Cisco Talos 最近发现了一个新的恶意软件家族,我们称之为“HTTPSnoop”,该家族正在针对中东的电信提供商进行部署。
HTTPSnoop 是一个简单但有效的后门,它包含与 Windows HTTP 内核驱动程序和设备交互的新技术,以侦听特定 HTTP(S) URL 的传入请求并在受感染端点上执行该内容。
我们还发现了“HTTPSnoop”的姐妹植入程序,我们将其命名为“PipeSnoop”,它可以接受来自命名管道的任意 shellcode 并在受感染的端点上执行它。
我们发现了基于 DLL 和 EXE 的植入程序版本,这些版本伪装成合法的安全软件组件,特别是扩展检测和响应 (XDR) 代理,使其难以检测。
我们非常有信心地评估这两个植入程序都属于我们称之为“ShroudedSnooper”的新入侵集。根据植入程序中使用的 HTTP URL 模式(例如模仿 Microsoft Exchange Web Services (EWS) 平台的模式),我们评估该威胁参与者可能会利用面向互联网的服务器并部署 HTTPSnoop 来获得初始访问权限。
这项活动是我们过去几年一直在监测的趋势的延续,即老练的攻击者经常以电信为目标。根据思科 Talos 事件响应数据,该行业一直是 2022 年最受关注的垂直行业。
ShroudedSnooper 活动突显了电信实体面临的最新威胁
这种涉及HTTPSnoop和PipeSnop的特定植入物集群以及相关的战术、技术和程序(TTP)与Talos跟踪的已知组不匹配。因此,我们将这种活动归因于一个独特的入侵集,我们称之为“ShroudedSnooper”
近年来,世界各地发生了许多国家支持的行为者和老练的对手针对电信组织的事件。2022年,该行业一直是Talos IR业务中目标最高的垂直领域。电信公司通常控制着大量的关键基础设施资产,使其成为希望造成重大影响的对手的高度优先目标。这些实体通常构成大多数私人和政府服务所依赖的国家卫星、互联网和电话网络的骨干。此外,电信公司可以作为对手访问其他企业、用户或第三方提供商的网关。
我们的IR调查结果与其他网络安全公司的报告一致,这些报告概述了针对全球电信公司的各种攻击活动。2021年,CrowdStrike披露了LightBasin(UNC1945)针对全球13家电信公司的长达数年的高级持续威胁(APT)活动,该活动使用基于Linux的植入物在受损网络中保持长期访问。
针对中东亚电信公司的做法也相当普遍。2021年1月,Clearsky披露了“黎巴嫩雪松”APT利用网络外壳和“爆炸性”RAT恶意软件家族,瞄准美国、英国和中东亚的电信公司。在另一场活动中,赛门铁克指出,MuddyWater APT针对中东的电信组织,在Exchange服务器上部署网络外壳,以使用基于脚本的恶意软件和军民两用工具进行手把手的键盘活动。
伪装成安全组件
我们还发现 HTTPSnoop 和 PipeSnoop 伪装成 Palo Alto Networks 的 Cortex XDR 应用程序的组件。该恶意软件可执行文件名为“CyveraConsole.exe”,它是包含适用于 Windows 的 Cortex XDR 代理的应用程序。我们发现的 HTTPSnoop 和 PipeSnoop 的变体的编译时间戳都被篡改,但伪装成版本 7.8.0.64264 的 XDR 代理。Cortex XDR v7.8于 2022 年 8 月 7 日发布,并于 2023 年 4 月 24 日退役。因此,威胁行为者很可能在上述时间范围内操作了这组植入程序。例如,其中一个“CyveraConsole.exe”植入程序是在 2022 年 11 月 16 日编译的,大约位于 Cortex XDR v7.8 生命周期的这个时间窗口的中间。
带有伪造 Cortex XDR 信息的 HTTPSnoop 示例的版本信息。
HTTPSnoop 入门
HTTPSnoop 是一个简单但有效的新型后门,它使用低级 Windows API 直接与系统上的 HTTP 设备进行交互。它利用此功能将特定 HTTP(S) URL 模式绑定到端点以侦听传入请求。植入程序会拾取对指定 URL 的任何传入请求,然后继续解码 HTTP 请求附带的数据。事实上,解码后的 HTTP 数据是 shellcode,然后在受感染的端点上执行。
HTTPSnoop 在所有观察到的变体中都包含相同的代码,示例中的主要区别在于它侦听的 URL 模式。到目前为止,我们已经发现了配置的三种变化:
1、基于通用 HTTP URL:侦听植入程序指定的通用 HTTP URL。
2、EWS 相关 URL 侦听器:侦听模仿Microsoft Exchange Web 服务 (EWS) API 的 URL。
3、OfficeCore 的基于位置的服务 (LBS) 相关 URL 侦听器:侦听模仿 OfficeCore 的 LBS/OfficeTrack 和电话应用程序的 URL。
HTTPSnoop 变体
基于 DLL 的 HTTPSnoop 变体通常依赖良性应用程序和服务中的 DLL 劫持来在受感染的系统上激活。攻击者最初于 2023 年 4 月 17 日制作了该植入程序的第一个变体,以便它可以绑定到端点上的特定 HTTP URL,以侦听传入的 shellcode 有效负载,然后在受感染的端点上执行这些有效负载。这些 HTTP URL 类似于Microsoft 的 Exchange Web Services (EWS) API,该产品使应用程序能够访问邮箱项目。
第二个变体于 2023 年 4 月 19 日生成,与 4 月 17 日的 HTTPSnoop 初始版本几乎相同。唯一的区别是第二个变体配置为专门监听端口 80 和 443 上的一组不同的 HTTP URL,表明攻击者可能打算将重点放在单独的非 EWS 互联网公开的 Web 服务器上。
然后,攻击者构建了第三种变体,其中包含一个终止开关 URL 和植入程序侦听的另一个 URL。该植入程序于 2023 年 4 月 29 日制作。此版本的植入程序可能是为了最大限度地减少植入程序侦听的 URL 数量,以降低被检测到的可能性。
HTTPSnoop分析
分析的 DLL 仅由两个关键组件组成:
编码的第 2 阶段 shellcode。
编码第 2 阶段配置。
激活时的恶意 DLL 将对第 2 阶段配置和 shellcode 进行异或解码并运行它。
用于解码 Stage 组件的单字节 XOR 例程。
第二阶段分析
第 2 阶段是单字节 XOR 后门 shellcode,它使用随附的配置数据来侦听传入的 shellcode 以在受感染端点上执行。作为第 2 阶段的一部分,该样本继续对内核设备进行大量调用,以便为其后门设置 Web 服务器端点。植入程序打开“DeviceHttpCommunication”的句柄,并使用 IOCTL 代码 0x1280000 调用 HTTP 驱动程序 API“http.sys!UlCreateServerSession”来初始化与 HTTP 服务器的连接。该示例继续使用带有 IOCTL 代码 0x128010 的 http.sys!UlCreateUrlGroup 创建一个新的 URL 组,打开请求队列设备“DeviceHttpReqQueue”,并使用带有 IOCTL 代码 0x12801d 的 http.sys!UlSetUrlGroup 为会话设置新的 URL 组。
使用解密的配置,样本开始通过 http.sys!UlAddUrlToUrlGroup 将 URL 提供给 HTTP 服务器,IOCTL 代码为 0x128020。这会将指定的 URL 模式绑定到可侦听端点,以便恶意软件进行通信。植入程序会注意不要覆盖由 HTTP 服务器提供服务的现有 URL 模式,以便与服务器上以前的配置(例如 EWS)共存,并防止 URL 侦听器冲突。
通过将 URL 绑定到内核 Web 服务器上进行监听,恶意软件将继续循环监听传入的 HTTP 请求(通过 http.sys!UlReceiveHttpRequest 执行)。如果 HTTP 请求的标头包含配置的关键字(在此特定示例中为“api_delete”),则感染的侦听循环将终止。一旦收到请求,它就会创建一个新线程,并使用 IOCTL 代码 0x12403b 或 0x12403a(运行 Windows Server 2022 版本 21H2 时)调用 http.sys!UlReceiveEntityBody,以接收来自植入操作员的完整消息正文。如果请求具有有效数据,则示例将继续处理该请求,否则将向请求者返回 HTTP 302 Found 重定向响应。
有效数据采用 Base64 编码的请求正文的形式。解码后,它继续使用数据的第一个字节对其余数据进行单字节异或解码。一旦解密,一个简单的数据结构就会被揭开。从操作员处收到的有效负载是任意 shellcode 有效负载。执行元数据由未初始化的指针和大小以及元数据结构的大小(常量 0x18)组成。这些未初始化的指针通过 shellcode 的执行进行初始化,用于将数据传回植入程序,最终作为对 HTTP 请求的响应发送回操作员。
来自 C2 的有效负载结构。
任意 shellcode 执行的最终结果以 base64 编码的 XOR 编码 blob 的形式返回给请求者(操作者)。响应的第一个字节是来自 ASCII 表的随机字母,用于对响应的其余部分进行异或。这样,恶意软件就会通过 http.sys!UlSendHttpResponse 发送回 200 OK 响应,其正文中包含编码执行结果,IOCTL 代码为 0x12403f。
PipeSnoop 简介
PipeSnoop 植入程序于 2023 年 5 月创建,是一个简单的植入程序,可以通过从 IPC 管道读取数据在受感染端点上运行任意 shellcode 有效负载。尽管语义相似,但 PipeSnoop 植入不应被视为 HTTPSnoop 的升级。这两种植入物可能被设计为在不同的环境下工作。HTTPSnoop 使用的 HTTP URL 以及与内置 Windows Web 服务器的绑定表明它可能设计用于在互联网公开的 Web 和 EWS 服务器上工作。然而,PipeSnoop,顾名思义,读取和写入 Windows IPC 管道以获取其输入/输出 (I/O) 功能 这表明该植入程序可能旨在在受感染的企业中进一步发挥作用,而不是像 HTTPSnoop 这样面向公众的服务器,并且可能是有意为之用于针对恶意软件运营商认为更有价值或高优先级的端点。PipeSnoop 可能与另一个能够为其提供所需 shellcode 的组件结合使用。(第二个组件目前未知。)
PipeSnoop分析
PipeSnoop 是一个简单的后门,与 HTTPSnoop 非常相似,旨在充当在受感染端点上执行任意 shellcode 的后门。然而,与 HTTPSnoop 相比,PipeSnoop 不依赖于通过 HTTP 服务器启动和侦听传入连接。正如名称所示,PipeSnoop 将简单地尝试连接到系统上预先存在的命名管道。命名管道是 Windows 操作系统上进程间通信 (IPC) 的常用方式。这里的关键要求是 PipeSnoop 连接到的命名管道应该已经创建/建立 - PipeSnoop 不会尝试创建管道,它只是尝试连接到它。此功能表明 PipeSnoop 无法在端点上充当独立植入程序(与 HTTPSnoop 不同)。它需要第二个组件,
植入连接到命名管道以获取任意 shellcode。
伪装成线路上的良性流量
我们观察到 HTTPSnoop 侦听 URL 模式,这些模式使得所联系的受感染系统看起来像是托管Microsoft Exchange Web Services (EWS) API 的服务器。这些 URL 由端口 443 和 444 上的“ews”和“ autodiscover ”关键字组成:
一些 HTTPSnoop 植入程序使用伪装成属于OfficeTrack 的HTTP URL ,OfficeTrack 是由软件公司 OfficeCore 开发的应用程序,可帮助用户管理不同的管理任务。在某些情况下,我们看到以“lbs”和“LbsAdmin”结尾的 URL,这是对应用程序早期名称(OfficeCore 的 LBS 系统)的引用,后来该应用程序被重新命名为 OfficeTrack。OfficeTrack 目前作为劳动力管理解决方案进行销售,旨在提供物流、订单编排和设备控制的覆盖范围。OfficeTrack 特别针对电信公司进行营销。HTTPSnoop 使用的一些 LBS URL 是:
HTTP URL 还包含模仿以色列电信公司的配置服务的模式。根据开源调查结果,该电信公司过去可能使用过 OfficeTrack 和/或当前使用此应用程序。
HTTPSnoop 植入中的一些 URL 也与电信公司系统的 URL 相关:
IOCs
MD5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域名
Sysnod[.]duckdns[.]org
educu[.]xyz[:]9999
51[.]178[.]39[.]184
URLs
hxxp[://]51[.]178[.]39[.]184[/]?smd_process_download=1&download_id=90
hxxp[://]51[.]178[.]39[.]184[/]kit[.]bin
hxxp[://]51[.]178[.]39[.]184
转载来源:https://blog.talosintelligence.com/introducing-shrouded-snooper/
图片来源网络侵权可联系删除