背景
2020年12月21日,圣诞节周开始,出现了勒索软件活动利用的证据BazarLoader(也被称为KEGTAP),并连接到TrickBotransomware团伙。最初披露于推特当天,这场战役迅速展开。
根据与情报合作伙伴和各种网络防御者的讨论,负责这一活动的对手似乎从受害者地点的乐动首页初始感染迅速转移到试图部署勒索软件的互动操作。在前面的操作中,戏法机器人活动与部署的琉克ransomware.在写这篇文章的时候,DomainTools的研究人员无法确认这个特定活动的最后阶段有效载荷。
虽然这个特定的战役已经过去了,但它为网络防御者和网络威胁情报(CTI)专业人员提供了许多教训,用于监控和分析新兴战役,以实现动态、灵活的防御。乐动体育下载链接
初始交付和下载矢量
对该活动的分析表明,最初的发送是通过合法的第三方电子邮件消息或通知服务进行的。在这个特定的案例中,对手利用GreatResponse,用于电子邮件营销和登录页设计,以传递看似友好的电子邮件信息,带有“企业文档”或类似主题。观察到的链接示例包括:
corpdocument1221.gr8(。com c乐动体育官网下载ompanygeneralmeeting122220.gr8[。] com乐动体育官网下载 companydocument07851 - 3173 f.gr8。com
访问时,受害者将看到如下的登录页面:
该链接将直接指向托管在谷歌驱动器上的便携可执行(PE)文件,将在下面进一步详细讨论。进一步的执行将需要用户运行下载的可执行文件,以便发生后续的利用。
上述活动与观察到的戏法机器人操作(以及其他实体策略)一致,即使用第三方服务来逃避检测和缓解。例如,TrickBot团伙之前就使用过第三方交付服务如Sendgrid分发最初的钓鱼信息。后续有效载荷也被托管在云文件存储站点上,例如谷歌开车。
检查滴管和安装器
进一步的活动不仅需要用户与钓鱼消息交互(显示登陆页面链接),并从谷歌Drive下载托管的文件,而且还需要执行有效负载。
总的来说,作为完成这一“杀伤链”的一部分,DomainTools研究人员观察到下一阶段有效载荷的18个样本。这些文件的命名约定与登陆页主题相匹配,尽管DomainTools研究人员预计可能存在更多的变体,超出我们的可见范围。
| SHA256 | MD5 | 文件名称 |
|---|---|---|
| 90年a51557f3438fec9b2ffab5828751cb43fa9eeb1fa84468effe95a9f13f12d0 | 774年bdb15ae6c7dedea62ebf0985a3451 | Corp_Document.exe |
| 74年d757a4cabf26009ab5f1064939c54ceea43a8399419a7c965b2edb7e0ed648 | 2 d8c8177ab8dddb90a42ea03827eeb37 | 乐动体育官网下载Company_Doc.exe |
| 0 e809ef68d85e730190db2663ab914dfd6ccb4c355a051841366b3a5c91ada63 | 0 dd55da99e569959b4a338c5ef67e2b4 | Corp_pdf.exe |
| 2 be628add2ab1be6120026893c6a7a51dc0b3f81c7421349504a6010581aa427 | a54c10b1372f0dcc492d78349d7d2ad4 | Corp_Document.exe |
| 21 df8a331f272ed9b6b72509028af31612292c9f3c0776a4472b2b585c142648 | eeb42010fcbabf4079994a831637105f | 乐动体育官网下载Company_Doc.exe |
| 82年dbcaa7694a6e763300cee1d4b2ef6e65f6a65fd93663365ce032823984cb21 | 7 ef4f4eb66ea52a0f1471169e2a53758 | Corp_Document.exe |
| 2 c6b49185dea80c48dcdd1c316a0de3413ff52a67819a720419c630093b5e638 | 1 cd5e8bbd17c4764f9db10529bd25608 | 乐动体育官网下载Company_Doc.exe |
| 3941242436 e943fbfb7b1767aa2615bcc5637da3d939d3b06a1572de8bf044a1 | 5 af82b394bae65462bfb643933c09930 | Doc_21.12.exe |
| 4 c4b00621d0e57bcdf188174a539ca3c92a4fc96647eabe6d79c17ae04bd519d | f0cc16198bdf3ef628264794bf074817 | Corp_pdf.exe |
| 3985648 d781de545cf1209469454b88f7f6e54696b6a050dbb7ba2ba1eae2cec | c3ad311ea64ad7981b6451f47ff88202 | Corp_Document.exe |
| 436301 cb89dadecb6c6cefc043b8a4d8f47de2054b1e84e1612cf061cd14dc15 | 977年a7762afdecc0b1989b5f5451b7c6b | 乐动体育官网下载Company_Doc.exe |
| 44075 e5eb7ee76b006a8f4cf2bfee30dec3c5007c02f8657f956429bb976ea4b | d52710baa7cc837a628a5ef1c5cdfd92 | Doc_21.12.exe |
| bed288ad6037546ecfb9e912518583fefbb7685681a8ecfd5b27502735de20bd | b0c831758a9726010f13058e37c7c2c5 | Corp_Document.exe |
| 102年dca8d268dbbba33770459009d4d67e0d714b44523c28fce57ee83fe186a31 | e018926f81bf4599dedb4ae1696689b1 | Corp_pdf.exe |
| bbe896ab541c703d699f97311a30c2e07be98be1ebf7eed9a9a1fd7dfa2efb5b | de65816eca59774ffc2fa96cebcb68c8 | N/A |
| 69年aa97d3507d4ccf7dc0bd0a97cfe509edfbdf16734fcc40cd01d8dd659fd450 | 4 c52e80e6bb5452f42600ee7bb5c4ee7 | 视图Report.exe |
| 392年c73ffa3b1513cd8de9435d7e76320eff7f98db884eb6bc776c3b2bea7c77e | eea12082de2cbb26af85b4060c4baa34 | Corp_Document.exe |
| e1841e78c6dace694cc5172bac1068b9ede38a3623c5429a877eb1190d90a14d | bd7d9ae98ec2adf3c9e545b9567a4b8c | 乐动体育官网下载Company_Doc.exe |
其中一个示例“View Report.exe”是一个32位可执行文件,日期似乎来自2020年11月下旬,来自一个早期的、无文件记录的活动的一部分。其余的示例是在2020年12月21日活动当天编译的64位可执行文件。
此战役中的可执行文件使用相同的Sectigo代码签名证书进行签名,名称为“СКАРАБЕЙ”(俄语为“Scarab”),指纹值为“348F7E395C77E29C1E17EF9D9BD24481657C7AE7”。该证书已被颁发者撤销。
虽然签署了二进制文件并不是新到勒索软件或相关操作(有值得注意的签名示例,包括但不限于琉克而且LockerGoga变种),它们继续对用户构成威胁,因为许多应用程序和安全产品固有地信任代码签名项。
成功执行二进制文件(通过用户交互)后,恶意软件试图解析并连接到嵌入二进制文件中的最多两个命令和控制(C2)服务器中的一个。成功的连接允许对目标进行进一步的操作,包括攻击者控制植入物以发起进一步的命令或在受害者环境中横向移动。
相关的网络基础设施
正如引发此次调查的原始推文所指出的,有几个域名立即被确定与该活动有关。对样本的进一步调查和分析发现了下表所示的其他项目:
| 域 | 注册商 | 创建日期 | 知识产权 | 托管提供商 | SSL证书哈希 |
|---|---|---|---|---|---|
| birch-psychology。com | NAMECHEAP上公司 | 12/10/2020 | 192.236.155.212 | Hostwinds LLC。 | 2929年ea338eb1a9aeb83aa8dcf0814812505995b8 |
| busybjjj。com | NAMECHEAP上公司 | 12/10/2020 | 195.123.241.79 | ITL-Bulgaria有限公司 | 5 a8da3e012eee5505a04e09a1e323acbb1c14b86 |
| flourish-psychology。净 | NAMECHEAP上公司 | 12/10/2020 | 192.119.171.165 | Madgenius | b93e985da0cc7d540c4ebddf9136dbf948e7522a |
| flux-psychology。com | NAMECHEAP上公司 | 12/10/2020 | 107.152.32.121 | ServerCheap公司 | 4 ee5e1eaaab74ccb04010b735b75d5b3b98a29b8 |
| freekaratee。com | NAMECHEAP上公司 | 12/10/2020 | 94.140.114.152 | 新航Nano它 | dbd1959d1a0575219f265ed48bfe71ca422549bd |
| impactpsychcoloradoo。com | NAMECHEAP上公司 | 12/10/2020 | 185.82.127.115 | 新航Nano它 | 2852年cb1c32b90554e5fd2b6b8e494c45d1e66e83 |
| livingyoga-denver。com | NAMECHEAP上公司 | 12/10/2020 | 138.201.113.2 | Hetzner在线AG) | 52 b825408a1cb843e84d623e6506c29e807e1bd9 |
| ustfitf。com | NAMECHEAP上公司 | 12/10/2020 | 195.123.240.192 | ITL-Bulgaria有限公司 | e5add3d65ebeba577d383657148f92fd53f337f3 |
识别的网络基础设施作为入侵的下一个阶段。在安装恶意软件后,活动C2将被用于进一步利用受害者,导致可能的勒索软件活动。
转向和识别额外的项目
在这个阶段,我们作为辩护者在识别BazarLoader活动的指标和特征方面基本上处于“反应”状态。尽管基于指标和可观测数据的快速摄入和部署防御措施可能代表着对完全被动防御的改进,但仍有许多需要改进的地方。
相反,通过识别攻击活动的固有特征——包括其网络基础设施和恶意软件样本——我们都可以获得更多关于攻击者倾向的知识,同时启用针对这些倾向的防御。对于后者来说,这意味着根据对手的基本行为进行防御,而不是追逐那些由指标所代表的行为的具体例子。
网络可见
看看上面确定的领域,几个“主题”出现了:
- 典型的命名“主题”反映了当地服务提供商或小型企业实体,强调“清洁”公司。
- 为注册目的一致地使用NameCheap。
- 几乎独家使用“。com”顶级域名(TLD)。
- 2020年12月10日同日创建。
- 托管在各种相对较小的、关注隐私的虚拟私有服务器(VPS)提供商上。
- 使用Let 's Encrypt SSL证书进行加密通信。
作为之前由DomainTools记录,这些观察结果可用于挖掘额外的C2基础设施,以进行威胁搜索或先发制人的防御目的。不幸的是,乍一看,通过使用DomainTools Iris可视化绘制上述项目,在技术层面上似乎没有什么共同点,无法成功地转向其他基础设施。
然而,将重叠的有限技术细节(注册商、TLD使用和创建时间)与“主题”可观察对象(使用的命名约定)结合起来,可以使我们挖掘出额外的项目。
记住这个假设,寻找具有类似技术结构的项目,也反映“本地服务”或“本地业务”主题,我们可以通过DomainTools Iris识别以下内容:
| 域 | 创建日期 | 知识产权 | ISP | SSL证书哈希 |
|---|---|---|---|---|
| app-space-cleaner。com | 12/15/2020 | 46.4.76.174 | Hetzner在线AG) | d456b68598481ca23f7736828731c3730d641192 |
| babynameinspirations。com | 12/14/2020 | 135.181.154.50 | Hetzner在线AG) | N/A |
| bbdworld。净 | 12/18/2020 | 195.201.9.204 | Hetzner在线AG) | N/A |
| blacksockproductionss。com | 12/10/2020 | 192.119.162.84 | Madgenius | N/A |
| blueridgecabin-cleaning。com | 11/13/2020 | 94.140.115.253 | 新航Nano它 | 5392年b3c24963f7de3c3f7e0711d4f6eba4f0f31a |
| carwashevanstoon。com | 12/15/2020 | 94.140.114.54 | 新航Nano它 | a856e01b468b46f4316ef026bf74351ce27647c5 |
| cguschool。com | 12/9/2020 | 116.203.253.24 | Hetzner在线AG) | N/A |
| cleaning乐动体育官网下载company-online。com | 12/1/2020 | 192.227.231.237 | Virtual Machine 乐动体育网址Solutions LLC | 1 eab0efacfeb82bde18db1200ff03bb0526ac60d |
| coloradobudokann。com | 12/10/2020 | 195.123.233.78 | ITL-Bulgaria有限公司 | N/A |
| crowleycollegeprepp。com | 12/10/2020 | 107.152.42.146 | ServerCheap公司 | N/A |
| data1-posten。com | 12/7/2020 | 168.119.171.234 | Hetzner在线AG) | 30 f46401c6abd0c9a629c64259592b5c6ca974a6 |
| familyzstore。com | 12/11/2020 | 198.54.117.244 | Namecheap上。 | N/A |
| first-posten。com | 12/7/2020 | 168.119.171.234 | Hetzner在线AG) | N/A |
| form-feedback。com | 12/7/2020 | 178.63.220.179 | Hetzner在线AG) | 23 f3a3a27edcb956c33aa57c71abced34e6c454c |
| greatsfamily。com | 12/9/2020 | 198.54.117.244 | Namecheap上。 | N/A |
| injektorrx。com | 11/13/2020 | 94.140.114.187 | 新航Nano它 | 0 aec5a4f8860b44d77fb47f053e391c83aa36cfb |
| inmanheatingandcoollng。com | 12/15/2020 | 94.140.114.135 | 新航Nano它 | 66688 b898713f2d840985325d093e46e5fbbc0e6 |
| intlupdate。com | 12/8/2020 | 5.34.178.204 | ITL公司 | 35 d8a65cba2c02c4dcc7bb7e00680ae5c4aa4823 |
| johnnyclean-carwash。com | 12/1/2020 | 192.119.171.231 | Madgenius | a24abeb13e6ad93f9c82af26352d33a358c9c634 |
| johnnykashjewelsapp。com | 12/15/2020 | 195.123.237.139 | ITL-Bulgaria有限公司 | N/A |
| jordanbelforthiring。com | 12/16/2020 | 192.64.119.2 | Namecheap上。 | N/A |
| kizienservices。com | 12/9/2020 | 195.201.179.80 | HostMaster集团 | N/A |
| lovelyhomemart。com | 12/7/2020 | 176.9.29.52 | Hetzner在线AG) | 9 b48c3e61c1aa79155b725f5fd4f47bc755d0d2d |
| manageupdaternetwork。com | 12/17/2020 | 94.140.114.160 | 新航Nano它 | N/A |
| my-space-cleaner。com | 12/10/2020 | 46.4.76.174 | Hetzner在线AG) | b613424256682a4a4d4465a8b84741e4055f211b |
| newappday。净 | 12/9/2020 | 95.217.229.116 | Hetzner在线GmbH是一家 | N/A |
| niftythriftsteals。com | 12/13/2020 | 49.12.15.63 | Hetzner在线AG) | 630年a232a25964fbdb8031ecfd5860c7578210222 |
| nord-city。com | 12/11/2020 | 46.4.70.54 | Hetzner在线AG) | 179年e434d8e2b4c6190037f55bf94c1c766e58777 |
| 开放登记。com | 12/16/2020 | 198.54.117.197 | Namecheap上。 | N/A |
| posten-order。com | 12/7/2020 | 168.119.171.234 | Hetzner在线AG) | a6c19e7d55629da02919432bd5e92bd8395715e7 |
| pulsehomeowner。com | 12/14/2020 | 159.69.186.9 | Hetzner在线AG) | N/A |
| qureshisgym。com | 12/20/2020 | 95.216.159.168 | Hetzner在线GmbH是一家 | N/A |
| real-posten。com | 12/9/2020 | 135.181.94.39 | Hetzner在线AG) | N/A |
| rentinginnovations。com | 12/13/2020 | 159.69.186.9 | Hetzner在线AG) | N/A |
| rmflaging。com | 12/10/2020 | 94.140.115.145 | 新航Nano它 | N/A |
| service-masterss。com | 11/13/2020 | 141.136.0.3 | 新航Nano它 | N/A |
| speed-posten。com | 12/11/2020 | 135.181.94.39 | Hetzner在线AG) | N/A |
| stonyhand-carwash。com | 12/15/2020 | 138.201.112.173 | Hetzner在线AG) | N/A |
| tracking-posten。com | 12/7/2020 | 168.119.171.234 | Hetzner在线AG) | b62aed1d366c54148617c3c30f6883b0a92c4aa6 |
| trak-no-posten。com | 12/10/2020 | 135.181.94.39 | Hetzner在线AG) | N/A |
| trakaing-pass-posten。com | 12/9/2020 | 168.119.171.234 | Hetzner在线AG) | 1 fac7b2ae6b7ea5b7c032c9cd1f06db9844a6a72 |
| washguystxx。com | 12/4/2020 | 141.136.0.25 | 新航Nano它 | N/A |
| worldnewsfeed。净 | 12/15/2020 | 88.99.102.85 | Hetzner在线AG) | f852a683482e9fbab0044e0257eee159e0bdf044 |
这个清单很广泛,包括一些可能与这次活动无关的项目,但其他项目似乎很符合观察到的模式。例子包括:
blueridgecabin-cleaning。comcarwashevanstoon。comcleaning乐动体育官网下载company-online。comcoloradobudokann。comJohnnyclean-carwash[.]com stonyhand-carwash[.]com
这些项目构成了进一步的威胁搜索和CTI分析的基础。鉴于所有已识别的项目都是基于DomainTools风险评分算法标记为可能恶意的,防御者可用的选项包括将域和相关基础设施添加到封锁列表中作为预防措施,以及监控它们的进一步活动。例如,可以在各种服务(如DomainTools域监视)中标记上述调用的项目,以确定何时发生更改或文件关联。
文件模式
除了域模式外,与此活动相关的恶意软件样本还具有几个共性,可用于狩猎或警报目的,这取决于研究人员可用的工具和可见性。根据目前掌握的情况,我们有以下几点认识:
- 独家使用从云存储提供商下载的64位二进制文件。
- 在所有已知的示例中使用相同的Sectigo签名证书。
- 基于“公司报告”和类似主题变体的通用文件命名约定。乐动体育官网下载
- C2基础结构中的通用性。
从上面开始,DomainTools研究人员开始调查多个数据源,以获得类似的文件特征,以及与上一节中记录的网络旋转练习中所揭示的域相联系的项目。从这一点和对初步发现的后续分析中,DomainTools研究人员发现了2020年12月17-18日的另一个BazarLoader活动。观察到以下样品和C2结构域:
| SHA256 | MD5 | 文件名称 | C2 |
|---|---|---|---|
| b455c245254ebf9691dcf7f02323b42c5b34998a440fa1b8a0f981f0ce3e2bfb | f1672efcf0685d933fe104e1c4639a64 | N/A | johnnyclean-carwash。com |
| c9a66cff4c5b5d74545c1eabc9da4ecf618f9c72174150569daa58e843cee5e5 | c28b472f5162a4a58d29aed1f1b2fe06 | BonusReport.exe | johnnyclean-carwash。com, akbuilding-services[.]com |
| a7738dddb62919658c1fe3d339ccae6d0d2afe85a1bccccfce6f8a9ee6b4c5de | 356年bc937d6e70bbc75ed7a3c47a2f184 | AnnualDoc.exe | cleaning乐动体育官网下载company-online。com |
| 0 d848d9675e6e6d12d1d158b07b636db246e02145beb5db7ae9be36cb5e1c3ff | 872608 fe080163292505b2bc5e8880c0 | AnnualDoc.exe | johnnyclean-carwash。com |
| 68年ed893ae6ab2d7f00c3aacf46bc0c92966b647bcfe7e940a5d3ee55af01105a | 3 ec43f75ab39833054610e3e6f0cb217 | AnnualDoc.exe | johnnyclean-carwash。com |
| c67c3cc34905f4751e2f48363a0cf3cf69799f020687b6f5852058d3abd1c31d | a13275cb285c392c9ddc765d0f5f0754 | BonusReport.exe | johnnyclean-carwash。com |
| 7978年e198f7523d487e13a742101810d765c4ed191920d571ea51c99cc18eb795 | 8763年f3f259a7f7fb8e9e91cd3d6491c7 | N/A | johnnyclean-carwash。com |
| d33a8c70a8ae4f8eeb2f3708820486c0248edf340120f6380a8a3540e212a5dc | 946年c9c2574feaca8d674914faeeca65a | BonusReport.exe | johnnyclean-carwash。com |
| 9 b29924a22ef01cb9c3b8c98d5cc4508836427335d3949c93e7a4c50c2bd40d5 | 9014年ee7a206b40f1cf81de0918ff8c9f | AnnualReport.exe | cleaning乐动体育官网下载company-online。com, akbuilding-services[.]com |
| 75年a52886c5a83dd25cb7e7d393320ee439f7605dbe41818057fc34c1102bbfc1 | b8648e857b5e80920bd08a749b3d57ba | AnnualDoc.exe | cleaning乐动体育官网下载company-online。com |
| bcccb14658e8c1bee8107a2c314957c2bd9e505e73012b0aaa18df9fedf99248 | dd0c5c4d2cdf6f57be6c7f4d7e64f5fd | AnnualReport.exe | johnnyclean-carwash。com, maidtoorderfll[.]com |
| 56 c5bee33c17a453c900725f88efb0466fd928072c420955fa599b518b9dfcd2 | ee85e8c0956d2021732d9606120401f9 | AnnualReport.exe | cleaning乐动体育官网下载company-online。com, akbuilding-services[.]com |
| 898年f6e91c82bf23b5b95e0560292b1c610970b3062eeeb9980c75f954e5024a9 | 2946562 b29462362faf215bf7a2fcaa6 | BonusReport.exe | johnnyclean-carwash。com |
| 7 ed66b0d81958d709b7f3067f9bdc69c25cbb955506c4a812cf0b6b9a7590f0d | 949099803 fcee51754b88ad6d121fb46 | AnnualDoc.exe | johnnyclean-carwash。com |
| a32ed4b36d44c489341721920d27294cab78ad7bd970c8ac6baa3edc4337a600 | 5686年d8ae3dbaf2898116583c91adf368 | BonusReport.exe | homeclean-heroes。com |
| 288年d28f4d53d8e44d599a4d2f70b53d5b13f0827ad2b7a953a7a3cbd6e67bf25 | dfa0bc9da86deb5f9419d96d5dc60a64 | N/A | johnnyclean-carwash。com |
| ac696ef5a12039b72e408b6b14e08823c407ee652a6a36b7c33d01cd8d373497 | 67年c2474a2fb201491c0ff5ff7ab783ea | AnnualReport.exe | johnnyclean-carwash。com, akbuilding-servicex[.]com |
| 30 b2922c78a07dcd65a6f93886e7efcd6c3c883c70c2dc5f37cf41e50f240903 | f7079cd6f7bb70b8a341af27c62be1aa | AnnualReport.exe | johnnyclean-carwash。com |
在前一节中,通过与域旋转链接的C2基础结构确定了多个样本。虽然这似乎没有成功识别出“新的”项目(因为相关文件似乎从2020年12月17日至18日一直活跃,在发起活动引发本次调查之前),但它们的发现表明,可能域名列表中的其他项目可能与同一行为者的未来活动有关。此外,还揭示了一些C2域与前面记录的旋转无关的项目。例子包括:
akbuilding-services(。com Homeclean-heroes[。] com Maidtoorderfll。com
尽管在初步研究之外展示了C2域,但这些项目通过一个通用代码签名证书链接(同样来自Sectigo,已被颁发者撤销),证书名称为“ИНТЕЛЛИТ”(在高加索语中为“情报”),指纹为“1103DEBCB1E48F7DDA9CEC4211C0A7A9C1764252”:
虽然与12月21日活动使用的证书不同,但它反映了相似的主题和观察。这两种签名证书的一个共同点是前缀“OOO”,在俄语(及相关语言)中相当于“Ltd.”。虽然有许多合法实体可以并且确实在其名称中使用包含“OOO”的证书签署其软件,但对于与俄语或相关语言实体很少或没有商业联系的组织来说,这可能是一个强大的指示器,用于阻止或过滤包含此类语言的代码签名证书的文件。观察到的代码签名代表了针对本报告中观察到的恶意软件活动的全面防御计划的一个开始。
防御性建议和缓解措施
我们已经讨论了这个活动可能的警报项目的几个示例,范围从签名证书可观察对象到基础设施共性。然而,网络防御者必须协调并响应战役中的各种对手“信息”,以确保对入侵者操作的健壮和完整的防御。
首先,简单地识别新的或异常的网络流量(无论是电子邮件链接、用户交互还是编程通信)可以为网络安全状况带来奇迹。例如,到目前为止,通过DomainTools风险评分算法,分析中识别的所有域都被评为可能是恶意的。通过编程方式将网络安全监控或日志捕获(如代理日志)与威胁情报源(如DomainTools)绑定,防御者可以快速识别到新的、可能有风险的源的通信,并将其作为启动进一步调查的机制。如果采取及时的方式,这可以在勒索软件参与者的操作进行之前中断事件。
第二,组织必须适应恶意软件恶意使用代码签名的情况。在这一特定活动中,Sectigo的签名权限被滥用,用于签署恶意软件,以便交付和执行。从防守者的角度来看,我们不能完全不信任Sectigo(因为它被许多组织使用),但我们可以找到方法来缩小我们的信任程度,以减少攻击面。在目前讨论的活动的上下文中,识别“OOO”字符串(在俄语和相关语言中对应于“Ltd”)可能足以根据业务操作来区分可信和未知软件。识别这些“泄密”及其含义可以允许防御者获取甚至是可信的项目,例如代码签名证书,并缩小其环境中真正允许或可接受的内容与异常或可疑的内容之间的差距。
最后,上面概述的整个感染链依赖于用户与钓鱼消息交互,然后从云存储位置执行未知二进制文件。这些项目代表了防御反应和监控的关键接触点——以及用户教育。通过电子邮件安全监控,组织可以识别、分类和过滤供应商,例如登录页面和响应邮件,以减少攻击面。此外,组织可以限制或完全阻止从外部云存储位置下载文件(或至少是可执行文件),以进一步降低风险。最后,可以通过训练或操作系统控制来限制未知(即使有符号)二进制文件的用户的执行,以消除这种攻击序列的最终阶段。
总的来说,网络通信的可见性,在外部CTI源的支持下改进这些通信的能力,并将其与基于主机或以恶意软件为中心的观察相结合,将使防御者能够识别、跟踪,并有希望减轻如上所述的潜在勒索软件事件。这种完整的杀死链方法,与BazarLoader类似2019年的红金丝雀,确保在敌方行动的不同阶段被发现。通过一致的努力和持续的改进,防御者将能够识别其环境中的“正常”活动,并将其与可能与恶意操作相关的异常流量进行设置。因此,受保护的组织可以获得一些时间来应对入侵者,建立主动的或先发制人的防御,以限制活动的暴露。
结论
在此分析中,我们确定了一个最初的活动,并使用相关项目揭示了一个稍早的勒索软件活动,可能与同一对手有关。通过以连续、迭代的方式应用这一过程,我们作为网络防御者和CTI专业人员可以不断减少对手的移动范围和程度,改善网络防御的前景。通过DomainTools等来源将网络安全监视与网络指示器丰富结合起来,可以揭示正在进行的活动,而后续与基于文件的观察的关系可以巩固这些视图,以实现整体网络防御。最终,网络防御者必须利用所有可用的资源,以充分响应和检测此类威胁,以最小化对手驻留时间和最大化防御者的响应和恢复机会为目标。
