点击蓝字
01 初现端倪
当我看到这个告警的时候,我就知道事情不像我想的那么简单。ps: 最开始的图找不到了。。。
海莲花团伙,属于东南亚方向的APT组织,可能有着军方背景的他们,在微步持续追踪的众多APT组织中,他们并不是技术背景最强的一个,但是是最持久的一个。该团伙在2012年就开始长期针对我国各类关键领域进行攻击入侵,迄今为止已经至少是第11个年头了,当年的小屁孩都已经会打酱油了,他们还在持续攻击着。
据用户描述,产品上架之后就有机器不断告警,谈话间已经陆陆续续七八台告警了,而且告警间隔基本相同,从这点上就可以肯定是失陷回连了。
直觉告诉我,失陷的绝对不止这几台,海莲花每次出现,都会抓获大量肉鸡,用完全“白”的地址进行回连,由于完全正常的地址加上全加密的流量,让APT的排查难度骤增。
02 今昔之感
在前去应急的路上,我思索了一下他们的“事迹”。借用微步情报局的一张图可以大致描述他们的过往。
好似他们无所不用其极,不达目的决不罢休。诚然,在国外的追踪分析中海莲花的确像是一群勤勤恳恳的上班族一般,有着规律的作息、有序的章法……
图片来源于网络,侵权联系删除
03 抽丝剥茧
协调客户上机取证后,对其中一台主机进行现场排查,首先使用微步在线威胁检索工具进行网络定位,确定发起进程。
微步在线威胁检索工具,可对快速检索内存中存在回连域名或IP的进程,方便应急响应中快速定位恶意程序。
发现为svchost进程回连恶意域名后,猜测各种可能性:1. 服务启动; 2. 篡改原始程序;使用微软官方的Autoruns进行服务排查。
果然在计划任务中发现了非用户使用软件创建的计划任务。其实这里有个小细节,Autoruns是可以检查软件的数字签名证书的,当检测到不含证书的软件时会显示出粉红色的底色,这里并没有显示是因为海莲花使用了白加黑手段,利用正常的白文件加载他们自己恶意的dll从而实现的。
定位进程路径后发现目录下存在的恶意dll文件,并且海莲花巧妙的将文件修改时间全部调整为当前目录正常文件的修改时间。
当我庆幸我找到木马时,不禁疑惑这种程度的木马杀毒软件很难检测么?顺便看了一下杀软,才发现木马植入路径为杀软的白名单路径。
其实海莲花的木马并不难以查杀,很多杀软都可以检测出来,但是他们善用各种不高端但实用的隐藏方式,在本次案例中海莲花就将恶意木马放入用户场景通用的白名单目录下,导致杀软定时扫描时根本发现不了。
04 迷雾消散
锁定木马程序后,继续追踪相关痕迹及日志。在计划任务日志中发现了计划任务具体的创建时间,可推算出海莲花入侵时间为2021年8月19日 15:36:10。
就算黑客将日志清除,在创建计划任务的时候会在C:WindowsSystem32Tasks或C:WindowsSysWOW64Tasks产生以计划任务命名的文件,创建时间即是入侵时间。
继续分析系统日志,在安全日志中发现可疑账户登录行为,登录方式采用NTLMv2进行认证,但该机器用户并不会也没有需求登录目标机器,可以判断为PTH横移入侵。
通过上面的分析可得出结论,海莲花通过内网横移入侵到这台机器后添加了计划任务并下发了恶意木马。
然鹅你以为就这样结束了?并没有。
继续分析下去,发现svchost监听了异常端口8901。
05 来龙去脉
相比于现在国内的各类攻防演练轰轰烈烈的0day互攻场景,APT组织这种“润物细无声”的持续渗透,更加难以察觉发现。
06 后记
– END –
原文始发于微信公众号(微步在线应急响应团队):解密“海莲花”组织攻击真相 – 与某大型企业共同对抗APT实录