方程式组织工具早在2016年就被用于网络攻击

22.png

早在2016年,Buckeye(网络渗透组织)就已经在使用方程式组织的工具。虽然Buckeye在2017年之后逐渐销声匿迹,但其工具一直都有人在使用。

关键发现

  • Buckeye攻击小组至少在Shadow Brokers公布一年前就开始使用方程式组织的工具进行后门权限维持。
  • Buckeye使用的工具似乎与Shadow Brokers公布的工具有所不同,这表明两者的工具来源不同。
  • Buckeye使用方程式组织工具还涉及利用以前未知的Windows的0day漏洞。赛门铁克于2018年9月向微软报告了这一漏洞,直到2019年3月才得以修复。
  • 虽然Buckeye似乎在2017年中期销声匿迹,但其使用的方程式组织工具一直到2018年末都有人在使用。这可能牵涉到另一黑客组织,又或者Buckeye还在偷偷活动。

2017年由Shadow Brokers公布的方程式组织的工具是近年来最重要的网络安全事件之一。方程式组织被认为是世界上技术最老练的间谍组织之一,其工具的公开对全世界的网络安全产生了重大影响。2017年的WannaCry勒索事件震惊全球。

但是,赛门铁克已有证据表明Buckeye网络间谍组织(又名APT3,Gothic Pand)在Shadow Brokers公布一年前就开始使用方程式组织的工具。

从2016年3月开始,Buckeye就开始使用DoublePulsar(Backdoor.Doublepulsar)的变种,相信经历过WannaCry事件的人都很熟悉这个工具。DoublePulsar通过专门设计的漏洞利用工具(Trojan.Bemstour)传输到受害者的机器上并进行安装。

Bemstour利用两个Windows漏洞,可在受害者的机器上实现远程内核代码执行。一个漏洞是Symantec发现的Windows零日漏洞(CVE-2019-0703);另一个是在2017年就被修复的Windows漏洞(CVE-2017-0143),主要涉及两个方程式组织工具——EternalRomance和EternalSynergy。

第一个漏洞主要和信息泄露有关,赛门铁克于2018年9月向微软报告,并于2019年3月12日得到修复。

Buckeye如何在Shadow Brokers公布一年前就获得方程式组织的工具仍然是个未知。

Buckeye于2017年中期销声匿迹,该集团的三名成员于2017年11月在美国被起诉。不过,其组织的一系列攻击工具至少到2018年9月都和其他恶意软件一起出现并使用过。

33.png

攻击史

Buckeye自2009年以来就一直很活跃,它主要针对美国的组织发动攻击。

该组织使用过不少0day漏洞。包括在2010年攻击活动中的CVE-2010-3962,2014年攻击活动中的CVE-2014-1776。此外还有很多等待确认的漏洞使用记录,不过可以肯定的是,这些漏洞大部分都是针对Internet Explorer和Flash。

时间表

从2016年8月开始,一个自称为Shadow Brokers的团体开始声称拥有源自方程式组织的工具。它最初发布了一定的样本,并表明为最高出价者提供了全部工具。在接下来的几个月里,它逐步公开了更多工具,直到2017年4月,它发布了最重大的工具工具,包括DoublePulsar后门,FuzzBunch框架,以及EternalBlue,EternalSynergy和EternalRomance漏洞利用工具。

然而,Buckeye至少在一年前就已使用过这些工具。Buckeye最早使用工具的时间是在2016年3月31日攻击香港的目标时。在此次攻击中,Bemstour利用工具把Buckeye的恶意软件(Backdoor.Pirpi)传输给受害者。一小时后,Bemstour又被用来攻击比利时的一所教育机构。

Bemstour专门设计用于传输DoublePulsar后门的变种。然后再通过DoublePulsar注入其他payload,它仅在内存中运行。即使删除DoublePulsar,注入的payload也可让攻击者长期控制受害者的机器。

Bemstour攻击工具的一个高级版本于2016年9月出现,当时被用于攻击香港的教育机构。原始版本仅能够攻击32位系统,新版本可以攻击32位和64位目标。而且注入的payload的可让攻击者在受害者的机器上执行任意shell命令以及运行其他可执行文件。不过当攻击64位的机器时,它并不能和DoublePulsar后门一起使用。

2017年6月,Bemstour再次被用于攻击卢森堡的一个组织。在这次攻击中,Bemstour和另一个后门木马(Backdoor.Filensfer)一起出现。在2017年6月至9月期间,Bemstour还被用于攻击菲律宾和越南的目标。

Bemstour的更新一直持续到2019年。赛门铁克观察到的最新的Bemstour样本时间戳是2019年3月23日,即赛门铁克上报漏洞被修复的11天后。

以上所有攻击的目的都是为了在受害者的机器上维持权限,这意味着可能有大量信息遭到泄露。

44.png

Filensfer

Filensfer是指某个同一系列的恶意软件,自2013年以来一直用于针对各种目标。赛门铁克发现了该软件的多个版本,包括C++版本,编译好的Python版本(使用py2exe)以及PowerShell版本。

在过去的三年中,Filensfer出现在卢森堡,瑞典,意大利,英国和美国的网络攻击中。涉及电信,媒体和制造业等多个组织。虽然赛门铁克从未观察到Filensfer与任何已知的Buckeye工具一起出现,但其他研究人员找到过Filensfer与Buckeye恶意软件(Backdoor.Pirpi)一起使用的证据。

Bemstour攻击工具

Bemstour利用两个Windows漏洞来在受害者机器上实现远程内核代码执行。

第一个漏洞(CVE-2019-0703)涉及到SMB服务,Symantec已上报该漏洞。该漏洞可导致信息泄露。

第二个漏洞(CVE-2017-0143)是一种消息类型混淆漏洞。当两个漏洞一起被利用时,攻击者可以进行远程内核代码执行,使他们能够向目标机器传递恶意软件。

当Bemstour在2016年首次被使用时,这两个漏洞都是0day,尽管CVE-2017-0143随后在2017年3月被微软修补(MS17-010)。CVE-2017-0143还被其他两个漏洞利用工具——EternalRomance和EternalSynergy使用——这些漏洞工具都是2017年4月Shadow Brokers公布工具的一部分。

Buckeye攻击工具,EternalRomance以及EternalSynergy都可以利用CVE-2017-0143在未打补丁的机器上损坏内存。而为了获得远程代码执行能力,还需要收集内存布局信息的其他三种攻击工具。每个工具都依赖于不同的漏洞。以Buckeye攻击工具为例,攻击者利用他们自己的0day漏洞(CVE-2019-0703)。

DoublePulsar

Buckeye执行的第一次攻击中使用的DoublePulsar变种与Shadow Brokers公布的似乎有所不同。它包含针对较新版本Windows(Windows 8.1和Windows Server 2012 R2)的代码,这表明它是一个较新版本的恶意软件。此外它还有额外一层混淆。基于技术特征和时间线,这种混淆可能是由DoublePulsar的原始作者编写的。

值得注意的是,攻击者从未在攻击中使用过FuzzBunch框架。FuzzBunch是一个管理DoublePulsar和其他方程式组织工具的框架,在2017年被Shadow Brokers公开。这说明Buckeye只拥有有限数量的方程式组织工具。

55.png

未解之谜

关于Buckeye如何获得方程式组织工具存在多种可能,一种可能性是Buckeye从捕获的网络流量中发现了工具的存在,从而设计了自己的版本。还有可能是从方程式组织的内部人员或有漏洞的服务器获得的。

在Buckeye消失之后,其攻击工具还在网络上流传。这表明Buckeye可能在2017年曝光后重新调整组织架构,以另一身份运作。不过,除了这些工具之外,赛门铁克还没有发现任何其他证据表明Buckeye已经重组。另一种可能性是Buckeye将一些工具转给了另一个攻击团队。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐