從信息安全的角度來看,2020年是複雜的一年。大流行不僅影響了威脅格局,而且雙重勒索勒索軟體攻擊已成為新的常態。除去年外,在12月發現了大規模的供應鏈運動,其真正程度尚不清楚。
去年值得一提的另一件事是,國家贊助的組織將雲服務武器化的出現。現在,將雲用於網絡釣魚和惡意軟體交付(Ryuk勒索軟體可能是最值得關注的)之類的犯罪目的已經成為一種整合趨勢。但是,最近的一些活動表明,即使在網絡間諜活動中,雲利用也變得越來越普遍,在網絡間諜活動中,合法服務用於在多階段殺傷鏈中傳遞惡意有效負載,從而增加了額外的逃避層。
MuddyWater和GitHub
MuddyWater(又名Seedworm和TEMP.Zagros)是一個伊朗威脅組織,主要針對中東,但也針對歐洲和北美。該組織的受害者主要在電信,政府(IT服務)和石油部門。
它的最新活動是部署極其複雜的殺傷鏈,其中惡意軟體壓力最初是通過帶有嵌入式宏的Word文件傳遞的。執行宏後,它將啟動Powershell,該Powershell從GitHub下載並執行Powershell腳本。然後,此Powershell腳本從圖像託管服務Imgur下載PNG文件,並通過隱寫術使用圖像的像素值來解碼Cobalt Strike腳本,該腳本連接到命令和控制項以接收其他指令。
Cobalt Strike是一種滲透測試工具,除其他功能外,它還可以在端點上運行命令,並且通常由威脅行為者提供武器(在這種情況下)。攻擊者利用了這種良性特徵,因為解碼後的有效負載包括EICAR字符串來欺騙分析工具和SOC分析人員,從而使他們相信有效負載是測試的一部分。
該活動具有不同尋常的複雜程度,具有多個階段,可以提供不同級別的規避:利用知名的雲服務,隱寫術和安全工具的武器化。
Molerats的雲服務雞尾酒
Cybereason的安全研究人員最近透露了Molerats(也稱為The Gaza Cybergang)開展的主動間諜活動的細節,Molerats是一個出於政治動機的威脅組織,其受害者主要在中東,歐洲和美國。此活動針對講阿拉伯語的目標,它使用了兩個以前未知的後門,稱為Sharpstage和DropBook(這個第二個名字聽起來很熟悉),並在惡意軟體交付(Dropbox和Google Drive)以及命令和控制(再次是Dropbox和Facebook,因此第二個後門的名稱是DropBook。
攻擊鏈始於網絡釣魚文件,這些文件是通過社會工程學傳遞的,主題與當前中東事務有關。執行後,誘餌文檔會從Dropbox或Google雲端硬碟下載兩個後門。
SharpStage是具有後門功能的.NET惡意軟體。在不同的惡意功能中,後門實現了一個Dropbox客戶端,該客戶端可以滲漏數據
Dropbook是Python後門,可以執行從Facebook接收的命令,還可以從Dropbox下載並執行其他有效負載
正如研究人員所觀察到的,毫不奇怪,對雲服務的利用旨在避免檢測並使惡意基礎架構具有彈性:
「這兩個後門都是以隱秘方式運行的,它們實施合法的雲存儲服務Dropbox來從其目標中竊取所竊取的信息,從而通過使用合法的Web服務來逃避檢測或刪除。此外,[…] DropBook [[]]還利用了社交媒體平臺Facebook,後門操作員在虛假的情況下創建偽造的帳戶來控制後門,而DropBook與武器庫中的其他間諜工具不同,因為它僅依靠偽造的Facebook帳戶來獲取C2的操作員指示。利用社交媒體進行C2交流並不是什麼新鮮事,在野外也很少見到。」
在最後一個示例中,一個13歲的後門特洛伊木馬被稱為Bandook(自2007年以來可以購買到的一種商業上可訪問的遠程訪問工具)最近從過去返回,針對全球各種目標進行了一次新的間諜活動,以適應現有的利用趨勢複雜的多階段終止鏈中的雲。
即使在這種情況下,攻擊鏈也相當複雜,可以簡化如下:
該惡意軟體以.zip文件內的惡意Microsoft Word文檔的形式到達目標計算機。這些文檔與Office365,OneDrive和Azure等基於雲的服務有關,僅當受害者單擊「啟用內容」時,才能訪問內容。
打開文檔後,將通過外部模板(受害人不可見)下載惡意宏,該模板將加載第二階段的有效負載:PowerShell腳本,該腳本在執行多個步驟之後從其中一個下載一個包含三個文件的.zip文件。關注以下雲服務,例如Dropbox,Bitbucket或S3存儲桶
下載的文件(偽裝成圖像)在受害者的計算機中組合在一起,以構建最終的Bandook Loader,該程序使用Process Hollowing技術創建Internet Explorer進程的新實例,並向其中注入惡意負載
所有這三種網絡間諜活動都具有一個共同的方面:一個複雜的殺傷鏈,它部署了多種逃避機制,包括濫用合法雲服務來分發惡意有效載荷。