该攻击者的帐户,中断了GADOLINIUM组织利用GitHub平台进行攻击。图2:GADOLINIUM控制的GitHub储存库
在2019年和2020年,GADOLINIUM使用类似的策略和技术投递了最新的攻击链。下面简要介绍了这些攻击技术的发展过程,然后详细分析了安全人员可以使用的每个步骤,以便更好地理解该威胁活动,以及实施什么防御措施来应对攻击。在去年,微软观察到GADOLINIUM基于开源工具包迁移了其部分工具链技术。GADOLINIUM并不是唯一这样做的攻击组织。MSTIC注意到最近几年,个别国家级的APT攻击组织,开始逐渐使用开源工具。MSTIC认为这一举动是为了避免其被发现。使用开源工具的另一个好处是,开发和创建新功能是由其他人免费完成的。然而,使用开源工具并不总是能解决混淆和融入噪声问题的。在2019年,微软发现GADOLINIUM将恶意Access数据库文件发送给目标。最初的恶意文件是Access 2013数据库(.accde格式)。这导致一个伪造的Word文档被打开,同时打开的还有一个Excel表和一个名为mm.accdb.core的文件,该文件随后被执行。文件mm.accdb.core是基于CactusTorch VBA模块的 VBA dropper,它可以加载.NET DLL有效载荷,设置配置信息,然后运行有效载荷。office365防御软件检测并阻止了电子邮件中的恶意微软Access数据库附件。下面显示了一个修改过的配置示例。图3:VBA修改配置并调用有效载荷的“run”函数
有效载荷获得对受害者计算机的访问权限后,便使用Outlook Tasks的附件作为命令和控制机制(C2)。它通过登录login.microsoftonline.com,使用一个由GADOLINIUM攻击组织控制的OAuth访问令牌,调用Outlook任务 API来检查任务。攻击者使用Outlook任务的附件作为发送命令或.NET有效载荷来执行。在受害端,恶意软件会将执行这些命令的输出作为Outlook任务进一步的附件。有趣的是,该恶意软件的代码编译方式似乎并未在微软所发现的攻击中使用。除了上述的Outlook Tasks API方法外,其他的代码还包含另外两种将Office365作为C2的方法,通过 Outlook Contacts API (获取和添加联系人)或OneDrive API(列出目录,获取和添加文件)。GADOLINIUM使用了几种不同的恶意载荷来实现其利用或入侵目标,包括一系列PowerShell脚本来操作文件(读/写/列表等)、实现命令与控制、执行SMB命令(上传/下载/删除等),从而隐蔽地窃取数据。LazyCat是GADOLINIUM使用的工具之一,它包括特权升级和凭证转存功能,以实现在受害网络上的横向移动。在2020年4月中旬,GADOLINIUM攻击者被发现其发送带有恶意附件的鱼叉式网络钓鱼邮件。这些附件的文件名是为了吸引目标群体对COVID-19(新冠肺炎)的兴趣而命名的。PowerPoint文件(20200423-sitrep-92-covid-19.ppt)在运行时将删除文件doc1.dotm。
.png实际上是PowerShell使用Microsoft Graph API将伪造的png文件下载并上传到https://graph.microsoft.com/v1.0/drive/root:/onlinework/contact/$($ID)_1.png:/content,其中$ ID是恶意软件的ID。GADOLINIUM PowerShell是开源 PowershellEmpire toolkit的修改版本。GADOLINIUM PowerShell Empire工具包允许攻击者通过Microsoft Graph API调用,将其他模块无缝加载到受害计算机。它提供了一个命令和控制模块,该模块使用攻击者的Microsoft OneDrive帐户执行命令并在攻击者和受害者系统之间检索结果。对于传统的SOC监控来识别,使用PowerShell Empire模块特别具有挑战性。攻击者使用Azure Active Directory应用程序配置受害端,使具有将数据窃取到自己的Microsoft OneDrive存储所需的权限。从端点或网络监视的角度来看,该活动最初似乎与使用可信云服务API的可信应用程序有关,在这种情况下,不会发生OAuth许可同意的提示。在本文的后面,将提供有关微软如何使用其云基础架构来主动防止攻击者的其他信息。GADOLINIUM活动通常涉及在合法网站上安装Web Shell,以进行命令和控制或流量重定向。微软在今年早些时候写了博客(https://www.microsoft.com/security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/),介绍了多个攻击组织对Web Shell的使用以及如何检测此类活动。毫无疑问,GADOLINIUM将朝着他们的目标继续发展其技术。为了安全从业人员可以扩大对GADOLINIUM的监测范围,分享以下与其活动相关的威胁指标(IOCs)。faebff04d7ca9cca92975e06c4a0e9ce1455860147d8432ff9fc24622b7cf675
f61212ab1362dffd3fa6258116973fb924068217317d2bc562481b037c806a0a
Chris.sukkar@hotmail.com
PhillipAdamsthird@hotmail.com
sdfwfde234sdws@outlook.com
jenny1235667@outlook.com
fghfert32423dsa@outlook.com
sroggeveen@outlook.com
RobertFetter.fdmed@hotmail.com
Heather.mayx@outlook.com
3. 与恶意应用程序关联的Azure Active Directory应用程序IDae213805-a6a2-476c-9c82-c37dfc0b6a6c
afd7a273-982b-4873-984a-063d0d3ca23d
58e2e113-b4c9-4f1a-927a-ae29e2e1cdeb
8ba5106c-692d-4a86-ad3f-fc76f01b890d
be561020-ba37-47b2-99ab-29dd1a4312c4
574b7f3b-36da-41ee-86b9-c076f999b1de
941ec5a5-d5bf-419e-aa93-c5afd0b01eff
d9404c7d-796d-4500-877e-d1b49f02c9df
67e2bb25-1f61-47b6-9ae3-c6104e587882
9085bb9e-9b56-4b84-b21e-bd5d5c7b0de0
289d71ad-54ee-44a4-8d9a-9294f19b0069
a5ea2576-4191-4e9a-bfed-760fff616fbf
802172dc-8014-42a9-b765-133c07039f9f
fb33785b-f3f7-4b2b-b5c1-f688d3de1bde
c196c17d-1e3c-4049-a989-c62f7afaf7f3
79128217-d61e-41f9-a165-e06e1d672069
f4a41d96-2045-4d75-a0ec-9970b0150b52
88d43534-4128-4969-b5c4-ceefd9b31d02
本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。
原文标题:Microsoft Security—detecting empires in the cloudhttps://www.microsoft.com/security/blog/2020/09/24/gadolinium-detecting-empires-cloud/
还没有评论,来说两句吧...