原文链接:Focus on DroxiDat/SystemBC
译者:知道创宇404实验室翻译组
勒索软件源起
最近,我们向客户推送了一份报告,介绍了网络犯罪恶意软件集的一个有趣且常见的组件——SystemBC。与2021年Darkside Colonial Pipeline事件类似,我们发现了一个新的SystemBC变种被部署到一个关键基础设施目标上。这次,可代理的后门与南非某国家的关键基础设施中的Cobalt Strike信标一起被部署。
Kim Zetter在她的BlackHat 2022主题演讲“Pre-Stuxnet, Post-Stuxnet: Everything Has Changed, Nothing Has Changed”中对之前的Colonial Pipeline事件进行了回顾,并称其为“分水岭时刻”,同时我们在世界其他地方也看到了和目标战术上的相似之处。
关于勒索软件攻击的内容和趋势分析报道已比较常见,但关于特定电力系统勒索软件事件的技术细节却很少被公开披露。我们知道,在全球范围内被调查的公共事业单位发现,越来越多地以有针对性的活动方式进行报道:“56%的受访者报告在过去12个月中至少发生过一次涉及隐私信息丢失或OT环境中断的攻击”。虽然并非所有活动都是由勒索软件攻击者造成的,但相关的勒索软件攻击者正在避免受到强大政府机构和联盟的报复。无论如何,这种增加的公用事业目标攻击事件是一个现实世界的问题,特别是对网络中断可能在全国范围内影响客户的区域,具有严重的潜在风险。
值得注意的是,一名不明身份的攻击者使用Cobalt Strike信标和DroxiDat(SystemBC有效载荷的新变种)对南非一个电力公司进行了定向攻击。该攻击发生在2023年3月下旬,是涉及世界各地DroxiDat和CobaltStrike beacons的袭击的一小部分事件。在这个电力公司中还检测到了DroxiDat,它是SystemBC的一个约8kb的精简变体,用作系统分析和简单支持SOCKS5的bot。该电力公司的C2基础设施涉及一个与能源相关的域名"powersupportplan.com",其已解析到一个已经可疑的IP主机。该主机在几年前曾被用作APT活动的一部分,其增加了APT相关目标攻击的可能性。目前勒索软件还没有被交付给该组织,因此我们没有足够的信息来对这次活动进行准确归因。然而,同一时间范围内的一个医疗事件中,也涉及到了DroxiDat,Nokoyawa勒索软件被交付,另外还有其他几起涉及CobaltStrike的事件,它们共享了相同的license_id和staging目录及C2。
相关细节
DroxiDat/SystemBC负载组件本身是一个在不断变化的恶意后门,在勒索软件事件中较为常见,多个SystemBC类型的已经被公开披露。从2018年开始,SystemBC平台就以“恶意软件即服务”(MaaS)的形式在各种地下论坛上被出售。该平台由三部分组成:一个带有管理面板的C2 web服务器和一个C2代理监听器;目标端是一个后门负载。关于更早的SystemBC变体,其研究人员指出“SystemBC在这类操作中是一种有吸引力的工具,因为它允许使用自动任务同时处理多个目标,如果攻击者获得适当的凭证,允许使用Windows内置工具自动部署勒索软件。”。
与之前常见的15-30kb+的SystemBC变种相比,DroxiDat变体显得非常紧凑。检测到的SystemBC对象可以追溯到2018年(观察到一个在2017年7月编译的SystemBC可执行文件),数量已达数千个,并被一长串勒索软件分支使用。事实上,这个DroxiDat恶意软件变种的代码库中剥离了大部分以前的SystemBC负载所提供的功能,而这个DroxiDat恶意软件变种的目的是一个简单的系统分析器——文件名为“syscheck.exe”。它没有下载和执行能力,但可以连接远程监听器,来回传数据,并修改系统注册表。同样有趣的是,在这个发电机器网络中,DroxiDat/SystemBC仅在过去与DarkSide攻击目标类似的系统资源上被检测到。而且,2021年,一名与Darkside有关的公司袭击了巴西的Electrobras和Copel能源公司。在过去的Egregor和Ryuk事件中,也曾使用过将DroxiDat/SystemBC与C:\perflogs存储和CobaltStrike可执行对象结合使用。
| MD5 | 8d582a14279920af10d37eae3ff2b705 |
|---|---|
| SHA1 | f98b32755cbfa063a868c64bd761486f7d5240cc |
| SHA256 | a00ca18431363b32ca20bf2da33a2e2704ca40b0c56064656432afd18a62824e |
| Link time | Thu, 15 Dec 2022 06:34:16 UTC |
| File type | PE32 executable (GUI) Intel 80386, for MS Windows |
| File size | 8192 bytes |
| File path | C:\perflogs\syscheck.exe |
该DroxiDat恶意软件的两个实例出现在多个系统的C:perflogs目录下,与两个Cobalt Strike Beacons一起。
这个变体提供了以下几个功能:
- 检索计算机名称/用户名、本地IP和卷序列号信息。
- 不再创建独占使用的互斥体,而是检查并创建一个新的线程并注册一个窗口,类名为“Microsoft”,文本为“win32app”(包括在所有systemBC变种中)
- 简单xor解密其C2(IP:端口)设置,并创建到远程主机的会话。
- 对收集到的系统信息进行加密并发送到C2。
- 可能创建和删除注册表键和值。
与先前变种相比,此Windows变种缺少的功能有:
- 文件创建能力
- 文件执行的switch语句,解析硬编码的文件扩展名(vbs、cmd、bat、exe、ps1)和代码执行功能。
- Mini-TOR客户端功能。
- Emisoft反恶意软件扫描。
对象包含xor编码的配置设置:
XOR KEY: 0xB6108A9DB511264DB3FAFDB74F3D7F22ECCFC2683755966371A3974A1EA15A074404D96B6510CEE6HOST1: 93.115.25.41HOST2: 192.168.1.28PORT1: 443
在这种情况下,它的直接C2目的地是93.115.25.41:443。直到2022年11月,该IP主机提供比特币服务。由于上述后门程序是在12月中旬编译的,因此所有权很可能在2022年12月发生了变更。
第二个DroxiDat可执行文件被发送到相同的系统中,并具备将可执行条目添加到"Software\Microsoft\Windows\CurrentVersion\Run"注册表键中的"socks5"条目的功能。换句话说,它可以将自己添加为系统启动时运行的可执行文件。
| 1 | powershell.exe -windowstyle hidden -Command "c:\perflogs\hos.exe" |
|---|
第三个DroxiDat对象,这次是一个dll,被发送到服务器。
| MD5 | 1957deed26c7f157cedcbdae3c565cff |
|---|---|
| SHA1 | be9e23e56c4a25a8ea453c093714eed5e36c66d0 |
| SHA256 | 926fcb9483faa39dd93c8442e43af9285844a1fbbe493f3e4731bbbaecffb732 |
| Link time | Thu, 15 Dec 2022 06:07:31 UTC |
| File type | PE32 executable (DLL) (GUI) Intel 80386, for MS Windows |
| File size | 7168 bytes |
| File path | c:\perflogs\svch.dll |
它实现了与上面的“syscheck.exe”基本相同的功能,但不能修改注册表。它还保持相同的主机和端口值,以及40字节的密钥。
Cobalt Strike信标检测的基础设施
在这些系统上也检测到了Cobalt Strike Beacon,它们位于相同的目录和基础设施中。在某些情况下,Beacon与DroxiDat同时到达并被检测到。在一些情况下,两个信标首先到达,两天后在同一个perflogs目录中被检测到,六天后又有几个信标被检测到。因此很有可能是同一攻击者通过窃取的凭据或其他未知方法来保持访问权限。
这些Beacon的基础设施以电力系统为主题:
powersupportplan[.]com, 179.60.146.6URL: /rs.css, /skin
回调到该C2的多个Beacon包括相同的license_id值。
"license_id": "0x282d4156"
我们还发现了另一个可能伪装成电力系统的Cobalt Strike C2服务器和Beacon集群,以及其他相关数据点: epowersoftware.com, 194.165.16.63.6”.
这个epowersoftware主机上的SSH服务器与powersupportplan.com上的SSH版本和RSA密钥相同。此外,回调到该域的CS Beacon保持了相同的license_id,如上所示:“license_id”: “0x282d4156”。
属性
在我们的私人报告中提到的多个事件中一致数据点,可以初步推断此活动可能与说俄语的RaaS网络犯罪组织相关。在这种情况下,我们可能正在面对一个名为"Pistachio Tempest"或"FIN12"的组织的活动。HHS(美国卫生与公众服务部)在其报告中指出,该组织在2022年专门针对医疗行业进行攻击,并经常在部署勒索软件时使用SystemBC和Cobalt Strike Beacon:
- 2023年初,该入侵集中使用相同的perflogs暂存目录;
- SystemBC始终与Cobalt Strike配对使用;
- Cobalt Strike主机之间共享配置文件数据;
- 在2023年初的某个医疗机构中,DroxiDat和Nokoyawa勒索软件同时出现
IoCs
IP
- 93.115.25.41 ZoomEye搜索结果
- 179.60.146.6 ZoomEye搜索结果
- 194.165.16.63 ZoomEye搜素结果
File hash
Droxidat
8d582a14279920af10d37eae3ff2b705
f98b32755cbfa063a868c64bd761486f7d5240cc
a00ca18431363b32ca20bf2da33a2e2704ca40b0c56064656432afd18a62824e
CobaltStrike beacon
19567b140ae6f266bac6d1ba70459fbd
fd9016c64aea037465ce045d998c1eead3971d35
a002668f47ff6eb7dd1b327a23bafc3a04bf5208f71610960366dfc28e280fe4
文件路径
C:\perflogs\syscheck.exe
C:\perflogs\a.dll
C:\perflogs\hos.exe
C:\perflogs\host.exe
C:\perflogs\hostt.exe
C:\perflogs\svch.dll
C:\perflogs\svchoct.dll
C:\perflogs\admin\svcpost.dll
C:\perflogs\admin\syscheck.exe
C:\perflogs\sk64.dll
C:\perflogs\clinic.exe
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/3007/