信息化觀察網(wǎng)

本文來自微信公眾號(hào)“ FreeBuf”，作者/流蘇。

近期，針對(duì)說中文的企業(yè)的新一輪網(wǎng)絡(luò)攻擊活動(dòng)引起了廣泛關(guān)注。攻擊者使用了Cobalt Strike載荷，針對(duì)特定目標(biāo)進(jìn)行了精確打擊。Securonix研究人員Den Iuzvyk和Tim Peck在報(bào)告中指出，攻擊者設(shè)法在系統(tǒng)內(nèi)橫向移動(dòng)，建立持久性，并在兩個(gè)多月的時(shí)間里未被發(fā)現(xiàn)。

攻擊概括

這個(gè)秘密的攻擊活動(dòng)代號(hào)為SLOW#TEMPEST，尚未歸因于任何已知的威脅行為者。攻擊開始于惡意的ZIP文件，當(dāng)這些文件被解壓縮時(shí)，會(huì)激活感染鏈，導(dǎo)致在被攻擊的系統(tǒng)上部署后開發(fā)工具包。攻擊者通過發(fā)送精心設(shè)計(jì)的釣魚郵件，誘導(dǎo)受害者下載并執(zhí)行惡意文件，從而啟動(dòng)感染鏈。

研究人員強(qiáng)調(diào)，鑒于誘餌文件中使用的語言，與中國相關(guān)的商業(yè)或政府部門很可能是其特定的目標(biāo)。尤其是那些雇傭了遵守“遠(yuǎn)程控制軟件規(guī)定”的人員的公司，通常被認(rèn)為具有較高的商業(yè)價(jià)值和數(shù)據(jù)價(jià)值，吸引了攻擊者的注意。

值得注意的是，感染鏈還設(shè)置了定期執(zhí)行名為"lld.exe"的惡意文件的任務(wù)，該文件可以直接在內(nèi)存中運(yùn)行任意shellcode，從而在磁盤上留下最小的足跡。

研究人員表示，攻擊者進(jìn)一步通過手動(dòng)提升內(nèi)置訪客用戶帳戶的權(quán)限，使自己能夠在被攻擊的系統(tǒng)中隱藏。這個(gè)賬戶通常被禁用并且最小化權(quán)限，但只有將其添加到關(guān)鍵的管理員組并分配新密碼，就可以轉(zhuǎn)變成一個(gè)強(qiáng)大的訪問點(diǎn)。這個(gè)后門允許他們以最小的檢測(cè)維持對(duì)系統(tǒng)的訪問，畢竟訪客賬戶通常不像其他用戶賬戶那樣受到密切監(jiān)控。

未知的威脅行為者隨后使用遠(yuǎn)程桌面協(xié)議(RDP)和通過Mimikatz密碼提取工具獲得的憑據(jù)，在網(wǎng)絡(luò)中橫向移動(dòng)，然后在每臺(tái)機(jī)器上設(shè)置返回他們命令與控制(C2)服務(wù)器的遠(yuǎn)程連接。

攻擊細(xì)節(jié)

攻擊手段：Beacon和Listener

Beacon：Beacon是Cobalt Strike運(yùn)行在目標(biāo)主機(jī)上的payload，負(fù)責(zé)與攻擊者的命令與控制(C2)服務(wù)器通信，接收和執(zhí)行任務(wù)。

Listener：Listener模塊用于接收Beacon的請(qǐng)求信息，并轉(zhuǎn)發(fā)給攻擊者的Team Server控制器。

隱蔽通信

多種通信協(xié)議：Cobalt Strike支持HTTP、HTTPS、DNS和SMB等多種通信協(xié)議，確保C2通信的隱蔽性和穩(wěn)定性。

分段載荷：攻擊者使用分段載荷技術(shù)，防止shellcode過長導(dǎo)致異常，并通過多階段下載和解碼來規(guī)避檢測(cè)。

Cobalt Strike 分析

Cobalt Strike Payloads確實(shí)支持多種語言環(huán)境，并且可以在不同的操作系統(tǒng)上運(yùn)行。

Cobalt Strike Payloads支持的語言

●C

●C#

●Python

●Java

●Perl

●Powershell腳本

●Powershell命令

●Ruby

●Raw

●免殺框架Veli中的shellcode

Cobalt Strike Payloads在不同操作系統(tǒng)上的使用情況

Cobalt Strike Payloads可以在Linux和Windows上運(yùn)行，這得益于其基于Meterpreter shellcode的設(shè)計(jì)，使得它能夠跨平臺(tái)執(zhí)行。

Cobalt Strike Payloads的本地化支持

Cobalt Strike Payloads的本地化支持主要通過其模塊化設(shè)計(jì)實(shí)現(xiàn)，允許攻擊者根據(jù)目標(biāo)環(huán)境定制payload，以繞過本地安全檢測(cè)。

Cobalt Strike Payloads的檢測(cè)與防御

檢測(cè)Cobalt Strike Payloads通常依賴于內(nèi)存取證技術(shù)和特定的工具，如Yara規(guī)則。防御措施包括使用端點(diǎn)檢測(cè)和響應(yīng)(EDR)技術(shù)來實(shí)時(shí)監(jiān)控內(nèi)存活動(dòng)，以及定期更新安全軟件和系統(tǒng)補(bǔ)丁。

攻擊影響

數(shù)據(jù)泄露：攻擊者通過Cobalt Strike獲取了受感染系統(tǒng)上的敏感數(shù)據(jù)，包括員工和客戶的個(gè)人信息。

系統(tǒng)控制：攻擊者能夠在受感染系統(tǒng)中執(zhí)行任意代碼，控制系統(tǒng)行為，甚至加密文件進(jìn)行勒索。

系統(tǒng)中斷：攻擊導(dǎo)致一些企業(yè)系統(tǒng)中斷，員工不得不重新使用紙張和筆進(jìn)行記錄，經(jīng)銷商甚至讓員工回家，因?yàn)橄到y(tǒng)中斷導(dǎo)致無法進(jìn)行正常工作。

業(yè)務(wù)中斷：企業(yè)因系統(tǒng)中斷和數(shù)據(jù)泄露，面臨巨大的經(jīng)濟(jì)損失和業(yè)務(wù)中斷風(fēng)險(xiǎn)。

總的來說，針對(duì)說中文的企業(yè)的新一輪網(wǎng)絡(luò)攻擊活動(dòng)正愈演愈烈，攻擊者使用了Cobalt Strike載荷，通過魚叉式釣魚和隱蔽通信手段，成功滲透并控制了目標(biāo)系統(tǒng)。

但這并不只是特例。近年來越來越多的APT組織持續(xù)對(duì)我國包括企業(yè)、政府部門、研究機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施等高價(jià)值機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)攻擊。

報(bào)告數(shù)據(jù)顯示，2024年上半年，針對(duì)中文企業(yè)的網(wǎng)絡(luò)攻擊呈現(xiàn)出攻擊頻次和強(qiáng)度增加、受害行業(yè)多樣化以及新型攻擊手段不斷涌現(xiàn)的特點(diǎn)。與2023年同期相比，2024年上半年的網(wǎng)絡(luò)攻擊頻次和強(qiáng)度均有所增加。特別是APT攻擊和勒索軟件攻擊的次數(shù)大幅上漲，表明這些攻擊方式仍然是網(wǎng)絡(luò)安全領(lǐng)域的主要威脅。