TRITON演员TTP简介,自定义攻击工具,检测和ATT&CK映射

释放双眼,带上耳机,听听看~!

粗翻,链接如下,请点击原文进行观看:

https://www.fireeye.com/blog/threat-research/2019/04/triton-actor-ttp-profile-custom-attack-tools-detections.html

FireEye现在可以确认我们已经发现并且正在响应  TRITON背后的攻击者在另一个关键基础设施中的额外入侵。

2017年12月,FireEye公开发布了我们对TRITON攻击的第一次分析,其中恶意行为者使用TRITON自定义攻击框架来操纵关键基础设施工厂的工业安全系统,并无意中导致进程关闭。在随后的研究中,我们研究了攻击者如何获得构建TRITON攻击框架所需的关键组件的访问权限。在我们最近的分析中,我们将导致TRITON部署的入侵活动归因于莫斯科的俄罗斯政府所有的技术研究机构。


TRITON的入侵笼罩在神秘之中。围绕TRITON框架及其对目标站点的影响进行了一些公开讨论,但很少甚至没有关于与入侵生命周期相关的策略,技术和程序(TTP)的共享信息,或者攻击如何使其深入足以影响工业流程。TRITON框架本身和演员使用的入侵工具由人类构建和部署,所有人都具有可观察的人为策略,偏好以及入侵操作的自定义工具的约定。我们的目标是讨论这些对手方法,并确切地突出开发人员,运营商和其他人员如何在入侵中使用自定义工具。


在本报告中,我们继续研究演员的运营,特别关注威胁行为者在目标攻击生命周期的早期阶段所选择的自定义信息技术(IT)工具和策略(图1)。本报告中的信息源自FireEye Mandiant执行的多个与TRITON相关的事件响应。


使用本文中描述的方法,FireEye Mandiant事件响应者在第二个关键基础设施设施中发现了来自此威胁行为者的其他入侵活动 – 包括新的自定义工具集。因此,我们强烈鼓励工业控制系统(ICS)资产所有者利用此帖中包含的指标,TTP和检测来改进其防御并寻找其网络中的相关活动。


有关IT和运营技术(OT)事件响应支持,请联系FireEye Mandiant有关TRITON和其他网络威胁的更深入分析,请考虑订阅FireEye Cyber Threat Intelligence


FireEye的SmartVision技术通过监控IT和OT网络中的东西向流量,在横向移动活动期间搜索攻击者,降低了攻击到达敏感ICS进程的风险。这与复杂的ICS相关入侵特别相关,因为攻击者通常通过两种环境都可访问的系统从公司IT迁移到OT网络,远远超出了外围防御。


内容

  • 工具和TTP

  • 在IT和OT上寻找以ICS为重点的威胁参与者

  • 方法和发现策略

  • 附录A:发现规则

  • 附录B:自定义攻击工具的技术分析

  • 附录C:MITRE ATT和CK JSON原始数据

  • 妥协的指标

图1:FireEye针对性的攻击生命周期

演员利用各种自定义和商品入侵工具

在整个目标攻击生命周期中,该角色利用数十种自定义和商品入侵工具来获取和维护对目标IT和OT网络的访问。FireEye Mandiant恢复的一系列自定义工具将在本文后面的表1中列出,并且在本文末尾的表2中列出了哈希值。附录A,附录B和附录C中提供了这些工具的发现规则和技术分析,以及MITRE ATT和CK JSON原始数据。


图2:选择actor使用的自定义工具

演员的自定义工具经常反映商品工具的功能,似乎是专注于反病毒逃避而开发的。该小组经常利用自定义工具,因为他们似乎在反病毒检测方面遇到困难,或者处于入侵的关键阶段(例如,他们在获得对工程工作站的访问权之前就切换到IT和OT DMZ中的自定义后门)。在某些情况下,演员利用自定义和商品工具来实现相同的功能。例如,他们使用Mimikatz(公共)和SecHack(自定义)进行凭证收集; 两种工具都提供了非常相似的输出(图2)。


图3:Mimikatz(左)和SecHack(右)的默认输出

工具和TTP表明了对确保长期和持续进入目标环境的浓厚兴趣

复杂的ICS攻击的目标攻击生命周期通常以年为单位来衡量。攻击者需要很长时间来准备这样的攻击,以便了解目标的工业流程并构建自定义工具。这些攻击通常也是由可能有兴趣准备应急行动而不是立即进行攻击的民族国家进行的(例如,安装像TRITON这样的恶意软件并等待合适的时间来使用它)。在此期间,攻击者必须确保持续访问目标环境,否则可能会失去多年的努力和可能昂贵的自定义ICS恶意软件。这次袭击也不例外。在进入安全仪表系统(SIS)工程工作站之前,演员在目标网络中存在了将近一年。在整个那段时间里,

在企业网络上建立初步立足点之后,TRITON演员将大部分精力集中在获得对OT网络的访问上。他们没有展示通常与间谍相关的活动,例如使用键盘记录器和截图抓取器,浏览文件和/或泄露大量信息。他们使用的大多数攻击工具都专注于网络侦察,横向移动以及维持目标环境中的存在。

演员使用多种技术隐藏他们的活动,掩盖他们的踪迹,并阻止他们的工具和活动的法医检查。

  • 他们将文件重命名为使其看起来像合法文件,例如KB77846376.exe,以Microsoft更新文件命名。

  • 他们经常使用模仿合法管理员活动的标准工具。这包括大量使用RDP和PsExec / WinRM。

  • 在Outlook Exchange服务器上植入webshell时,他们修改了现有的合法flogon.js和logoff.aspx文件。

  • 他们依靠加密的基于SSH的隧道来传输工具和远程命令/程序执行。

  • 他们使用了多个暂存文件夹,并选择使用合法用户或进程不常使用的目录。

  • 他们经常删除掉落的攻击工具,执行日志,分段进行渗透的文件,以及其他文件完成后。

  • 他们在暂存文件夹中重命名了他们工具的文件名,这样即使在通过剩余工件(例如,ShimCache条目或WMI最近使用的应用程序)从磁盘中删除它之后,也无法识别恶意软件的用途。

  • 他们使用timestomping来修改攻击工具的$ STANDARD_INFORMATION属性。

一旦演员获得了对目标SIS控制器的访问权限,他们似乎只关注在尝试成功部署TRITON时保持访问。这涉及从战略上限制其活动以减少被发现的风险。

  • 该演员在分布式控制系统(DCS)上获得了立足点,但没有利用该访问来了解工厂操作,泄露敏感信息,篡改DCS控制器或操纵过程。

  • 然后他们获得了访问SIS工程工作站的权限。从现在开始,他们将大部分精力集中在使用TRITON攻击框架提供和改进后门有效载荷上。

  • 他们试图通过在非工作时间与目标控制器交互来降低在高风险活动中被观察的机会。这将确保现场更少的工人对由控制器操纵引起的潜在警报作出反应。

  • 他们重命名了他们的文件,使它们看起来像合法的文件,例如trilog.exe,以合法的Schneider Electric应用程序命名。

自2014年至今开始运营

基于对演员的自定义入侵工具的分析,该团队自2014年以来一直在运营。值得注意的是FireEye从未遇到任何演员的自定义工具,尽管其中许多可以追溯到几年前最初的妥协。这个事实和演员表现出对运营安全性的兴趣表明,可能还有其他目标环境 – 除了在这篇博客文章中宣布的第二次入侵 – 演员曾经或仍然存在。

  • 在调查期间恢复了用于建立初始立足点的基于Cryptcat的后门样本; 该样本在2014年由演员编译并上传到恶意软件测试环境。

  • 基于Cryptcat和PLINK的后门计划于2014年4月28日开始每天执行,使用ProgramDataUpdater和NetworkAccessProtectionUpdateDB任务。此日期与观察到的入侵时间轴无关,可能表示威胁参与者首次创建这些持久性机制的日期。

  • NetExec.exe是一个自定义横向移动和远程命令执行工具,自称为“OSA的NetExec 2014”。

  • SecHack.exe“by OSA”是一种自定义凭证收集和侦察工具,于2014年10月23日编译完成。

  • 攻击者使用盗版的Wii.exe,这是一种公共文件索引工具,自2010年起获得许可,自2014年以来一直未更新。

ICS资产所有者应优先考虑IT和OT中的Windows系统的检测和防御

大多数复杂的ICS攻击利用Windows,Linux和其他传统的“IT”系统(位于IT或OT网络中)作为最终目标的渠道。一些示例包括利用计算机访问目标PLC(例如,Stuxnet),直接与连接互联网的人机界面(HMI)(例如,BlackEnergy)交互,并获得对工程站的远程访问以操纵远程终端单元( RTU)(例如,INDUSTROYER)或感染SIS可编程逻辑控制器(PLC)(例如,TRITON)。

专注于阻止这些“管道”系统中的攻击者的维护者受益于许多关键优势。这些优势只会随着IT和OT系统的不断融合而增长。

  • 攻击者通常会在大多数(如果不是全部)攻击生命周期中在IT系统中留下广泛的空间。

  • 尽可能在攻击生命周期的早期阻止攻击者(也就是“繁荣时期”)。一旦攻击者到达目标ICS,负面结果的可能性及其对目标的严重程度将急剧增加。

  • 有许多成熟的安全工具,服务和其他已有的功能可用于在“管道”系统中进行防御和搜索。

利用已知工具和TTP寻找TRITON演员

与此演员相关的历史活动展示了自定义工具的强大开发能力。这些工具集背后的开发人员严重依赖现有的软件框架并对其进行修改以最好地服务于入侵操作。开发人员具有关于端口,协议,持久性机制以及恶意软件如何操作的其他方面的偏好。

虽然支持此活动的开发团队的偏好可能会随着时间的推移而发生变化,但了解它们对于确定其TTP是否适用于其他恶意软件开发人员和威胁参与者仍然很有用。此外,演员可能在其他目标网络上获得了立足点 – 超出了本文中讨论的两个入侵 – 使用类似的策略。在这种情况下,追溯性狩猎将有助于维护者识别和修复恶意活动。

基于对开发者偏好和抽象对手方法的检查,可以使用各种保真度和威胁密度的检测和搜索规则来建立更广泛的TTP可见性。这些规则的编制使得识别和分类潜在的恶意样本成为可能,同时建立新的“草垛”以寻找对手的活动。

我们从这个演员的活动中提取的TTP不一定是排他性的,在每种情况下也不一定是恶意的。但是,FireEye构建的TTP配置文件可用于搜索网络和端点活动子集中的恶意模式。这些TTP不仅可用于发现入侵的证据,而且识别与行动者偏爱的技术有很强重叠的活动可以导致对行动者协会的更强评估,进一步加强事件响应工作。

下表提供了有关使用自定义工具的显着方法的见解以及用于识别此活动和相关活动的证据的提示。对手方法也用MITRE ATT和CK框架表示(参见MITER ATT和CK JSON原始数据的附录C)。

对手方法论

发现技巧

按XML计划的计划任务持久性

ATT&CK:T1053

查找引用未签名的.exe文件的新的和异常的Scheduled Tasks XML触发器

通过IFEO注射持久存在

ATT&CK:T1183

在注册表项HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options下查找引用.exe文件的修改和新条目。

使用硬编码的DNS服务器建立命令和控制(C2)

查找运行DNS查找到8.8.8.8:53的PE执行。这可能适用于沙箱和其他恶意软件处理技术。

C2使用受欢迎的C2ports

ATT&CK:T1043

ATT&CK:T1065

在常见和非常见端口(例如443,4444,8531和50501)上查找具有端口协议不匹配的出站连接。

C2使用青睐的虚拟专用服务器(VPS)基础设施

ATT&CK:T1329

查找与非标准IP范围的入站和出站连接,尤其是来自OVH和UK-2 Limited(uk2.net)等国际VPS提供商。

带有连字符的C2域

查找包含连字符的新观察到的2LD和3LD域名。

使用来自fear.org的动态DNS域的C&C

ATT&CK:T1311

寻找拥有或注册了fear.org的新观察到的动态DNS域名。

使用vfemail.net电子邮件地址注册的C2域名

使用包含vfemail.net的注册人电子邮件信息查找域中新观察到的域或DNS解析

使用PLINK隧道化RDP

ATT&CK:T1076

寻找PLINK与事件日志,防火墙日志,并作为在FireEye的博客文章中描述的注册表项非标RDP使用情况的存在“ 绕过网络限制通过RDP隧道。 ”

通过查找不应通过RDP访问敏感系统的用户帐户下的位图缓存文件来查找内部RDP透视。查找默认,服务或管理员帐户下的bcache22.bmc等位图缓存文件,或任何不希望对受保护的OT连接区域中的敏感系统进行内部RDP访问的帐户,尤其是在DMZ或DCS区域(如HMI)或工程工作站。

C2使用硬编码的SSH私钥

查找具有硬编码OpenSSH私钥的PE。

使用直接RDP

ATT&CK:T1076

查找具有默认主机信息,非标准或意外的区域设置ID或其他元数据的入站RDP连接。另请参阅有关基线RDP活动的FireEye博客文章

C2使用具有默认Windows主机名的源系统

在PE证书,SSL和SSH证书以及RDP握手中查找适合WIN- [A-Z0-9] {11}(例如,WIN-ABCDEFGH1JK)结构的默认Windows主机名。

C2使用SSH

寻找新的,独特的或不寻常的SSH会话。记录SSH密钥和指纹可以快速轻松地识别恶意软件导致的异常会话。通过非标准端口查找SSH。

受损的VPN帐户

ATT&CK:T1078

根据不可行的模式(如源帐户位置,IP地址和主机名关联)查找VPN登录异常。查看FireEye博客文章和免费的VPN登录分析工具集GeoLogonalyzer

如果您使用基于SMS的MFA,请查找在您的员工所在国家/地区以外注册的电话号码。

恶意软件伪装成Microsoft Corporation

查找PE元数据不匹配的PE,例如包含“Bitvise”字符串以及元数据中的“Microsoft Corporation”。在组的公共登台目录中查找未签名的“Microsoft Corporation”二进制文件。

使用自定义的Bitvise二进制文件

查找具有Bitvise PDB路径字符串的PE,例如d:\ repos \ main \ ssh2 \。

使用自定义的OpenSSH二进制文件

寻找内容为“Microsoft openSSH客户端”的PE。

使用自定义Cryptcat但使用默认密码

查找丢弃Cryptcat二进制文件或包含Cryptcat字符串内容的PE,例如默认密码“metallica”。

通过PowerShell进行时间计算

ATT&CK:T1099

在PowerShell脚本或PowerShell命令行条目中查找时间戳命令字符串,例如“.CreationTime =”。在PE编译时间之前查找具有NTFS创建时间的PE。

使用Visual Studio 2010从开发人员工作站部署带有调试信息的二进制文件

查找包含默认路径或通用路径的PDB路径的PE

  • \ Users \ user \ Documents \ Visual Studio 2010 \

  • \ Documents \ Visual Studio 2010 \。

使用Thinstall打包恶意软件

查找内容为“thinstall \ modules \ boot_loader.pdb”的PE。查找在SYSTEM用户“C:\ Windows \ SysWOW64 \ config \ systemprofile \ AppData \ Roaming \ Thinstall \”上下文中创建虚拟化文件的Thinstall二进制文件。

使用favored目录来操作,暂存和执行文件

在以下目录中查找新的,意外的或其他异常的二进制文件:

  • C:\ WINDOWS \ SYSTEM32 \ INETSRV \

  • C:\ WINDOWS \ TEMP \

  • C:\ WINDOWS \ Syswow64资料\ WBEM

  • C:\ WINDOWS \ Syswow64资料\ DRIVERS

  • C:\ WINDOWS \ SysWOW64中

  • C:\ WINDOWS \ SYSTEM32 \ WBEM \

  • C:\ WINDOWS \ SYSTEM32 \ DRIVERS \

  • C:\ WINDOWS \ SYSTEM32 \

  • C:\ WINDOWS \

  • C:\用户\公用\库\

  • C:\用户\管理员\应用程序数据\本地\ TEMP \

  • C:\ SSH \

  • C:\ Perflogs中\ ADMIN \ ServerManager的\ SSH \

  • C:\ Perflogs中\ ADMIN \ ServerManager的\

  • C:\ Perflogs中\ ADMIN \

  • C:\ Perflogs中\

  • C:\ cpqsystem \

  • C:\ HP \ hpdiags \

  • C:\ HP \ BIN \日志\

表1:TRITON行为者方法和发现策略

外表

安全社区通常会特别关注ICS恶意软件,这主要归功于它的新颖性以及在野外发现的例子非常少的事实。虽然这种注意力有多种原因,但我们认为,当试图识别或阻止以ICS为中心的入侵时,维护者和事件响应者应该更多地关注所谓的“管道”系统。

为了提高社区对2014年至2017年间这个行为者的能力和活动的认识 – 我们在第二个关键基础设施设施中发现了威胁行为者,这一努力更为重要 – 我们分享了我们对该集团TTP的了解。和自定义工具。我们鼓励ICS资产所有者利用本报告中包含的检测规则和其他信息来寻找相关活动,因为我们认为威胁参与者很可能在其他目标网络中存在或存在。

有关IT和OT事件响应支持,请联系FireEye Mandiant有关TRITON和其他网络威胁的更深入分析,请考虑订阅FireEye Cyber Threat Intelligence

FireEye的SmartVision技术通过监控IT和OT网络中的东西向流量,在横向移动活动期间搜索攻击者,降低了攻击到达敏感ICS进程的风险。这与复杂的ICS相关入侵特别相关,因为攻击者通常通过两种环境都可访问的系统从公司IT迁移到OT网络,远远超出了外围防御。

附录

  • 附录A:发现规则

  • 附录B:自定义攻击工具的技术分析

  • 附录C:MITRE ATT和CK JSON原始数据

妥协的指标

文件名

哈希

KB77846376.exe

MD5:47f9cc543905a69a423f9110ae7deffb

SHA256:87648aad45d9142d1d825d728b7aa098f92aea38698209d038ba58b7385f8df6

KB77846376.exe.x64

MD5:ee477fdee8b6ad4fe778a6fa4058f9aa

SHA256:2141b526a81bb87b964880e69933aad3932131ccccee5949d2a16c1e124ccdbb

Netexec.exe

MD5:aca94bb7bdfb735f267f083e28f4db37

SHA256:c55e63f8a3b328c3ba77cebf821bdc5243b15a0298057e75f7605d0922c8d7cd

runsvc.exe

MD5:1904cad4927541e47d453becbd934bf0

SHA256:70efbd074326e7bbd4e851ded5c362fe5fe06282ed4bbb4b9f761f1b12ee32f7

svchostpla.exe

MD5:121772100e46dde2d6317b08c7a59e13

SHA256:910b26c942c0cff8b1f5a57e1521801bfd54c8cbcfd23d3d11ea9fe27ca4a0e9

compattelprerunner.exe

MD5:35f443608fc4eeb78f9347a9dfc5aea1

SHA256:1330594c2685fe6fc2c87439ef151dfacabc78402379a73be39953048b144960

compattelprerunner.exe

MD5:10fd713eb3bc6a8f7abd7030104d0ce7

SHA256:6ab948ec61f1f7e04119da85d5263d428a1de070edad3a4e796bada2ab05cea7

compattelprerunner.exe

MD5:648223034bda28c415a8deeb74dcb3ef

SHA256:4c2383c8650112e00cb8b52d0faac7b98207073db081dbdcbb278f0470b869a1

ProgramDataUpdater.xml

MD5:c744006ebaaf25cd7fad0ebba56e4f84

SHA256:6d2d9623762f822949eef80b02f4ba2d26227eb23ad5b8d1a0a3d6da3bc60d6c

napupdatedb.exe

MD5:ba51f25db03a66c658d1fd4396f32843

SHA256:0fc391cdef0705f032109e16f8f591e1e6f8ffccbc46f4eb4a8fa058047c0adc

alg.exe

MD5:af5b9c9e4c6bfc6cb7fa5e4b04da8dc8

SHA256:970fab66733ba594b435cf345c72814ee5f8443c44d28ef251f768ad66a6c052

的userinit.exe

MD5:2d11be6755b80cfca5c2f5138881ff25

SHA256:fc5b4c61f66beb58a62636ab7c198e6ab7f38ce201f098f2818a5699b8aa1138

CSRSS.EXE

MD5:de2e1d59c81a2798a239baaa1edc0dd8

SHA256:1848d26e47ee4937ef02e67a447b4054d66f4d659f1fbd8bda1482dc4f02c7c4

tquery.dll

MD5:31cd0738ec2e40ff086dfd84ac2510fb

SHA256:98da0ce88de897e1b08733ac771edab5e5b2a2dda8aab0e73c1d41bade275ff6

txflog.dll

MD5:8db693f75a0cfe043a5810f799654cf9

SHA256:f0dcbc83d911c382da7ba06a027bdd5861d1a9b723ebe5d9d6f6b79d7b70f29d

cryptopp.dll

MD5:9a7234078559093e06c9d32148ed95a3

SHA256:32f5d0a454c26e8aa6f4cad58f3782337cc97cfe2305bbfe564437e5f0d51bbc

默认

MD5:30a9ee20052fcc34dee6b09f9210d4ed

SHA256:f7bdddbeae239305ccca3b7eb1019b713bd0f7f060976494e810917a1e6ad5ee

DEFAULT.BAK

MD5:519098f3970d57b8429a9f6baeaf0f8c

SHA256:1f1902e4482527824ef2c0c2039162db85e5a671caf0767a695116b03cfc866d

spl32.exe

MD5:62831f960fe764f090d1201033202438

SHA256:1d359163b6bd882ae4c26854d69745136a23f3abb7c96341f6d17e18a546a5fd

WinSAT.exe

MD5:685776e0020ad9bfc4e2f4f7c7a9c623

SHA256:3b6fd091b956b17476990c6ca77dd8f77d203d3170745d1b7c7894bfcf629b86

CSRSS.EXE

MD5:d05702c4c3924b08bac5079add4e2347

SHA256:720ef3d5b5416974376ca4ea8bd536e9eeb608f89e3b5b264e197266be8a9f4e

clusapi.dll

MD5:f985fd0d36ab79bfccfaed6d64c5fc23

SHA256:084c21e75fbfa5056fec913c237ce7fba314f88fbd687e8dcb1e777003f79b0e

PolicMan.dll

MD5:6fbeb6a9f990402bf6f056c892fefcc6

SHA256:9224c2b00e94e5c57d63820aebe613843b5c851a027488148308fac2d02206f0

verifier2.dll

MD5:6f8b33cb1d101c6bf0e9aeaf29b7e72d

SHA256:7633b4178611e28aedfa365a0de8ebe5f41ae8eeee71322f04d0e30e50ba2914

misc.mof

MD5:5efbd51044fb90c6231438c51d83037f

SHA256:7bcca38e43f3b37b1acea05899a7c11dfb62de64531bd48af992d5e400a1755f

logoff.aspx

MD5:915efc70a812c1cb35b29ba0ecb7c48d

SHA256:0da4c0b83fa1ad4af9aad6c42feecc6c21c3fd0e660b9e5b3857ddeae3473d54

flogon.js

MD5:0f144e79ea8d8b66fa973e0568415501

SHA256:f81aa77d23ca6662efb3e6e33538a60e39abb5ca66102e07ffa318a6d6cd78ec 

表2:妥协指标

感谢您的关注和转发

右下角

朕已阅

本文源自微信公众号:黑鸟

人已赞赏
安全工具

今日星球精选:利用中巴友好关系进行钓鱼攻击/fin7/NSO

2019-10-16 10:36:00

安全工具

台湾省将于11月与美国在内十多个国家举行大规模网络攻防演练"风暴"

2019-10-16 10:36:19

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索