現(xiàn)在,一個資深攻擊者可以很輕松的使用普通工具、惡意軟件、以及超級簡單原始的投遞方式,展開一場小型攻擊并躲開調(diào)查和追溯。最常見的方法是使用魚叉式網(wǎng)絡(luò)釣魚郵件通過社交工程來實施,或者使用諸如CVE-2017-0199 或ThreadKit builder這樣的漏洞,來引起企業(yè)員工的注意或者關(guān)注。初步感染成功后,攻擊者便開始部署高級定制化惡意軟件以及其他高級工具,或者濫用Microsoft Windows中內(nèi)置的眾多實用程序,如PowerShell、CMSTP、Regsvr32 (這種濫用也被戲稱為“靠土地為生”)。
對于那些想要捕獲威脅或者僅僅是自我保護的人來說,這類感染方式讓識別工作變得如大海撈針一樣困難。但即便這樣,一旦有攻擊者使用Commodity Builders或者工具,總會留下特定信號或者特征,我們可以據(jù)此來追蹤網(wǎng)絡(luò)攻擊者的infrastructure。在這方面,最重名昭著的便是Cobalt Gang,這個犯罪團伙完全符合TTP三要素即戰(zhàn)術(shù)Tactics、技術(shù)Techniques和過程Procedures,即便其頭目今年在西班牙被捕,這個團伙依舊活躍。
2018年10月,Palo Alto Networks威脅情報團隊Unit 42對Cobalt Gang所進行的破壞活動進行了調(diào)查,并借助思科Talos 安全團隊和 Morphisec安全公司發(fā)布的相關(guān)報告里的最新信息,發(fā)現(xiàn)了這個犯罪團伙并與其infrastructure相關(guān)聯(lián)。
因此,我們能夠識別出使用普通macro builder的行為,也能夠識別出特定的文件元數(shù)據(jù),進而實現(xiàn)對與Cobalt Gang相關(guān)的活動以及Infrastructure的追蹤和歸類。
近期發(fā)生的一則有關(guān)投遞的典型案例
近期有關(guān)Cobalt Gang攻擊,也就發(fā)生在幾天前,目前安全人員正在對這些攻擊進行分析,分析結(jié)果顯示Cobalt Gang的攻擊投遞方式簡單易用。
通過持續(xù)觀察,我們發(fā)現(xiàn)郵件是發(fā)動此類攻擊最主要的途徑。這類攻擊首先將全球幾大銀行機構(gòu)的員工設(shè)定為攻擊對象,并向其發(fā)送標題為“Confirmations on October 16, 2018”的郵件。
圖一所示的例子,在多個流行的公共在線惡意軟件庫中都能找到。
圖一,收到的郵件樣本
郵件附件為PDF文件,沒有任何代碼或漏洞。它通過社交工程手段勸說使用者點擊鏈接進而下載惡意宏。這是Cobalt Gang慣用的手法,Talos也曾在報告里專門論述過。
圖二,PDF文件內(nèi)嵌鏈接
PDF內(nèi)容簡單,內(nèi)嵌鏈接,點擊鏈接會打開一個Google合法地址,并重新引導(dǎo)瀏覽器瀏覽某個惡意文件:
圖三,打開瀏覽器瀏覽某個惡意文件
為了不被靜態(tài)分析工具檢測到,攻擊者將PDF文件做得極度逼真:有空白頁,有文本頁,這樣在分析過程中就會避開報警。而且,如果PDF文件頁數(shù)很少,或內(nèi)容很少的話,也會在靜態(tài)分析中被重點檢測。
圖四,PDF靜態(tài)分析
圖五,PDF文件中使用的文本
借助這兩項技術(shù),這類PDF文件幾乎能夠避開全部傳統(tǒng)防病毒檢測,從而在攻擊第一階段便通過郵件將惡意軟件有效投送。
惡意宏下載成功后,攻擊者利用cmstp.exe系統(tǒng)工具運行scriptlet程序,從而幫助攻擊者繞過AppLocker,進入負載投遞的下一階段。此項研究的目的不是對負載進行分析,而是聚焦攻擊投遞過程中涉及的各方面因素,從而對攻擊者發(fā)動的行動及其采用的infrastructure進行有效追蹤。
但僅憑投遞方法就能識別出攻擊者的行動和目標,又是如何實現(xiàn)的呢?有關(guān)這部分內(nèi)容,建議您參閱Palo Alto Networks Unit 42 研究團隊發(fā)布的完整報告,報告地址<https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/>
結(jié)論
Commodity attack 被廣泛應(yīng)用在犯罪和特定攻擊中,很難被網(wǎng)絡(luò)防護人員和威脅研究人員識別。Cobalt Gang就是這樣的攻擊者,它利用這種方法來實施攻擊。
我們聚焦于macro builders的特定方面以及攻擊者留下的元數(shù)據(jù),從而開發(fā)出全新架構(gòu)來實現(xiàn)對Cobalt Gang攻擊活動和infrastructure的追蹤和擒獲。
Palo Alto Networks的客戶可受到如下保護:
- WildFire對攻擊活動中的惡意軟件樣本進行檢測
- Traps在端點攔截這些攻擊
- PAN-DB URL Filtering覆蓋全部相關(guān)惡意域名
- AutoFocus創(chuàng)建標簽以便于追蹤Cobalt Gang團伙的犯罪活動
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護數(shù)字時代的生活方式,我們有幸能夠參與其中,為成千上萬家企業(yè)以及他們的客戶保駕護航。我們的獨具開創(chuàng)性的Security Operating Platform,通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks(派拓網(wǎng)絡(luò))掌握安全、自動化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實的平臺,并聯(lián)合志同道合的變革企業(yè),我們共同推動生態(tài)系統(tǒng)的不斷成長,并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動設(shè)備的網(wǎng)絡(luò)安全解決方案。
敬請關(guān)注Palo Alto Networks(派拓網(wǎng)絡(luò))官方微信賬號
