海蓮花組織針對亞洲某公司的APT攻擊—Cobalt Kitty 行動分析

本文是針對一次被稱為 Operation Cobalt Kitty的APT攻擊的報告內容精華版，該APT攻擊的目標是針對亞洲一家全球性公司來竊取他們的重要商業信息。攻擊者以釣魚攻擊作為初始滲透載體，以公司的頂級管理為目標，最終入侵了副總裁電腦，當然還有很多高級主管和運營部門的其他關鍵人員。在Operation Cobalt Kitty攻擊過程中，攻擊者破壞了超過40台PC和伺服器，包括域控制器，文件伺服器，Web應用伺服器和資料庫伺服器。

法庭文件顯示，攻擊者在Cybereason部署此次行動前已經至少持續了一年。這一切都顯示其是非常具有適應性的，特別是他們會通過定期更改工具，技術和程序（TTP）來應對公司的安全措施，使他們能夠在網路上持續這麼長的時間。在這一攻擊中他們觀察著超過80個payloads和領域 ，而所有這些在襲擊發生前都未能被公司所部署的傳統安全產品發現。

攻擊者的武器庫中包括修改的公開可用工具以及六個未公開過的定製工具，Cybereason認為這可能是他們的簽名工具。這些工具中的2個後門可以利用DLL sideloading攻擊來針對微軟，谷歌和卡巴斯基應用。此外，他們還開發出一種新穎而隱蔽的後門，其目標是 Microsoft Outlook，用於指揮和控制頻道以及數據的過濾。

根據Operation Cobalt Kitty中所使用到的工具、操作方式和IOC，Cybereason將此大型網路間諜APT歸罪於「 OceanLotus集團 」（也稱為APT-C-00，SeaLotus和APT32）。這份報告提供了一個很少見的看起來像「「under-the-hood」的網路間諜APT。Cybereason能夠監測和檢測整個攻擊生命周期，以下部分概述了Cybereason分析師觀察到的攻擊的四個階段，在這家亞洲公司的IT部門懷疑他們的網路遭到破壞但無法追蹤來源後，他們要求Cybereason來對此進行調查。

第一階段：Fileless 操作（PowerShell和Cobalt Strike payloads）

根據從環境中收集到的證據，第一階段是Cybereason部署在環境中一年前開始的原始攻擊的延續。在這個階段，攻擊者操作的是基於PowerShell的fileless基礎構造，利用已知的攻擊性框架，比如定製的PowerShell payloads —— Cobalt Strike , PowerSploit and Nishang .。

初步滲透是通過社會工程進行的。精心挑選的員工群體收到了釣魚郵件，其中包含鏈接到惡意站點或武器化Word文檔。這些文件包含惡意宏，在受損機器上使用兩個計劃任務創建持久性，其目的是下載輔助payloads（主要是Cobalt Strike Beacon）：

計劃任務1：下載一個COM腳本，重定向到Cobalt Strikepayloads：

計劃任務2：使用Javascript下載Cobalt Strike Beacon：

詳細分析「攻擊生命周期」部分中的惡意文件，Fileless payloads的傳輸基礎構造如下：

在攻擊的第一階段，攻擊者使用由無數據內存的payloads傳送基礎結構組成的以下組件： 基於VBS和基於PowerShell的載入器。

攻擊者將Visual Basic和PowerShell腳本放在他們在ProgramData下創建的文件夾中（默認為隱藏文件夾）。攻擊者使用Windows註冊表，服務和計劃任務來創建持久性。這種持久性機制可以確保載入程序腳本在啟動時或以預定的間隔執行。

在Windows註冊表中找到的值：VBS腳本在啟動時由Windows的Wscript執行：

.vbs腳本以及.txt文件包含載入程序腳本，它啟動帶有base64編碼命令的PowerShell，該命令可以載入另一個PowerShell腳本（例如Cobalt Strike Beacon）或從命令和控制項（C＆C）獲取有效負載）伺服器：

來自C＆C伺服器的內存fileless payloads

C＆C伺服器提供的有效負載主要是具有嵌入式base64編碼payloads（Metasploit和Cobalt Strikepayloads）的PowerShell腳本：

示例1：嵌入Shellcode下載Cobalt Strike Beacon的PowerShellpayloads

解碼的payloads是一個shellcode，其目的是從C＆C伺服器檢索一個Cobalt Strike Beacon：

示例2：嵌入在模糊PowerShell中的Cobalt Strike Beacon

第二種類型的混淆型PowerShellpayloads由Cobalt Strike』s Beaconpayloads組成：

Cybereason在不到48小時內就對該漏洞進行了提醒，於是攻擊者開始改變方法，幾乎完全放棄了他們一直在使用的PowerShell基礎構造 - 將其替換成複雜的定製後門。攻擊者快速適應的能力表現了他們對公司網路及其運營的熟悉程度。

而公司使用了Windows組策略對象（GPO）和Cybereason的執行預防功能來防止PowerShell執行，這樣看來攻擊者很有可能替換了PowerShell基礎架構。

第二階段：利用DLL劫持和使用DNS隧道的後門

在意識到已經發現PowerShell基礎構造之後，攻擊者必須快速更換它以保持持久性並繼續運行。而在48小時內更換這個基礎構造表明，攻擊者已經為這種情況做好了充分的準備。

在攻擊的第二階段，攻擊者引入了他們試圖部署在選定目標上的兩個複雜的後門。後門的介紹是調查的關鍵轉折點，因為它展示了攻擊者的智慧和技能。

在攻擊發生時，這些後門程序未被任何安全廠商檢測到並且沒有記錄。最近卡巴斯基的研究人員發現了一個後門的一個變種，就是Backdoor.Win32.Denis。攻擊者必須確保它們未被發現，所以後門被設計為儘可能隱蔽。為避免被發現，惡意軟體作者使用了這些技術：

後門利用DLL劫持可信應用程序

該後門利用了一個名為「 DLL劫持 」的漏洞，以便「隱藏」受信任軟體內的惡意軟體。這種技術利用了合法軟體中的安全漏洞，允許攻擊者載入假DLL並執行其惡意代碼。

攻擊者利用此漏洞針對以下受信任的應用程序：

Windows Search（易受攻擊的應用程序：searchindexer.exe /searchprotoclhost.exe）

假DLL：msfte.dll（638b7b0536217c8923e856f4138d9caff7eb309d ）

假的DLL：product_info.dll（3cf4b44c9470fb5bd0c16996c4b2a338502a7517）

通過利用合法軟體，攻擊者繞過應用程序白名單和合法安全軟體，允許他們繼續運行，而不會引起任何懷疑。

DNS隧道作為C2通道 -

為了應對網路過濾解決方案，攻擊者使用「 DNS隧道 」 - 使用DNS協議進行C2通信和數據泄露的方法，實施了一種更為隱蔽的 C2通信方法。為了確保不會過濾DNS流量，攻擊者配置了後門來與Google和OpenDNS DNS伺服器進行通信，因為大多數組織和安全產品都不會過濾流量到這兩個主要的DNS服務。

下面的截圖顯示了後門產生的流量，並展示了C2通信的DNS隧道。如圖所示，目標IP為「8.8.8.8」 - Google的DNS伺服器 - 惡意域名「隱藏」在DNS數據包內：

第三階段：異常的MS Outlook後門和lateral movement 的一場狂歡

在第三階段，攻擊者開始收集存儲在被攻擊機器上的憑證，並執行lateral movement以及感染新機器。攻擊者還引入了一種非常罕見且隱藏的技術來與其伺服器進行通信，並使用Microsoft Outlook 對數據進行滲透。

Outlook宏後門

在攻擊嘗試中，攻擊者設計了一個非常隱蔽的C2通道，因為它利用了基於電子郵件的C2通道，難以察覺。攻擊者在Microsoft Outlook 中安裝了一個後門宏，使它們能夠執行命令，部署其工具並從受感染的計算機中竊取有價值的數據。

該技術的工作原理如下：

惡意宏掃描受害者的Outlook收件箱，並查找字元串「$$ cpte」 和「$$ ecpte」 。那麼宏將打開一個CMD shell，執行字元串之間的任何指令/命令。宏從收件箱中刪除郵件，以確保最小的曝光風險。宏搜索「已刪除項目」文件夾中的特殊字元串，以查找攻擊者的電子郵件地址，並通過電子郵件將數據發送回攻擊者。最後，宏將刪除 攻擊者收到或發送的電子郵件的任何證據。憑證傾銷和lateral movement

攻擊者使用著名的Mimikatz作為其主要工具來獲取密碼，包括用戶密碼，NTLM哈希值和Kerberos憑證。Mimikatz是一個非常受歡迎的工具，可以被大多數防病毒軟體供應商和其他安全產品檢測到。因此，攻擊者使用超過10種不同的定製Mimikatzpayloads，這些payloads被混淆和打包，從而允許他們逃避防病毒檢測。

以下是攻擊期間檢測到的Mimikatz命令行參數的示例：

竊取的憑據可用於感染更多的機器，主要利用Windows內置工具以及傳遞機密和傳遞哈希攻擊。

第四階段：新的武器庫以及嘗試恢復PowerShell基礎架構

四周之後，在沒有出現其他任何明顯的惡意活動時，攻擊者又回來了，推出了新的改進工具，旨在繞過公司IT團隊實施的安全緩解措施。這些工具和方法主要允許他們繞過PowerShell執行限制和密碼轉儲緩解。

在此階段，Cybereason發現了一個受到攻擊的伺服器，被用作主攻擊機，攻擊者將其武器存儲在網路共享中，從而使其更容易將其工具傳播到網路上的其他計算機。攻擊者的武器包括：

Denis和Goopy後門的新變體PowerShell限制繞過工具-改編自PSUnlock Github項目。 PowerShell Cobalt Strike Beacon - 新的payloads+新的C2域PowerShell混淆器 - 所有新的PowerShellpayloads都會使用Daniel Bohannon的GitHub 項目改編的開源腳本進行fuzz處理。HookPasswordChange -靈感來自GitHub上的工具，該工具會在密碼更改時通知攻擊者。使用此工具，攻擊者可以避免密碼被重置，並且攻擊者修改了該工具。 Customized Windows Credentials Dumper - 基於已知密碼轉儲工具的 PowerShell 密碼轉儲器，使用PowerShell旁路和反射載入。攻擊者專門用於獲取Outlook密碼。Customized Outlook Credentials Dumper- 受到已知的Outlook憑據Dumper的啟發。Mimikatz - PowerShell和二進位版本，具有多層混淆。

對這個武器庫的分析表明，雖然已經檢測到並關閉了一次，攻擊者也不得不恢復基於PowerShell的基礎架構。攻擊者傾向於和Cobalt Strike一起使用fileless基礎構造的意圖非常明顯。這可能表明，攻擊者更傾向於使用已知的工具，而不是使用自己定製的工具，而這些工具可以作為最後的手段。

結論

Cobalt Kitty是一次針對亞洲的一家全球性公司的網路間諜APT活動，目前被認為是由OceanLotus集團發動的。本文中對該APT的分析證明了攻擊者的決心和動機。他們不斷改變技術，升級他們的武器庫，使該公司始終處於他們的陰影之下。事實上，他們從來沒有放棄，即使攻擊被防禦者暴露和關閉。

除此之外，Cybereason在調查期間還發現並分析了OceanLotus集團的攻擊武器庫中的新工具，如：新的後門（「Goopy」）使用HTTP和DNS隧道進行C2通信。

後門程序利用來自Microsoft，Google和卡巴斯基的合法應用程序中的DLL sidelode攻擊。以及受到已知工具的啟發而開發出的三種定製的憑證dump工具，並且Cybereason還發現了「Denis」後門的新變種， 並設法將後門歸功於OceanLotus Group，而這是一個以前沒有公開報道的情況。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！