現在,一個(gè)資深攻擊者可以很輕松的使用普通工具、惡意軟件、以及超級簡(jiǎn)單原始的投遞方式,展開(kāi)一場(chǎng)小型攻擊并躲開(kāi)調查和追溯。最常見(jiàn)的方法是使用魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)郵件通過(guò)社交工程來(lái)實(shí)施,或者使用諸如CVE-2017-0199 或ThreadKit builder這樣的漏洞,來(lái)引起企業(yè)員工的注意或者關(guān)注。初步感染成功后,攻擊者便開(kāi)始部署高級定制化惡意軟件以及其他高級工具,或者濫用Microsoft Windows中內置的眾多實(shí)用程序,如PowerShell、CMSTP、Regsvr32 (這種濫用也被戲稱(chēng)為“靠土地為生”)。
對于那些想要捕獲威脅或者僅僅是自我保護的人來(lái)說(shuō),這類(lèi)感染方式讓識別工作變得如大海撈針一樣困難。但即便這樣,一旦有攻擊者使用Commodity Builders或者工具,總會(huì )留下特定信號或者特征,我們可以據此來(lái)追蹤網(wǎng)絡(luò )攻擊者的infrastructure。在這方面,最重名昭著(zhù)的便是Cobalt Gang,這個(gè)犯罪團伙完全符合TTP三要素即戰術(shù)Tactics、技術(shù)Techniques和過(guò)程Procedures,即便其頭目今年在西班牙被捕,這個(gè)團伙依舊活躍。
2018年10月,Palo Alto Networks威脅情報團隊Unit 42對Cobalt Gang所進(jìn)行的破壞活動(dòng)進(jìn)行了調查,并借助思科Talos 安全團隊和 Morphisec安全公司發(fā)布的相關(guān)報告里的最新信息,發(fā)現了這個(gè)犯罪團伙并與其infrastructure相關(guān)聯(lián)。
因此,我們能夠識別出使用普通macro builder的行為,也能夠識別出特定的文件元數據,進(jìn)而實(shí)現對與Cobalt Gang相關(guān)的活動(dòng)以及Infrastructure的追蹤和歸類(lèi)。
近期發(fā)生的一則有關(guān)投遞的典型案例
近期有關(guān)Cobalt Gang攻擊,也就發(fā)生在幾天前,目前安全人員正在對這些攻擊進(jìn)行分析,分析結果顯示Cobalt Gang的攻擊投遞方式簡(jiǎn)單易用。
通過(guò)持續觀(guān)察,我們發(fā)現郵件是發(fā)動(dòng)此類(lèi)攻擊最主要的途徑。這類(lèi)攻擊首先將全球幾大銀行機構的員工設定為攻擊對象,并向其發(fā)送標題為“Confirmations on October 16, 2018”的郵件。
圖一所示的例子,在多個(gè)流行的公共在線(xiàn)惡意軟件庫中都能找到。
圖一,收到的郵件樣本
郵件附件為PDF文件,沒(méi)有任何代碼或漏洞。它通過(guò)社交工程手段勸說(shuō)使用者點(diǎn)擊鏈接進(jìn)而下載惡意宏。這是Cobalt Gang慣用的手法,Talos也曾在報告里專(zhuān)門(mén)論述過(guò)。
圖二,PDF文件內嵌鏈接
PDF內容簡(jiǎn)單,內嵌鏈接,點(diǎn)擊鏈接會(huì )打開(kāi)一個(gè)Google合法地址,并重新引導瀏覽器瀏覽某個(gè)惡意文件:
圖三,打開(kāi)瀏覽器瀏覽某個(gè)惡意文件
為了不被靜態(tài)分析工具檢測到,攻擊者將PDF文件做得極度逼真:有空白頁(yè),有文本頁(yè),這樣在分析過(guò)程中就會(huì )避開(kāi)報警。而且,如果PDF文件頁(yè)數很少,或內容很少的話(huà),也會(huì )在靜態(tài)分析中被重點(diǎn)檢測。
圖四,PDF靜態(tài)分析
圖五,PDF文件中使用的文本
借助這兩項技術(shù),這類(lèi)PDF文件幾乎能夠避開(kāi)全部傳統防病毒檢測,從而在攻擊第一階段便通過(guò)郵件將惡意軟件有效投送。
惡意宏下載成功后,攻擊者利用cmstp.exe系統工具運行scriptlet程序,從而幫助攻擊者繞過(guò)AppLocker,進(jìn)入負載投遞的下一階段。此項研究的目的不是對負載進(jìn)行分析,而是聚焦攻擊投遞過(guò)程中涉及的各方面因素,從而對攻擊者發(fā)動(dòng)的行動(dòng)及其采用的infrastructure進(jìn)行有效追蹤。
但僅憑投遞方法就能識別出攻擊者的行動(dòng)和目標,又是如何實(shí)現的呢?有關(guān)這部分內容,建議您參閱Palo Alto Networks Unit 42 研究團隊發(fā)布的完整報告,報告地址<https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/>
結論
Commodity attack 被廣泛應用在犯罪和特定攻擊中,很難被網(wǎng)絡(luò )防護人員和威脅研究人員識別。Cobalt Gang就是這樣的攻擊者,它利用這種方法來(lái)實(shí)施攻擊。
我們聚焦于macro builders的特定方面以及攻擊者留下的元數據,從而開(kāi)發(fā)出全新架構來(lái)實(shí)現對Cobalt Gang攻擊活動(dòng)和infrastructure的追蹤和擒獲。
Palo Alto Networks的客戶(hù)可受到如下保護:
- WildFire對攻擊活動(dòng)中的惡意軟件樣本進(jìn)行檢測
- Traps在端點(diǎn)攔截這些攻擊
- PAN-DB URL Filtering覆蓋全部相關(guān)惡意域名
- AutoFocus創(chuàng )建標簽以便于追蹤Cobalt Gang團伙的犯罪活動(dòng)
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò ))
作為全球網(wǎng)絡(luò )安全領(lǐng)導企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò ))一直以不斷挑戰網(wǎng)絡(luò )安全現狀而著(zhù)稱(chēng)。我們的使命就是通過(guò)有效防御網(wǎng)絡(luò )攻擊來(lái)保護數字時(shí)代的生活方式,我們有幸能夠參與其中,為成千上萬(wàn)家企業(yè)以及他們的客戶(hù)保駕護航。我們的獨具開(kāi)創(chuàng )性的Security Operating Platform,通過(guò)持續創(chuàng )新為客戶(hù)的數字化轉型戰略提供支持。Palo Alto Networks(派拓網(wǎng)絡(luò ))掌握安全、自動(dòng)化以及數據分析領(lǐng)域的最新技術(shù)突破。通過(guò)提供最真實(shí)的平臺,并聯(lián)合志同道合的變革企業(yè),我們共同推動(dòng)生態(tài)系統的不斷成長(cháng),并以此為基礎為業(yè)界提供卓有成效且獨具創(chuàng )新性的跨云端、網(wǎng)絡(luò )和移動(dòng)設備的網(wǎng)絡(luò )安全解決方案。
敬請關(guān)注Palo Alto Networks(派拓網(wǎng)絡(luò ))官方微信賬號
