概括
Secureworks® Counter Threat Unit™ (CTU) 分析表明,GOLD MELODY威胁组织充当初始访问代理 (IAB),向受感染组织出售访问权限,供其他网络犯罪分子利用。这个出于经济动机的组织至少自 2017 年以来一直活跃,通过利用未修补的面向互联网的服务器中的漏洞来危害组织。受害者学表明,这是为了经济利益而进行的机会主义攻击,而不是由国家支持的威胁组织进行的旨在从事间谍活动、破坏或破坏的有针对性的活动。
基于工具和策略、技术和程序 (TTP) 方面的重大交叉,CTU™ 研究人员将 GOLD MELODY 与 Secureworks 事件响应人员在 2020 年 7 月至 2022 年 7 月期间处理的五次入侵联系起来。在所有这些事件中,网络防御者检测并阻止了恶意活动在 GOLD MELODY 或相关威胁行为者实现其目标之前。第三方报告表明,GOLD MELODY 入侵已导致勒索软件部署。
工具
GOLD MELODY 依靠 Web shell、内置操作系统实用程序以及专有的远程访问木马 (RAT) 和隧道工具来促进其在受感染环境中的活动。自 2020 年以来,CTU 研究人员观察到该组织使用各种工具:
Burp Suite Collabfiltrator — 此 Burp Suite 扩展用于利用易受攻击的面向互联网的服务器。它提供对 DNS 请求成功利用的确认。
IHS Back-Connect 后门 — 该后门是用 Perl 编写的,并使用攻击者控制的基础设施创建反向 shell。
Wget — 此开源实用程序使用 HTTP、HTTPS、FTP 和 FTPS 从远程服务器检索文件。
Mimikatz — 此工具从内存中检索明文密码和密码哈希值。
TxPortMap — 该工具扫描远程主机上的端口并检索横幅信息。
WinExe – 此 Linux 二进制文件支持在 Windows 主机上远程执行命令。WinExe 提供与PsExec类似的功能。执行命令时,它会在远程主机上创建 Windows 服务可执行文件 (winexesvc.exe)。
GOTROJ——这个 RAT 是用 Golang 编写的。它可以执行任意命令、列出进程、收集系统信息以及安装持久性服务。
PAExec — 这种相当于 Microsoft PsExec 工具的开源工具可用于在网络内横向移动并远程执行命令。
AUDITUNNEL — 该工具使用硬编码 IP 地址建立反向隧道,以创建交互式 shell 会话。
PuTTY — 此开源终端仿真器支持 SSH 和 telnet 等网络协议。
7-Zip — 此工具可压缩文件并使用密码保护文件以防止泄露。
Responder——这个 Python 工具操纵 Windows 网络协议来获取帐户凭据。
攻击者 TTP
CTU 研究人员将五次 Secureworks IR 活动中观察到的活动归因于 GOLD MELODY。这种归因基于通用工具、观察到的 TTP、共享基础设施以及有关该组织活动的开源报告。图 1 列出了五次入侵中使用的 TTP GOLD MELODY。
图 1. 在五个 Secureworks IR 项目中观察到的工具和 TTP
初始访问
GOLD MELODY 利用面向互联网的漏洞作为初始访问向量 (IAV)。在 GOLD MELODY 利用这些缺陷之前,这些缺陷已经存在了一段时间。所有缺陷在被 GOLD MELODY 利用之前都有可用的补丁。在 2021 年 11 月和 2022 年 7 月的入侵中,GOLD MELODY 使用 Burp Suite Collabfiltrator 扩展来确认漏洞被成功利用。Secureworks IR 活动揭示了威胁行为者利用以下产品中的漏洞:
Oracle 电子商务 — CVE-2016-0545(2020 年 7 月)(见图 2)
图 2. 利用 CVE-2016-0545 的 HTTP GET请求中的请求行示例
Oracle WebLogic — 未知(2020 年 10 月)
Sitecore 服务器 — CVE-2021-42237(2021 年 11 月)
Apache Struts — CVE-2017-5638(2022 年 6 月)
Log4j(FlexNet 服务器)— CVE-2021-4104(2022 年 7 月)
此外,Mandiant 研究人员观察到 GOLD MELODY(在报告中称为 UNC961)利用Log4Shell 漏洞 ( CVE-2021-44228 ) 访问 MobileIron Core 服务器。他们还观察到该组织在暴露于互联网的服务器上滥用JBoss MQ Java 消息服务 (JMS) 反序列化漏洞 ( CVE-2017-7504 )。BlackBerry 在 2021 年底观察到该组织利用Log4Shell。CrowdStrike 发现 GOLD MELODY(称为 PROPHET SPIDER)利用三个漏洞进行初始访问:两个 Oracle WebLogic 目录遍历远程代码执行 (RCE) 漏洞(CVE-2020-14882和CVE-2020) -14750)在2021 年中期出现 Citrix ShareFile RCE 漏洞 ( CVE-2021-22941 ),2022 年初出现。
持续
通过利用面向互联网的服务器中的漏洞获得网络访问权限后,GOLD MELODY 试图在受感染的网络中建立持久性。在 2020 年 7 月的最早入侵中,威胁行为者使用基于 Perl 的 IHS Back-Connect 后门 (bc.pl) 来实现持久性(见图 3)。
图 3.IHS Back-Connect 后门
该工具仅在本次事件中被观察到。在 Secureworks 事件响应人员调查的其余四起事件中,GOLD MELODY 部署了 JSP Web shell 来实现持久性。在一次事件中,威胁参与者在服务器上成功创建了 Web shell (2.txt),然后将其复制并重命名为“common_login_bottom2.jsp”。通过此 Web shell 进行访问使威胁行为者能够多次返回服务器来运行侦察命令。2022 年 7 月,威胁行为者使用 Burp Suite Collabfiltrator 扩展生成的 PowerShell 脚本来解码 Base64 编码的 Web shell(见图 4)。
图 4.来自 Collabfiltrator PowerShell 脚本的片段,用于解码 Base64 编码的 Web shell
在其他事件中,威胁参与者使用 certutil 实用程序将文本文件 (la.txt) 的内容解码为名为 la.aspx 的 ASPX Web shell。在此事件中,GOLD MELODY 使用 b.txt、c.txt、d.txt、bb.txt 和 bbb.txt 等文件名上演了多个 Web shell。
GOLD MELODY 还使用 net user 命令创建新帐户并将它们分配给管理员组。在相隔两年的两次入侵中,GOLD MELODY 创建了一个“支持”帐户,并为每个帐户使用相同的密码 (Sup0rt_1!admin),然后使用“net localgroupadministrators support /add”命令将其分配给管理员组。
工具分级
在五项 GOLD MELODY 项目中的四项中,Secureworks 事件响应人员确定了工具暂存目录的创建。在第一个事件中,威胁参与者在文件路径 WindowsSystem32zh-TW 处创建了一个“zh-TW”目录。此文件夹后来存储了 PuTTY 文件传输实用程序、Wget 实用程序和 7-Zip 归档工具。在 2017 年的一份报告中,RSA 描述了在一次入侵中创建此目录的过程,其中包含 Secureworks 事件响应人员在调查的入侵中观察到的多种工具和 TTP。
CTU 对其他三个项目的分析揭示了特定目录的创建和使用方面的共性。2021 年 11 月,GOLD MELODY 使用 mkdir 命令 (mkdir c:windowstemp7fde) 创建“7fde”工作目录。然后,威胁参与者将 wget.bin 文件写入此文件夹。该文件是合法的 Wget 二进制文件,用于通过常见 Web 协议下载文件。接下来,威胁参与者尝试使用下载器命令从远程资源下载 7-Zip(参见图 5)。
图 5. 尝试使用命令行下载 7-Zip 归档工具
在 2022 年 7 月的入侵中,威胁参与者使用相同的方法创建了具有相同名称和位置的目录(见图 6)。然后,他们运行相同的下载器命令从不同的 IP 地址下载 7-Zip 二进制文件。
图 6. 为工具暂存创建的文件夹
黑莓关于 GOLD MELODY 2021 年利用 Log4Shell 的报告描述了 7fde 目录的创建和使用来暂存 wget.bin 等工具。在 Secureworks 事件响应人员调查的 2022 年 6 月的一次入侵中,威胁参与者使用 Wget 将具有未知功能的文件下载到同一位置的类似命名目录:C:Windowstemp8fdewget.bin。由于“8fde”目录名称与“7fde”有一位数字不同,并且由于键盘上“8”位于“7”旁边,因此威胁参与者可能在命名目录时犯了错误。
发现
GOLD MELODY 进行大量扫描以了解受害者的环境。扫描在获得访问权限后不久就开始,但在整个入侵过程中会重复并持续进行。该组织通常从最初受感染的服务器进行此活动。GOLD MELODY有时会利用最初利用的漏洞进行侦察。在 2022 年 6 月的入侵中,威胁参与者通过 Apache Struts RCE 漏洞 CVE-2017-5638 执行侦察命令,使用“whoami”和“ipconfig”命令收集系统信息。
GOLD MELODY 使用多个内置 Windows 实用程序,在 Microsoft Windows 设备上运行以下命令进行侦察:
whoami — 显示本地系统上登录用户的用户、组和权限信息
netstat — 显示计算机正在侦听的活动 TCP 连接和端口;包括以太网统计信息、IP 路由表以及 IPv4 和 IPv6 统计信息
net user — 除了添加或修改帐户之外,还显示用户帐户信息
quser — 显示有关远程桌面会话主机服务器上的用户会话的信息
ipconfig — 显示所有当前 TCP/IP 网络配置值
dir — 显示目录的文件和子目录的列表
systeminfo — 显示有关计算机及其操作系统的详细配置信息
hostname — 显示计算机完整名称的主机名部分
GOLD MELODY也在必要时使用了Linux命令来进行侦察。威胁参与者使用PwnTools通过“view”命令访问 /etc/passwd 和 /etc/shadow 文件,以读取用户信息并查看哈希密码。
GOLD MELODY 的侦察活动不仅限于内置实用程序。在 2020 年 7 月的入侵中,威胁参与者从受感染的 Oracle 电子商务服务器执行 TCP 端口扫描工具 (pscan2),以扫描端口 445 上的数千台内部主机,该端口与 Windows Server 消息块 (SMB) 协议关联,在横向移动到 Windows 服务器之前。
在 2022 年 7 月的入侵中,威胁参与者使用 TxPortMap 工具扫描端口 445 上的内部主机(见图 7)。在使用该工具前几秒钟,威胁参与者查看了 TxPortMap 帮助页面,这表明他们不是该工具的专家用户。
图 7. GOLD MELODY 使用 TxPortMap 扫描端口 445 上的本地网络 IP 地址
凭证访问
在五次入侵中,除其中一次外,GOLD MELODY 都明确试图获取凭证。另一次入侵可能是一个例外,因为威胁行为者没有机会。就在威胁行为者开始部署 Web shell 并运行侦察命令之后,这种妥协在早期阶段就被挫败了。
GOLD MELODY 使用多种技术来获取凭证。在 2020 年 7 月的入侵中,威胁行为者有充足的时间收集信息并部署多种工具。在此攻击期间,威胁行为者使用以下技术从多个服务器收集凭据:
通过运行“view /etc/shadow”和“view /etc/passwd”命令检查passwd和shadow文件
通过运行 PowerShell 命令来调用合法 Windows Comsvcs DLL (comsvcs.dll) 中的MiniDump函数,转储本地安全机构子系统服务 (LSASS) 进程内存
执行 Mimikatz (_mo64.bin) 凭证收集工具
通过在 Linux 主机上执行 Responder (Responder.py) Python 脚本来操纵 Windows 网络协议
保存了Windows系统注册表配置单元和Active Directory数据库文件(ntds.dit),可能用于离线破解
虽然在这次入侵中观察到的活动构成了获取凭证的最全面的尝试,但在其他入侵中也采用了相同或相似的技术。活动的检测、成功的补救和威胁行为者的驱逐可能会减少获取凭证的尝试。
2020 年 10 月,Secureworks 事件响应人员发现执行了一个名为“_mo64.bin”的文件。该文件无法用于分析,因此无法确定其功能。然而,这个可执行文件很可能是 Mimikatz 工具,其文件名与 2020 年 7 月入侵中观察到的相同。虽然文件名通常不能很好地指示常见功能、所有权或用途,但名称的独特性表明该工具可能处于 GOLD MELODY 的控制之下。截至本文发布时,VirusTotal 分析服务存储库中没有具有此文件名的样本。
在 2022 年 6 月的入侵中,GOLD MELODY 使用其部署的 Web shell 之一将安全、系统和 SAM 注册表配置单元保存到单个主机。Secureworks 事件响应人员没有观察到该文件随后从网络中泄露的证据,但这很可能是威胁行为者意图离线破解所包含的密码。
在接下来一个月的入侵中,威胁参与者使用 Windows vssadmin进程列出卷影副本备份 (vssadmin listshadows),然后立即创建卷影副本备份 (vssadmin createshadow /for=c:)。此活动通常会促进凭证盗窃。
横向运动
GOLD MELODY 在受害者网络上横向移动,以扩大其足迹并实现其目标。然而,在三起 Secureworks IR 攻击中,网络防御者由于及时检测和补救而阻止了横向移动。
2020 年 7 月,在受害者的 Oracle 电子商务服务器上利用 CVE-2016-0545,使威胁行为者能够快速在后端 Oracle 服务器上建立立足点。该服务器是进入网络的中转点,威胁参与者将命令和初始恶意软件负载部署到其他主机。攻击者通过未知命令连接到域控制器以生成 SMB 连接。然后,他们使用“net use”命令并映射管理共享以进行数据暂存和渗透,连接到另一个域控制器。
在 2020 年 10 月的事件中,威胁参与者将网络共享映射到与最初受感染的 Oracle WebLogic 服务器关联的两个应用程序服务器。GOLD MELODY 将恶意软件部署到多个主机,其中包括三个域控制器。然而,Secureworks 事件响应人员没有观察到任何受感染主机上有其他活动的证据。
2022 年 7 月,威胁行为者通过 FlexNet 服务器获得了对网络的初步访问权限,立即执行侦察活动,然后休息了三周。当攻击者恢复活动时,他们使用 TxPortMap 工具识别出可能通过端口 445 上的 SMB 访问的 38 个主机。网络防御者检测到恶意活动并使服务器脱机,以防止横向移动。因此,所有活动都仅限于最初受感染的主机。同样,在 2021 年 11 月和 2022 年 6 月的入侵中检测到 GOLD MELODY 活动发生在感染链的早期,使网络防御者能够阻止威胁行为者横向移动到其他主机。
执行
GOLD MELODY 使用多种工具并展示了其部署的适应性。2020 年 7 月,威胁行为者使用 Wget 将 IHS Back-Connect 后门 (bc.pl) 部署到受感染的环境中(见图 8)。
图 8. 用于下载从 HTTP GET 请求行提取的 bc.pl Perl 脚本的 Wget 命令
此 Perl 脚本接受远程 IP 地址和端口号作为参数,并为指定的主机和端口号设置反向 shell。威胁行为者使用 Perl 脚本在端口 21 上的两个远程主机之间建立连接。连接到这些命令和控制 (C2) 服务器可提供对受感染 Linux 主机的直接 shell 访问。通过此连接,威胁行为者可以远程执行命令。
威胁行为者使用 IHS Back-Connect 后门几天后,他们部署了提供类似功能的 AUDITUNNEL 工具。威胁行为者通过 Wget 命令下载 AUDITUNNEL(参见图 9),然后进行编译,然后在受感染的 Oracle 电子商务服务器上执行它。
图 9. 威胁参与者使用 Wget 命令下载 AUDITUNNEL
AUDITUNNEL 建立了到硬编码 IP 地址的 SOCKS5 代理连接,该地址与 Perl 脚本中的 IP 地址相同。威胁行为者使用 AUDITUNNEL 在 Linux 服务器上创建持续数小时的交互式 shell 会话,并在每个会话后终止该进程。此行为表明使用 AUDITUNNEL 访问环境比使用 IHS Back-Connect 后门更稳定。
AUDITUNNEL 也在 2022 年 7 月的事件中被下载,但并未用于执行命令。缺乏活动表明威胁行为者可能未能成功建立到硬编码 IP 地址的反向隧道。
2020 年 7 月,威胁行为者通过 AUDITUNNEL 建立了持续的连接。他们使用此连接使用 pscan2 二进制文件远程执行网络扫描,横向移动到 Windows 服务器,并通过“net user”命令创建管理员帐户。他们将两个二进制文件(wmhost.exe 和 winnta.exe)作为 Windows 服务执行。他们还执行了名为 rdp.ps1 的 PowerShell 脚本,该脚本可能用于 RDP 连接。
Wmhost.exe 是合法Windows 系统中心配置管理器(SCCM) statusagentproxy.dll 客户端二进制文件的一个版本,在此次入侵期间被用于远程执行。2020 年 10 月的入侵期间也使用了该工具。2023 年 3 月的 Mandiant 报告描述了一个名为 HOLERUN 的工具,该工具具有相同的文件名 (wmhost.exe) 和功能。Mandiant 还观察到一个名为 winnta.exe 的文件,他们将其命名为 MUTEPUT。CTU 分析确定 winnta.exe 是用 Go 编写的 RAT,通过自定义协议与端口 21 上的 C2 IP 地址进行通信。2017 年 RSA 报告描述了 GOTROJ(可能是同一工具)的使用,以及与 GOLD MELODY 活动重叠的多个 TTP。
2020 年 7 月,Secureworks 事件响应人员观察到威胁行为者下载了两个文件(ti2.bin 和 ti3.bin)。这些文件是 PAExec 的版本。威胁行为者似乎并未使用这些文件。
渗漏
Secureworks 事件响应人员仅在一次入侵中观察到数据泄露。2020 年 7 月,威胁行为者将 3.3 GB 的数据从域控制器移动到受感染网络上的内部临时服务器。不久之后,他们在临时服务器上安装了PuTTY Secure Copy Client远程文件传输应用程序。Secureworks 事件响应人员观察到 3.3 GB 的数据通过网络发送至攻击者控制的 IP 地址。对临时服务器的取证分析显示,已删除的压缩文件包含来自域控制器的 Windows 系统注册表配置单元和 Active Directory 数据库文件 (ntds.dit)。ntds.dit 文件大小为 3.3 GB。威胁行为者可能通过 PuTTY 泄露该文件的内容以离线破解密码。
在其他一些入侵中,威胁行为者将哈希凭据从注册表配置单元提取到临时服务器。然而,及时发现和补救防止了渗漏。
防御规避
GOLD MELODY 的防守规避尝试未能成功。在 Secureworks 事件响应人员调查的五起入侵事件中,恶意活动的早期检测似乎阻止了该组织实现其目标。
威胁行为者的规避尝试严重依赖 Wget 和 cURL 等实用程序从外部资源下载工具。在所有五次入侵中,威胁参与者都使用 Wget 将工具下载到暂存文件夹。在 2020 年 7 月的入侵中,GOLD MELODY 使用 cURL 命令从远程服务器下载 IHS Back-Connect 后门(见图 10)。
图 10. 尝试下载 IHS Back-Connect 后门的 cURL 命令
在同一入侵中,威胁行为者使用反取证技术来确保 Linux 命令不会存储在用户的 Bash_History 文件中。在命令前面添加特定字符串会阻止多个命令保存到 Bash_History,这会阻止随后通过取证分析检索这些命令(参见图 11)。
图 11.命令前面的字符串,以防止保存到用户历史记录
基础设施
Secureworks IR 参与期间观察到的重叠不仅限于工具和 TTP。通过工具和日志分析确定的 C2 基础设施在整个入侵过程中得到了重复使用。此外,第三方报告中记录的 IP 地址将这些入侵与 Secureworks 事件响应人员调查的事件联系起来(见图 12)。
图 12. 在 Secureworks IR 参与期间观察到并在第三方报告中提到的 GOLD MELODY IP 地址(PROPHET SPIDER 和 UNC961 是 GOLD MELODY 的其他别名)。(来源:Secureworks)
CTU 研究人员向 VirusTotal 查询 GOLD MELODY 可能使用的基础设施。该组织使用的文件名似乎是唯一的,并且通常托管在不向互联网开放的目录中。CTU 研究人员找到了与 GOLD MELODY 操作相关的文件名(例如 wget.bin、TxPortMap.bin、bc.pl)并检查了相关的基础设施。2023 年初以来提交和扫描的相关结果表明了积极的使用(见表 1)。
表 1. 截至 2023 年 5 月中旬与 GOLD MELODY 运营相关的基础设施
动机
Secureworks 事件响应人员调查的危害的检测和早期修复限制了对威胁行为者动机的了解。然而,在第三方研究人员记录的入侵中,访问权限被移交给其他威胁行为者,并在某些情况下导致勒索软件的部署。例如,CrowdStrike 观察到两次不同的攻击,其中不同的威胁组织在 GOLD MELODY 入侵后执行了勒索软件:
在 2020 年的一次入侵中,威胁行为者在 GOLD MELODY 获得环境访问权限几个月后部署了 Egregor 勒索软件。
2021 年,GOLD MELODY 活动停止两周后,一个威胁组织在受感染的环境中部署了 MountLocker。
Mandiant 还观察到在 GOLD MELODY 破坏网络 131 天后部署了 CryptoDefense 勒索软件的入侵。鉴于 TTP 和工具的全面重叠,GOLD MELODY 很可能在这些活动中进行了最初的入侵。CTU 分析表明,GOLD MELODY 充当了出于经济动机的 IAB,向其他威胁参与者出售访问权限。买家随后可能通过部署勒索软件进行勒索,将访问权货币化。
结论
GOLD MELODY 使用各种工具和 TTP 来破坏网络、维护访问权限并在向网络犯罪分子出售访问权限之前进行侦察。GOLD MELODY 所针对的组织数量表明该组织是一个重大威胁。它依赖于利用未打补丁的面向互联网的服务器中的漏洞进行访问,这强化了强大的补丁管理的重要性。
外围和端点监控是一种可靠且有效的方法,用于在组进入网络后检测访问尝试并减少恶意活动。在五次 Secureworks IR 活动中的三次中,防御功能发出的警报允许快速修复,并可能阻止未来勒索软件的部署。
IOCs
表 2 中的威胁指标可用于检测与 GOLD MELODY 入侵相关的活动。请注意,IP 地址可以重新分配。IP 地址可能包含恶意内容,因此在浏览器中打开它们之前请考虑风险。
表 2. 此威胁的指标
转载来源:https://www.secureworks.com/research/gold-melody-profile-of-an-initial-access-broker
图片来源网络侵权可联系删除
