信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

有針對性的攻擊

三角測量行動：最后的謎團

去年六月，有關“三角行動”的一系列報告被正式發(fā)布。這是一個之前未知的iOS惡意軟件平臺，通過零點擊iMessage漏洞進行傳播，允許攻擊者瀏覽和修改設備文件、獲取存儲在鑰匙串中的密碼和憑據(jù)、檢索地理位置信息并執(zhí)行其他模塊，從而擴展對受感染設備的控制。

12月下旬，全球研究和分析團隊(GReAT)的專家在演講中詳細描述了攻擊鏈，并首次介紹了攻擊者如何利用CVE-2023-38606硬件漏洞。

最近的iPhone型號包含額外的基于硬件的安全保護，即使攻擊者可以讀取和寫入內(nèi)核內(nèi)存，也無法完全控制設備——正如利用CVE-2023-32434漏洞進行的Operation Triangulation攻擊中實現(xiàn)的那樣。

攻擊者能夠使用Apple設計的SoC（片上系統(tǒng)）的另一個硬件功能繞過這種基于硬件的安全保護：他們將數(shù)據(jù)、目標地址和數(shù)據(jù)哈希寫入固件未使用的芯片的未知硬件寄存器中。

目前猜測這個未知的硬件功能可能是為了調(diào)試或測試目的而設計的，或者是錯誤添加的。由于固件沒有使用它，暫不知道攻擊者是如何學會使用它的。

一種檢測潛在iOS惡意軟件的輕量級方法

過去幾年，研究人員分析了多臺iOS設備上的Pegasus惡意軟件感染情況。分析iOS移動感染的常用方法是檢查加密的完整iOS備份或分析受影響設備的網(wǎng)絡流量。然而，這兩種方法都很耗時，而且需要很高的專業(yè)知識。這促使安全研究人員尋找一種更快、更簡單的方法來識別可能的iPhone感染。

在分析過程中，安全研究人員發(fā)現(xiàn)感染在意外的系統(tǒng)日志shutdown.log中留下了痕跡。

這是一個基于文本的系統(tǒng)日志文件，可在每臺移動iOS設備上使用。每個重啟事件都記錄在此文件中，同時記錄了多個環(huán)境特征：這些日志文件可以包含數(shù)年前的條目，提供大量信息。

shutdown.log文件存儲在sysdiagnose（sysdiag）存檔中——這可以被認為是可以生成用于調(diào)試和故障排除的系統(tǒng)日志和數(shù)據(jù)庫的集合。生成sysdiag的方法可能因iOS版本的不同而不同。不過，此存檔通常位于操作系統(tǒng)常規(guī)設置中，具體位于“隱私和分析”下（確切的位置名稱可能因iOS版本的不同而不同）。

創(chuàng)建存檔通常只需幾分鐘。結果是一個大小約為200-400MB的.TAR.GZ文件，然后可以將其傳輸?shù)椒治鰴C器。解壓存檔后，shutdown.log文件位于system_logs.logarchiveExtra目錄中。

此sysdiag轉儲分析是一種侵入性最低且資源占用較少的方法，使用基于系統(tǒng)的工件來識別可能的iPhone感染。它可用于從不同的角度補充感染識別。

DinodasRAT Linux植入程序針對全球實體

2023年10月初，在ESET發(fā)布了一篇關于針對Windows用戶的名為Operation Jacana的活動的文章后，研究人員發(fā)現(xiàn)了DinodasRAT（又名XDealer）的新Linux版本。

代碼和網(wǎng)絡IoC（入侵指標）與ESET描述的用于攻擊圭亞那政府實體的Windows樣本重疊。樣本工件表明，此版本（根據(jù)攻擊者的版本控制系統(tǒng)為V10）可能已于2022年開始運行，盡管第一個已知的Linux變體（V7）尚未公開描述，可以追溯到2021年。

DinodasRAT是一個用C++編寫的多平臺后門，提供多種功能。此RAT允許攻擊者監(jiān)視目標計算機并收集敏感數(shù)據(jù)。該后門功能齊全，可讓操作員完全控制受感染的機器，從而實現(xiàn)數(shù)據(jù)泄露和間諜活動。

DinodasRAT Linux植入程序主要針對基于Red Hat的發(fā)行版和Ubuntu Linux。根據(jù)遙測數(shù)據(jù)和自2023年10月以來對該威脅的持續(xù)監(jiān)控，發(fā)現(xiàn)受影響最嚴重的國家和地區(qū)是中國、土耳其和烏茲別克斯坦。

其他惡意軟件

新的macOS后門竊取加密錢包

去年12月，一些破解的應用程序在盜版網(wǎng)站上流傳，并感染了木馬代理。最近，安全研究人員發(fā)現(xiàn)一個新的macOS惡意軟件家族正在利用破解的軟件竊取加密錢包。

破解的應用程序是攻擊者將惡意軟件植入人們的計算機的最簡單方法之一：要提升權限，他們只需要詢問密碼，這通常在軟件安裝期間不會引起懷疑。

然而，惡意軟件攻擊者想出的一些東西非常巧妙，例如將他們的Python腳本放在DNS服務器上的域TXT記錄中。該腳本后來被添加到啟動代理中，以無限循環(huán)下載并執(zhí)行下一階段的有效負載，因此惡意軟件操作員可以根據(jù)需要向受感染的機器提供更新。最終的有效負載是一個后門，它可以以管理員權限運行腳本，并用受感染的版本替換Exodus和比特幣加密錢包應用程序，這些版本會在錢包解鎖過程中竊取秘密恢復短語。

Coyote：一種多階段銀行木馬

銀行木馬的開發(fā)者一直在尋找新的方法來分發(fā)植入程序。在最近的一次調(diào)查中，研究人員發(fā)現(xiàn)了一種名為Coyote的新惡意軟件，該惡意軟件針對的是60多家銀行機構的客戶，主要來自巴西。

引起觀察者注意的是其復雜的感染鏈，它利用了多種先進技術，使其有別于其他銀行木馬。Coyote不使用Delphi或MSI安裝程序進行分發(fā)，而是使用一種相對較新的工具來安裝和更新Windows桌面應用程序，名為Squirrel。通過這種方式，惡意軟件作者希望將木馬偽裝成更新打包程序。

當Squirrel執(zhí)行時，它最終會運行一個用Electron編譯的NodeJS應用程序。此應用程序執(zhí)行混淆的JavaScript代碼，將本地文件夾中名為temp的所有可執(zhí)行文件復制到用戶的Videos文件夾內(nèi)的captures文件夾中：然后從該目錄運行已簽名的應用程序。

感染鏈中一個有趣的元素是使用Nim（一種相對較新的編程語言）來加載最后階段。加載器的目標是解壓.NET可執(zhí)行文件并使用CLR在內(nèi)存中執(zhí)行它。這意味著加載器旨在加載可執(zhí)行文件并在其進程中執(zhí)行它，這讓人想起了Donut的工作方式。

完成以上所有步驟后，Coyote木馬病毒就被執(zhí)行了。

Coyote感染鏈

Coyote木馬的目標與典型的銀行木馬行為一致。它會監(jiān)視受感染系統(tǒng)上所有打開的應用程序，并等待用戶訪問特定的銀行應用程序或網(wǎng)站。

使用QEMU進行網(wǎng)絡隧道傳輸

網(wǎng)絡攻擊者經(jīng)常使用合法工具來逃避檢測系統(tǒng)，并將開發(fā)成本降至最低。網(wǎng)絡掃描、捕獲進程內(nèi)存轉儲、泄露數(shù)據(jù)、遠程運行文件，甚至加密驅動器——所有這些都可以通過受信任的軟件完成。

為了在受感染的基礎設施中立足并發(fā)起攻擊，攻擊者可以使用之前安裝的惡意軟件或通過公司的RDP服務器或公司VPN連接到網(wǎng)絡（為此，攻擊者必須能夠訪問具有適當權限的帳戶）。

連接到受攻擊組織的內(nèi)部網(wǎng)絡的另一種方法是使用實用程序在公司系統(tǒng)和對手的服務器之間設置網(wǎng)絡隧道或轉發(fā)網(wǎng)絡端口，從而使攻擊者能夠繞過NAT和防火墻來訪問內(nèi)部系統(tǒng)。可用于在兩個系統(tǒng)之間創(chuàng)建網(wǎng)絡隧道的實用程序有很多，有些直接連接，而有些則使用代理，從而隱藏攻擊者服務器的IP地址。

在調(diào)查一家大型公司的事件時，研究人員注意到其中一個系統(tǒng)內(nèi)部存在異常惡意活動。分析這些工件后，發(fā)現(xiàn)攻擊者已經(jīng)部署并啟動了(a)Angry IP Scanner網(wǎng)絡掃描實用程序、(b)Mimikatz密碼、哈希和Kerberos票證提取器和Active Directory攻擊工具，以及(c)QEMU硬件模擬器。

雖然前兩個是不言自明的，但QEMU提出了一些問題；威脅分子對虛擬化器有什么用處？

我們發(fā)現(xiàn)QEMU支持虛擬機之間的連接：-netdev選項會創(chuàng)建網(wǎng)絡設備（后端），然后可以連接到虛擬機。因為無法可靠地確定攻擊者如何在自己的服務器上運行QEMU，因此研究人員決定設置一個由三個系統(tǒng)組成的床，如下所示：

·“InternalHost”位于網(wǎng)絡內(nèi)部，沒有互聯(lián)網(wǎng)訪問，并在端口3389上運行RDP服務器。它模擬了無法訪問互聯(lián)網(wǎng)的隔離系統(tǒng)。

·“PivotHost”位于網(wǎng)絡內(nèi)部，但可以訪問互聯(lián)網(wǎng)。它模擬了被攻擊者攻破的系統(tǒng)并用于訪問InternalHost。

·“AttackerServer”托管在云端，模擬對手的服務器。

目標是從AttackerServer到達InternalHost。下圖顯示了隧道的總體布局：

網(wǎng)絡隧道圖

雖然使用合法工具執(zhí)行各種攻擊步驟對事件響應專業(yè)人員來說并不是什么新鮮事，但攻擊者有時會想出一些意想不到的軟件的巧妙用途，QEMU就是這種情況。這也凸顯了多層次保護的必要性，既包括可靠的端點保護，也包括專門的解決方案，以檢測和防范復雜和有針對性的攻擊，例如人為攻擊。