声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
这篇文章为机器翻译文,作者@Michael Koczwara,英文阅读能力还行的师傅可在文末点“阅读原文”!
前言
在这篇简短的博客中,我将开门见山。在过去的几个月/几周里我每天都在使用Shodan、Censys、Nmap和我的Python脚本扫描互联网,并想分享我的信息/研究。
我将非常简要地解释不同的威胁参与者是如何工作的,使用什么样的基础设施和工具来发起攻击,以及他们在opsec方面有多糟糕。
基础设施
威胁行为者简介:
位于俄罗斯的勒索软件集团
总部设在中国的威胁行为者
红队
钻石模型示例
我将使用钻石模型来解释威胁参与者的方法(我猜这是不言自明的?)
俄罗斯的勒索软件集团
勒索软件集团在俄罗斯的基础设施/工具是什么样子的?
总部设在俄罗斯的威胁演员
另一个勒索软件组示例是 62.182.159[.]147
勒索软件集团基础设施
Twitter地址:
https://twitter.com/MichalKoczwara/status/1605658798437199872
勒索软件基础设施/工具
勒索软件基础设施/工具
Anydesk、RDP和ShadowGuru文件以及ngrok是勒索软件运营商使用的典型工具。Anydesk可能与RDP和其他bat文件一样用于持久性,以卸载/禁用安全控制。
Github地址:
https://gist.github.com/MichaelKoczwara/07a877f3df094cafa876834249817c95
中国的威胁演员
威胁演员专注于ProxyShell、Log4J和其他针对Microsoft Exchange等外部基础设施的攻击。
威胁演员 8.210.141.104
威胁演员工具包除了Cobalt Strike、MSF和Sqlmap等典型的Pentesting/Red Teaming 工具外,我们还可以看到,在通过ProxyShell或Log4j进行初始妥协后,威胁演员也有兴趣通过Chisel进入内部网络。
威胁演员工具
威胁演员工具
Twitter地址:
https://twitter.com/MichalKoczwara/status/1608756413874212865
威胁演员 43.154.36.199
威胁演员 43.154.36.199
这个 43.154.36[.]199 有什么有趣的地方?
FScan、Shuize、Weaver_exp或POC Bomber等工具由中国开发人员开发:
https://github.com/shadow1ng/fscan
https://github.com/0x727/ShuiZe_0x727
https://github.com/tr0uble-mAker/POC-bomber
https://github.com/z1un/weaver_exp/blob/master/README.md
另外两个来自中国的威胁演员简介示例,见Twitter
https://twitter.com/MichalKoczwara/status/1601179780480610304
https://twitter.com/MichalKoczwara/status/1593706174477541377
威胁演员的bash历史可以揭示有关目标、信用(Cobalt Strike TS密码)和用于执行攻击的工具的信息。
在下面的bash日志的简短总结中,我们可以清楚地看到他看起来像一个脚本小子,从Github中转储各种工具,扫描网站/ips,并尝试不同的漏洞利用,但均未成功。
太长,我只截取了部分,完整的可看Github:
https://gist.github.com/MichaelKoczwara/12faba9c061c12b5814b711166de8c2f
Cobalt Strike信标分析
https://app.any.run/tasks/b1ea6a92-0853-4903-8c78-735083755aa5/
Anyrun 分析
Triage 分析
https://tria.ge/221230-lvlplafd25
威胁演员Cobalt Strike Malleable Profile示例,只截取了部分,完整的可看Github:
https://gist.github.com/MichaelKoczwara/126f8e4a65d8adb635ac53c5d108cd31
当您设置自定义延展性并忘记禁用另一个端口上的证书时。
443上的Cobalt Strike Malleable和574上的默认证书
红队
好吧,这很有趣,因为我很惊讶我经常能找到属于红队的不安全C2(我不会让他们感到羞耻,但说真的,你们应该了解OPSEC!因为如果我能找到你们,坏人也能找到)。
好的,这就是红队基础设施的样子:
红队基础设施
红队Cobalt Strike可延展配置文件示例,只截取了部分,完整的可看Github:
https://gist.github.com/MichaelKoczwara/deb8ea5d997ecd9475532a650e30396a
总结
在这项研究中,我学到了很多东西,尤其是关于威胁参与者的配置文件、工具、方法,它们有何不同,以及他们在opsec中有多糟糕,这不仅是因为不安全的C2和默认配置,还因为凭证、ssh密钥等无处不在!
令人惊讶的是,所有威胁演员的工具和漏洞都可以从GitHub获得。
PS:红队队员请不要为您的Cobalt Strike Team服务器设置带有您公司首字母的邮政编码的密码!
相关阅读:OPSEC与查水表