独角鲸安全
Trend Micro MDR团队揭露了Earth Kapre组织的网络钓鱼活动,该组织针对多国实体发动攻击,通过带有恶意附件的钓鱼邮件传播感染。这些邮件一旦被打开,就会触发计划任务,实现恶意软件的持久性,并秘密收集传输敏感数据至C&C服务器。在此次事件中,攻击者利用了合法工具PowerShell和curl进行后续下载器的获取,并使用程序兼容性助手服务(pcalua.exe)执行恶意命令,以规避检测。
使用计划任务实现持久性
为了实现持久性,安装了计划任务,如图7所示,各种任务在执行Earth Kapre下载器文件之前开始。图7进一步揭示了在执行Earth Kapre下载器之前执行的可疑任务CacheTask ef07b190e6e6d160。
processCmd:
C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
schtasks /run /tn "\Microsoft\Windows\Wininet\CacheTask ef07b190e6e6d160" "pcalua.exe" -a C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Wininet\sgef07b190e6e6d160.exe
任务名称、文件名和文件位置在每台机器上都有所不同。图8显示了从“C:WindowsSystem32Tasks”收集的恶意计划任务的证据,该任务每小时执行一次:
从“C:WindowsSystem32Tasks”收集的计划任务中的持久性证据。
创建的任务名称在每台机器上都有所不同,但它包含了相关的Earth Kapre下载器文件名的一部分。例如,如果文件名是ef07b190e6e6d160.exe,那么计划任务将被命名为。
在受感染机器上创建的任务名称示例。
-
schtasks /run /tn "\Microsoft\Windows\Wininet\CacheTask ef07b190e6e6d160"
schtasks /run /tn "\Microsoft\Windows\WDI\ResolutionHost 8434bb720ad953af"
schtasks /run /tn "\Microsoft\Windows\WDI\ResolutionHost f1a1952febed5f77"
schtasks /run /tn "\Microsoft\Windows\WindowsColorSystem\Calibration-Loader 3db1281b443ad4a0"
schtasks /run /tn "\Microsoft\Windows\WlanSvc\CDSSync b1c94b2421ca1d39"
schtasks /run /tn "\Microsoft\Windows\WOF\WIM-Hash-Management 0a430e919a35efd8"
schtasks /run /tn "\Microsoft\Windows\WwanSvc\NotificationTask 662fdf404f617d07"
schtasks /run /tn "\Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask 9eeb010c178ac301"
schtasks /run /tn "\Microsoft\Windows\CloudExperienceHost\CreateObjectTask deacb04715b35f40"
schtasks /run /tn "\Microsoft\Windows\Defrag\ScheduledDefrag 8ba2c22cafd02f59"
schtasks /run /tn "\Microsoft\Windows\DeviceDirectoryClient\HandleWnsCommand f936ad712ca94fc9"
schtasks /run /tn "\Microsoft\Windows\AppListBackup\BackupNonMaintenance cb92eb2f8982d93a"
schtasks /run /tn "\Microsoft\Windows\Subscription\LicenseAcquisition b7238088847c09ed"
schtasks /run /tn "\Microsoft\Windows\Sysmain\ResPriStaticDbSync 14f2b5c5ecbb07d8"
追踪入侵点
鉴于已识别的零号病人机器缺乏XDR安装,我们在追踪攻击的入侵点时视野有限。为了弥补这一差距,我们试图通过识别事件中观察到的类似基础设施来完成链条。利用我们调查中的IP地址23[.]254[.]224[.]79,我们系统地通过各种数据点进行网络威胁情报分析,并推断出初始访问是通过携带恶意附件的网络钓鱼电子邮件传递的。
在野外发现的Earth Kapre样本,包括这次攻击中使用的样本,共享相同的基础设施,通常通过电子邮件接收的恶意ISO或IMG文件传递。
归因分析
多个数据点和指标强烈表明Earth Kapre参与了这次攻击,强调了这个组织的持续活动,我们将在本节中详细解释。
#01-C&C基础设施
所有观察到的C&C服务器都转向了23[.]254[.]224[.]79,这是一个IP地址,根据从2023年下半年至今发现的样本,已经被广泛用作Earth Kapre的C&C服务器。
#02-代码和行为相似性
我们检查的样本与以前活动中使用的已知Earth Kapre下载器在代码上具有相似性。虽然我们处理的事件中的样本乍看之下有所不同,但仔细分析揭示了功能上的显著相似性。
IP地址与网络钓鱼电子邮件之间的联系可以从邮件头部确定,因为IP地址出现在威胁行为者到受害者的邮件路由的第一跳。
我们检查的样本显示出与之前活动中使用的已知Earth Kapre下载器在代码上的相似性。虽然我们处理的事件中的样本乍看之下有所不同,但仔细分析后发现在功能上有显著的相似之处。
例如,我们在新样本中检查的字符串解密函数在运行时获取Bcrypt API的地址并调用它们,而不是像旧的和现有的样本那样导入它们。然而,我们检查的样本以一种让人想起旧样本使用的解密技术的方式解密字符串:
-
计算硬编码字符串(yxNLWpc0s4JUTR8O3GOJC)的SHA256哈希值。
-
使用哈希值的一部分作为高级加密标准(AES)解密的加密密钥。
实时获取API地址
加载SHA256算法
AES算法初始化
使用BcryptDecrypt API 对字符串进行加密
旧版和新版Earth Kapre下载器样本之间的简单比较显示,这些样本之间有70%到90%的相似性。我们还注意到样本的行为方式也存在相似性,例如它们检查互联网可用性和与C&C服务器通信的方式。
#01-测试互联网连通情况
使用入侵分析的钻石模型 入侵分析的钻石模型是一个对入侵分析至关重要的网络安全框架。它通过关注四个关键方面——对手、基础设施、能力和受害者——来解码网络威胁。了解网络攻击的“谁”、“为什么”和“如何”有助于网络安全专业人员预测和准备应对威胁。它探讨了对手的地理起源、身份、赞助、动机和时间线。
-
对手:威胁行为者/攻击者
-
能力:对手的工具和/或技术
-
基础设施:对手使用的物理和/或逻辑资源
-
受害者:被对手攻击的组织或系统
通过同时分析这四个组成部分,入侵分析的钻石模型帮助网络安全专业人员和分析师全面理解网络威胁,并有助于将威胁归因于特定的对手或团体。它提供了一种结构化的方法来组织和分析可用数据,增强了安全团队对网络安全策略和响应做出明智决策的能力。
结论
-
这个案例强调了Earth Kapre这个威胁行为者持续和活跃的威胁,它针对多个国家的多个行业。该行为者采用复杂的策略,例如滥用PowerShell、curl和程序兼容性助手(pcalua.exe)来执行恶意命令。
-
在组织的网络中检测到Impacket活动揭示了一个令人关注的趋势,即滥用这个工具进行Windows网络协议交互。威胁行为者正在利用Impacket的多功能性,并利用其功能进行未经授权的命令执行。
-
这份报告强调了威胁情报在调查中填补空白、填补关键证据的重要性,这些证据对于全面理解和保护至关重要。了解攻击背后的威胁行为者对于寻求加强防御的组织来说至关重要。这些知识不仅有助于识别潜在动机,还允许实施定制的安全措施,以帮助预防特定威胁。
-
组织还应考虑使用多层次的方法来保护系统(端点、电子邮件、网络和网络)的可能入侵点。以下Trend Micro解决方案可以检测恶意组件和可疑行为,帮助保持企业的安全性。
原文始发于微信公众号(独角鲸安全):Earth Kapre组织网络入侵事件调查(下)