提供了编程的基础技术教程

zl程序教程

您现在的位置是:首页 >  其他

当前栏目

对手基础设施:勒索软件组、APT和红队

软件 勒索 基础设施 apt 红队 对手
2023-06-13 09:17:35 时间

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

这篇文章为机器翻译文,作者@Michael Koczwara,英文阅读能力还行的师傅可在文末点“阅读原文”!

前言

在这篇简短的博客中,我将开门见山。在过去的几个月/几周里我每天都在使用Shodan、Censys、Nmap和我的Python脚本扫描互联网,并想分享我的信息/研究。

我将非常简要地解释不同的威胁参与者是如何工作的,使用什么样的基础设施和工具来发起攻击,以及他们在opsec方面有多糟糕。

基础设施

威胁行为者简介: 

位于俄罗斯的勒索软件集团
总部设在中国的威胁行为者
红队

钻石模型示例

我将使用钻石模型来解释威胁参与者的方法(我猜这是不言自明的?)

俄罗斯的勒索软件集团

勒索软件集团在俄罗斯的基础设施/工具是什么样子的?

总部设在俄罗斯的威胁演员

另一个勒索软件组示例是 62.182.159[.]147

勒索软件集团基础设施

Twitter地址:

https://twitter.com/MichalKoczwara/status/1605658798437199872

勒索软件基础设施/工具

勒索软件基础设施/工具

Anydesk、RDP和ShadowGuru文件以及ngrok是勒索软件运营商使用的典型工具。Anydesk可能与RDP和其他bat文件一样用于持久性,以卸载/禁用安全控制。

Github地址: 

https://gist.github.com/MichaelKoczwara/07a877f3df094cafa876834249817c95

中国的威胁演员

威胁演员专注于ProxyShell、Log4J和其他针对Microsoft Exchange等外部基础设施的攻击。

威胁演员 8.210.141.104

威胁演员工具包除了Cobalt Strike、MSF和Sqlmap等典型的Pentesting/Red Teaming 工具外,我们还可以看到,在通过ProxyShell或Log4j进行初始妥协后,威胁演员也有兴趣通过Chisel进入内部网络。

威胁演员工具

威胁演员工具

Twitter地址:

https://twitter.com/MichalKoczwara/status/1608756413874212865

威胁演员 43.154.36.199

威胁演员 43.154.36.199

这个 43.154.36[.]199 有什么有趣的地方?

FScan、Shuize、Weaver_exp或POC Bomber等工具由中国开发人员开发:

https://github.com/shadow1ng/fscan
https://github.com/0x727/ShuiZe_0x727
https://github.com/tr0uble-mAker/POC-bomber
https://github.com/z1un/weaver_exp/blob/master/README.md

另外两个来自中国的威胁演员简介示例,见Twitter

https://twitter.com/MichalKoczwara/status/1601179780480610304
https://twitter.com/MichalKoczwara/status/1593706174477541377

威胁演员的bash历史可以揭示有关目标、信用(Cobalt Strike TS密码)和用于执行攻击的工具的信息。

在下面的bash日志的简短总结中,我们可以清楚地看到他看起来像一个脚本小子,从Github中转储各种工具,扫描网站/ips,并尝试不同的漏洞利用,但均未成功。

太长,我只截取了部分,完整的可看Github: 

https://gist.github.com/MichaelKoczwara/12faba9c061c12b5814b711166de8c2f

Cobalt Strike信标分析

https://app.any.run/tasks/b1ea6a92-0853-4903-8c78-735083755aa5/

Anyrun 分析

Triage 分析

https://tria.ge/221230-lvlplafd25

威胁演员Cobalt Strike Malleable Profile示例,只截取了部分,完整的可看Github:

https://gist.github.com/MichaelKoczwara/126f8e4a65d8adb635ac53c5d108cd31

当您设置自定义延展性并忘记禁用另一个端口上的证书时。

443上的Cobalt Strike Malleable和574上的默认证书

红队

好吧,这很有趣,因为我很惊讶我经常能找到属于红队的不安全C2(我不会让他们感到羞耻,但说真的,你们应该了解OPSEC!因为如果我能找到你们,坏人也能找到)。

好的,这就是红队基础设施的样子:

红队基础设施

红队Cobalt Strike可延展配置文件示例,只截取了部分,完整的可看Github:

https://gist.github.com/MichaelKoczwara/deb8ea5d997ecd9475532a650e30396a

总结

在这项研究中,我学到了很多东西,尤其是关于威胁参与者的配置文件、工具、方法,它们有何不同,以及他们在opsec中有多糟糕,这不仅是因为不安全的C2和默认配置,还因为凭证、ssh密钥等无处不在!

令人惊讶的是,所有威胁演员的工具和漏洞都可以从GitHub获得。

PS:红队队员请不要为您的Cobalt Strike Team服务器设置带有您公司首字母的邮政编码的密码!

相关阅读:OPSEC与查水表

相关文章