效仿 APT36 最近针对印度教育部门的活动
2023-6-28 18:32:34
Author: Ots安全(查看原文)
阅读量:18
收藏
2023 年 4 月,SentinelLabs报告称正在跟踪一组专门攻击印度教育部门的恶意文档。这些恶意文档旨在暂存 CrimsonRAT,这是一种远程访问特洛伊木马 (RAT),至少自 2016 年以来,巴基斯坦的对手 APT36(也称为透明部落)就开始传播该木马。这个出于政治动机的对手自 2013 年以来一直活跃,此前的活动曾在 2022 年底被 AttackIQ模仿过。
研究人员已确定,这一事件与该组织先前记录的针对印度次大陆教育部门的行动有关。据评估,对手的目标是跟踪敌对国家的研究工作,强调这项活动在实现 APT36 所代表的当局的目标和利益方面所发挥的重要作用。
AttackIQ 发布了一个新的攻击图,旨在模仿出于政治动机的巴基斯坦对手 APT36 最近针对印度次大陆教育部门的目标所领导的活动。
针对这些行为验证安全程序的性能对于降低风险至关重要。通过在 AttackIQ 安全优化平台中使用这个新的攻击图,安全团队将能够:
针对高度复杂、长期存在的对手,评估安全控制的性能。
根据 APT36 在多个事件中成功采用的策略、技术和程序 (TTP) 评估他们的安全态势。
持续验证针对高度确定且出于政治动机的威胁的检测和预防渠道。
APT36 – 2022-08 – CrimsonRAT 针对印度教育行业的攻击
该攻击图模拟了 APT36 主导的活动,其中攻击者传递了恶意 Microsoft Office 文档,这些文档旨在暂存 CrimsonRAT,这是一种远程访问特洛伊木马 (RAT),至少自 2016 年以来一直在积极传播。该活动的最终目标是泄露从受感染环境中收集的敏感信息。该攻击图首先下载并保存 APT36 使用的恶意文档,该文档旨在删除名为 CrimsonRAT 的远程访问木马 (RAT) 样本。然后查询注册表运行配置单元以检查系统是否已受到损害,如果没有,则通过在其中创建新条目来实现持久性。- 入口工具传输 ( T1105 ):此场景在两个单独的场景中下载到内存并保存到磁盘,以测试网络和端点控制及其防止传递已知恶意内容的能力。
- 命令和脚本解释器 ( T1059 ): CrimsonRAT 使用“set”命令来获取当前环境变量的列表。
- 查询注册表(T1012):HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run查询注册表项以检查该值是否存在Kosovo。
- 登录自动启动执行:注册表运行键 ( T1547.001 ):此方案设置HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindows 用于识别系统启动时应运行哪些应用程序的注册表键。
成功获得系统持久性后,APT36 会调查受感染的环境,寻找虚拟机或沙箱的指标,目的是逃避动态分析系统。- Windows Management Instrumentation ( T1047 ):此方案使用wmic命令来收集硬件信息,例如 CPU 和主板属性。
攻击的第三阶段侧重于本地环境发现,对手寻求收集相关系统信息。在此阶段,攻击者寻求获取当前网络配置、感兴趣的文件和目录、外围设备以及已安装的安全软件等信息。- 系统信息发现 ( T1082 ):systeminfo执行本机命令以检索所有 Windows 系统信息。
- 系统所有者/用户发现(T1033):通过运行来whoami获取users有关当前可用帐户和权限组的详细信息。
- 系统网络配置发现 ( T1016 ):ipconfig使用标准 Windows 实用程序(如、arp、route和 )收集资产的网络配置nltest。
- 文件和目录发现 ( T1083 ):此场景使用本机dir命令查找感兴趣的文件并将其输出到临时文件。
- 进程发现(T1057): Windows的内置tasklist命令作为命令进程执行,并将结果保存到临时位置的文件中。
- 外围设备发现 ( T1120 ):此场景通过执行命令和二进制文件检索有关系统外围设备(例如逻辑驱动器、物理内存、网卡)的信息。
- 安全软件发现 ( T1518.001 ):执行 PowerShell 脚本以确定哪些软件已作为AntiVirusProduct类安装。
在攻击的最后阶段,攻击者将寻求收集敏感的系统信息,例如位于可移动媒体上的文件、浏览器密码、屏幕截图和击键。最后,收集到的信息将通过 HTTP POST 请求泄露。- 来自可移动介质的数据 ( T1025 ):本机实用程序fsutil用于识别连接到主机的任何其他硬盘。然后使用 PowerShell 迭代每个可移动媒体设备并收集文件列表。
- 操作系统凭证转储 ( T1003 ):此场景使用开源工具LaZagne转储主机上所有可能的可用凭证。
- 电子邮件收集 ( T1114.001 ):.pst此方案将递归查找.ost用户配置文件目录下的文件(Outlook 使用的电子邮件文件)。
- 屏幕捕获 ( T1113 ):此方案执行 PowerShell 脚本,该脚本利用命名空间Graphics.CopyFromScreen中的方法从System.Drawing受感染的系统收集屏幕截图。
- 输入捕获:键盘记录 ( T1056.001 ):执行键盘记录器,挂钩 API 回调以收集登录用户键入的击键。
- 通过 C2 通道进行渗透 ( T1041 ):使用请求将文件发送到 AttackIQ 控制的服务器HTTP POST。
由于威胁行为者使用了如此多不同的技术,因此很难知道要优先考虑哪些技术来进行预防和检测评估。AttackIQ 建议首先关注在我们的场景中模拟的以下技术,然后再继续讨论其余的技术。防止攻击者在您的环境中立足始终应该是首要任务之一。在此活动中,注册表运行密钥用于检查系统是否已受到损害,如果没有,则在其中创建一个新条目以实现持久性。使用 SIEM 或 EDR 平台查看对 Run 和 RunOnce 密钥的修改,当未经授权的用户或软件对允许程序在启动后运行的密钥进行修改时,将会发出警报。Process Name == reg.exe
Command Line Contains (“ADD” AND “\CurrentVersion\Run”
MITRE ATT&CK 没有任何直接缓解措施,因为这是滥用合法的 Windows 功能。他们建议监视注册表更改和可能尝试添加这些密钥的进程执行。此攻击会导致敏感数据立即从受感染的主机中泄露。IDS/IPS 和 DLP 解决方案非常适合检测和防止敏感文件发送到可疑的外部主机。数据在没有任何限制或额外编码或加密的情况下从后门被泄露。所有数据均通过 HTTP POST 以纯文本形式发送,因此应该更容易使用数据丢失防护控件进行检测。此外,由于这些请求不会受到限制,因此可以监控网络流量是否存在异常流量模式,从而识别单个系统,通常是发送大量数据的客户端资产。MITRE ATT&CK 有以下缓解建议:
结束语
总之,此攻击图将帮助组织评估安全和事件响应流程,并支持改进安全控制态势,以应对高产且复杂的网络犯罪分子。通过持续测试和使用这些攻击图生成的数据,您的团队可以集中精力实现关键安全成果,调整安全控制,并努力提高整体安全计划针对已知危险威胁的有效性。
AttackIQ 随时准备帮助安全团队实施此攻击图和 AttackIQ 安全优化平台的其他方面,包括通过我们的完全托管服务AttackIQ Ready!,以及我们共同管理的安全服务AttackIQ Enterprise。
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247499437&idx=2&sn=0271b166649af9e275a7a26e9195c556&chksm=9badb7e6acda3ef0b5cb6bb46f87e582744fbf1f91be3f5c6376fbdadd5d06dce09582490127#rd
如有侵权请联系:admin#unsafe.sh