背景
沙虫,也称为Telebots,巫毒熊,哈迪斯是一个网络威胁组织,活动于至少有2009.多个政府,包括2018年的英国和2020年的美国他公开将该组织与俄罗斯军事情报机构(通常被称为格鲁乌)联系起来。该组织不仅因其历史悠久而闻名,还因其胆大妄为而闻名,因为它与多个备受瞩目的破坏性事件有关,例如:
鉴于该组织与破坏性网络事件有关联,比如2017年NotPetya事件,2015年TV5 Monde活动,2016年试图保护乌克兰电力公司、网络防御人员和网络威胁情报(CTI)专业人员应乐动体育下载链接特别注意与沙虫有关的活动的高置信度披露。
沙虫和Centreon
2021年初,法国国家信息系统安全机构(安西)发布了一份针对由Centreon从2017年底到2020年。操作包括部署公开可用的P.A.S.网站管理权限(特别是3.1.4版本),以及被ESET研究人员称为“Exaramel之前只被认为与沙虫活动有关。虽然前一个工具是广泛使用的(虽然也部署在其他与俄罗斯情报机构有关的行动),后者专门与sandworm相关的操作绑定,并具有大量的代码和功能与其他sandworm链接的工具重叠,如ESET的分析所述。
尽管对IT监控软件的关注表明与SolarWinds-related入侵活动(暂时与俄罗斯情报行动有关2019年),没有证据表明存在类似的供应链向量.相反,后续报告表明Centreon软件的旧版开源版本在这次活动中受到了伤害。一个声明Centreon指定该软件的2.5.2版本(2014年已弃用,2016年以来不支持)是受影响的最新版本。
| SolarWinds事件 | Centreon活动 | |
|---|---|---|
| 访问向量 | 开发环境妥协,允许发布修改后的软件 | 可能利用了centreon开源软件旧版本中的漏洞 |
| 受害者研究 | Solarwinds本身,接着是运行Solarwinds orion软件的多个组织 | 运行centreon软件较老版本的组织数量有限;centreon没有影响 |
| 负责任的实体 | 可能与俄罗斯情报行动,特别是外国情报局(SVR)有关 | 技术和其他链接到沙虫实体,链接到俄罗斯军事情报(GRU) |
虽然DomainTools不能做出明确的判断,但根据这些细节,入侵者可能使用了一个漏洞,如cve - 2014 - 3828,是Centreon在2.5.3版本打过补丁的SQL注入漏洞,可将数据写入易受攻击的系统(例如webshell),方便在受攻击环境中执行后续代码。给定ANSSI发布的webshell文件路径(位于“/usr/local/centron/www/”和“/usr/share/centreon/www/”目录下)和用户上下文(“apache”用户,它引用ApacheWeb服务器软件的使用Centreon部署)以及发表的CVE引用,最可能的利用途径似乎是对Centreon软件中的一个漏洞的妥协,而不是对Centreon本身的妥协。
在提供对Centreon开发活动的分析时,ANSSI概述了观察到的技术和行为细节,但很少提及技术指标。具体地说,除了使用VPN服务连接到webshell实例和使用一组单独的命令和控制(C2)节点与Exaramel部署通信之外,该报告没有指出与活动相关的网络基础设施。
虽然这可能在一开始对进一步的研究有限制,但分析人士可以查看与沙虫相关的并发活动,以更深入地了解在大约三年的Centreon活动中,这种威胁可能是如何操作的。
考察进出口运动
2020年5月,美国国家安全局(NSA)发布了一份简短报告:利用Exim邮件传输代理漏洞的沙虫行动者”。该报告引人注目的原因有两个:第一,报告明确地将Sandworm确定为“格鲁乌特种技术主中心(GTsST),外勤岗位编号为74455。”第二,与ANSSI报告相关的是,美国国家安全局详细描述了一项与Centreon活动重叠的活动,从2019年8月到2020年5月进行。
美国国家安全局所描述的活动包括利用进出口邮件转帐代理(MTA)软件。MTA软件用于通过SMTP在服务器之间传输电子邮件,根据设计,它是网络可访问的,Exim是许多Linux变体的默认MTA。这个漏洞与沙虫的活动有关,cve - 2019 - 10149,可以允许在脆弱主机上进行远程代码执行(RCE),这取决于Exim的配置以及它是否可以远程访问。如果可以访问,Exim漏洞可以促进对受害网络的初始访问,以及横向移动到其他具有监听、可访问的Exim MTA实例的服务器。
对这个RCE漏洞的利用相对来说微不足道。在NSA报告中包含的下图中,沙虫操作利用该漏洞从远程资源检索shell脚本,然后执行它:
不幸的是,虽然该报告在相对较高的层次上描述了脚本的功能,但它并没有提供深入的细节。虽然注意到一些用于执行这些攻击的网络基础设施,但这只包含两个IP地址和一个域:
196年95.216.13(。)103.94.157。5hostapp[.]be
尽管明显受到限制,但有了历史网络数据,包括主机记录和无源DNS (pDNS), CTI分析师可以开始了识别特征和基本方面该基础设施的使用期间(2019年8月至2020年5月)。首先,我们可以检查域。值得注意的是,自从。be”是与比利时相关的国家一级顶级域(TLD),完整的WhoIs记录不能(由于法律原因)通过DomainTools等服务检索和存档。通过比利时WhoIs服务查看当前的WhoIs信息显示,自美国国家安全局的报告以来,该域名已经重新注册:
然而,通过查看通过DomainTools存档的有限数据,我们至少可以了解该域是什么时候首次注册用于Exim活动的,以及有限的基础设施细节:
虽然WhoIs注册信息没有被捕获,但我们仍然可以观察到这个基础设施的两个特征:
- 通过名称登记。
- Njalla提供的权威名称服务器。
虽然一些可疑域名共享了相当普遍的特征,但我们至少现在更好地了解了该攻击者是如何注册基础设施的,以及注册时间:2018年12月24日。检查主机信息和pDNS记录更有成效:
上述pDNS数据中有几个项目:
- 数据证实,NSA列出的一个IP地址(95.216.13[.]196)被用于托管hostapp[.]。]在操作窗口期间。
- NSA注意到的另一个IP地址,103.94.157[。5、与hostapp没有关联。在可用的pDNS数据中。
- 另外几个以前未公开的IP地址也与该域相关联。
第一点是有用的,但其他两点为进一步研究提供了途径。从2020年5月(大约与NSA报告发布的时间相同)到2021年1月,没有与该域名相关但被NSA与Exim利用链接的IP出现了除了以下项目之外的坚定的域名链接:
Monitor.sbp。香港
此特定资源不解析,而是sbp[。hk似乎是一个网页设计的模板页,没有明确的、合法的功能。然而,该名称确实与位于印度的主机提供商SBP公司有关。总的来说,目前这一指标似乎没有任何价值。
更有趣的是之前未披露的链接到hostapp[.]的条目:
193年185.44.76(。)239年94.75.193(。)85.158.77。2105年145.14.133(。)219年176.10.104(。)
其中,176.10.104(。219似乎是最重要的,对hostapp的大多数响应负责。从2019年11月到2019年12月底。下面一节将更详细地讨论这些项目。值得注意的是,从2019年12月26日起,到2020年5月28日(也就是美国国家安全局报告发布的同一天),该域名将停止连接到多个GoDaddy停放IP地址。
虽然上述研究发现了新的、以前未观察到的与沙虫活动相关的指标,但还需要更多的工作来理解这些指标,并巩固与这个臭名昭著的组织的任何联系。
转向新的指标和基础设施
查看到目前为止识别的所有IP地址会返回以下内容:
| IP地址 | 托管提供商 | 举办地点 | 可能的用途 |
|---|---|---|---|
| 196年95.216.13(。) | Hezner在线 | FI | 域托管,Exim漏洞 |
| 103.94.157。5 | SBP公司 | 在 | 进出口利用 |
| 193年185.44.76(。) | 九头蛇通信 | GB | 域的主机 |
| 239年94.75.193(。) | LeaseWeb | 问 | 域的主机 |
| 85.158.77。2 | 新航SkaTVis | LV | 域的主机 |
| 105年145.14.133(。) | 达国际集团 | 我们 | 域的主机 |
| 219年176.10.104(。) | 数据源AG) | CH | 域托管,Exim漏洞 |
虽然有一些异常值,至少对于与Exim的利用和托管hostapp最密切相关的项目。Sandworm似乎更青睐与注重隐私的法律制度或公司相关的欧洲主机提供商。上面所有的项目都是用hostapp托管的。在某个时间点上,大多数只在2019年11月与该域名连接了一两天,在没有额外数据的情况下,它们的确切功能是不确定的。
然而,2019年7月至2019年11月初与沙虫活动相关的一个IP地址是95.216.13[。196,显示了一个链接到一个BASH shell脚本,具有以下特征:
MD5: 92d078d05e89c55b7bb7187fd1c53bdd SHA256: dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730
对该对象的审查显示了当前关注的项目:
回顾脚本的这一部分,发生了以下情况:
- SSH配置中增加了新的授权密钥。
- 使用硬编码的密码创建一个新的根级用户“mysql_db”,并添加为一个允许的SSH用户。
- 脚本在受害机器上执行SSH监听端口的检查,并将其发送回205.204.66[。196作为参数。
值得注意的是,引用的IP地址,由加拿大的Netelligent托管,也被用于具有类似于上面功能的脚本中:
MD5: d61d598106b04520a018dfa58e707ab2 SHA256: 538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e
然而,第一个确定的脚本包含了更多值得探索的功能。例如,以下Python代码,编码为base64对象,用脚本解码并执行,然后添加到系统crontab中每周执行一次:
功能是很直接的:
- 检查正在运行的进程是否名为“小告密者MacOS相关的应用程序防火墙和连接监控工具;如果找到,脚本退出。
- 尝试连接到IP 95.216.13[。]通过HTTP在8080端口上使用硬编码的用户代理字符串和cookie值。
- 用硬编码的加密密钥解码响应,并执行结果。
不幸的是,DomainTools无法从IP地址恢复有效负载。然而,上述步骤中有两项特别突出:
- 该脚本被设计为在与MacOS相关的网络监视工具存在时静默退出。虽然MacOS支持Exim,但这不是默认项,因为MacOS使用Postfix代替。
- 当Exim是一个Linux/Unix应用程序时,该脚本利用了一个与Windows系统相关联的User Agent值,在流量可见性和预期(如果检查的话)方面造成了不匹配。
除了这一项之外,一个额外的编码Python程序还嵌入在脚本中,在初始加载时执行,并添加到每周crontab:
这一项比第一项稍微简单一些:
- 再次创建一个硬编码的User Agent字符串,代表Windows系统。
- 启动连接到95.216.13[。196通过HTTP通过TCP 53(通常与DNS区域传输关联)。
- 执行返回的有效负载。
同样,DomainTools在此实例中无法恢复有效负载。这两个项目(特别是将它们添加到每周crontab项中)似乎都是为持久性设计的,可以下载并执行一些后续有效负载或命令序列。尽管如此,在这个阶段,我们显著丰富了美国国家安全局关于进出口银行活动的报告的原始发现,并确定了2019年7月至至少2019年12月与沙虫相关的潜在基础设施趋势。
不幸的是,我们还没有发现任何将这次活动或其技术指标与基于中心的入侵联系起来的东西。然而,在上述调查中获得的信息可用于扩大我们的调查网,以寻找可能与沙虫行动有关的基础设施或其他构件。
识别可能关联的证书窃取活动
在分析的这个阶段,我们拥有多个IP地址,但仍然只有一个域,以及两个链接回已知基础结构的脚本对象。一个可能的基础设施搜索假设是寻找在大约同一时期(2018年12月)注册的类似域名。搜索2018年12月创建的以“hostapp”开头的域名会得到有趣的结果:
| 域 | 创建日期 | 注册商 | 名称服务器 | 主知识产权 | 主要举办 |
|---|---|---|---|---|---|
| hostapp。艺术 | 2018年12月11日 | 名称) | Njalla | 114年91.197.145(。) | 有限公司KuMIR电信 |
| hostapp(。)链接 | 2018年12月20日 | 名称) | Njalla | 77.47.193。36 | 乌克兰研究和学术网络URAN用户协会 |
除了匹配hostapp[.]模式之外。,这些项目也链接到有趣的子域,例如:
i.ua.account-check.hostapp(。艺术twitter.com.webapp.hostapp]链接facebook.com.webapp.hostapp[][]的艺术
此外,这些IP地址代表了新的可观测数据,揭示了其他具有类似子域名的域名正在欺骗各种邮件和社交媒体服务:
Facebook.com.webapp.apse [.]xyz www.facebook.com.webapp.memcached[.]in api.twitter.com.webapp.workbench[.]run api.twitter.account.nsoxt[.]com
在研究这一新路径时,DomainTools研究人员发现了2018年12月创建的另一个类似hostapp域的“名称集群”:
Spdup(。]艺术Spdup[。)是Spdup(。)信息
它们都是在2018年12月22日通过Tucows和Njalla名称服务器注册的,还链接到其他IP地址和子域名:
google-settings.spdup(。]是passport.www.mail.yandex.ru.spdup[]是accounts.google-account-settings.spdup(。]艺术google-settingsapi.spdup[]信息
使用时的主域和相关IP地址的完整列表分别在附录A和B中提供。这些项目(以及相关基础设施)的确切功能在所有情况下都不是完全清楚的。对某些项的检查确实会发现伪造的登录页面,可以利用这些页面捕获凭据。例如,截至2019年11月,上面的“passport.www.mail.yandex[.]ru”子域解析为以下Yandex的欺骗登录页面:
纵观整个子域名,主要重点似乎是与乌克兰、保加利亚和俄罗斯相关的欺骗服务,少数项目似乎有一个普遍的欧盟(EU)主题。就后一项意见而言,下列项目中穿插着更具体的关于俄罗斯或乌克兰的内容:
yanoo.com.userarea欧盟drive.google.com.filepreview.auth.userarea[][]点击
回顾附录中链接的项目,一些项目在美国国家安全局的进出口进出口报告发布很久之后仍然活跃,可能会持续到2021年初。然而,大多数病毒似乎是在2020年5月或6月左右被检测到的,并且已经在亚马逊网络服务(AWS) IP 52.45.178上“陷坑”了。122个或相关地址。
理解沙虫的意义
虽然上一节似乎确定了与公开记录的Sandworm操作相邻的活动集群,但这种链接——尽管可能考虑到命名主题的持久性和托管基础设施的共享——无法用现有信息证明。尽管如此,在将我们的观点扩展到已知的对手活动元素的过程中,我们作为CTI分析师已经大大扩展了我们的观点,到可能相关的、破坏性威胁行为者的并发操作。虽然我们确定了一些额外的指标,但我们更严格地描述了对手的行为:
- 了解Sandworm在Exim活动中用于系统修改和持久性的linux环境更改。
- 在NSA和ANSSI报告涵盖的时间范围内,识别基础设施托管和注册趋势。
- 发现了一个可能同时发生的凭证收集活动,该活动与沙虫基础设施有关,针对几个东欧国家的特定项目。
不幸的是,我们没有成功地实现我们设定的目标:确定与ANSSI记录的Centreon开发活动相关的基础设施。然而,尽管我们未能确定与该行动相关的特定基础设施,但我们确实揭示了该行动活跃的2017-2020年期间的趋势,防御者和分析人员可以利用这些趋势来处理可能与沙虫相关的入侵。例如,上面记录的和下面附录中显示的注册、名称服务器、托管和域名命名趋势的组合揭示了操作期间对手的趋势。
总体而言,上述调查揭示了与沙虫相关活动的几个方面,如果不是与GRU Unit 74455直接相关(基于NSA和其他政府归因声明):
- 以欧洲主机提供商为重点的广泛基础设施创建。
- 域名倾向于直接反映根域中可信的项目,或通过长子域模仿合法服务。
- 针对Linux环境的重大操作跨越了Exim和Centreon活动,包括使用Linux特定的恶意软件(Exaramel部署)和本机系统命令(Exim后开发活动)。
- 针对各种电子邮件和社交媒体服务的持续凭证捕获活动,重点是乌克兰、保加利亚和俄罗斯,但意图和目的未知。
结论
从针对法国IT监控软件的沙虫相关活动的披露开始,我们确定了某些整体的对手倾向和入侵可能性,导致了先前记录的利用Exim MTA漏洞的活动。基于对该活动的进一步深入分析,我们揭示了更多的基础设施和对手倾向,揭示了广泛的凭据获取活动。
鉴于Centreon和Exim活动的时间重叠,我们未能实现最初的目标,即试图确定它们之间的具体联系,但我们还是成功地了解了一个非常令人担忧的对手。有了这些知识,网络防御者和CTI分析人员可以挖掘内部数据存储库和外部信息源,以获得进一步的链接,或者处理通过这些发现发现的先前入侵。
通过将上述关于沙虫的详细调查和浓缩技术应用到其他利益威胁中,我们可以更深入地了解对手的基本谍报技术和趋势。有了这种洞察力,防御者和CTI专业人员就可以更准确或有效地研究和起诉入侵,因为他们拥有适当分类和理解已识别的入侵及其相关工件所必需的背景知识。
附录A:链接域
| 域 | 注册商 | 创建日期 | 主要的IP地址 |
|---|---|---|---|
| appservice(。) | PublicDomainRegistry | 2019年1月10 | 200年193.200.209(。) |
| 拱点(。)xyz | PublicDomainRegistry | 2018年8月28日 | 114年91.197.145(。) |
| base64encode。毫升 | Freenom | 2018年9月3 | 82年74.119.219(。) |
| bg-abvmail(。) | Freenom | 2018年8月26日 | 221年141.8.224(。) |
| bg-abvmail pw。 | EPAG DomainServices | 2018年10月2 | 78.130.144 40(。) |
| cacheappfb。cf | Freenom | 2018年8月10 | 143年91.205.6(。) |
| checklogin(。) | 名称) | 2018年8月30日 | 78.130.144 40(。) |
| fbapp。信息 | 名称) | 2018年12月24日 | 46.4.10。58 |
| fbapp(。)链接 | 名称) | 2018年12月24日 | 235年68.235.34(。) |
| fbapp(。) | 名称) | 2018年12月24日 | 242年46.151.81(。) |
| fbsocialnet(。) | Freenom | 2018年11月6日 | 143年91.205.6(。) |
| greatbookbase。com | PublicDomainRegistry | 2018年6月9日 | 254年46.28.202(。) |
| greatupdate。净 | PublicDomainRegistry | 2018年6月1 | 254年46.28.202(。) |
| hostapp。艺术 | 名称) | 2018年12月11日 | 114年91.197.145(。) |
| Hostapp(。) | 名称) | 2018年12月24日 | 219年176.10.104(。) |
| hostapp(。)链接 | 名称) | 2018年12月20日 | 77.47.193。36 |
| kyev。净 | NameSilo | 2018年12月24日 | 190年185.226.67(。) |
| 登录。摄影 | PublicDomainRegistry | 2018年10月18日 | 254年46.28.202(。) |
| 网上login-site(。) | NameSilo | 2018年10月18日 | 254年46.28.202(。) |
| malamsenin。xyz | West263 | 2019年12月25日 | 175年72.52.179(。) |
| memcached。cc | NameSilo | 2018年8月28日 | 250年193.106.29(。) |
| memcached(。) | PublicDomainRegistry | 2018年9月21日 | 114年91.197.145(。) |
| nsoxt。com | NameSilo | 2018年12月11日 | 200年193.200.209(。) |
| spdup。艺术 | 名称) | 2018年12月21日 | 196年89.108.72(。) |
| spdup(。) | 名称) | 2018年12月22日 | 254年46.28.202(。) |
| spdup。信息 | 名称) | 2018年12月22日 | 254年46.28.202(。) |
| thehomeofbaseball。com | PublicDomainRegistry | 2018年6月5日 | 77.47.193。36 |
| updatenote。净 | NameSilo | 2018年6月4 | 254年46.28.202(。) |
| updatenote。tk | Freenom | 2017年5月14日 | 78.130.144 40(。) |
| userarea。点击 | 名称) | 2019年11月18日 | 117年91.195.240(。) |
| userarea。欧盟 | 名称) | 2019年11月13日 | 190年185.226.67(。) |
| userarea(。) | 名称) | 2019年11月13日 | 243年5.255.90(。) |
| userarea(。) | 名称) | 2019年11月14日 | 194.117.236。33 |
| webcache(。) | 名称) | 2019年11月13日 | 195.211.197。25 |
| 工作台(。) | NameSilo | 2018年9月21日 | 114年91.197.145(。) |
附录B:已识别的IP地址
| IP地址 | 托管提供商 | 举办地点 | 开始活动 | 结束活动 |
|---|---|---|---|---|
| 103.94.157。5 | SBP公司 | 在 | 2020年5月 | 2020年8月 |
| 119.252.189。49 | ZoneNetworks | 非盟 | 2018年8月 | 2018年8月 |
| 219年176.10.104(。) | 数据源AG) | CH | 2019年12月 | 2019年12月 |
| 204年176.31.225(。) | OVH | FR | 2018年1月 | 2018年6月 |
| 190年185.226.67(。) | Aweb | GR | 2019年10月 | 2020年10月 |
| 193年185.44.67(。) | 九头蛇 | GB | 2019年7月 | 2019年7月 |
| 200年193.200.209(。) | Infium | UA | 2019年1月 | 2019年12月 |
| 194.117.236。33 | MyserverMedia | 罗依 | 2020年3月 | 2020年11月 |
| 195.211.197。25 | Tomich | 俄文 | 2020年3月 | 2020年11月 |
| 196年205.204.66(。) | Netelligent | CA | 2019年7月 | 2019年12月 |
| 236年31.148.63(。) | FlashInternet | UA | 2019年10月 | 2019年12月 |
| 242年46.151.81(。) | BigNet | UA | 2019年6月 | 2019年12月 |
| 46.161.40。16 | WS171 | 俄文 | 2019年10月 | 2019年10月 |
| 254年46.28.202(。) | Solarcom | CH | 2018年11月 | 2019年12月 |
| 46.4.10。58 | Hetzner | 德 | 2019年6月 | 2020年5月 |
| 243年5.255.90(。) | Serverius | 问 | 2020年2月 | 2020年6月 |
| 235年68.235.34(。) | Tzulo | 我们 | 2019年1月 | 2019年12月 |
| 77.47.193。36 | NTUU | UA | 2018年10月 | 2019年12月 |
| 78.130.144 40(。) | Cooolbox | BG | 2018年10月 | 2019年6月 |
| 78.25.21。3 | Alkar | UA | 2019年6月 | 2019年6月 |
| 234年79.124.75(。) | 无绳电话站 | BG | 2019年2月 | 2019年5月 |
| 85.158.77。2 | 新航“SkaTVis” | LV | 2019年11月 | 2019年11月 |
| 87.230.102 40(。) | PlusServer | 德 | 2018年8月 | 2019年4月 |
| 196年89.108.72(。) | Agava3 | 俄文 | 2019年1月 | 2019年12月 |
| 114年91.197.145(。) | Kumir | UA | 2018年11月 | 2019年6月 |
| 143年91.205.6(。) | 智尚 | UA | 2018年8月 | 2018年10月 |
| 114年92.62.139(。) | Baltneta | LT | 2020年3月 | 2020年10月 |
| 239年94.75.193(。) | LeaseWeb | 问 | 2019年11月 | 2019年11月 |
| 196年95.216.13(。) | Hetzner | FI | 2019年7月 | 2019年11月 |