卡巴斯基威胁情报 现代亚洲 APT组 战术、技术和程序 Contents2 Contents Introduction3技术细节73 本报告的预期受众4基于统一杀伤链的攻击者行为分析289 作者和确认5缓解302 的结构报告6被攻击的统计数据公司307 涉及地球各个地区的亚洲APT团体的事件 7Conclusions313 事件1.俄罗斯和白俄罗斯 10 事件2。印度尼西亚 2 事件3.巴基斯坦 36 事件4.马来西亚 50 事件5.阿根廷 60 附录I-西格玛规则314 审查事件摘要72Contents368 现代亚洲APT团体:策略,技术和程序 IntroductionContents3 Introduction 卡巴斯基不断跟踪世界各地数以千计的恶意行为者,包括能够进行复杂网络攻击的高级组织。这些强大的组织被全球公认为高级持续威胁(APT)。 在卡巴斯基网络威胁情报部门,我们分析和研究来自世界各地各种攻击的数据。利用这些数据,我们提取了大量有用的信息,包括攻击者的战术、技术和程序(TTP)。根据这些信息,我们区分了攻击者的行为模式。 在这份报告中,我们分享了我们在亚洲APT团体中收集到的最有价值的情报。为什么是他们?在我们的工作过程中,我们注意到这些组织攻击了最多的国家和行业。最重要的是,我们对数百次攻击的分析揭示了不同群体之间的相似模式。他们使用全球安全专业人员遇到的常见但数量有限的技术,在网络杀死链的各个阶段实现特定目标。不幸的是,安全团队通常很难在自己的基础架构中检测到这些攻击。 我们的团队的传统是在我们的每个报告中都包含鼓舞人心的报价。对于此报告,我们选择了“Ender'sGame”电影中的报价: “没有老师,只有 敌人” 现代亚洲APT团体:策略,技术和程序 它完美地反映了我们在网络威胁情报团队中坚持的原则。正是这一原则激发了我们撰写和发布这份报告的灵感。 我们的目标不是将特定群体归因于亚洲的特定国家。我们的目标是提供 为了减轻这些攻击。为此,我们将分享我们特制的 关于APT参与者采取的方法、他们的TTP以及方法的最广泛的信息 SIGMA规则,这些规则将帮助您检测基础架构中的潜 在攻击。 本报告的预期受众Contents4 本报告的预期受众 如上所述,我们观察到大量涉及本报告中描述的团体和威胁的全球攻击。大多数组织通常没有做好应对这些威胁的准备,因此在检测其网络中的攻击者时遇到困难。 我们创建此报告是为了向网络安全社区提供最精心准备的情报数据,以有效地应对这些威胁。 SOC分析师网络威胁情报分析师 数字取证(DFIR)专家 威胁狩猎专家网络安全专家 负责公司网络安全的C级高管 域管理员 该材料可以作为亚洲APT小组入侵基础设施时使用的主要方法的知识库。该报告还包含有关攻击者基于MITREATT 和CK方法的战术,技术和程序(TTP)的详细信息。 现代亚洲APT团体:策略,技术和程序 作者和确认Contents5 作者和确认 本报告由我们的卡巴斯基网络威胁情报团队收集和分析有关APT威胁和财务动机攻击的数据。这些数据来自各种来源,包括我们自己的研究和其他卡巴斯基部门的工作,例如: 卡巴斯基网络威胁情报团队 APT威胁数据 威胁研究 威胁研究团队 SOC 卡巴斯基安全运营中心 GReAT 全球研究和分析团队 GERT 全球应急小组 ICSCERT 卡巴斯基ICSCERT 我们的卡巴斯基网络威胁情报团队依靠最先进的工具,实践和方法,例如MITREATT&CK,F3EAD,DavidBianco的痛苦金字塔,情报驱动的事件响应和统一的网络杀戮链,来研究威胁参与者的TTP和网络行为,并帮助将许多不同的部门纳入CTI流程。 作者团队:NikitaNazarov 威胁探索负责人 亚历山大·基里琴科 高级网络威胁情报分析师 NatalyaShornikova 首席网络威胁情报分析师 KirillMitrofanov 网络威胁情报团队负责人 VladislavBurtsev 高级网络威胁情报分析师 我们也特别感谢以下同事在撰写本报告时的帮助: 谢尔盖·基里耶夫 网络威胁情报分析师 VasilyBerdnikov 首席恶意软件分析师 DanilaNasonov ex.初级网络威胁情报分析师 现代亚洲APT团体:策略,技术和程序 的结构报告Contents6 报告的结构 本报告由6个主要部分组成,每个读者都可以轻松找到他们感兴趣的信息。 1涉及地球各个地区的亚洲APT团体的事件 本节包含我们在世界不同地区发现的五个独特事件的信息。每个事件都是特定国家和行业内的独特案例,我们提供 对肇事者的行动和TTP的描述。在每个部分的末尾,我们整理了一个合并表,显示了我们在这些事件中遇到的APT组的TTP。该表包括TTP列表及其在这些事件中的重叠使用。 2技术细节 “技术细节”部分包含我们在亚洲APT组进行的攻击中检测到的各种技术的详细描述。每种技术都包含以下内容: 主要说明 关于具体技术如何工作的技术细节 程序示例 我们在亚洲APT组的攻击中检测到的这种技术的示例实现 检测 有关用于检测所述技术的方法的数据,以及用于检测特定威胁的各种监视代理中的事件的EventID。 SIGMA规则 与此技术相关的SIGMA规则列表。实际的SIGMA规则可以 在附录中找到:SIGMA 3基于统一杀伤链的攻击者行为分析 我们使用统一杀伤链模型来创建我们自己的表格,链接到亚洲APT组,这样我们就可以提供对这些参与者的动机和行为模式的顶级研究,并提供有关亚洲APT组可能采取的步骤的数据。 4缓解 本节描述了为减轻与所述TTP相关的风险而采取的措施。 5袭击受害者的统计数据 本节提供了世界各地亚洲APT团体受害者的综合统计数据,并按国家和行业分列。 6附录:SIGMA 本附录包含有助于检测本报告中描述的技术的SIGMA规则。 现代亚洲APT团体:策略,技术和程序 涉及地球各个地区的亚洲APT团体的事件Contents7 涉及地球各个地区的亚洲APT团体的事件 几乎每个季度,都有人发表有关涉及亚洲APT团体的运动或事件的主要研究报告。这些运动和事件针对的是来自多个行业的各种组织。同样,受害者的地理位置不仅限于一个地区。此类研究通常包含有关APT参与者使用的工具,他们利用的漏洞以及有时甚至特定属性的详细信息。尽管有大量此类报告,但公司通常仍未准备好面对此类攻击者。随着当今威胁行为者使用的先进工具和技术,网络安全专业人员不仅需要高水平的专业知识和丰富的经验,还需要基础设施,辅之以组织良好的资产管理和漏洞管理流程、网络细分、微调审计和智能配置的数据安全工具。在大多数情况下,没有准备的基础设施是使亚洲APT集团能够进行成功攻击的主要因素。 在考虑准备基础设施和微调上述流程的重要性时,请不要忘记蓝队的基本原则:要成功防御攻击,您必须了解攻击的进行方式。 为此,在本节中,我们收集了有关2022年期间不同国家在不同时间发生的事件的信息,涉及各种亚洲APT团体 图1 事件一节中提到的受害者的地理位置 2 1 1.俄罗斯 2.白俄罗斯 3.印度尼西亚 4.巴基斯坦 5.马来西亚 6.阿根廷 4 5 3 6 现代亚洲APT团体:策略,技术和程序 涉及地球各个地区的亚洲APT团体的事件Contents8 在描述的事件中观察到的样本也被我们在其他国家观察到,包括加拿大、越南、南非和日本(图2)。对于每个事件,我们描述了攻击的各个阶段,并强调了威胁行为者的TTP。在技术细节部分提供了对APT行为者技术的更详细的描述。 图2 事件部分中提到的样本的地理位置 1 1.加拿大 2.越南 3.南非 4.Japan 4 2 3 本节中的每个案例研究都涵盖了一项独特的调查。在某些情况下,我们能够完整地研究攻击,从初始访问阶段开始,到影响阶段结束。在其他情况下,我们的调查始于网络杀戮链的后期阶段。在我们检查的许多事件中,我们选择了最能揭示亚洲APT群体行为模式的事件。 现代亚洲APT团体:策略,技术和程序 涉及地球各个地区的亚洲APT团体的事件Contents9 图3 调查事件中C&C服务器的地理位置 C&C服务器的浓度: 最最少 对特定事件的详细描述包括攻击进展的深入历史记录。我们包括了实际的命令行参数、注册表项以及攻击背后的参与者使用的文件和实用程序的路径和名称。我们只更改了敏感信息。 现代亚洲APT团体:策略,技术和程序 Contents10 涉及地球各个地区的亚洲APT团体的事件 事件1. 俄罗斯和白俄罗斯 现代亚洲APT团体:策略,技术和程序 在地球各个地区涉及亚洲APT群体的事件|事件1.俄罗斯和白俄罗斯Contents11 事件1.俄罗斯和白俄罗斯 受害人摘要 Industry 受影响国家威胁 政府俄罗斯、白俄罗斯 WebDav-O 突发事件描述 2022年,我们的系统检测到针对俄罗斯政府机构的恶意软件WebDav-O的攻击。几位研究人员先前描述了使用WebDav-O 和 Mail-O。我们能够在遥测中跟踪WebDav-O植入物的活动,至少直到2018年。该活动针对位于白俄罗斯的政府相关目标。根据我们的研究,我们能够找到恶意软件的其他变体,并观察攻击者在受损主机上执行的命令。 详细说明 利用面向公众的应用程序T1190(初始访问) 为了获得对受害者的初始访问权限,攻击组利用了IISWindowsServer中的漏洞。我们在Windows日志中观察到以下活动:IISWorker进程w3wp.exe运行了攻击者的恶意文件。 成功感染后,恶意库被上载到以下目录之一: kb:\Windows\System32\日志文件kb:\Windows\System32\ 作为恶意软件部署过程的一部分,APT参与者通常会创建Windows服务创建或修改系统进程:WindowsServiceT1543.003. 此事件中的一个相当不寻常的操作是,攻击者更改了一个注册表项,以便使用命令行“svchost.exe-knetsvcs”运行恶意DLL ,该命令行看起来是合法的: reg添加“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost”/vnetsvcs/tREG_MULTI_SZ/dAeLookupSvc\0...\0SQLReader 现代亚洲APT团体:策略,技术和程序 在地球各个地区涉及亚洲APT群体的事件|事件1.俄罗斯和白俄罗斯Contents12 在为HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost\netsvcs注册表项添加其他值后,攻击者创建了名为SQLReader的新Windows服务,其可执行文件为“svchost.exe-knetsvcs”。 sccreateSQLReaderbinpath="‰:\Windows\System32\svchost.exe-knetsvcs"start=autodisplayname ="SQLServerVSSReader" 然后,他们向SQLReader的相应注册表项添加了该服务的描述、恶意DLL的路径,并使用sc.exe启动了该服务: reg添加HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLReader/v说明/tREG_SZ/d“SQLServerVSSReader” reg添加HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLReader\Parameters/vServiceDll/tREG_EXPAND _SZ/d"ND:\Windows\System32\sqlrder.dll" sc启动SQLReader