希望做的事情能给更多的人提供帮助
事件是真实发生的,时间约今年5月份,我们收到外界情报,具体信息如下:
近日微软的安全情报团队发现了新型恶意软件攻击,通过包含恶意的 PDF 附件进行大规模传播。这些 PDF 附件中包含了名为 StrRAT,这是一个可远程访问的木马程序,可用于窃取密码和用户凭证。除了窃取凭证甚至控制系统之外,微软研究人员还发现,这种恶意软件可以将自己伪装成伪造的勒索软件。微软表示:“一旦系统被感染,StrRAT 就会连接 C2 服务器。1.5版明显比以前的版本更加模糊和模块化,但后门功能大多保持不变:收集浏览器密码,运行远程命令和PowerShell,记录键盘输入等等”。
该报告链接如下:
https://netsecurity.51cto.com/art/202105/663902.htm(国内翻译过来的)
安全人员也第一时间跟进分析,首先这份报告不是微软的原始报告,需要找一下原始的,最好是英文,还原一下真实语境(上述国内翻译的味道变了):
原始推特如下:
https://twitter.com/MsftSecIntel/status/1395138351917764608
过仔细阅读理解确认以下几点:
样本通过邮件投递,附件为pdf,受害者点击pdf后会下载感染StrRAT,(pdf!=落地样本)进而中招,主题包括:《PL-REM -40310EMEA02(0085)》、《Payment Advice Note from:05/10/2021》,附件名称包含:Remittance E-MAIL Layout-11.pdf等,其他信息的话,就是微软给的这个链接了:
We have also published advanced hunting queries to help defenders locate indicators and malicious behaviors related to STRRAT and similar threats in their environments: https://aka.ms/StrRATAHQ(还是很贴心呀,还给了查询语句)
然后我们好好读读hunting queries:
先看看这个github:https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries,我仔细阅读了下发现对于安全运营帮助很大,经毕竟是微软出的,微软自身的xdr解决方案,下面贴一些链接和图片:
https://www.microsoft.com/zh-cn/security/business/threat-protection/microsoft-365-defender
https://docs.microsoft.com/zh-cn/microsoft-365/security/defender-endpoint/security-operations-dashboard?view=o365-worldwide
下面注重介绍下这个case的一些hunting方案:
1、Defense evasion的检测:StrRAT-AV-Discovery.md(https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Campaigns/StrRAT malware/StrRAT-AV-Discovery.md)
检测语句及分析:
StrRAT样本初始化的进程是java且cmd会执行这句path antivirusproduct get displayname(可能是微软安全员逆向或者运行发现的特征),因为是基于java的远控马:
2、Initial access的检测:StrRAT-Email-Delivery.md(https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Campaigns/StrRAT malware/StrRAT-Email-Delivery.md)
检测语句及分析:
3、Persistence的检测:
StrRAT-Malware-Persistence.md(https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Campaigns/StrRAT malware/StrRAT-Malware-Persistence.md)
检测语句及分析:
初始进程是java,调用cmd建立名称为 Skype的计划任务来实现持久化。
Tips:
通过以上信息发现只有域名,但是没有样本,虽然微软已经把此次样本运行后的一些特征写成了规则,但是实际上样本啥样的?
VT大法好,通过查询以上提及的域名终于在”adamridley.co.uk“找到了样本,以此判断可能受害者点击附件中pdf的downloader链接就是这个了,下载1个沙箱上分析下:
https://www.virustotal.com/gui/domain/adamridley.co.uk/relations
VT下载+沙箱VNC+人工分析结果,这块依赖于各家沙箱不同结果可能也不尽相同,但是基本符合微软给出的hunting语句,下面看下截图吧:
这块着重说下:这是downloader下载的jar文件,图标和pdf还真不像,一开始看到翻译说“PDF 附件中包含了名为 StrRAT,这是一个可远程访问的木马程序”,就在想中招场景,知道看到这个和推特原文才明确了场景:用户点击pdf(有可能是一个pdf的图片)下载了这个jar,然后点击jar进而中招。
通过沙箱我们发现了有些东西其实微软也没有披露,包括:该样本会通过更改Registry Run Keys 实现持久化、建立计划任务,C2域名解析等等
综上我们从威胁情报中提取了我们需要查询的IOC如下:
还有一些详细细节包括:释放并加载dll然后删除,解析C2域名并通信等就不一一说了。
梳理关键信息:
1、mail主题+附件,名称、文件类型等;
2、发件人邮箱域名等;
3、样本downloader和通信C2,相关样本的md5、样本运行完以后的行为(建立计划任务、java马进程名称等)
正常我们会列一个list然后开始hunting:
这块就不贴具体的图了,简单描述下吧:
1、邮件侧:
查询邮件中发件人邮箱包含以上域名:* co.uk*的发件人。
邮件中包含以上主题和附件名称相关的邮件,重点排查一下。
2、流量侧:
包括download域名、通信、样本通信特征(这个目前好像没啥具体规则,没有仔细分析)
查询DNS解析日志查询解析C2域名的流量行为
3、终端上(XDR hunting最多的就是这个了,但是本身端上能力不同,查询的东西可能也不尽相同,还是按照实际能力是查询):
查询:文件名称查询、文件md5查询、进程名包含java、计划任务名称为Skype、C2域名解析,以上可疑java调用注册表的行为等
tips:也是通过主题搜索找到一封邮件主题和本次主题一致,但是跟进后发现非攻击(联系员工、提取邮件原文、询问、pdf沙箱交互等)
一次简单的甲方视角下的情报响应,还是比较流畅的,这种case的贯穿很考验甲方的安全能力建设,例如:邮件、沙箱、流量建设、端上能力等等
1、 邮件钓鱼作为目前攻击方式最流行的方式之一,目前还是最火的战场之一,甲方的邮件安全建设过程更是不同,有的是使用的一些公开邮箱,有的是自己的邮箱服务器,事前有准备,事后才能有能力;
2、 流量侧作为关键性证据,虽然目前针对于加密流量还不能完美应对,但是一些基础数据还是有必要变成log作为证据的,无论是自身安全需求还是等保合规,一般甲方都会进行分自研还是商采,商采最安心同时也是不一定会符合甲方应用场景。
3、 端上,国内可能这点是最薄弱的,端上能力不完全、采集日志丢失、数据混乱等等原因问题还是比较多的,但是不得不说在一定程度上还是起了关键作用,笔者之前一直在做流量侧的分析,脑洞最大的就是流量发现问题,端上找不到具体程序的问题,后来有机会发现之前的问题一步一步都解决了。
4、 就是甲方的安全人员往往能力不齐导致实际hunting效果也不同,这个case还是IT那边传过来的我们跟进的,内部处理的case不能形成知识库,难以传承。