对Silence组织的攻击手法的全方位解析

xiaohui 专题 2019年6月1日发布
Favorite收藏

导语:自2016年起,一个名叫“Silence Group(沉默组织)”的犯罪组织开始浮出水面,起初,分析人员还误以为它是臭名昭著的 Carbanak 组织,因为攻击者的攻击手法和 Carbanak 类似。后来经过分析,这是一个新出现的黑客组织,自2016年中期以来一直处于活跃状态。

前言

自2016年起,一个名叫“Silence Group(沉默组织)”的犯罪组织开始浮出水面,起初,分析人员还误以为它是臭名昭著的 Carbanak 组织,因为攻击者的攻击手法和 Carbanak 类似。后来经过分析,这是一个新出现的黑客组织,自2016年中期以来一直处于活跃状态。到目前为止,我们已确定的被攻击的企业包括:

· NBD Bank Russia:提供零售和商业服务的俄罗斯银行。

· Zapsibkombank(Zapadno-Sibirskiy Kommercheskiy Bank):西西伯利亚商业银行(WSCB),位于俄罗斯。

· FPB(Finprombank):同样位于俄罗斯。

· MSP银行(МСПБанк):专注于为中小企业提供融资的俄罗斯联邦国家银行。

· MT Bank(МТБанк):Meridian trade Bank,也是唯一一家位于白俄罗斯的实体银行。

根据目前收集的情报,这些攻击行动只是众多攻击的一部分,其攻击目标仍是主要在俄罗斯境内运作的金融机构。从感染过程、攻击链和操作结构来看,Silence组织虽然还很年轻,但已经成为一个越来越有组织、越来越危险的银行恶意软件的传播源。

本文的主要目的就是分析该组织已经被充分利用的TTP(TTP即Tactic、Technique和Procedure,包括攻击者的行为、利用的资源和目标受害者的信息等,主要通过标准语言来多细节地描述攻击者的行为)攻击模式。本文的目的是为安全防御者提供与Silence组织相关的最新的分析,包括样本和攻击指标,以帮助安全从业人员更好地保护他们的基础设施。

攻击手法分析

Silence组织的攻击手法很简单,通过利用鱼叉式网络钓鱼策略来攻击目标(主要是银行),以尽可能的多地获取更多利益。这种策略的主要目的是窃取目标银行的金融数据,比如银行卡信息,并允许攻击者使用这些信息在自动取款机上提取最终的战利品。

为了安全实现这些目标, Silence组织使用了公开可用的工具,再加上网络安全行业内人人熟知的所称的“living off the land” 技术。关于无文件攻击的讨论通常包括滥用Microsoft Windows中内置的众多实用程序,这些工具允许对手从攻击的一个阶段转移到另一个阶段,而无需依赖编译的恶意可执行文件,这就是所谓的“living off the land” 技术。这实质上意味着,攻击者试图尽可能长时间地使用预先存在于目标操作系统中的工具或命令来操作,以有效地最大化他们在目标环境中所能实现的目标。这种策略有两个好处:首先,使用本地可用的工具可以帮助他们更好地逃避检测;其次,它可以帮助他们建立更强大、更深入的攻击点。

根据对原来发现的样本的分析,攻击者使用了一种十分有效的技术来窃取银行资金:长期访问银行内网,监控职员日常工作,了解银行内部的运作过程和日常软件,然后利用这些信息窃取更多的钱。但是,根据最新的调查,该组织并不完全依赖公开可用的工具。众所周知,每个大的攻击组织,都会编写一套属于自己专用的模块化工具集。比如2017年11月,该组织就用CHM(Compiled HTML Help,即“编译的HTML帮助文件”)传播恶意代码,详细情况请点此。本文,我们将重点关注由该组织独家开发的那些自定义工具的细节。

技术细节

与大多数攻击一样,典型的Silence 组织攻击开始于带有恶意附件的鱼叉式网络钓鱼电子邮件。附件可以是武器化的Microsoft Word文档或Microsoft编译的html help(CHM)文件的形式,该文件发送给银行以诱使其内部工作人员点击该附件。这些恶意电子邮件通常包含受感染的Word文档或武器化的帮助文件。例如,以下就是发送给内部工作人员的CHM文件:

· https://securelist.com/the-silence/83009/

· https://www.group-ib.com/blog/silence

· https://reaqta.com/2019/01/silence-group-targeting-russian-banks/

1.png

仔细观察上图中的内容,可以发现其中的内容看似无害,但当用户无意中执行该文件的恶意脚本时,就会与后台的服务器联系。然后,该脚本会将恶意软件通过该服务器下载到目标计算机,并随时伺机发起攻击(第二阶段)。

然后,在帮助文件中的浏览器窗口的上下文中执行经过混淆的VBS文件,并在该窗口中对其进行反混淆处理并执行PowerShell命令。在用户不知道的情况下,这个新的PowerShell命令会调用另一个服务器来检索二进制文件,然后将其解密为第三阶段的下载程序。最后一个下载器旨在获取由几个不同模块组成的Silence有效载荷,具体过程取决于该组当前所处整体攻击的阶段。我们在本文中描述的一些模块包括代理、监视代理、ATM模块,以及主要的Silence模块。

下载阶段

根据对Silence的追踪,该攻击策略的下载阶段的功能在过去几年一直没有进行过什么改变。出于持久性攻击的目的,模块设置的注册表项通常会试图模拟当前流行的应用,以避免被检测到。对于它试图重命名的文件名,也是这个操作过程。下载器本身接受三个不同的命令:

2.png

下载程序会与其专用的C&C服务器联系以获得上图中的命令,如果该命令包含字符串“http”,则该模块将解析该命令并下载指定的文件。同时,这个新文件也将被赋予一个看似无害的名称,例如“conhost”或“igfxpers_” ,并根据用户名或随机生成的guid值在执行之前附加一个字符串。

主模块

Silence的主要模块允许该组织从不同角度处理其即将进行的攻击。

3.png

代理模块

代理模块总共有两组,虽然Silence组织在Delphi中开发了一组代理模块,但另一组代理模块却是使用.Net框架构建的。这使得Group-IB(俄罗斯网络安全公司)有理由相信,Silence组织会根据自己喜欢的目的修改现有工具的模块。

代理模块可以用作通向其他网络的跳板,或者在这种情况下可以更深入地进入内部银行网络中。例如,仔细观察.Net代理模块,可以看到Smart Assembly混淆器用于尝试隐藏模块的有效载荷。

· https://www.group-ib.com/blog/silence

4.png

图1:代理模块的屏幕截图

调试模块会调用加载配置文件,如果你感兴趣,可以在上面的屏幕截图中看到的链接中,使用密码“password”查看详细信息。

监控模块

监控模块只有一个监控功能,黑客可以使用该模块监视受感染的设备的运行状态。通过获取屏幕截图并使用进程间通信将数据传输到主要的Silence模块,这就类似于视频流(视频流是指视频数据的传输)。例如,它能够被作为一个稳定的和连续的流通过网络处理。因为流动,所以客户机浏览器或插件能够在整个文件被传输完成前显示多媒体数据。

ATM模块

Silence组织实施攻击的最终目的就是在ATM机上,把钱取出来。因此ATM模块就是攻击的关键,ATM模块也称为Atmosphere。它使攻击者可以远程控制ATM机。一旦ATM机被感染了,这个模块就会搜索所有正在运行的进程,寻找一个名为“atmapp”的合法进程,而该进程则是专有的ATM软件才具有的。

5.png

图2:ATM模块

一旦找到“atmapp.exe”,Atmosphere模块将获取它存储在其资源中的dll,并将其注入正在运行的进程中。 dll中包含的一些功能可能基于现有的GitHub项目(https://github.com/TsudaKageyu/minhook)。一旦注入过程完成,恶意dll就将在ATM进程空间中运行,从而有效地获得对ATM的控制,这一过程就是所谓的“Jackpotting”。

在2010年7月28日的黑帽子大会上,巴纳比•杰克(Barnaby Michael Douglas Jack)成功地演示入侵安装有两种不同系统的ATM取款机并当场让ATM取款机吐出钱,所以该进程被称之为“Jackpotting”

6.png

图3:ATM模块的字符串

从一点开始,威胁研究员假设,攻击者会雇佣钱骡子从受感染的自动存款机中获取现金,同时转移到他们下一个目标。

Silence组织的攻击已经遍布全球

如下图所示,我们可以看到Silence组织的攻击已经包括以下国家/地区(基于geo-ip信息):

澳大利亚,加拿大,法国,爱尔兰,拉脱维亚,荷兰,波兰,西班牙,瑞典和美国。

7.png

图4:Silence Group使用的命令和控制以及下载站点的全球地理分布

我们观察到样本分布在全球的不同位置,但主要集中在EMEA区域,EMEA为Europe the Middle East and Africa的字母缩写,为欧洲、中东、非洲三地区的合称。光法国的一个IP地址(137.74.224.142)上就可以下载超过15个样本的下载站点或命令和控制。另一个有趣的发现是,荷兰有超过10种不同的唯一IP地址,可用作下载站点或命令和控制服务器。

某些IP地址的异常行为

在调查过程中,我们注意到某些IP地址的异常行为,特别是位于加拿大的IP地址。虽然它们的范围不同,但我们决定查看它们是否与已知的攻击者或web主机有任何关联。

由于时间限制,我们不会对此进行详细的介绍。但是,在粗略分析之后,以下IP地址都同时包含了一个特殊的细节:

144.217.14.173(魁北克省);

158.69.218.119(魁北克省);

144.217.162.168(魁北克省);

这些地址都与某个网络托管组织相关联,经过进一步调查后,发现了该网络托管组织还托管着来自以下国家/地区的网络连接:澳大利亚,加拿大,法国,荷兰,西班牙和爱尔兰。

8.jpeg

图5 :全球站点

值得注意的是,在我们最初分析中确定的国家中,这个名单占了全部攻击的60%。但是,请注意,这种相关性并不能解释该组织以任何方式参与了Silence Group发起的攻击。很可能完全是巧合,这可能是因为Silence Group攻击者可能仅仅熟悉某个知名的托管服务机构,也可能是因为这些服务被某些人转售出去了。

虽然已经观察到多个国家/地区连接的IP地址与该托管机构有关,但它们之间如何相互连接仍然不清楚,或者这仅仅是由于网络主机自动分配造成的结果,具体原因还有待调查。

有关我们研究中使用的样本的详细信息,包括根据MITRE ATT&CK框架的规范分析和映射的妥协指标,请参阅此文(关于Silence Group的最新手册)。MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务界制定具体威胁模型和方法的基础,它可以深入研究攻击者的攻击行为。

本文翻译自:https://www.fortinet.com/blog/threat-research/silence-group-playbook.html如若转载,请注明原文地址: https://www.4hou.com/special/18153.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论