土地から離れて暮らす?自分の島を持ち込んでみませんか? UNC1945 の概要

SLAPSTICK backdoor welcome banner news

侵入に関する Mandiant の調査を通じて、FLARE Advanced Practices チームは、UNC1945 として追跡しているグループがマネージド サービス プロバイダーを侵害し、サードパーティ ネットワークへのアクセスを利用して、金融および専門コンサルティング業界内の調整された一連の標的に対して活動していることを観察しました (この ブログ投稿を参照)。 「UNC」グループの詳細な説明について)。

UNC1945 は、Oracle Solaris オペレーティング システムを標的とし、Windows および Linux オペレーティング システムに対していくつかのツールとユーティリティを利用し、カスタム仮想マシンをロードして操作し、検出を回避するための手法を使用しました。 UNC1945 は、複数のオペレーティング システムのエクスプロイト、ツール、およびマルウェアへのアクセス、それらの活動の隠蔽または操作に対する規律ある関心、およびインタラクティブな操作中に高度な技術的能力を示しました。

Mandiant は、Oracle の2020 年 10 月のクリティカル パッチ アップデートで対処されたCVE-2020-14871を発見し、Oracle に報告しました。 Mandiant は、高度なセキュリティ体制を確保するために、現在のすべてのパッチ更新を最新の状態に保つことをお勧めします。この脆弱性については、フォローアップのブログ記事で詳しく説明します。

UNC1945 攻撃のライフサイクル

攻撃者は、Unix 環境内で独自の TTP (戦術、技法、および手順) を利用することで経験と快適さを実証し、Microsoft Windows オペレーティング システムでの操作の容易さと併せて高度な洞察力を実証しました。彼らは、複数のセグメント化されたネットワークをナビゲートし、サードパーティのアクセスを活用して、最初の被害者をはるかに超えて運用を拡張することに成功しました.さらに、UNC1945 は、検出とフォレンジックを回避するためのカスタム ツールセットに加えて、エクスプロイト後のツールで事前構成された複数の仮想マシンから動作していました。

最初の妥協

2018 年後半、UNC1945 は Solaris サーバーへのアクセスを取得し、SLAPSTICK として追跡するバックドアをインストールして、接続の詳細と資格情報を取得し、さらなる侵害を助長しました。このサーバーの SSH サービスは、脅威活動の最初の証拠を観察したのと同時に、インターネットに公開されていました。残念ながら、利用可能な証拠が不十分なため、次の活動の兆候は 2020 年半ばであり、その時点で別の Solaris サーバーが攻撃者のインフラストラクチャに接続していることが観察されました。これは、回収されたアーティファクトに基づくと、約 519 日間の滞留時間を示しています。

  • 2018 年後半の最初のアクセスがどのように達成されたかを特定することはできませんでしたが、SSH サービスが当時インターネットに直接公開されていたため、被害者の Solaris 10 サーバーへの直接の UNC1945 SSH 接続が成功したことを確認しました。
  • 2020 年半ば、私たちは UNC1945 が EVILSUN (CVE-2020-14871 のゼロデイ エクスプロイトを含むリモート エクスプロイト ツール) を Solaris 9 サーバーに展開したことを確認しました。当時、サーバーから攻撃者の IP アドレスへの接続がポート 8080 経由で観測されました。
    • Mandiant は CVE-2020-14871 を発見し、報告しました。これは、最近パッチが適用された Oracle Solaris Pluggable Authentication Module (PAM) の脆弱性であり、複数のプロトコルを介したネットワーク アクセスを持つ認証されていない攻撃者がオペレーティング システムを悪用して侵害することを可能にします。
    • 2020 年 4 月のブラック マーケット Web サイトの投稿によると、「Oracle Solaris SSHD リモート ルート エクスプロイト」は約 3,000 米ドルで入手可能であり、EVILSUN と識別できる可能性があります。
    • さらに、インターネットに公開されている Solaris サーバーに、認証なしでリモートから悪用される可能性を含む重大な脆弱性があることを確認しました。

足場を確立し、持続性を維持する

攻撃者は、Solaris Pluggable Authentication Module バックドア (SLAPSTICK と呼ばれます) を使用して、Solaris 9 サーバーに足場を築きました。これにより、ハードコードされた秘密のパスワードを使用してシステムへのユーザー アクセスが容易になり、攻撃者は権限をエスカレートして持続性を維持することができました (図 1 を参照)。

  • ログ –font –unix | /usr/lib/ssh/sshd sshd kbdint – can <Encoded Password> <IP REDACTED> Magical Password
  • auth.info | sshd[11800]: [ID 800047 auth.info] <IP REDACTED> ポート 39680 ssh2 から root のキーボード インタラクティブを受け入れました
  • auth.notice | su: [ID 366847 auth.notice] ‘su root’ – /dev/pts/31 で netcool に成功しました

図 1: SLAPSTICK のログ

最初の被害者で、UNC1945 は正当な pam_unix.so ファイルのコピーと SLAPSTICK を /lib64/security フォルダに配置しました。その 1 日後、脅威アクターは、Mandiant が LEMONSTICK と名付けたカスタム Linux バックドアを同じワークステーションに配置しました。 LEMONSTICK の機能には、コマンドの実行、ファイルの転送と実行、およびトンネル接続を確立する機能が含まれます。 (図 2 を参照)。

  • FileItem:変更されました | /usr/lib64/security/pam_unix,so [57720]
  • 監査ログ | user pid=10080 uid=0 auid=0 msg=’PAM: session close acct=root” : exe=”/usr/sbin/sshd” (hostname=1.239.171.32, addr=1.239.171.32, terminal=ssh res=成功)'”
  • FileItem:アクセス済み | /var/tmp/.cache/ocb_static

図 2: SLAPSTICK の UNC1945 配置

UNC1945 は、ホストがインターネットに直接アクセスできないにもかかわらず、SSH ポート フォワーディング メカニズムを使用して外部インフラストラクチャへのアクセスを取得し、維持していました。 SSH ポート フォワーディングは、暗号化された SSH 接続 (トンネリング) を介して任意のネットワーク データを転送するために、SSH プロトコルに実装されたメカニズムです。この機能は、ファイアウォールを通過する、またはインターネットから内部ネットワークにアクセスする悪意のあるレガシー アプリケーションに暗号化を追加するために使用できます。私たちが観察した UNC1945 構成は、ホスト エイリアス、指定されたオプション、およびオプションの順序に関して同様の構造になっています (図 3 を参照)。

config1 config2
ホスト <編集済み>
HostName <編集済み>
ポート 900
ユーザー <編集済み>
IdentityFile <編集済み>
KbdInteractiveAuthentication いいえ
パスワード認証なし
NoHostAuthenticationForLocalhost はい
StrictHostKeyChecking いいえ
UserKnownHostsFile /dev/null
リモート転送 33002 127.0.0.1:22
ホスト <編集済み>
HostName <編集済み>
ポート 443
ユーザー <編集済み>
IdentityFile <編集済み>
KbdInteractiveAuthentication いいえ
パスワード認証なし
NoHostAuthenticationForLocalhost はい
StrictHostKeyChecking いいえ
UserKnownHostsFile /dev/null
サーバーアライブ間隔 30
ServerAliveCountMax 3
RemoteForward 2224 <編集済み>:22

図 3: さまざまなインシデントで UNC1945 が使用する SSH 構成ファイル

この多段階操作の一環として、UNC1945 はカスタム QEMU 仮想マシン (VM) を複数のホストにドロップし、「start.sh」スクリプトを起動して任意の Linux システム内で実行しました。このスクリプトには、攻撃者が SSH トンネルと組み合わせて使用できる TCP 転送設定が含まれており、攻撃者の VM からコマンド アンド コントロール サーバーへの直接アクセスを可能にして、顧客のインフラストラクチャとのやり取りを難読化していました。 VM は、プリロードされたスクリプトとツールを備えたTiny Core Linux OSのバージョンを実行していました。また、UNC1945 の全体的な運用タイムラインと一致する仮想マシン ファイル システムのタイムスタンプを分析しました。

VM には、ネットワーク スキャナ、エクスプロイト、偵察ツールなど、多数のツールが含まれていました。 Tiny Core Linux プリロード ツールには、Mimikatz、Powersploit、Responder、Procdump、CrackMapExec、PoshC2、Medusa、JBoss Vulnerability Scanner などが含まれます。

運用上の可視性を低下させる取り組みには、揮発性メモリに保存された一時ファイル システム マウント ポイント内にツールと出力ファイルを配置することが含まれていました。さらに、UNC1945 は組み込みユーティリティと公開ツールを使用して、タイムスタンプを変更し、Unix ログ ファイルを選択的に操作しました。

UNC1945 は、LOGBLEACH という名前のカスタム ELF ユーティリティを使用したアンチフォレンジック手法を採用していました。図 4 に示すように、攻撃者は組み込みの Linux コマンドを使用してファイルとディレクトリのタイムスタンプを変更し、LOGBLEACH を使用してログをクリーンアップしてフォレンジック分析を阻止しました。

$ ./b -C -y -a
$ など b /usr/lib64/libXbleach.so.1
$cd/usr/lib64/
$ touch – acm – r librpmio.so.3.2.2
$touch -acm -r libyaml-0.so.2

図 4: ログブリーチ

アクティビティをさらに難読化するために、STEELCORGI という名前の Linux ELF パッカーが Solaris システムのメモリ内で実行されました。このマルウェアには、デバッグ防止、トレース防止、文字列の難読化など、さまざまな分析防止技術が含まれています。環境変数をキーとして使用して、最終的なペイロードを解凍します。

権限の昇格とラテラル ムーブメント

足場の確立に成功した後、UNC1945 は資格情報を収集し、権限をエスカレートし、複数のネットワークを横方向に移動することに成功しました。

UNC1945 は、SLAPSTICK および Mimikatz などのオープン ソース ツールを介して資格情報を取得しました。これにより、ネットワーク全体で簡単にラテラル ムーブメントを実行し、ネットワークの他のセグメントやサードパーティ環境にすぐにアクセスできるようになりました。 SLAPSTICK によって収集された盗まれた資格情報は、SSH 経由で顧客のネットワークを横断し、SLAPSTICK を追加のホストに展開するために使用されました。認証に成功すると、SLAPSTICK はウェルカム メッセージを表示します (図 5 参照)。

SLAPSTICK backdoor welcome banner
図 5: SLAPSTICK バックドア ウェルカム バナー

UNC1945 は ProxyChains を使用して、PUPYRAT をダウンロードしました。PUPYRAT は、主に Python で記述されたオープン ソースのクロスプラットフォーム多機能リモート管理およびエクスプロイト ツールです。

標的の 1 つで、攻撃者は仮想マシンを使用して、Linux および HP-UX エンドポイントを標的とする SSH のブルート フォース攻撃を開始しました。一見ランダムなユーザー名から始まり、正規の Linux および Windows アカウントに移行することで、攻撃者は Linux エンドポイントで SSH 接続を確立することに成功しました。 HP-UX エンドポイントと Linux エンドポイントでの権限昇格に成功した後、UNC1945 は SLAPSTICK、TINYSHELL、OKSOLO の 3 つのバックドアをインストールしました。

UNC1945 は、Microsoft Windows 環境で IMPACKET を SMBEXEC とともに使用して、ペイロードをターゲットにアップロードする必要なくリモートでコマンドを実行することを確認しました。 SMBEXEC は、攻撃者が PsExec のように動作できるようにしますが、RemComSvc を使用しません。攻撃者に利益をもたらすこのツールの主な使用方法は 2 つあります。共有モードでは、すべてが実行される共有を指定できます。サーバー モードでは、実行されたコマンドの出力が、ターゲット マシンによってローカル共有フォルダーに送り返されます。

被害者の 1 人では、UNC1945 がリモート デスクトップ プロトコル (RDP) 経由で Windows サーバーに横方向に移動してから、サーバー マネージャー パネルを表示し、RDP 関連のシステム ファイアウォール ルールを表示および変更し、2 つのエンドポイント セキュリティ サービスのアプリケーション設定をチェックすることを確認しました。

内部偵察

Mandiant の調査では、攻撃者が被害者のネットワークとやり取りするためのさまざまなツールを保持していることが判明しました。カスタム ツールに加えて、UNC1945 VM にはさまざまなツールが含まれていました (ネットワーク スキャナー、エクスプロイト、偵察など。関連するツールとマルウェアのセクションを参照してください)。

一部の侵入では、UNC1945 は偵察ツールとして特定された SPARC 実行可能ファイルを使用していました。公開されている情報に基づくと、この実行可能ファイルは Luckscan または BlueKeep と呼ばれる可能性があり、後者は BKScan ツールキットの一部です (図 6 を参照)。

攻撃者が使用する SPARC 実行可能偵察ツールのコマンド ライン
図 6: 攻撃者が使用する SPARC 実行可能偵察ツールのコマンドライン

オープン ソースによると、「bkscan」スキャナーとしても知られる BlueKeep は、非認証と認証の両方で動作します (つまり、ネットワーク レベル認証が有効になっている場合)。 BlueKeep (CVE-2019-0708) は、Microsoft のリモート デスクトップ プロトコル (RDP) 実装で発見されたセキュリティの脆弱性であり、リモートでコードが実行される可能性があります。

ミッションを完了する

この多段階の作戦にもかかわらず、Mandiant はデータ流出の証拠を観察せず、調査したほとんどの侵入について UNC1945 の任務を特定できませんでした。少なくとも 1 つのケースで、攻撃者の活動の最終段階で ROLLCOAST ランサムウェアの展開が確認されましたが、Mandiant はこの活動が UNC1945 によるものであるとは考えていませんでした。この時点で、被害者の環境へのアクセスが別のグループに売却された可能性があります。

結論

UNC1945 がこのキャンペーンを実行した際の悪用の容易さと幅広さは、洗練された執拗な攻撃者がさまざまなオペレーティング システムを快適に悪用し、リソースや多数のツールセットにアクセスできることを示唆しています。 Mandiant は、前述の要因、ゼロデイ エクスプロイトと仮想マシンの使用、および複数のサードパーティ ネットワークを横断する能力を考慮して、この意欲的な脅威アクターが、セキュリティの可視性が不十分である可能性が高いオペレーティング システムを利用しながら、主要な業界に対する標的型操作を継続すると予想しています。 .

関連するツールとマルウェア ファミリ

EVILSUN は、SSH キーボード インタラクティブ認証によって公開される脆弱性 (CVE-2020-14871) を使用して、SPARC または i386 アーキテクチャの Solaris 10 および 11 システムへのアクセスを取得するリモート エクスプロイト ツールです。リモート エクスプロイト ツールは、コマンド ラインで渡されたホストへの SSH 接続を確立します。デフォルトのポートは通常の SSH ポート (22) ですが、これはオーバーライドされる可能性があります。 EVILSUN は、ハンドシェイクの一部として、バナー文字列 SSH-2.0-Sun_SSH_1.1.3 をクリア テキストで接続を介して渡します。

LEMONSTICK は、バックドア機能を備えた Linux 実行可能コマンド ライン ユーティリティです。バックドアは、ファイルの実行、ファイルの転送、およびトンネル接続を行うことができます。 LEMONSTICK は 2 つの異なる方法で開始できます: `-c` コマンド ライン引数 (オプション ファイルを使用) を渡す方法と、’OCB’ 環境変数を設定する方法です。 `-c` コマンド ライン引数で起動すると、LEMONSTICK は対話型シェルを生成します。 OCB モードで起動した場合、LEMONSTICK は STDIN からの読み取りを想定しています。 STDIN データは、blowfish アルゴリズムで暗号化されることが期待されます。復号化後、名前に基づいてコマンドをディスパッチします。たとえば、「ターミナル コマンドを実行する」、「リモート システムに接続する」、「ファイルを送信して取得する」、「ソケット接続を作成する」などです。

LOGBLEACH は、コマンド ラインから提供されるフィルタに基づいて、指定されたログ ファイルからログ エントリを削除する主要な機能を持つ ELF ユーティリティです。次のログ ファイルはマルウェアにハード コードされていますが、追加のログ パスが指定される場合があります。

  • /var/run/utmp
  • /var/log/wtmp
  • /var/log/btmp
  • /var/log/ロードログ
  • /var/ログ/失敗ログ
  • /var/log/syslog
  • /var/ログ/メッセージ
  • /var/log/セキュア
  • /var/log/auth.log

OKSOLO は、シェルを特定のポートにバインドする一般公開されているバックドアです。パスワード認証をサポートするようにコンパイルするか、ルート シェルにドロップすることができます。

OPENSHACKLE は、ログオンしているユーザーに関する情報を収集してファイルに保存する偵察ツールです。 OPENSHACKLE は、Windows イベント マネージャーのコールバックを登録して永続化を実現します。

ProxyChains を使用すると、SSH、TELNET、VNC、FTP、およびその他のインターネット アプリケーションを HTTP (HTTPS) および SOCKS (4/5) プロキシ サーバーの背後から使用できます。この「プロキシファイア」は、あらゆるアプリケーションにプロキシ サーバーのサポートを提供します。

PUPYRAT (別名 Pupy) は、オープン ソース、マルチプラットフォーム (Windows、Linux、OSX、Android)、多機能の RAT (リモート管理ツール)、および主に Python で記述されたポスト エクスプロイト ツールです。オールインメモリ実行ガイドラインを備えており、フットプリントが非常に小さくなっています。さまざまなトランスポートを使用して通信し、プロセスに移行し (リフレクティブ インジェクション)、リモートの Python コード、Python パッケージ、および Python C 拡張機能をメモリから読み込むことができます。

STEELCORGI は、実行環境からのキー マテリアルを使用してペイロードを復号化する Linux ELF プログラム用のパッカーです。マルウェアは、最初の起動時に、数値を含む最大 4 つの環境変数を見つけることを期待しています。マルウェアは、環境変数の値をキーとして使用して、実行する追加データを復号化します。

SLAPSTICK は、ハードコードされた秘密のパスワードを使用してシステムへのアクセスをユーザーに許可する、Solaris PAM バックドアです。

TINYSHELL は、標準のリモート シェル ツール (rlogin、telnet、ssh など) の軽量なクライアント/サーバー クローンであり、バックドアとして機能し、リモート シェルの実行とファイル転送を提供します。

検出

  • FE_APT_Trojan_Linux_STEELCORGI_1
  • FE_APT_Trojan_Linux_STEELCORGI_2
  • FE_HackTool_Linux64_EVILSUN_1
  • FE_HackTool_Linux_EVILSUN_1
  • HackTool.Linux.EVILSUN.MVX
  • HXIOC UUID: e489ce60-f315-4d1a-a888-77782f687eec
  • EVILSUN (ファミリー) 90005075FE_Trojan_Linux_LEMONSTICK_1
  • FE_APT_Tool_Win32_OPENSHACKLE_1
  • FE_APT_Tool_Win_OPENSHACKLE_1
  • HXIOC UUID: 4a56fb0c-6134-4450-ad91-0f622a92701c
  • オープンシャックル (ユーティリティ) 90005006
  • FE_APT_Backdoor_Linux64_SLAPSTICK_1
  • FE_APT_Backdoor_Linux_SLAPSTICK_1
  • FE_Backdoor_Win_PUPYRAT_1
    FE_APT_Pupy_RAT
  • FE_ランサムウェア_Win64_ROLLCOAST_1
  • FE_Ransomware_Win_ROLLCOAST_1
  • HXIOC、45632ca0-a20b-487f-841c-c74ca042e75a; ROLLCOASTランサムウェア(ファミリー)
  • Ransomware.Win.ROLLCOAST.MVX

ハッシュ

  • d5b9a1845152d8ad2b91af044ff16d0b (スラップスティック)
  • 0845835e18a3ed4057498250d30a11b1 (スティールコーギー)
  • 6983f7001de10f4d19fc2d794c3eb534
  • 2eff2273d423a7ae6c68e3ddd96604bc
  • d505533ae75f89f98554765aaf2a330a
  • abaf1d04982449e0f7ee8a34577fe8af

ネットブロック

  • 46.30.189.0/24
  • 66.172.12.0/24

ATT&CK戦術カテゴリ

テクニック

初期アクセス

T1133 外部リモート サービス

T1190 エクスプロイト公開アプリケーション

実行

T1059 コマンドおよびスクリプト インタープリター

T1059.001 パワーシェル

T1064 スクリプティング

持続性

T1133 外部リモート サービス

横移動

T1021.001 リモート デスクトップ プロトコル

T1021.004 SSH

防御回避

T1027 難読化されたファイルまたは情報

T1070.004 ファイル削除

T1070.006 タイムストンプ

T1064 スクリプティング

T1553.002 コード署名

発見

T1046 ネットワーク サービス スキャン

T1082 システム情報ディスカバリ

T1518.001 セキュリティ ソフトウェアの検出

横移動

T1021.001 リモート デスクトップ プロトコル

T1021.004 SSH

コマンドと制御

T1071 アプリケーション層プロトコル

T1090 プロキシ

T1105 Ingress ツール転送

T1132.001 標準エンコーディング

詳細については、 Bring Your Own Land のブログ記事をご覧ください。さらに、FLARE チームの Mandiant の専門家が、11 月 12 日木曜日に UNC1945 に関する詳細なビューを提示します。FLARE およびMandiant Managed Defenseのプレゼンターが聴衆からの質問にも答える、このディスカッションのスポットを予約するには、今すぐ登録してください。 .最後に、これらのタイプの脅威に関する詳細なインテリジェンスについては、当社の脅威インテリジェンス プラットフォームの無料バージョンであるMandiant Advantage Freeに登録してください。

参照: https://www.mandiant.com/resources/blog/live-off-the-land-an-overview-of-unc1945

Comments

タイトルとURLをコピーしました