聚焦金融网络犯罪团伙Cobalt Gang 的Commodity Builder 及其infrastructure攻击
此刻,一个资深进攻者可以很轻松的行使平凡器材、恶意软件、以及超等简朴原始的投递方法,睁开一场小型进攻并躲开观测和追溯。最常见的要领是行使鱼叉式收集垂纶邮件通过交际工程来实验,可能行使诸如CVE-2017-0199 或ThreadKit builder这样的裂痕,来引起企业员工的留意可能存眷。起源传染乐成后,进攻者便开始陈设高级定制化恶意软件以及其他高级器材,可能滥用Microsoft Windows中内置的浩瀚适用措施,如PowerShell、CMSTP、Regsvr32 (这种滥用也被戏称为“靠土地为生”)。 对付那些想要捕捉威胁可能仅仅是自我掩护的人来说,这类传染方法让辨认事变变得如大海捞针一样坚苦。但即便这样,一旦有进攻者行使Commodity Builders可能器材,总会留下特定信号可能特性,我们可以据此来追踪收集进攻者的infrastructure。在这方面,最重名昭著的即是Cobalt Gang,这个犯法团伙完全切合TTP三要素即战术Tactics、技能Techniques和进程Procedures,即便其头目本年在西班牙被捕,这个团伙仍旧活泼。 2018年10月,Palo Alto Networks威胁谍报团队Unit 42对Cobalt Gang所举办的粉碎勾当举办了观测,并借助思科Talos 安详团队和Morphisec安详公司宣布的相干陈诉里的最新信息,发明白这个犯法团伙并与其infrastructure相干联。 因此,我们可以或许辨认出行使平凡macro builder的举动,也可以或许辨认出特定的文件元数据,进而实现对与Cobalt Gang相干的勾当以及Infrastructure的追踪和归类。 近期产生的一则有关投递的典范案例 近期有关Cobalt Gang进攻,也就产生在几天前,今朝安详职员正在对这些进攻举办说明,说明功效表现Cobalt Gang的进攻投递方法简朴易用。 通过一连调查,我们发明邮件是动员此类进攻最首要的途径。这类进攻起首将环球几大银行机构的员工设定为进攻工具,并向其发送问题为“Confirmations on October 16, 2018”的邮件。 图一所示的例子,在多个风行的民众在线恶意软件库中都能找到。(SHA256:5765ecb239833e5a4b2441e3a2daf3513356d45e1d5c311baeb31f4d503703e). 收到的邮件样本 邮件附件为PDF文件,没有任何代码或裂痕。它通过交际工程本领奉劝行使者点击链接进而下载恶意宏。这是Cobalt Gang习用的伎俩,Talos也曾在陈诉里专门阐述过。 PDF文件内嵌链接 PDF内容简朴,内嵌链接,点击链接会打开一个Google正当地点,并从头引导赏识器赏识某个恶意文件: 打开赏识器赏识某个恶意文件 为了不被静态说明器材检测到,进攻者将PDF文件做得十分传神:有空缺页,有文本页,这样在说明进程中就会避开报警。并且,假如PDF文件页数很少,或内容很少的话,也会在静态说明中被重点检测。 图四,PDF静态说明 PDF文件中行使的文本 借助这两项技能,这类PDF文件险些可以或许避开所有传统防病毒检测,从而在进攻第一阶段便通过邮件将恶意软件有用投送。 恶意宏下载乐成后,进攻者操作cmstp.exe体系器材运行scriptlet措施,从而辅佐进攻者绕过AppLocker,进入负载投递的下一阶段。此项研究的目标不是对负载举办说明,而是聚焦进攻投递进程中涉及的各方面身分,从而对进攻者动员的动作及其回收的infrastructure举办有用追踪。 但仅凭投递要领就能辨认出进攻者的动作和方针,又是怎样实现的呢?有关这部门内容,提议您参阅Palo Alto Networks Unit 42 研究团队宣布的完备陈诉,陈诉地点:https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/ 结论 Commodity attack 被普及应用在犯法和特定进攻中,很难被收集防护职员和威胁研究职员辨认。Cobalt Gang就是这样的进攻者,它操作这种要领来实验进攻。 我们聚焦于macro builders的特定方面以及进攻者留下的元数据,从而开拓出全新架构来实现对Cobalt Gang进攻勾当和infrastructure的追踪和擒获。 Palo Alto Networks的客户可受到如下掩护: 1. WildFire对进攻勾当中的恶意软件样本举办检测 2. Traps在端点拦截这些进攻 3. PAN-DB URL Filtering包围所有相干恶意域名 4. AutoFocus建设标签以便于追踪Cobalt Gang团伙的犯法勾当 【责任编辑:蓝雨泪 TEL:(010)68476606】点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |