从2021年中开始,知道创宇NDR产品组对海莲花(APT32)的攻击活动进行了深入跟踪分析。发现其进行了大量的网络渗透活动,攻击了包括不限于政府机构,科研院所,军工企业,该组织使用了大批量的境内跳板结合大批量的境外c2,攻击活动频繁程度远超其他APT组织。
大量跳板的发现表明了该组织入侵了大量的境内设备,同时对应了更多数量的最终被控IP。经过最近半年对其深入跟踪分析,结合知道创宇NDR组全球大数据APT情报测绘战法,绘制出了该组织的完整TTPs,本文着重对其TTPs中进步较大及特点鲜明的部分进行阐述。
下图为威胁捕获的痛苦金字塔。TTPs 处于痛苦金字塔塔尖。于攻击方,TTPs 反映了攻击者的行为,调整 TTPs 所需付出的时间和金钱成本也最为昂贵。于防守方,基于TTPs 的检测和响应可能给对手造成更多的痛苦,因此 TTPs 也是痛苦金字塔中对防守最有价值的一类 IOCs。
经过最近半年多对该组织深入跟踪分析,结合知道创宇NDR组全球大数据APT情报测绘战法,捕获了痛苦金字塔中由底层到高层大量的HASH,IP地址(280+),域名(80+),漏洞(20+),工具(6+类)IOC,通过以上数据,总结出了该组织进行网络攻击的TTPs,并绘制出了该组织的攻击TTPs中进步较大的关键步骤示意图,如下:
2.2.1第一个进化较大的战术-初始进入(Initial Access)中有如下变化:
2.根据网络公开信息的曝光,海莲花会攻击安全公司,终端软件管理公司,科技公司等,再通过上述攻击在供应链中植入恶意代码,实现供应链攻击,抵达攻击者的最终攻击目标。此部分技战术可以对应到ATT&CK模型的:
T1195 Supply Chain Compromise
下图为入侵方式金字塔,从下到上,入侵成本和危害程度逐层递增:
可以看到该组织已经从最底端的钓鱼邮件攻击进化到少量供应链攻击,少量的0day攻击,大量成熟的1/N Day攻击。
2.2.2第二个持续进化的战术–防御逃逸(Defense Evasion)中有如下变化:
1、在受害者内网的活动中,海莲花会收集内网机器的特征,并将这些特征作为特定shellcode 解密的密钥用于释放后一阶段的恶意代码,俗称”一机一码”,以此绕过安全人员的分析。
T1592 Gather Victim Host Information
2、海莲花组织继续采用白文件exe加载恶意动态库技术启动恶意程序,新出现了包括不限于钉钉,word,系统进程等等国内系统中常见软件。
T1574 Hijack Execution Flow
T1218 Signed Binary Proxy Execution
3、最终持久化木马主要还是cs,remy,denis 这样的熟悉面孔,仅有小变化,在某些案例里,我们发现其专门做了针对国内某知名av厂商的杀软做了免杀。在安装了某杀软的机器上运行后,杀软全盘扫描也无法识别该木马文件。
T1587 Develop Capabilities
2.2.3. 第三个进化较大的战术-命令与控制(command and control)中有如下变化:
经过知道创宇NDR团队的长期分析,发现海莲花组织掌握了大量漏洞利用代码,同时在一些漏洞公开曝光后,能快速的将其应用于攻击活动中。为了绕过一些安全监测,该组织已经大量使用跳板流量转发技术,最终的关键受害者不直接回连境外c2服务器,而是将流量连接到国内一些被控制的中转跳板节点,再由这些中转跳版节点将流量传到境外c2服务器。
从去年下半年至今知道创宇NDR团队累计发现了海莲花通过漏洞攻击渗透国内的70+个设备,其中大部分都被用做流量转发节点,包括不限于路由器,办公系统,网络服务器系统组件等。还发现一个有趣的现象是最终c2会存在对应多个跳板的情况,也就是多个受控IP经过不同跳板被同一个c2地址控制。同时经过知道创宇大数据测绘分析,发现该组织曾经使用过不少于20+漏洞,包含不限于以下漏洞:
T1588 Obtain Capabilities
T1584 Compromise Infrastructure
2.3.4.第四个进化的战术-资源开发(Resource Development)有如下特点:
在全球大量购买VPS做C2,接收中转跳板回传数据,NDR组通过最近半年多对海莲花的跟踪分析,发现190+个境外c2服务器,分布如下:
从分布上可以看到,海莲花的c2分布范围遍布全球,无明显国家倾向。
T1583 Acquire Infrastructure
下图为总结后对应的ATT&CK模型中该组织进化的关键TTP部分(不代表未标注部分该组织不使用):
通过以上攻击TTP中的变化,可以看出海莲花跟以前相比有较大进步,主要体现在如下方面:
漏洞挖掘,漏洞利用方面能力有大幅度提升,0day表现亮眼,Nday使用能力表现也越发武器化。
在最终木马并未换代的情况下,通过“一机一码”,针对性免杀,白加黑,代码混淆等方法高效的延长了木马被分析和检测的时间,为其最终目标的达成赢得了更多时间。
批量入侵设备准备中转跳板,批量购入vps,再将获取控制权限的IP配入到木马中配合终端入侵,体现了大规模协同化整体作战能力的大幅提高。
通过以上总结可以看到海莲花整体能力在不到一年时间有较大提升,此提升仅通过团队内部自学习积累显然做不到如此迅速,不排除其采购第三方服务或者得到了某些神秘力量支持的可能性,不过总体情况没有逃脱知道创宇NDR团队的全球大数据APT测绘掌控。
知道创宇NDR流量监测系统是知道创宇针对严峻的APT攻击形式,打造的一款通过对网络全流量深度分析,实现APT检测和响应的软硬件一体化产品。该产品目前最大支持10Gbps流量,在网络抓包和流量处理方面都取得了突破性的性能改进。NDR产品旁路部署在网络出口处,采用大数据处理架构,结合机器学习、威胁情报等新一代技术,对攻击中广泛采用的0day、Nday漏洞、特种木马、渗透入侵等技术进行深度分析,挖掘网络空间中已知和未知的威胁。
目前,知道创宇NDR流量监测系统及知道创宇云防御创宇盾都已经支持对此类攻击的精准检测。
原文始发于微信公众号(知道创宇):进击的怪物–海莲花APT组织最近攻击活动进化分析总结