趨勢科技最近介紹了些APT攻擊工具以及如何去識別出它們。我們這些威脅研究人員工作的一部分就是去調查APT攻擊裡的各種角色以及他們所使用的工具,才能更佳地保護我們的使用者。本篇文章要更進一步去探討APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)內所使用的各種工具,和他們用這些工具做些什麼。
這些工具被如何使用
雖然有許多人認為這些工具是被用在攻擊最開始的入侵階段,但這並非本文章的重點。我會專注在入侵成功後的各階段所要用的工具。下圖說明了這些工具在傳統APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)生命週期裡所扮演的角色。
第一步:攻擊者發送惡意軟體給受害者。這可以用許多種方式達成 – 電子郵件內的惡意附加檔案、隨身碟或是被入侵淪陷的網站都有可能。
第二步:在受影響的系統上執行惡意軟體。這可能需要受害者手動執行,或利用漏洞攻擊碼而不需使用者互動。
第三步:執行惡意軟體後,它會植入後門程式(如STARSYPOUND或BOUNCER)。這些第一階段工具會植入後門程式以利攻擊者之後存取。(這些可被視為第一階段工具)。它讓攻擊者可以在之後維持持久性,並取得對系統的控制。
第四步:接著攻擊者會上傳其他工具來進行資料滲出、橫向移動和一大堆其他工作。
工具概述
下面所列出的工具包括一些APT攻擊每天會用到的工具。這些工具通常在APT攻擊者透過第一階段工具取得受害者電腦控制權後使用。但是請記住,不包括像是後門程式、木馬和其他類工具的第一階段工具。
另外,這並不是完整的工具清單,因為威脅環境不斷地變化,所以也不可能去完整地列舉出來。許多APT攻擊者會自行編寫應用程式來做到類似功能,所以可能跟下面所列的有所不同。這列表可以當作基準線,幫你在組織環境裡找出類似工具,判斷是否有存在這些常見在APT攻擊活動內的工具。
忠告
發現這些工具並不代表你已經被入侵或成為APT攻擊的受害者。淪陷指標(IOC)包含這些應用程式/腳本的MD5雜湊值,以及編碼程式內的獨特字串。對這些檔案進行小修改都會改變MD5雜湊值,所以這是個受限的方法來識別這些應用程式/腳本。還有就是使用階段是根據趨勢科技通常會看到這些工具被使用的階段。這些工具也有可能被用在APT攻擊的其他階段。而其中有些工具也有可能被用在正常用途。(像是NetBox、dgbview、sdelete等)
工具名稱 | 描述 | 一般使用階段 | 淪陷指標(IOC) |
GETMAIL | 通常用來查找郵件存檔,並寄出這些存檔 | 資料滲出 | 獨特字串:Lu’s Crazy Profile (democode) 存檔名稱: >=3 digit number-attach.doc |
Netbox | 用來作為工具存放/下載伺服器/命令和指揮伺服器。通常用在後端的基礎設施,以支援日常運作(Netbox也有正常用途,並不一定用在惡意攻擊上) | 攻擊、資料滲出、持久性 | N/A |
Pwdump | 用來從系統登錄檔中取出密碼雜湊值快取的工具。通常用來破解密碼以在受害者環境內進行橫向移動。也可以用在雜湊值注入(pass-the-hash)攻擊 | 橫向移動 | MD5雜湊值:0xDD2EF0D6487385839BBF7863FE450CC5 |
Cachedump | 用來從系統登錄檔中取出密碼雜湊值快取的工具。通常用來破解密碼以在受害者環境內進行橫向移動。也可以用在雜湊值注入(pass-the-hash)攻擊 | 橫向移動 | MD5雜湊值:5065266fbad9362d5a329c5388627ea5 |
Lslsass | 從Windows程序裡轉存活動的login session密碼雜湊值。用來破解密碼以在受害者環境裡進行橫向移動。也可以用在雜湊值注入(pass-the-hash)攻擊 | 持久性、橫向移動 | MD5雜湊值:ede305561db6f7ca1783e0fc75d0db14 |
mapiget | 用來對Outlook直接收集郵件,甚至是存檔的郵件。接著會轉存成文字檔 | 持久性、橫向移動 | 獨特字串:WNetCancelConnection2W存檔名稱:5-mail.txt, mail.txt |
HTRAN | 連線中介,用以重導TCP流量。可以用來混淆攻擊者來源IP。讓攻擊者可在受害者國家內出現多次轉連線,困惑事件反應 | 攻擊、資料滲出、持久性 | MD5雜湊值:e0c14f98c4d4b995f00d49616bf9ba57, 2edfe2b5238c8f49130f2a2f85e33c18, 1725e68e574e4b077f7d16f7fa30d984, 7e3bb01afb4c50da526d142fdf444688, 3548ea689e06a2599bdd1bdb909abb75, |
Windows Credential Editor (WCE) | 用來列出logon session和加入、變更、列出和刪除相關登錄憑證的安全工具 | 持久性、橫向移動 | MD5雜湊值:bd73c74819d8db09c645c738bbd3f5b9, df840ac27051d26555a109cc47d03fe4 |
Lz77.exe | 用來壓縮檔案以幫助資料滲出。常見於Winrar、7zip和Winzip | 資料滲出 | MD5雜湊值:2238453fd8225baff0d52bf64361b4fd |
Gsecdump | 找出SAM檔、登錄憑證快取和LSA secrets。用在受害者環境內的橫向移動和進行雜湊值注入(pass-the-hash)攻擊 | 橫向移動 | MD5雜湊值:57F222D8FBE0E290B4BF8EAA994AC641, 875f3fc948c6534804a26176dcfb6af0, 8ee24ad5b849877907304de566fb6dc6 |
ZXProxy (A.K.A AProxy) | 用來作流量重導的代理程式。可以重導HTTP/HTTPS連線來混淆來源。我們看過被用在資料滲出上 | 資料滲出、持久性 | MD5雜湊值:0xEB36A5EF6A807FB7B2E2912E08B4882D, 0x69F5A988B4F3A3E5D300D489C9707CD6, 286760651edfe6a8b34988004156b894 |
LSB-Steganography | 利用影像匿蹤技術-圖像隱碼術(Steganography將檔案植入到影像中。可以用在資料滲出跟傳統APT攻擊的初始入侵階段 | 初始入侵階端、資料滲出 | MD5雜湊值:c188ef350f1ee0e5fa6f6ef2e70231bc |
UPX Shell | 用來對APT攻擊所用的惡意程式進行加殼。可以防止逆向工程和程式碼分析 | 攻擊、持久性 | MD5雜湊值:1281478d409de246777472db99f58751 |
ZXPortMap | 流量轉向工具,可以用來混淆連線來源 | 持久性、資料滲出 | MD5雜湊值:9a7b9caae7b8b3a2b5d68e6880b6d0a4, 2fdbb3ee0edc5e589ea727bbc2cd6d50 |
ZXHttpServer | 非常具有彈性的小型HTTP伺服器。我們看過它被用來傳輸檔案 | 資料滲出 | 獨特字串:ZXHttpServer, ZXHttpServer.exe |
Sdelete | 安全刪除工具。可以完全抹除檔案,使得鑑識工作更加困難,也讓事件反應程序更加複雜 | 持久性、掩護 | MD5雜湊值:e189b5ce11618bb7880e9b09d53a588f |
Dbgview | 可以用來在本機或任何可連上的電腦上檢視除錯輸出 | 持久性、 橫向移動 | MD5雜湊值:cea66497fa93db4b0dd33438a2a5d6bd |
許多這樣的工具會被複製到受害者電腦上,通常也不會被APT攻擊者刪除。如果你發現和以上列出工具類似的程式,我建議你可以仔細研究這些工具,並去瞭解為什麼這些工具會出現在你的環境裡。
可以做些什麼
有很多事可以做,以防止上述這些應用程式被安裝到你組織的電腦上:
- 使用應用程式白名單,可以防止這些程式在你的系統上被安裝或使用。
- 將資安事件管理系統(SIEM)加入你們的預算內以強化日誌監視能力。這將在必要時有助於鑑識需求。
- 移除使用者的本地管理者權限。這是傳統地防止安裝新應用程式的措施。雖然有些應用程式不需要安裝,但不具備管理者權限可以限制這些應用程式能做的事情。
許多上面列出的工具會被趨勢科技產品所封鎖,將其視為惡意。這裡有些當你看到這些應用程式被用在惡意用途時的建議:
- 檢查防火牆、系統、安全、代理程式和其他系統日誌來確認這些工具的使用狀況。尋找使用錯誤端口的連線,以及使用者通常不會連上的IP地址流量。
- 使用淪陷指標(IOC)來找出類似上述應用程式的檔案名稱或MD5/SHA雜湊值。專注在使用的路徑和奇怪的檔案名稱(如命名為xzz.exe的應用程式就非常可疑)。
- 使用WMIC建立可以搜尋你整個組織AD樹狀目錄的腳本,以尋找這些工具的獨特識別碼。
- 建立專屬你組織的應用程式黑名單。利用這份名單加上作業系統的原生工具來找出有問題的程式。像是Windows上的PsExec就可以做到。Linux上也有dpkg-query或dpkg可以做到。
@原文出處:In-Depth Look: APT Attack Tools of the Trade
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
@延伸閱讀
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?
《APT 攻擊》南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺
《APT攻擊/威脅 》 水坑攻擊: 不是去攻擊目標,而是去埋伏在目標必經之路
APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”
木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局
《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送
《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)
淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例
《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)
《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊
「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)
進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位
《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰