2020年12月,SolarWinds攻击席卷全球。虽然供应链攻击已成为许多APT攻击者使用的记录在案的攻击媒介,但由于攻击者的极度谨慎和受害者的高价值,这一特殊的活动脱颖而出。据信,当FireEye发现该活动的第一个攻击样本时,攻击者(DarkHalo又名Nobelium)已经一年多没有使用它了。到目前为止收集的证据表明,DarkHalo在OrionIT的网络中花费了六个月的时间来完善他们的攻击,并确保他们对供应链的篡改不会产生任何不利影响,从而降低了被发现的可能性。第一个恶意更新于2020年3月分发给SolarWinds用户,其中包含名为Sunburst的恶意软件。研究人员只能假设DarkHalo使用此访问权限收集情报,直到他们被发现的那一天。恶意活动的时间线如下:卡巴斯基的GReAT团队也调查了这次供应链攻击,并发布了两篇相关博文:2020年12月,研究人员分析了一个恶意植入的基于DNS的协议,并确定它泄露了受害者的身份被DarkHalo选择用于进一步开发。一个月后,研究人员发现了Sunburst和Kazuar之间有趣的相似之处,Kazuar是另一个与帕洛阿尔托的Turla相关的恶意软件家族。2021年3月,FireEye和Microsoft发布了有关活动期间使用的第二阶段恶意软件Sunshuttle(又名GoldMax)的更多信息。2021年5月下旬,微软还将一场冒充美国组织的鱼叉式网络钓鱼活动归因于Nobelium。但此时,蛛丝马迹已经荡然无存:DarkHalo早已停止运作,后续的袭击也与他们无关。DNS劫持今年晚些时候,也就是6月,研究人员的内部系统检测到一个成功的DNS劫持样本,影响了独联体成员国的多个政府区域。这些事件发生在2020年12月至2021年1月的短时间内,使攻击者可以将流量从政府邮件服务器重定向到他们控制的设备。在这些不同的时间范围内,上述区域的权威DNS服务器被切换为攻击者控制的解析器。大多数这些劫持都是相对短暂的,并且似乎以受影响组织的邮件服务器为目标。虽然研究人员不知道攻击者是如何做到这一点的,但可以假设他们以某种方式获得了受害者使用的注册商控制面板的凭据。当恶意重定向处于活动状态时,访问者将被定向到模仿原始页面的网络邮件登录页面。由于攻击者控制了他们劫持的各个域,因此他们能够从证书加密中获得所有这些虚假页面的合法SSL证书,使得未受过教育的访问者很难注意到此次攻击。毕竟,他们通常会连接到URL并登陆安全页面。十分之九,攻击者设置了恶意的网络邮件登录页面,在这些页面中输入的任何凭据都会被攻击者捕获并在后续攻击阶段重复使用。在某些情况下,他们还会在页面中添加一条消息,以诱骗用户安装恶意“安全更新”。在上面的屏幕截图中,消息内容为:“为了继续使用您的电子邮件服务,您需要安装安全更新:下载更新”。该链接指向一个可执行文件,该文件是一个以前未知的恶意软件家族的下载程序,研究人员现在将其命名为Tomiris。TomirisTomiris是一个用Go编写的后门程序,它不断查询其C2服务器以获取可执行文件以在受害者系统上下载和执行。在采取任何行动试图击败基于沙盒的分析系统之前,它至少会休眠9分钟。它通过创建和运行包含以下命令的批处理文件来建立计划任务的持久性:SCHTASKS/CREATE/SCDAILY/TNStartDVL/TR"[pathtoself]"/ST10:00C2服务器地址没有直接嵌入到Tomiris中:相反,它连接到Signal服务器,后者提供后门应连接到的URL和端口。然后Tomiris向该URL发送GET请求,直到C2服务器以以下结构的JSON对象响应:{"filename":"[filename]","args":"[arguments]","file":"[base64-encodedexecutable]"}该对象描述了一个可执行文件,该文件下载到受害者设备上并使用提供的参数运行。这个功能,以及Tomiris除了下载更多工具之外没有其他功能的事实,表明这个工具集还有其他部分,但不幸的是,到目前为止,研究人员无法恢复它们。研究人员还发现了一个Tomiris变体(内部命名为“SBZ”,MD551AA89452A9E57F646AB64BE6217788E),它充当文件窃取器并将任何具有一组硬编码扩展名(.doc、.docx、.pdf、.rar等)的文件转换为匹配最新文件上传到C2。最后,在这次调查中发现的一些线索表明,Tomiris的开发者可能会说俄语,但这不太可靠。Tomiris连接在分析Tomiris时,研究人员注意到与上面讨论的Sunshuttle恶意软件有许多相似之处:(1)这两种恶意软件都是用Go开发的,带有可选的UPX包。(2)配置文件中使用相同的分隔符(“|”)来分隔元素。(3)在两个家族中,使用相同的加密/混淆方案对配置文件进行编码并与C2服务器通信。(4)根据微软的报告,Sunshuttle也依赖定时任务进行持久化。(5)两个系列都更依赖于随机性:Sunshuttle随机化其引荐来源网址和诱饵URL以产生良好的流量,它还在每个请求之间休眠5-10秒(默认情况下)。Tomiris在执行期间的不同时间为其休眠的基准时间添加随机延迟(0-2秒或0-30秒,具体取决于上下文)。它还包含一个目标文件夹列表,用于删除程序随机选择的已下载可执行文件。Tomiris和Sunshuttle在每次免费调用之前都使用Now()的输出重新播种RNG。(6)两个恶意软件家族在执行期间都经常休眠以避免产生过多的网络活动而无法检测到。(7)这两个程序的总体工作流程,尤其是将功能分配到函数中的方式,感觉如此相似,以至于这位分析师认为它们可能是一起开发的。就像当准备步骤完成时,程序的主循环如何转移到一个新的goroutine,让主线程几乎永远处于非活动状态。(8)在Tomiris(“isRunned”)和Sunshuttle(“EXECED”而不是“executed”)字符串中都发现了英文拼写错误。单独来看,两者都不足以将Tomiris和Sunshuttle联系起来。虽然证据仍然薄弱,但研究人员想要提供的最后一条间接证据是发现网络中感染了Tomiris的其他设备也感染了Kazuar后门。不幸的是,可用数据不允许我们确定恶意程序是否导致了另一个恶意程序的部署,或者它们是否源自两个独立事件。下图总结了研究人员能够在本文提到的三个恶意软件系列之间找到的薄弱环节:最后,许多线索表明Sunburst、Kazuar和Tomiris之间存在非常紧密的联系,但感觉仍然缺少最直接的联系证据,允许研究人员将它们全部归因于一个攻击者。目前的证据推测,由于Sunshuttle的高调性,其他攻击者可能故意试图复制其设计以误导分析师。据研究人员所知,最早的Tomiris样本出现??在2021年2月,即Sunshuttle被发现的前一个月。虽然此时其他APT可能已经意识到该工具的存在,但研究人员认为,他们不太可能在该工具被披露之前试图模仿它。一个更有可能(但未经证实)的假设是,Sunshuttle的开发人员早在2020年12月左右就开始开发Tomiri。总结如果研究人员对Tomiris和Sunshuttle之间联系的猜测是正确的,那么它可以让研究人员更好地了解攻击者在被发现后如何针对新的攻击进行重构。本文翻译自:https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/
