Hancitor’s Use of Cobalt Strike and a Noisy Network Ping Tool
执行摘要
Hancitor是一种信息窃取程序和恶意软件下载程序,被指定为MAN1,Moskalvzapoe或TA511的威胁参与者使用。在2018年的威胁简介中,我们指出Hancitor相对不成熟,但在未来数年中仍将是威胁。大约三年后,Hancitor仍然是一种威胁,并且已经演变为使用Cobalt Strike之类的工具。最近几个月,该参与者开始使用网络ping工具来帮助枚举受感染主机的Active Directory(AD)环境。该博客说明了Hancitor背后的威胁参与者如何使用网络ping工具,以便安全专业人员可以更好地识别和阻止其使用。
早在2020年10月,Hancitor就开始利用Cobalt Strike,其中一些感染利用网络ping工具来枚举受感染主机的内部网络。正常ping活动很少,甚至在局域网(LAN)中不存在,但此ping工具会ping超过1700万个内部不可路由的IPv4地址的IP地址,因此生成大约1.5 GB的Internet控制消息协议(ICMP)流量空间。
要了解如何使用此ping工具,我们必须首先了解当前Hancitor活动的事件链。该博客回顾了AD环境中最近的Hancitor感染的示例。该博客还包含截至2021年2月该威胁参与者指出的相对较新的指标,并提供了2020年12月和2021年1月看到的五个相关网络ping工具的示例。
通过威胁防护安全订阅,Palo Alto Networks下一代防火墙客户可以免受此威胁的威胁。
Palo Alto Networks与我们的网络威胁联盟其他成员共享了我们的发现,包括本报告中描述的文件样本和危害指标。CTA成员使用此情报可快速向其客户部署保护,并系统地破坏恶意网络参与者。
最近的汉切斯特氏菌感染的事件链
自2020年11月5日以来,推动《汉切斯特》的演员表现出一致的感染活动模式。有关事件链的流程图,请参见图1。
图1Hancitor感染链的事件
最近的汉切斯特氏菌感染的事件链是:
带有链接的电子邮件,该链接指向托管在Google云端硬盘上的恶意页面。
从Google云端硬盘页面链接到返回恶意Word文档的URL。
启用宏(按照Word文档文本中的说明进行操作)。
Hancitor DLL被删除并使用rundll32.exe运行。
Hancitor生成命令和控制(C2)通信。
Hancitor C2最常导致Ficker Stealer恶意软件。
Hancitor C2导致AD环境中发生钴击活动。
与Hancitor相关的Cobalt Strike活动可以发送其他文件,例如网络ping工具或基于NetSupport Manager远程访问工具(RAT)的恶意软件。
在极少数情况下,我们还看到了使用Send-Safe spambot恶意软件对Hancitor进行感染的后续活动,该恶意软件将受感染的主机转变为垃圾邮件机器人,从而推动了更多基于Hancitor的恶意垃圾邮件。
休假三个月后,汉西托(Hancitor)活动于2020年10月20日恢复。到2020年11月5日,这一战役已纳入上述事件的感染链。
第一阶段:分发恶意Word文档
Hancitor过去曾发送过电子邮件,欺骗各种类型的组织,这些组织发送通知,传真或发票。早在2017年10月就已经报道了欺骗DocSign的电子邮件,但是Hancitor背后的组织从2019年10月开始更频繁地使用DocuSign模板。目前,电子邮件推Hancitor的大部分波浪已经使用了的DocuSign主题,Hancitor malspam看起来平均波像这样一个报道,2021年1月12日。
DocuSign欺骗的电子邮件不是新邮件,也不限于Hancitor。DocuSign非常了解此活动。该公司提供有关此问题的指导,并提供举报欺骗其品牌的恶意消息的渠道。
这些以DocuSign为主题的消息具有指向通过欺诈或可能受到破坏的Google帐户建立的恶意Google云端硬盘页面的链接。威胁参与者经常滥用基于云的协作服务(例如Microsoft的OneDrive和Google Drive)来分发恶意软件。
推动Hancitor的电子邮件中的Google Drive链接以https://docs.google.com/document/d/e/2PACX-开头,以/ pub结尾。还注意到此URL模式推动了其他恶意软件家族。
为了更好地了解这些URL,表1中显示了2021年2月8日的Hancitor电子邮件浪潮中的示例,如下表1所示。Google已收到这些链接的通知,并且已将其离线。
hxxps://docs.google [。] com / document / d / e / 2PACX-1vTetOTfCnHAXiwwNOrfJjR8lPTgu3dVzKEVWld1-HNkRCpwTqpqD4PnGuTjRjI_kxIxR8_azAcQS1US / pub hxxps://docs.google [。] com / document / d / e / 2PACX-1vQeUQCdriz9ZT5dR7Byyfi4r-Y6FsHucjRbzvYLtWNmDGKfcqKyp9l4-EAFFYXHxbAWrAR-CI25e8cZ / pub hxxps://docs.google [。] com / document / d / e / 2PACX-1vSPBGA3_D8dfupT021GG4VGB9a06Nm3viKAia4F2XWrjT7mhPyB0L1rKruj7DsB86Z38-EaxidoXIr8 / pub hxxps://docs.google [。] com / document / d / e / 2PACX-1vShVIbeSUL9R_h5qZXdp_2SBm-uFVKFJcwpC4_0T2r436SQr7IPyy2cB6kHqiLC6TNsQQQiwUS_kmdY / pub hxxps://docs.google [。] com / document / d / e / 2PACX-1vQc8XwAxOetaoxILZsGLJgCCF2I39s_vgDHTpTDy4v9Nmh8nlZNhbCjqa8u01xY2ckettVxUsrjlSLf / pub hxxps://docs.google [。] com / document / d / e / 2PACX-1vTC5fAO7oEHK0vOKF93EqsLSkV0kiR4ppTG1tqAPXb4sXjYzYhVBOwlG-9F-6kxbhNeC8C9LRs5YsQD / pub hxxps://docs.google [。] com / document / d / e / 2PACX-1vTxPV1p44-UfCkOfGWWMP3RZk-5LCvmqlOW78f1oiU4TOLOibyGjHUKkWNDLjCnMae4-0vBNwMZ8oKv / pub
表1.到2021年2月8日,来自以DocuSign为主题的电子邮件中的七个Google Drive恶意链接示例,这些链接推动了Hancitor。
图2显示了电子邮件中的最新示例。
推动Hancitor的电子邮件中的Google Drive链接以https://docs.google.com/document/d/e/2PACX-开头,以/ pub结尾。 请参阅此处的示例。
图2.从2021年2月2日开始,伪造的DocuSign电子邮件推送Hancitor的示例。
值得注意的是,任何以https://docs.google.com/document/d/e/2PACX-开头并以/ pub结尾的Google云端硬盘URL本身并不是恶意的。但是,在未经请求的电子邮件中发现它们时绝对是可疑的。
这些Google云端硬盘URL会显示一个网页,其中包含用于下载Word文档的链接。图3显示了使用Google云端硬盘的这些恶意页面的示例。
这个恶意的Google Drive URL显示了一个网页,其中包含下载Word文档的链接。
图3. 2021年2月2日假DocuSign电子邮件中的Google Drive链接,显示在网络浏览器中。
这些页面使用Google的各种参数链接到恶意URL,包括实际的目标URL。在上面的图3中,从2021年2月2日从伪造的DocuSign电子邮件获得的Google云端硬盘页面的链接以https://www.google.com/开头的内容很纯净。但是,单击链接后,Web浏览器将加载hxxp:// ajlbulicidate [.] pt / squriming.php,它实际上是一个恶意URL。图4显示了从ajlbulicidate [.] pt开始加载的页面。
单击伪造的DocuSign电子邮件中的链接后,Web浏览器将加载恶意URL,如下所示。
图4.单击Google云端硬盘页面上的链接后立即使用Web浏览器。
来自ajlbulicidate [.] pt的页面包含一个脚本,该脚本带有base64文本,用于创建恶意Word文档。该脚本使浏览器提供恶意的Word文档供下载,然后重定向到DocuSign页面,如图5和6所示。
图4所示的页面包含一个带有base64文本的脚本,用于创建恶意Word文档。 此脚本使浏览器提供要下载的恶意Word文档,然后重定向到DocuSign页面,如此处和图6所示。
图5. Base64文本表示来自ajlbulicidate [.] pt托管的网页中脚本中的恶意Word文档。
黑色箭头指示要由Web浏览器保存的Word文档的名称,以及Web浏览器重定向到DocuSign URL的位置。
图6.脚本提供了保存恶意Word文档,然后重定向到DocuSign URL的功能。
在提供要下载的Word文档并重定向到DocuSign URL之前,短暂出现hxxp:// ajlbulicidate [.] pt / squriming.php上的页面。潜在的受害者可能只注意到DocuSign页面和Word文档。有关示例,请参见图7。此技术可能会使潜在的受害者相信Word文档是DocuSign发送的合法文件。
带有恶意URL的页面仅在重定向到DocuSign URL之前短暂出现。 该技术可能使潜在的受害者相信攻击者发送的恶意Word文档是DocuSign发送的合法文件。
图7.单击图3中的恶意Google Drive页面中的链接几秒钟后,Web浏览器。
来自这些以DocuSign为主题的消息的Word文档使用下面的图8中所示的模板。
源自以DocuSign为主题的垃圾邮件的Word文档可以包含Hancitor的宏,该恶意电子邮件会指示用户使用此处显示的消息来启用该宏。
图8.基于DocuSign主题的垃圾邮件,带有针对Hancitor的宏的Malicious Word文档。
DocuSign不是唯一用来推动Hancitor的主题和模板。例如,2021年2月9日,使用其他电子邮件和文档模板的垃圾邮件推送了Hancitor恶意软件。除了不同的模板外,感染过程保持不变。
附录A列出了2020年11月5日至2021年2月的127个Word文档SHA256哈希示例以及带有Hancitor宏的宏。
第二阶段:Hancitor感染受害者
为这些恶意Word文档启用宏后,宏代码将删除并为Hancitor运行恶意DLL文件。DLL文件包含在宏代码中。如表2所示,在2021年1月和2月,这些Hancitor DLL被保存到两个位置之一。
C:\ Users \ [用户名] \ AppData \ Roaming \ Microsoft \ Templates \ W0rd.dll C:\ Users \ [用户名] \ AppData \ Roaming \ Microsoft \ Templates \ Static.dll C:\ Users \ [用户名] \ AppData \ Roaming \ Microsoft \ Word \ STARTUP \ W0rd.dll
表2. Hancitor DLL文件的位置。
图9显示了2021年2月2日来自被感染主机的Hancitor DLL文件之一。
这显示了2021年2月2日在受感染主机中发现的Hancitor DLL文件之一。
图9. 2021年2月2日,来自受感染Windows主机的Hancitor DLL。
这些Hancitor DLL文件是通过rundll32.exe运行的。Process Hacker揭示了一个2021年2月2日的示例,如图10所示。
这些Hancitor DLL文件是通过rundll32.exe运行的。 这里显示的是2021年2月2日的示例。
图10. Process Hacker中显示的Hancitor DLL的过程。
由Hancitor引起的网络流量首先由受感染的Windows主机检查IP地址开始。此IP地址检查将通过api.ipify.org转到合法服务。IP检查之后立即是C2流量,如图11所示的Wireshark列中所示。
由Hancitor引起的网络流量首先由受感染的Windows主机检查IP地址,然后是C2流量,如该Wireshark列显示中所示。
图11. Wireshark列显示,显示IP地址检查和Hancitor C2 URL。
从2020年11月到2021年2月,Hancitor C2流量由以/8/forum.php结尾的HTTP POST请求组成。发布的数据包括受感染Windows主机的公共IP地址,主机名和用户帐户名。如果受感染的主机是AD环境的一部分,则发布的数据还包括Windows的版本和域信息。最后,发布的数据还包含受感染主机的全局唯一标识符(GUID)和Hancitor恶意软件样本的内部版本号。有关最新的Hancitor C2流量的示例,请参见下面的图12。
此TCP流来自最近的Hancitor C2通信量示例。
图12.来自Hancitor C2流量示例的TCP流。
附录B列出了从2020年11月5日到2021年2月25日的Hancitor DLL文件样本的63个SHA256哈希值。
第三阶段:Hancitor检索后续恶意软件
在Hancitor建立C2流量后,它将检索后续恶意软件。每天,Hancitor的后续恶意软件项目都托管在同一域中。例如,2021年2月2日,在bobcvatofredding [.] com上托管了针对Hancitor的后续恶意软件。表3显示了Hancitor用于跟踪恶意软件的URL的一些最新示例。
此图.从最近的Hancitor感染中发现的后续恶意软件的URL示例。
Hancitor仅在感染AD环境中的主机时才会发送Cobalt Strike。如果计算机是像家用计算机这样的独立主机,它将不会发送Cobalt Strike。Hancitor通常会向其感染的任何主机发送Ficker Stealer。
感染后流量是从Hancitor感染中识别后续恶意软件的最简单方法。Ficker Stealer造成的流量与Cobalt Strike产生的流量不同。图13显示了2021年2月2日来自感染的流量,并突出显示了与Ficker Stealer相关的项目。
图13.来自Hancitor感染的流量,突出显示了与Ficker Stealer相关的项目。
附录D包含有关2020年10月至2021年3月与Hancitor相关的Ficker Stealer恶意软件样本的信息。
下面的图14显示了相同的流量,但突出显示了与 Cobalt Strike有关的项目。
感染后流量是从Hancitor感染中识别后续恶意软件的最简单方法。 Ficker Stealer造成的流量与Cobalt Strike产生的流量不同。 与钴击有关的项目用红色箭头指示。
图14.来自Hancitor感染的相同流量,突出显示了与Cobalt Strike相关的项目。
Ficker Stealer和Cobalt Strike不会将任何工件保留在受感染主机上的磁盘上。Ficker Stealer是一种“粉碎和抢夺”式的恶意软件,旨在泄漏数据,并且不会保留在受感染的主机上。Cobalt Strike驻留在系统内存中,并且在我们的测试环境中重启后无法幸存。
最后阶段:Cobalt Strike打击发送恶意软件
Hancitor背后的威胁参与者使用Cobalt Strike发送后续恶意软件。2021年2月2日的Hancitor感染表明,在Cobalt Strike活动开始后发送了NetSupport Manager RAT。
启动Cobalt Strike后,出现在感染Hancitor的主机上的另一个文件是用于网络ping工具的Windows EXE文件。
该EXE文件最早于2020年12月15日开始出现,并且我们注意到至少在2021年1月25日之前存在各种文件哈希。网络ping工具始终与Hancitor Word文档保存在同一目录中。
图15显示了将Hancitor Word文档保存到受感染用户的Documents文件夹后,于2021年1月13日看到的工具示例。
这显示了在2021年1月13日将Hancitor Word文档保存到受感染用户的Documents文件夹后看到的工具的示例。
图15. 2021年1月13日用钴矿罢工引起的汉西多氏感染的网络ping工具示例。
如图15所示,EXE文件名为xx.exe。1月20日一周后,该工具的一个新示例名为netpingall.exe,如图16所示。
一周后的1月20日,该工具的一个新示例名为netpingall.exe,如下所示。
图16. 2021年1月20日来自带有钴矿打击的Hancitor的网络ping工具示例。
从2021年1月20日开始的感染时间戳显示以下内容:
0120_203089882.doc –带有Hancitor宏的Word文档– UTC 16:27 netpingall.exe –在钴击之后看到的网络ping工具-UTC 17:19 result.txt –网络ping工具扫描的结果– UTC 18:18
在将用于Hancitor的Word文档保存到磁盘后大约52分钟,出现了用于网络ping工具的EXE。网络ping工具出现后大约59分钟,扫描结果被保存到名为result.txt的文本文件中。
此ping工具旨在查找AD环境中的所有其他活动主机。该工具可ping通超过1700万个内部不可路由的IPv4地址空间的IP地址,从而在网络上生成约1.5 GB的ICMP ping通信。
通常,在AD环境中几乎不存在对内部不可路由的IPv4地址执行ping通信的情况。内部IP地址空间内的ping通信应仅限于LAN。例如,用于172.16.1.0/24的LAN环境由主机可能在此网络中ping的254个内部IP地址组成。通常,我们不会看到对这254个IP地址之外的其他不可路由的IPv4空间执行ping操作。
我们在各种大小的LAN环境中测试了此ping工具的示例,并且该工具始终生成1.5 GB的ICMP ping通信,以传输到超过1700万个不可路由的IPv4地址。
这是非常嘈杂的流量。此外,Hancitor已证明在部署和使用此ping工具方面明显缺乏隐身性。这样的异常EXE文件很容易注意到,特别是当其扫描结果另存为文本文件在同一目录中时。
对于涉及此ping工具的Hancitor感染,在将结果保存到result.txt之后,从未删除关联的文件,因此任何法医调查都会迅速找到此工具。1.5 GB的ICMP流量应该非常引人注目。
ping工具生成ICMP ping流量,首先命中192.168.0.0/16块中的所有IP地址。然后执行172.16.0.0/12块,并以10.0.0.0/8块结束。
ping工具生成ICMP ping流量,首先命中192.168.0.0/16块中的所有IP地址。 然后执行172.16.0.0/12块,并以10.0.0.0/8块结束。 这显示了来自网络ping工具样本之一的ICMP流量的开始。
图17.从一个网络ping工具样本中启动ICMP流量的示例。
自2021年1月25日以来,我们还没有发现任何新的ping工具样本来自Cobalt Strike的Hancitor感染。为什么我们找不到它了?也许Hancitor背后的威胁参与者意识到了这种活动的可疑性,因此停止使用它。
附录C列出了从2020年12月和2021年1月出现的Hancitor钴击袭击中发现的五个网络ping工具样本的信息。
结论
Hancitor恶意软件的感染后活动已定型为明显的模式。这些模式包括在AD环境中使用Cobalt Strike进行Hancitor感染。在某些情况下,通过Cobalt Strike发送的后续恶意软件可能包括网络ping工具,该工具在ping超过1700万个内部IPv4地址时会生成异常大量的ICMP流量。
拥有不错的垃圾邮件过滤功能,适当的系统管理和最新的Windows主机的组织,从Hancitor及其感染后活动感染的风险要低得多。通过威胁防护安全订阅,进一步保护了Palo Alto Networks下一代防火墙客户免受这种威胁。
Palo Alto Networks与我们的网络威胁联盟其他成员共享了我们的发现,包括本报告中描述的文件样本和危害指标。CTA成员使用此情报可快速向其客户部署保护,并系统地破坏恶意网络参与者。有关网络威胁联盟的更多信息,请访问www.cyberthreatalliance.org。
妥协指标
从2020年11月5日到2021年2月25日,附录A SHA256散列了127个Word文档样本以及带有Hancitor宏的宏,有关信息,请访问此GitHub存储库。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-A-2020-11-05-thru-2021-02-25-Hancitor-Word-docs.txt
附录B
SHA256哈希值从2020年11月5日的Hancitor DLL文件63个的例子,通过2月25日,2021年的信息可在此GitHub的仓库。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-B-2020-11-05-thru-2021-02-25-Hancitor-DLL-files.txt
附录C
从2020年12月至2021年1月使用Cobalt Strike从Hancitor感染中看到的五个网络ping工具样本的信息,该信息可在此GitHub存储库中找到。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-C-2020-12-15-thru-2021-01-25-network-ping-tool-samples.txt
附录D
从2020年10月到2021年3月的三个与Hancitor感染相关的Ficker Stealer恶意软件样本的信息,该信息可在此GitHub存储库中找到。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-D-Samples-of-Ficker-Stealer-Associated-With-Hancitor.txt
附录E
自2021年2月起与Hancitor感染相关的示例Send-Safe spambot恶意软件的信息。该GitHub存储库中提供了该信息。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-E-Samples-Send-Safe-Associated-With-Hancitor.txt