文件cs上线主机及攻击使用ping工具

简介: Hancitor是一种信息窃取程序和恶意软件下载程序,被指定为MAN1,Moskalvzapoe或TA511的威胁参与者使用。在2018年的威胁简介中,我们指出Hancitor相对不成熟,但在未来数年中仍将是威胁。大约三年后,Hancitor仍然是一种威胁,并且已经演变为使用Cobalt Strike之类的工具。最近几个月,该参与者开始使用网络ping工具来帮助枚举受感染主机的Active Directory(AD)环境。该博客说明了Hancitor背后的威胁参与者如何使用网络ping工具,以便安全专业人员可以更好地识别和阻止其使用。

Hancitor’s Use of Cobalt Strike and a Noisy Network Ping Tool

执行摘要

Hancitor是一种信息窃取程序和恶意软件下载程序,被指定为MAN1,Moskalvzapoe或TA511的威胁参与者使用。在2018年的威胁简介中,我们指出Hancitor相对不成熟,但在未来数年中仍将是威胁。大约三年后,Hancitor仍然是一种威胁,并且已经演变为使用Cobalt Strike之类的工具。最近几个月,该参与者开始使用网络ping工具来帮助枚举受感染主机的Active Directory(AD)环境。该博客说明了Hancitor背后的威胁参与者如何使用网络ping工具,以便安全专业人员可以更好地识别和阻止其使用。

早在2020年10月,Hancitor就开始利用Cobalt Strike,其中一些感染利用网络ping工具来枚举受感染主机的内部网络。正常ping活动很少,甚至在局域网(LAN)中不存在,但此ping工具会ping超过1700万个内部不可路由的IPv4地址的IP地址,因此生成大约1.5 GB的Internet控制消息协议(ICMP)流量空间。

要了解如何使用此ping工具,我们必须首先了解当前Hancitor活动的事件链。该博客回顾了AD环境中最近的Hancitor感染的示例。该博客还包含截至2021年2月该威胁参与者指出的相对较新的指标,并提供了2020年12月和2021年1月看到的五个相关网络ping工具的示例。

通过威胁防护安全订阅,Palo Alto Networks下一代防火墙客户可以免受此威胁的威胁。

Palo Alto Networks与我们的网络威胁联盟其他成员共享了我们的发现,包括本报告中描述的文件样本和危害指标。CTA成员使用此情报可快速向其客户部署保护,并系统地破坏恶意网络参与者。

最近的汉切斯特氏菌感染的事件链

自2020年11月5日以来,推动《汉切斯特》的演员表现出一致的感染活动模式。有关事件链的流程图,请参见图1。

图1Hancitor感染链的事件

最近的汉切斯特氏菌感染的事件链是:

带有链接的电子邮件,该链接指向托管在Google云端硬盘上的恶意页面。
从Google云端硬盘页面链接到返回恶意Word文档的URL。
启用宏(按照Word文档文本中的说明进行操作)。
Hancitor DLL被删除并使用rundll32.exe运行。
Hancitor生成命令和控制(C2)通信。
Hancitor C2最常导致Ficker Stealer恶意软件。
Hancitor C2导致AD环境中发生钴击活动。
与Hancitor相关的Cobalt Strike活动可以发送其他文件,例如网络ping工具或基于NetSupport Manager远程访问工具(RAT)的恶意软件。
在极少数情况下,我们还看到了使用Send-Safe spambot恶意软件对Hancitor进行感染的后续活动,该恶意软件将受感染的主机转变为垃圾邮件机器人,从而推动了更多基于Hancitor的恶意垃圾邮件。

休假三个月后,汉西托(Hancitor)活动于2020年10月20日恢复。到2020年11月5日,这一战役已纳入上述事件的感染链。

第一阶段:分发恶意Word文档

Hancitor过去曾发送过电子邮件,欺骗各种类型的组织,这些组织发送通知,传真或发票。早在2017年10月就已经报道了欺骗DocSign的电子邮件,但是Hancitor背后的组织从2019年10月开始更频繁地使用DocuSign模板。目前,电子邮件推Hancitor的大部分波浪已经使用了的DocuSign主题,Hancitor malspam看起来平均波像这样一个报道,2021年1月12日。

DocuSign欺骗的电子邮件不是新邮件,也不限于Hancitor。DocuSign非常了解此活动。该公司提供有关此问题的指导,并提供举报欺骗其品牌的恶意消息的渠道。

这些以DocuSign为主题的消息具有指向通过欺诈或可能受到破坏的Google帐户建立的恶意Google云端硬盘页面的链接。威胁参与者经常滥用基于云的协作服务(例如Microsoft的OneDrive和Google Drive)来分发恶意软件。

推动Hancitor的电子邮件中的Google Drive链接以https://docs.google.com/document/d/e/2PACX-开头,以/ pub结尾。还注意到此URL模式推动了其他恶意软件家族。

为了更好地了解这些URL,表1中显示了2021年2月8日的Hancitor电子邮件浪潮中的示例,如下表1所示。Google已收到这些链接的通知,并且已将其离线。

hxxps://docs.google [。] com / document / d / e / 2PACX-1vTetOTfCnHAXiwwNOrfJjR8lPTgu3dVzKEVWld1-HNkRCpwTqpqD4PnGuTjRjI_kxIxR8_azAcQS1US / pub
hxxps://docs.google [。] com / document / d / e / 2PACX-1vQeUQCdriz9ZT5dR7Byyfi4r-Y6FsHucjRbzvYLtWNmDGKfcqKyp9l4-EAFFYXHxbAWrAR-CI25e8cZ / pub
hxxps://docs.google [。] com / document / d / e / 2PACX-1vSPBGA3_D8dfupT021GG4VGB9a06Nm3viKAia4F2XWrjT7mhPyB0L1rKruj7DsB86Z38-EaxidoXIr8 / pub
hxxps://docs.google [。] com / document / d / e / 2PACX-1vShVIbeSUL9R_h5qZXdp_2SBm-uFVKFJcwpC4_0T2r436SQr7IPyy2cB6kHqiLC6TNsQQQiwUS_kmdY / pub
hxxps://docs.google [。] com / document / d / e / 2PACX-1vQc8XwAxOetaoxILZsGLJgCCF2I39s_vgDHTpTDy4v9Nmh8nlZNhbCjqa8u01xY2ckettVxUsrjlSLf / pub
hxxps://docs.google [。] com / document / d / e / 2PACX-1vTC5fAO7oEHK0vOKF93EqsLSkV0kiR4ppTG1tqAPXb4sXjYzYhVBOwlG-9F-6kxbhNeC8C9LRs5YsQD / pub
hxxps://docs.google [。] com / document / d / e / 2PACX-1vTxPV1p44-UfCkOfGWWMP3RZk-5LCvmqlOW78f1oiU4TOLOibyGjHUKkWNDLjCnMae4-0vBNwMZ8oKv / pub

表1.到2021年2月8日,来自以DocuSign为主题的电子邮件中的七个Google Drive恶意链接示例,这些链接推动了Hancitor。

图2显示了电子邮件中的最新示例。

推动Hancitor的电子邮件中的Google Drive链接以https://docs.google.com/document/d/e/2PACX-开头,以/ pub结尾。 请参阅此处的示例。

图2.从2021年2月2日开始,伪造的DocuSign电子邮件推送Hancitor的示例。

值得注意的是,任何以https://docs.google.com/document/d/e/2PACX-开头并以/ pub结尾的Google云端硬盘URL本身并不是恶意的。但是,在未经请求的电子邮件中发现它们时绝对是可疑的。

这些Google云端硬盘URL会显示一个网页,其中包含用于下载Word文档的链接。图3显示了使用Google云端硬盘的这些恶意页面的示例。

这个恶意的Google Drive URL显示了一个网页,其中包含下载Word文档的链接。

图3. 2021年2月2日假DocuSign电子邮件中的Google Drive链接,显示在网络浏览器中。

这些页面使用Google的各种参数链接到恶意URL,包括实际的目标URL。在上面的图3中,从2021年2月2日从伪造的DocuSign电子邮件获得的Google云端硬盘页面的链接以https://www.google.com/开头的内容很纯净。但是,单击链接后,Web浏览器将加载hxxp:// ajlbulicidate [.] pt / squriming.php,它实际上是一个恶意URL。图4显示了从ajlbulicidate [.] pt开始加载的页面。

单击伪造的DocuSign电子邮件中的链接后,Web浏览器将加载恶意URL,如下所示。

图4.单击Google云端硬盘页面上的链接后立即使用Web浏览器。

来自ajlbulicidate [.] pt的页面包含一个脚本,该脚本带有base64文本,用于创建恶意Word文档。该脚本使浏览器提供恶意的Word文档供下载,然后重定向到DocuSign页面,如图5和6所示。

图4所示的页面包含一个带有base64文本的脚本,用于创建恶意Word文档。 此脚本使浏览器提供要下载的恶意Word文档,然后重定向到DocuSign页面,如此处和图6所示。

图5. Base64文本表示来自ajlbulicidate [.] pt托管的网页中脚本中的恶意Word文档。

黑色箭头指示要由Web浏览器保存的Word文档的名称,以及Web浏览器重定向到DocuSign URL的位置。

图6.脚本提供了保存恶意Word文档,然后重定向到DocuSign URL的功能。

在提供要下载的Word文档并重定向到DocuSign URL之前,短暂出现hxxp:// ajlbulicidate [.] pt / squriming.php上的页面。潜在的受害者可能只注意到DocuSign页面和Word文档。有关示例,请参见图7。此技术可能会使潜在的受害者相信Word文档是DocuSign发送的合法文件。

带有恶意URL的页面仅在重定向到DocuSign URL之前短暂出现。 该技术可能使潜在的受害者相信攻击者发送的恶意Word文档是DocuSign发送的合法文件。

图7.单击图3中的恶意Google Drive页面中的链接几秒钟后,Web浏览器。

来自这些以DocuSign为主题的消息的Word文档使用下面的图8中所示的模板。

源自以DocuSign为主题的垃圾邮件的Word文档可以包含Hancitor的宏,该恶意电子邮件会指示用户使用此处显示的消息来启用该宏。

图8.基于DocuSign主题的垃圾邮件,带有针对Hancitor的宏的Malicious Word文档。

DocuSign不是唯一用来推动Hancitor的主题和模板。例如,2021年2月9日,使用其他电子邮件和文档模板的垃圾邮件推送了Hancitor恶意软件。除了不同的模板外,感染过程保持不变。

附录A列出了2020年11月5日至2021年2月的127个Word文档SHA256哈希示例以及带有Hancitor宏的宏。

第二阶段:Hancitor感染受害者

为这些恶意Word文档启用宏后,宏代码将删除并为Hancitor运行恶意DLL文件。DLL文件包含在宏代码中。如表2所示,在2021年1月和2月,这些Hancitor DLL被保存到两个位置之一。

C:\ Users \ [用户名] \ AppData \ Roaming \ Microsoft \ Templates \ W0rd.dll
C:\ Users \ [用户名] \ AppData \ Roaming \ Microsoft \ Templates \ Static.dll
C:\ Users \ [用户名] \ AppData \ Roaming \ Microsoft \ Word \ STARTUP \ W0rd.dll

表2. Hancitor DLL文件的位置。

图9显示了2021年2月2日来自被感染主机的Hancitor DLL文件之一。

这显示了2021年2月2日在受感染主机中发现的Hancitor DLL文件之一。

图9. 2021年2月2日,来自受感染Windows主机的Hancitor DLL。

这些Hancitor DLL文件是通过rundll32.exe运行的。Process Hacker揭示了一个2021年2月2日的示例,如图10所示。

这些Hancitor DLL文件是通过rundll32.exe运行的。 这里显示的是2021年2月2日的示例。

图10. Process Hacker中显示的Hancitor DLL的过程。

由Hancitor引起的网络流量首先由受感染的Windows主机检查IP地址开始。此IP地址检查将通过api.ipify.org转到合法服务。IP检查之后立即是C2流量,如图11所示的Wireshark列中所示。

由Hancitor引起的网络流量首先由受感染的Windows主机检查IP地址,然后是C2流量,如该Wireshark列显示中所示。

图11. Wireshark列显示,显示IP地址检查和Hancitor C2 URL。

从2020年11月到2021年2月,Hancitor C2流量由以/8/forum.php结尾的HTTP POST请求组成。发布的数据包括受感染Windows主机的公共IP地址,主机名和用户帐户名。如果受感染的主机是AD环境的一部分,则发布的数据还包括Windows的版本和域信息。最后,发布的数据还包含受感染主机的全局唯一标识符(GUID)和Hancitor恶意软件样本的内部版本号。有关最新的Hancitor C2流量的示例,请参见下面的图12。

此TCP流来自最近的Hancitor C2通信量示例。

图12.来自Hancitor C2流量示例的TCP流。

附录B列出了从2020年11月5日到2021年2月25日的Hancitor DLL文件样本的63个SHA256哈希值。

第三阶段:Hancitor检索后续恶意软件

在Hancitor建立C2流量后,它将检索后续恶意软件。每天,Hancitor的后续恶意软件项目都托管在同一域中。例如,2021年2月2日,在bobcvatofredding [.] com上托管了针对Hancitor的后续恶意软件。表3显示了Hancitor用于跟踪恶意软件的URL的一些最新示例。

此图.从最近的Hancitor感染中发现的后续恶意软件的URL示例。

Hancitor仅在感染AD环境中的主机时才会发送Cobalt Strike。如果计算机是像家用计算机这样的独立主机,它将不会发送Cobalt Strike。Hancitor通常会向其感染的任何主机发送Ficker Stealer。

感染后流量是从Hancitor感染中识别后续恶意软件的最简单方法。Ficker Stealer造成的流量与Cobalt Strike产生的流量不同。图13显示了2021年2月2日来自感染的流量,并突出显示了与Ficker Stealer相关的项目。

图13.来自Hancitor感染的流量,突出显示了与Ficker Stealer相关的项目。

附录D包含有关2020年10月至2021年3月与Hancitor相关的Ficker Stealer恶意软件样本的信息。

下面的图14显示了相同的流量,但突出显示了与 Cobalt Strike有关的项目。

感染后流量是从Hancitor感染中识别后续恶意软件的最简单方法。 Ficker Stealer造成的流量与Cobalt Strike产生的流量不同。 与钴击有关的项目用红色箭头指示。

图14.来自Hancitor感染的相同流量,突出显示了与Cobalt Strike相关的项目。

Ficker Stealer和Cobalt Strike不会将任何工件保留在受感染主机上的磁盘上。Ficker Stealer是一种“粉碎和抢夺”式的恶意软件,旨在泄漏数据,并且不会保留在受感染的主机上。Cobalt Strike驻留在系统内存中,并且在我们的测试环境中重启后无法幸存。

最后阶段:Cobalt Strike打击发送恶意软件

Hancitor背后的威胁参与者使用Cobalt Strike发送后续恶意软件。2021年2月2日的Hancitor感染表明,在Cobalt Strike活动开始后发送了NetSupport Manager RAT。

启动Cobalt Strike后,出现在感染Hancitor的主机上的另一个文件是用于网络ping工具的Windows EXE文件。

该EXE文件最早于2020年12月15日开始出现,并且我们注意到至少在2021年1月25日之前存在各种文件哈希。网络ping工具始终与Hancitor Word文档保存在同一目录中。

图15显示了将Hancitor Word文档保存到受感染用户的Documents文件夹后,于2021年1月13日看到的工具示例。

这显示了在2021年1月13日将Hancitor Word文档保存到受感染用户的Documents文件夹后看到的工具的示例。

图15. 2021年1月13日用钴矿罢工引起的汉西多氏感染的网络ping工具示例。

如图15所示,EXE文件名为xx.exe。1月20日一周后,该工具的一个新示例名为netpingall.exe,如图16所示。

一周后的1月20日,该工具的一个新示例名为netpingall.exe,如下所示。

图16. 2021年1月20日来自带有钴矿打击的Hancitor的网络ping工具示例。

从2021年1月20日开始的感染时间戳显示以下内容:

0120_203089882.doc –带有Hancitor宏的Word文档– UTC 16:27
netpingall.exe –在钴击之后看到的网络ping工具-UTC 17:19
result.txt –网络ping工具扫描的结果– UTC 18:18

在将用于Hancitor的Word文档保存到磁盘后大约52分钟,出现了用于网络ping工具的EXE。网络ping工具出现后大约59分钟,扫描结果被保存到名为result.txt的文本文件中。

此ping工具旨在查找AD环境中的所有其他活动主机。该工具可ping通超过1700万个内部不可路由的IPv4地址空间的IP地址,从而在网络上生成约1.5 GB的ICMP ping通信。

通常,在AD环境中几乎不存在对内部不可路由的IPv4地址执行ping通信的情况。内部IP地址空间内的ping通信应仅限于LAN。例如,用于172.16.1.0/24的LAN环境由主机可能在此网络中ping的254个内部IP地址组成。通常,我们不会看到对这254个IP地址之外的其他不可路由的IPv4空间执行ping操作。

我们在各种大小的LAN环境中测试了此ping工具的示例,并且该工具始终生成1.5 GB的ICMP ping通信,以传输到超过1700万个不可路由的IPv4地址。

这是非常嘈杂的流量。此外,Hancitor已证明在部署和使用此ping工具方面明显缺乏隐身性。这样的异常EXE文件很容易注意到,特别是当其扫描结果另存为文本文件在同一目录中时。

对于涉及此ping工具的Hancitor感染,在将结果保存到result.txt之后,从未删除关联的文件,因此任何法医调查都会迅速找到此工具。1.5 GB的ICMP流量应该非常引人注目。

ping工具生成ICMP ping流量,首先命中192.168.0.0/16块中的所有IP地址。然后执行172.16.0.0/12块,并以10.0.0.0/8块结束。

ping工具生成ICMP ping流量,首先命中192.168.0.0/16块中的所有IP地址。 然后执行172.16.0.0/12块,并以10.0.0.0/8块结束。 这显示了来自网络ping工具样本之一的ICMP流量的开始。

图17.从一个网络ping工具样本中启动ICMP流量的示例。

自2021年1月25日以来,我们还没有发现任何新的ping工具样本来自Cobalt Strike的Hancitor感染。为什么我们找不到它了?也许Hancitor背后的威胁参与者意识到了这种活动的可疑性,因此停止使用它。

附录C列出了从2020年12月和2021年1月出现的Hancitor钴击袭击中发现的五个网络ping工具样本的信息。

结论

Hancitor恶意软件的感染后活动已定型为明显的模式。这些模式包括在AD环境中使用Cobalt Strike进行Hancitor感染。在某些情况下,通过Cobalt Strike发送的后续恶意软件可能包括网络ping工具,该工具在ping超过1700万个内部IPv4地址时会生成异常大量的ICMP流量。

拥有不错的垃圾邮件过滤功能,适当的系统管理和最新的Windows主机的组织,从Hancitor及其感染后活动感染的风险要低得多。通过威胁防护安全订阅,进一步保护了Palo Alto Networks下一代防火墙客户免受这种威胁。

Palo Alto Networks与我们的网络威胁联盟其他成员共享了我们的发现,包括本报告中描述的文件样本和危害指标。CTA成员使用此情报可快速向其客户部署保护,并系统地破坏恶意网络参与者。有关网络威胁联盟的更多信息,请访问www.cyberthreatalliance.org。

妥协指标

从2020年11月5日到2021年2月25日,附录A SHA256散列了127个Word文档样本以及带有Hancitor宏的宏,有关信息,请访问此GitHub存储库。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-A-2020-11-05-thru-2021-02-25-Hancitor-Word-docs.txt

附录B

SHA256哈希值从2020年11月5日的Hancitor DLL文件63个的例子,通过2月25日,2021年的信息可在此GitHub的仓库。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-B-2020-11-05-thru-2021-02-25-Hancitor-DLL-files.txt

附录C

从2020年12月至2021年1月使用Cobalt Strike从Hancitor感染中看到的五个网络ping工具样本的信息,该信息可在此GitHub存储库中找到。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-C-2020-12-15-thru-2021-01-25-network-ping-tool-samples.txt

附录D

从2020年10月到2021年3月的三个与Hancitor感染相关的Ficker Stealer恶意软件样本的信息,该信息可在此GitHub存储库中找到。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-D-Samples-of-Ficker-Stealer-Associated-With-Hancitor.txt

附录E

自2021年2月起与Hancitor感染相关的示例Send-Safe spambot恶意软件的信息。该GitHub存储库中提供了该信息。https://github.com/pan-unit42/iocs-Hancitor/blob/main/APPENDIX-E-Samples-Send-Safe-Associated-With-Hancitor.txt

相关文章
|
7月前
|
网络协议 Shell Linux
【Shell 命令集合 网络通讯 】⭐⭐⭐Linux 测试与目标主机之间的网络连接ping 命令 使用指南
【Shell 命令集合 网络通讯 】⭐⭐⭐Linux 测试与目标主机之间的网络连接ping 命令 使用指南
206 1
VM 挂起虚拟机后 主机无法ping通虚拟机
VM 挂起虚拟机后 主机无法ping通虚拟机
102 0
|
2月前
|
网络协议 安全 Linux
网络工具ping的使用方式
【10月更文挑战第19天】网络工具ping的使用方式
121 6
|
4月前
|
网络协议 Linux 测试技术
基于PING命令的主机探测
基于PING命令的主机探测
110 3
|
4月前
|
网络协议 安全 Linux
在Linux中,当一台服务器无法ping通其他主机时,可能有哪些原因?
在Linux中,当一台服务器无法ping通其他主机时,可能有哪些原因?
|
7月前
|
Shell Linux 开发工具
Vmware 虚拟机挂起恢复后发现无法 Ping 通,无法连接到主机
在Linux主机上,以`root`用户停止NetworkManager服务并重启网络: ```shell systemctl stop NetworkManager systemctl restart network ``` 或修改网卡配置文件`ifcfg-ens33`,添加`NM_CONTROLLED="no"`,然后重启`network`服务: ```shell vim /etc/sysconfig/network-scripts/ifcfg-ens33 systemctl restart network ```
225 6
|
7月前
|
监控 Shell
生产环境Shell脚本Ping监控主机是否存活(多种方法)
生产环境Shell脚本Ping监控主机是否存活(多种方法)
|
7月前
|
监控 Shell
Shell脚本Ping监控主机是否存活并发邮件报警(三种方法)
Shell脚本Ping监控主机是否存活并发邮件报警(三种方法)
|
7月前
|
网络协议 Linux 程序员
【Linux】虚拟机ipv4地址消失,主机ping不通
【Linux】虚拟机ipv4地址消失,主机ping不通
245 0
|
7月前
ping 测试主机之间网络连通性
ping 测试主机之间网络连通性。
146 1

热门文章

最新文章