前言
自演习开始以来,我们注意到在传统红队攻击之外,出现了许多新的威胁元素。山石网科情报中心在重保期间不仅应对了传统的远程访问木马(RAT)攻击,还成功捕获了243例真实的钓鱼文件,识别了两个全新的钓鱼框架,并发现了13例新变种的Gh0st木马。此外,我们记录了三起涉及高危黑产团队的事件和一起高可疑的高级持续性威胁(APT)攻击。
与此同时,我们首次观察到了一些针对红队的挖矿组织活动,这些组织利用热点漏洞,通过在GitHub上发布带有挖矿代码的PoC文件进行传播。此外,还发现了利用某高危堆溢出漏洞的定向钓鱼攻击,攻击者通过恶意补丁(Patch)企图破坏目标主机的正常运行。
本期文章将对过去一段时间内重保期间的主要活动和事件进行全面回顾与分析,为未来的防御工作提供参考。
混入演习的黑产团伙
在演习刚开始的一周内,山石网科情报中心通过云上大数据遥测发现,银狐黑灰产组织开始大批量针对重点单位进行钓鱼,并隐匿传播控制木马。投递方式非常多样,包括邮件钓鱼、水坑、微信社工投递木马等,水坑攻击中伪造的软件多达数十款,包括但不限于软件 WPS、PDF、CAD、qwbpro(企微宝)、微信、加速器、360模块,压缩软件、PPT,美图和向日葵软件等。比如企业微信传播:
QQ传播:
微信传播:
伪造的下载页等等:
新捕获的银狐木马,有使用了SMC嵌套自解密过程,如下是第二层解密:
样本攻击技术包含反沙箱,反杀软,比如对ETW/AMSI关键函数的patch,实现对基于ETW的终端解决方案的绕过:
插入的时序反调试实现反沙箱,如:
通过扫描进程列表、服务进程、检索窗口类综合判断360杀软是否存在,以及通过驱动模块关闭360杀软等等。
目前较为流行的银狐木马样本,依旧携带Gh0st进行传播,比如对c:xxxx.ini文件的检测的特征:
白加黑依旧是银狐木马选择使用的技术,如利用的某升级程序:
相关失陷指标:
B736A809E7A0F1603C97D43BBC7D2EA8A9CD080B
E49938CB6C4CE0D73DB2B4A32018B1FF71A2D7F0
1975B7ADA9CD3D7B3BC2A7E19CAA3E5C0D878216
9E9B1F74567B9EBA2112D5053CEB8BA2B4452BFB
E063BE995D7E3FA893D17CA44684E5438A077AB5
7590BFE515DFFA2311050646B5DF7ECF1EDD67F4
B16AA9247826304509614E378F4120BF2B5F2394
E5C82A7B371DA1F596A5055FFD8339E820DDB2FB
E1AA5737CA611C0628802A84C7A075B722DC9AE6
7FAD6D60728398F529ED543B0B4A36C43B3E3333真真假假的钓鱼
水坑和钓鱼依旧是当下传播恶意木马的主要方式,山石情报中心持续跟进捕获各类钓鱼邮件、文件等,如下示例:
|
文件名 |
样本hash 或url |
C&C |
|
*市交通管理局个人信息采集.exe |
a48fd05c133bc8f1e4de8e892813a659 |
116.205.225.73 |
|
*悦**喜商贸有限公司各门店联系人员名单.exe |
0480a0bfa9e73cea5cd80f09bd480de3 |
– |
|
中国****集团有限公司2024-2026年度财务决算审计会计师事务所服务采购项目反馈材料.exe |
27cd55fada3fa40d942a6cb1f91aa8cd |
101.42.16.246 |
|
简历.zip |
cc3c41246435b0b04ef3dfb4f3179267 |
47.103.27.212:4443 |
|
关于2024年度机场团队团建的通知.zip |
5838562cfd98937870600fc3f49ea448 |
106.53.44.71:8113 |
|
国际威*科技投资有限公司**凤凰机场招投标材料.word .exe |
0ea67d3b7ca31154433cb66939dbd417 |
175.178.185.149[:]8084 |
|
20万会员信息可查可验证100条优质会员信息可查可验证.doc .exe |
137d7a7b2beea6ebd298ed41f9f1dbda |
45.145.229.196 |
|
个人资产清单查看.exe |
fa5c31948b81ba69ceb0104481a4a796 |
118.24.172.236:65532 |
|
刘家军+个人身份证+证件照+学历学位证明信息+专业技术资格证明书.exe |
5c7a6ddc1fe383460125434dde9783e8 |
8.129.83.98 |
|
简历_20220911133657 fdp.exe |
341b8a056782189687a870540a36cef6 |
43.136.218.157:5555 |
|
【病患检验单】_高宇航_**大学**临床医学院_皮肤科_杨勇.exe |
90cc99cac7234635e592d1c4cf27ce74 |
94.191.4.49 |
|
密码修改.exe |
1803acc23c694625a705d78a0fb3c80e |
154.21.200.228:10001 |
山石情报重保期间,为客户提供快速的样本定性专家服务,以达到前场的及时响应如:
同时山石情报团队捕获针对蓝队的恶意PoC投毒,使用者直接git克隆会下载恶意代码片段,从而执行挖矿脚本:
xz-utils 有两名维护者:Lasse Collin (昵称Larhzu)和 JiaT75(昵称Jia Tan)对liblzma/xz官方库的持续投毒:
利用热点事件的专项钓鱼等等:
CVE-*****堆溢出漏洞补丁.exe
SHA256:2358438e0c5931b12b2233d449354d3db21e17c350fdf171298c6665514bc655
MD5:aef9c59cb030b7e4038ca9850c95f8a2
C2:www.tencentcloud.site
攻击手法:白加黑 CobaltStrike 木马道高一尺的攻击队
重保期间,我们发现除了银狐组织的木马工具被广泛使用外,新的终端对抗技术和新的木马框架也在逐渐变多,比如新的RAT工具在各类群里传播:
破坏性的工具使用:
以及非法混入重保期间的数据泄露问题:
由于国内EDR很多是base ETW,针对ETW的攻击技术也层出不穷。
持续进化的情报安全
重保期间,山石情报中心及山石IPS不断守护客户安全,重点漏洞情报跟踪,0day跟踪:
**星主动安全监控云平台远程代码执行漏洞
H3C Workspace 云桌面 远程命令执行漏洞
**报表前台任意文件上传漏洞
一线情报跟踪:
不断更新的专项特征库:
7a7251f48286563bba067056af4285bf
哈**集团有限公司整改**专项审计报告.exe
75d8097b47bfa9e021c71b4a34f80b91
举报材料-docx.exe
cdc7a25cd82b584b6244214faf9171c8
执行查看.msi
bf8ed3c4c9ba01c5cce00897f52d3947
action.py
e2dbef1ea654b8e8d77f61072c177f74
执行查看.exe
e0aaea76f7af11f1bb9c0613df9ade3a
**金融候选人职位登记表1.zip
9492cec7ce22942be9373661b6ba70d1
专项漏洞检测工具.exe
实时云端遥测威胁事件自动化分析:
为客户安全保驾护航。
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
原文始发于微信公众号(山石网科安全技术研究院):2024HW中期防守技术及情报复盘
