深入了解：APT攻擊所用的工具與忠告

作者：Kyle Wilhoit（威脅研究員）

趨勢科技最近介紹了些APT攻擊工具以及如何去識別出它們。我們這些威脅研究人員工作的一部分就是去調查APT攻擊裡的各種角色以及他們所使用的工具，才能更佳地保護我們的使用者。本篇文章要更進一步去探討APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)內所使用的各種工具，和他們用這些工具做些什麼。

這些工具被如何使用

雖然有許多人認為這些工具是被用在攻擊最開始的入侵階段，但這並非本文章的重點。我會專注在入侵成功後的各階段所要用的工具。下圖說明了這些工具在傳統APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)生命週期裡所扮演的角色。

第一步：攻擊者發送惡意軟體給受害者。這可以用許多種方式達成 – 電子郵件內的惡意附加檔案、隨身碟或是被入侵淪陷的網站都有可能。

第二步：在受影響的系統上執行惡意軟體。這可能需要受害者手動執行，或利用漏洞攻擊碼而不需使用者互動。

第三步：執行惡意軟體後，它會植入後門程式（如STARSYPOUND或BOUNCER）。這些第一階段工具會植入後門程式以利攻擊者之後存取。（這些可被視為第一階段工具）。它讓攻擊者可以在之後維持持久性，並取得對系統的控制。

第四步：接著攻擊者會上傳其他工具來進行資料滲出、橫向移動和一大堆其他工作。

工具概述

下面所列出的工具包括一些APT攻擊每天會用到的工具。這些工具通常在APT攻擊者透過第一階段工具取得受害者電腦控制權後使用。但是請記住，不包括像是後門程式、木馬和其他類工具的第一階段工具。

另外，這並不是完整的工具清單，因為威脅環境不斷地變化，所以也不可能去完整地列舉出來。許多APT攻擊者會自行編寫應用程式來做到類似功能，所以可能跟下面所列的有所不同。這列表可以當作基準線，幫你在組織環境裡找出類似工具，判斷是否有存在這些常見在APT攻擊活動內的工具。

忠告

發現這些工具並不代表你已經被入侵或成為APT攻擊的受害者。淪陷指標（IOC）包含這些應用程式/腳本的MD5雜湊值，以及編碼程式內的獨特字串。對這些檔案進行小修改都會改變MD5雜湊值，所以這是個受限的方法來識別這些應用程式/腳本。還有就是使用階段是根據趨勢科技通常會看到這些工具被使用的階段。這些工具也有可能被用在APT攻擊的其他階段。而其中有些工具也有可能被用在正常用途。（像是NetBox、dgbview、sdelete等）

工具名稱	描述	一般使用階段	淪陷指標（IOC）
GETMAIL	通常用來查找郵件存檔，並寄出這些存檔	資料滲出	獨特字串：Lu’s Crazy Profile (democode) 存檔名稱： >=3 digit number-attach.doc
Netbox	用來作為工具存放/下載伺服器/命令和指揮伺服器。通常用在後端的基礎設施，以支援日常運作（Netbox也有正常用途，並不一定用在惡意攻擊上）	攻擊、資料滲出、持久性	N/A
Pwdump	用來從系統登錄檔中取出密碼雜湊值快取的工具。通常用來破解密碼以在受害者環境內進行橫向移動。也可以用在雜湊值注入（pass-the-hash）攻擊	橫向移動	MD5雜湊值：0xDD2EF0D6487385839BBF7863FE450CC5
Cachedump	用來從系統登錄檔中取出密碼雜湊值快取的工具。通常用來破解密碼以在受害者環境內進行橫向移動。也可以用在雜湊值注入（pass-the-hash）攻擊	橫向移動	MD5雜湊值：5065266fbad9362d5a329c5388627ea5
Lslsass	從Windows程序裡轉存活動的login session密碼雜湊值。用來破解密碼以在受害者環境裡進行橫向移動。也可以用在雜湊值注入（pass-the-hash）攻擊	持久性、橫向移動	MD5雜湊值：ede305561db6f7ca1783e0fc75d0db14
mapiget	用來對Outlook直接收集郵件，甚至是存檔的郵件。接著會轉存成文字檔	持久性、橫向移動	獨特字串：WNetCancelConnection2W存檔名稱：5-mail.txt, mail.txt
HTRAN	連線中介，用以重導TCP流量。可以用來混淆攻擊者來源IP。讓攻擊者可在受害者國家內出現多次轉連線，困惑事件反應	攻擊、資料滲出、持久性	MD5雜湊值：e0c14f98c4d4b995f00d49616bf9ba57, 2edfe2b5238c8f49130f2a2f85e33c18, 1725e68e574e4b077f7d16f7fa30d984, 7e3bb01afb4c50da526d142fdf444688, 3548ea689e06a2599bdd1bdb909abb75,
Windows Credential Editor (WCE)	用來列出logon session和加入、變更、列出和刪除相關登錄憑證的安全工具	持久性、橫向移動	MD5雜湊值：bd73c74819d8db09c645c738bbd3f5b9, df840ac27051d26555a109cc47d03fe4
Lz77.exe	用來壓縮檔案以幫助資料滲出。常見於Winrar、7zip和Winzip	資料滲出	MD5雜湊值：2238453fd8225baff0d52bf64361b4fd
Gsecdump	找出SAM檔、登錄憑證快取和LSA secrets。用在受害者環境內的橫向移動和進行雜湊值注入（pass-the-hash）攻擊	橫向移動	MD5雜湊值：57F222D8FBE0E290B4BF8EAA994AC641, 875f3fc948c6534804a26176dcfb6af0, 8ee24ad5b849877907304de566fb6dc6
ZXProxy (A.K.A AProxy)	用來作流量重導的代理程式。可以重導HTTP/HTTPS連線來混淆來源。我們看過被用在資料滲出上	資料滲出、持久性	MD5雜湊值：0xEB36A5EF6A807FB7B2E2912E08B4882D, 0x69F5A988B4F3A3E5D300D489C9707CD6, 286760651edfe6a8b34988004156b894
LSB-Steganography	利用影像匿蹤技術-圖像隱碼術(Steganography將檔案植入到影像中。可以用在資料滲出跟傳統APT攻擊的初始入侵階段	初始入侵階端、資料滲出	MD5雜湊值：c188ef350f1ee0e5fa6f6ef2e70231bc
UPX Shell	用來對APT攻擊所用的惡意程式進行加殼。可以防止逆向工程和程式碼分析	攻擊、持久性	MD5雜湊值：1281478d409de246777472db99f58751
ZXPortMap	流量轉向工具，可以用來混淆連線來源	持久性、資料滲出	MD5雜湊值：9a7b9caae7b8b3a2b5d68e6880b6d0a4, 2fdbb3ee0edc5e589ea727bbc2cd6d50
ZXHttpServer	非常具有彈性的小型HTTP伺服器。我們看過它被用來傳輸檔案	資料滲出	獨特字串：ZXHttpServer, ZXHttpServer.exe
Sdelete	安全刪除工具。可以完全抹除檔案，使得鑑識工作更加困難，也讓事件反應程序更加複雜	持久性、掩護	MD5雜湊值：e189b5ce11618bb7880e9b09d53a588f
Dbgview	可以用來在本機或任何可連上的電腦上檢視除錯輸出	持久性、橫向移動	MD5雜湊值：cea66497fa93db4b0dd33438a2a5d6bd

許多這樣的工具會被複製到受害者電腦上，通常也不會被APT攻擊者刪除。如果你發現和以上列出工具類似的程式，我建議你可以仔細研究這些工具，並去瞭解為什麼這些工具會出現在你的環境裡。

可以做些什麼

有很多事可以做，以防止上述這些應用程式被安裝到你組織的電腦上：

使用應用程式白名單，可以防止這些程式在你的系統上被安裝或使用。
將資安事件管理系統（SIEM）加入你們的預算內以強化日誌監視能力。這將在必要時有助於鑑識需求。
移除使用者的本地管理者權限。這是傳統地防止安裝新應用程式的措施。雖然有些應用程式不需要安裝，但不具備管理者權限可以限制這些應用程式能做的事情。

許多上面列出的工具會被趨勢科技產品所封鎖，將其視為惡意。這裡有些當你看到這些應用程式被用在惡意用途時的建議：

檢查防火牆、系統、安全、代理程式和其他系統日誌來確認這些工具的使用狀況。尋找使用錯誤端口的連線，以及使用者通常不會連上的IP地址流量。
使用淪陷指標（IOC）來找出類似上述應用程式的檔案名稱或MD5/SHA雜湊值。專注在使用的路徑和奇怪的檔案名稱（如命名為xzz.exe的應用程式就非常可疑）。
使用WMIC建立可以搜尋你整個組織AD樹狀目錄的腳本，以尋找這些工具的獨特識別碼。
建立專屬你組織的應用程式黑名單。利用這份名單加上作業系統的原生工具來找出有問題的程式。像是Windows上的PsExec就可以做到。Linux上也有dpkg-query或dpkg可以做到。

＠原文出處：In-Depth Look: APT Attack Tools of the Trade

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚