首页
学习
活动
专区
工具
TVP
发布

某APT组织重新使用“域前置”技术,进行攻击活动

“域前置”攻击感觉是一个非常陌生的词语,其中该种攻击技术已经在2017年3月份,美国FireEye公司发表一篇报道:《APT29 Domain Fronting with TOR》,里边描述了一种攻击者经常使用的逃避审查机制的技术 Domain Fronting。

Domain Fronting技术被业界誉为“域前置”攻击技术,注意利用云服务器作为跳板对目标主机发起攻击,从而达到隐藏攻击者IP地址。

“域前置”技术提供一种攻击源规避技术,主要用于隐蔽通信中的远程端点。“域前置”发生在应用层,主要适用了HTTPS协议进行通信,通信中的远程端点原本是被禁止的,通过使用“域前置”技术,让检测器误认为是一个其他的合法地址,进而绕过检测。

对于安全监测而言,在网络流量中看到的其实就死正常的访问谷歌的流量,从流量的头信息和内容中都是正常访问的谷歌,这就导致很难在通信流量中判断一个域名是否使用了“域前置”,要么放行、要么完全禁止,只能二选一,这就导致了昂贵的附带损害。域前置技术易于部署和使用,并不需要特殊的网络中介。域前置技术在CDN等重要的基础设施和Google的各类网络服务中尤其适用。

最近RogueRobin恶意软件,开始使用谷歌云的域前置进行c2通道

被称为DarkHydrus的APT组织最近使用使用了各种恶意软件新技术,包括使用Google Drive域前置技术作为备用命令和控制(C2)通道。

根据PaloAlto的第42单元情报部门,目标攻击涉及用阿拉伯语写的鱼叉式网络钓鱼电子邮件,这些电子邮件发送给目标组织,其中包含带有.xlsm文件扩展名的宏启用Excel文档。

一旦执行,它就会释放一个名为RogueRobin的恶意程序;以前在基于PowerShell的表单中看到过恶意软件,而此广告系列使用了用C +编写的新形式的恶意软件。

“RogueRobin是一个功能齐全的木马后门,可以为威胁行为者提供各种功能,”Palo Alto Networks首席研究员Bryan Lee对Threatpost说。 “它允许DarkHydrus操作员远程执行PowerShell脚本,这意味着他们不仅可以利用PowerShell范围内的任何功能,还可以通过生成新脚本来根据需要添加功能。”

它还能够从受害者主机上传和下载任意文件,除了能够泄露数据外,还能为RogueRobin添加功能。

在执行其任何功能之前,恶意程序通过使用WMI模块查询并检查正在运行的进程来检查它是否在沙箱中执行。如果确定它未在沙箱中运行,它将尝试将自身安装到系统以持续执行。在提供系统特定信息之后,恶意程序将与C2服务器交互以获得信息。

恶意程序本身使用DNS隧道协议与其C2服务器通信。

“DNS隧道协议可以使用多种不同的DNS查询类型与C2服务器进行交互,”研究人员在上周的一篇帖子中解释道。 “恶意程序具有在测试早期调用的功能,以查看哪些DNS查询类型能够成功到达C2服务器。通过遍历一个类型列表,第一个用于接收来自C2服务器的响应的DNS类型将用于恶意程序和C2服务器之间的所有通信。恶意程序将查找对出站查询的不同响应,具体取决于恶意程序用于与C2通信的DNS请求。“

值得注意的是,恶意软件可以使用“域前置”技术建立使用Google Drive API的替代C2频道。默认情况下禁用此命令,但是当通过从DNS隧道通道接收的命令启用时,它允许RogueRobin接收唯一标识符并使用Google Drive API请求获取信。

在此模式下,RogueRobin将文件上传到Google云端硬盘帐户,并不断检查文件的修改时间,以查看受害者主机是否对其进行了任何更改,”研究人员说。 “该角色将首先修改该文件,以包含该木马将用于未来通信的唯一标识符。该木马会将对受害主机所做的所有后续操作进行长期监控。

虽然该技术不是最新技术,但非常不常见。

该种技术,提供云平台的厂商都需要检测是否已经关闭该功能,为了维护网络安全避免给国内不法分子创造温床,国内各大云厂商应及时进行检查。防微杜渐,未雨绸缪。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190125G0VS6N00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券