信息來(lái)源：4hou

近年來(lái)網(wǎng)絡(luò)間諜行動(dòng)最重要的發(fā)展之一是組織都采取了“living off the land”策略。就是使用操作系統(tǒng)功能或合法網(wǎng)絡(luò)管理工具來(lái)危及受害者網(wǎng)絡(luò)的縮寫。LOTL的目的是雙重的。通過(guò)使用這些功能和工具，攻擊者希望融入受害者的網(wǎng)絡(luò)，并將他們的活動(dòng)隱藏在合法進(jìn)程的汪洋大海中。其次，即使檢測(cè)到涉及這些工具的惡意行動(dòng)，也可能使攻擊更難以歸因溯源。如果每個(gè)人都使用類似的工具，那么將一個(gè)組織與另一個(gè)區(qū)分開(kāi)就更加困難。大多數(shù)攻擊組織仍然創(chuàng)建并利用自定義惡意軟件，但它往往很少被使用，從而降低了發(fā)現(xiàn)的風(fēng)險(xiǎn)。

大海撈針

這并不意味著現(xiàn)在不能發(fā)現(xiàn)間諜攻擊，但這確實(shí)意味著分析人員可能需要更長(zhǎng)時(shí)間才能進(jìn)行調(diào)查。這就是賽門鐵克創(chuàng)建目標(biāo)攻擊分析（Targeted Attack Analytics (TAA)）的原因之一，該攻擊分析采用了我們?yōu)樽约旱姆治鋈藛T開(kāi)發(fā)的工具和功能，并將其提供給我們的高級(jí)威脅防護(hù)（ATP）客戶。TAA利用先進(jìn)的人工智能和機(jī)器學(xué)習(xí)技術(shù)，對(duì)賽門鐵克的遙測(cè)數(shù)據(jù)進(jìn)行梳理，以發(fā)現(xiàn)與目標(biāo)攻擊相關(guān)的模式。其先進(jìn)的AI技術(shù)自動(dòng)化了以前需要花費(fèi)數(shù)千小時(shí)的分析時(shí)間。這使我們和客戶更容易大海撈針。

TAA帶領(lǐng)發(fā)現(xiàn)了最新的網(wǎng)絡(luò)間諜行動(dòng)。回到2018年1月，TAA觸發(fā)了東南亞一家大型電信運(yùn)營(yíng)商的警報(bào)。攻擊者使用PsExec在公司網(wǎng)絡(luò)上的計(jì)算機(jī)之間橫向移動(dòng)。PsExec是一個(gè)用于在其他系統(tǒng)上執(zhí)行進(jìn)程的微軟Sysinternals工具，也是攻擊者嘗試live off the land時(shí)最常使用的合法軟件之一。但是，它也被廣泛用于合法目的，這意味著PsExec的惡意使用可能難以發(fā)現(xiàn)。

TAA不僅標(biāo)記了對(duì)PsExec的這種惡意使用，還告訴我們攻擊者正在使用它。他們?cè)噲D在受害者網(wǎng)絡(luò)的計(jì)算機(jī)上遠(yuǎn)程安裝以前未知的惡意軟件。當(dāng)我們分析惡意軟件時(shí)，發(fā)現(xiàn)它是Trojan.Rikamanu的更新版本，與Thrip相關(guān)，Thrip是我們自2013年以來(lái)一直在監(jiān)控的一個(gè)組織。經(jīng)過(guò)進(jìn)一步調(diào)查后，我們發(fā)現(xiàn)Thrip在這次攻擊中還使用了一種全新的惡意軟件（Infostealer.Catchamas）。

圖1.TAA利用機(jī)器學(xué)習(xí)來(lái)發(fā)現(xiàn)與有針對(duì)性的攻擊相關(guān)的惡意活動(dòng)并提醒客戶

掌握了這些惡意軟件的有關(guān)信息，以及針對(duì)這名受害者的live off the land，我們擴(kuò)大了搜索范圍，以查看是否可以找到表明Thrip針對(duì)其他機(jī)構(gòu)的類似模式。我們發(fā)現(xiàn)了一個(gè)廣泛的網(wǎng)絡(luò)間諜活動(dòng)，其中涉及強(qiáng)大的惡意軟件。

我們發(fā)現(xiàn)有三臺(tái)中國(guó)電腦用于發(fā)動(dòng)Thrip攻擊。Thrip的動(dòng)機(jī)是間諜活動(dòng)，其目標(biāo)包括美國(guó)和東南亞的通信，地理空間成像和國(guó)防部門。

Thrip的目標(biāo)

也許最令人擔(dān)憂的發(fā)現(xiàn)是Thrip針對(duì)衛(wèi)星通信運(yùn)營(yíng)商。攻擊組織似乎對(duì)公司的運(yùn)營(yíng)方特別感興趣，尋找和感染運(yùn)行監(jiān)視和控制衛(wèi)星軟件的計(jì)算機(jī)。這暗示了Thrip的動(dòng)機(jī)超越了間諜行為，也可能包括破壞。

另一個(gè)目標(biāo)是參與地理空間成像和制圖的機(jī)構(gòu)。同樣，Thrip主要對(duì)公司的運(yùn)營(yíng)方面感興趣。它針對(duì)運(yùn)行MapXtreme GIS（地理信息系統(tǒng)）軟件的計(jì)算機(jī)，該軟件用于諸如開(kāi)發(fā)自定義地理空間應(yīng)用程序或?qū)⒒谖恢玫臄?shù)據(jù)集成到其他應(yīng)用程序等任務(wù)。它還針對(duì)運(yùn)行Google Earth Server和Garmin圖像軟件的機(jī)器。

衛(wèi)星運(yùn)營(yíng)商并非是Thrip唯一感興趣的通信目標(biāo)。該組織還針對(duì)三個(gè)不同的電信運(yùn)營(yíng)商，全部位于東南亞。根據(jù)受Thrip感染的計(jì)算機(jī)的性質(zhì)，攻擊的目標(biāo)是電信公司自己而不是其客戶。

此外，還有第四個(gè)目標(biāo)是國(guó)防承包商。

圖2. Thrip——監(jiān)視通信，測(cè)繪和國(guó)防目標(biāo)

隱藏

自2013年以來(lái)，我們一直在監(jiān)控Thrip，當(dāng)時(shí)我們發(fā)現(xiàn)了一個(gè)由中國(guó)組織的間諜活動(dòng)。自從最初發(fā)現(xiàn)以來(lái)，該組織改變了策略并擴(kuò)大了其使用的工具范圍。最初，它主要依靠自定義惡意軟件，但在2017年開(kāi)始的最近一輪攻擊中，該組織已切換為混合自定義惡意軟件并以live off the land工具為主。后者包括：

· PsExec：用于在其他系統(tǒng)上執(zhí)行進(jìn)程的Microsoft Sysinternals工具。這個(gè)工具主要被攻擊者用來(lái)在受害者的網(wǎng)絡(luò)上橫向移動(dòng)。

· PowerShell：Microsoft腳本工具，用于運(yùn)行命令下載有效載荷，穿越受控網(wǎng)絡(luò)并執(zhí)行偵察。

· Mimikatz：可自由使用的工具，能夠更改權(quán)限，導(dǎo)出安全證書并以明文形式恢復(fù)Windows密碼。

· WinSCP：用于從目標(biāo)組織傳輸數(shù)據(jù)的開(kāi)源FTP客戶端。

· LogMeIn：基于云的遠(yuǎn)程訪問(wèn)軟件。目前還不清楚攻擊者是否未經(jīng)授權(quán)訪問(wèn)受害者的LogMeIn帳戶，還是他們自己創(chuàng)建了帳戶。

所有這些工具，除了Mimikatz（幾乎總是被惡意使用）之外，都有合法用途。例如，PowerShell在企業(yè)內(nèi)被廣泛使用，絕大多數(shù)腳本都是合法的。同樣，系統(tǒng)管理員經(jīng)常使用PsExec。然而，Thrip使用PsExec引起了我們的注意。通過(guò)先進(jìn)的人工智能和機(jī)器學(xué)習(xí)，TAA已經(jīng)訓(xùn)練自己去發(fā)現(xiàn)惡意活動(dòng)的模式。雖然PsExec本身可能無(wú)害，但它在這里使用的方式觸發(fā)了TAA的警報(bào)?？傊?，Thrip的偽裝使其浮出水面。

雖然Thrip現(xiàn)在大量使用live off the land戰(zhàn)術(shù)，但它也使用自定義惡意軟件，特別是針對(duì)感興趣的計(jì)算機(jī)。這包括：

· Trojan.Rikamanu：一種自定義木馬，旨在從受感染計(jì)算機(jī)中竊取信息，包括憑據(jù)和系統(tǒng)信息。

· Infostealer.Catchamas：基于Rikamanu，該惡意軟件包含旨在避免檢測(cè)的其他功能。它還包含許多新功能，例如從原始Trojan.Rikamanu惡意軟件創(chuàng)建以來(lái)出現(xiàn)的新應(yīng)用程序（如新的或更新的Web瀏覽器）捕獲信息的功能。

· Trojan.Mycicil：一個(gè)由地下中國(guó)黑客創(chuàng)建的鍵盤記錄器。雖然公開(kāi)可用，但并不常見(jiàn)。

· Backdoor.Spedear：雖然在最近的這次攻擊中沒(méi)有看到，但Spedear是Thrip在其他行動(dòng)中使用的后門木馬。

· Trojan.Syndicasec：Thrip在之前的行動(dòng)中使用的另一款木馬。

高度有針對(duì)性的間諜活動(dòng)

從TAA引發(fā)的最初警報(bào)中，我們一路追蹤，最終能夠看到來(lái)自中國(guó)電腦的網(wǎng)絡(luò)間諜活動(dòng)，針對(duì)美國(guó)和東南亞的多個(gè)組織。間諜活動(dòng)是該組織可能的動(dòng)機(jī)，但鑒于其有意攻陷運(yùn)營(yíng)體系，如果選擇這樣做，它也可能采取更具攻擊性和破壞性的立場(chǎng)。

IOCs

https://content.connect.symantec.com/sites/default/files/2018-06/Thrip_IOC_list_0.txt