Cuckoo Spear [B-Side]
30:43 Share

APT-10是一个中国国家支持的威胁行为者，近年来一直在利用一种名为LODEINFO的复杂后门恶意软件攻击日本IT和基础设施组织。最近，来自Cybereason的IR团队的研究人员伊藤仁和Loic Castel发现该组织使用了一种新工具：NOOPDOOR，它包含高度复杂的持久性机制，使APT-10能够逃避检测并在企业网络中潜伏两年甚至三年。我们的赞助商：* 查看1Password并使用我的代码MALICIOUS享受优惠：1password.com 广告咨询：https://redcircle.com/brands</context> <raw_text>0 嗨，我是莱维。欢迎来到SAB民兵生活。

本周，除了我们基于访谈的节目外，我们还有一个B面节目，在这个节目中，我们将讨论不太适合常规叙事节目的主题和故事。在这个B面节目中，我们将讨论“杜鹃矛”和“幽灵行动”，这是一场由一个被称为APT 10的中国国家支持的威胁行为者针对日本公司的攻击活动。

正如你很快就会听到的，APT 10至少从2006年就开始活跃了，近年来一直在使用一个名为LODEINFO的后门恶意软件。几个月前，来自Cybereason的研究人员能够将APT 10与一个名为NOOPDOOR的新恶意软件家族联系起来。这种新型恶意软件包含高度复杂的持久性机制，使APT 10能够逃避检测并在企业网络中潜伏两年甚至三年。

本期节目的嘉宾是来自Cybereason事件响应团队的两名研究人员，他们调查了此案，分别是伊藤仁和Louis Castel。我会让他们自我介绍。我倾向于将这些B面节目视为绝佳的学习机会，所以在访谈过程中，我会短暂中断来解释各种技术术语和概念。祝你收听愉快。

所以，你好，Louis，你好，伊藤仁，请你们自我介绍一下。

我叫伊藤仁。我是Cybereason的事件响应工程师。我在该公司工作大约一年了，在此之前，我也在另一家组织从事事件响应和恶意软件分析工作。

我叫Louis Castel。我在法国工作，为Cybereason从事事件响应工作，差不多三年了。是的，我过去曾在蓝队方面做过一些IR工作，也做过安全运营中心的工作，以及渗透测试之类的事情。所以我很喜欢我们今天要讨论的研究。

感谢你们加入我的播客，非常感谢。我们今天进行了一场真正的国际对话。我来自以色列，Louis来自法国，伊藤仁来自日本。

所以我们今天的故事将围绕你们最近进行的研究“杜鹃矛”展开。我认为它开始的时间远早于Cybereason参与调查。现在已知的恶意软件是LODEINFO。所以，请告诉我关于LODEINFO的信息，以及在你们参与调查之前，其他研究人员发现了什么？

简而言之，LODEINFO是一个复杂的后台程序。当我们想到后门时，我们只是想到，你可以运行任意命令，并在远程计算机上执行任何你想要的测试。

它具有这种能力，并且能够上传和下载文件以及必要的附加代码，基本上就是你在计算机上需要做的任何事情。这就是程序的功能。据我所知，我认为它自2020年以来一直被APT 10使用。

并且有很多研究正在进行，我们可以看到它在过去五年左右的时间里一直在不断发展变化的各种版本。每一次迭代，它都在不断改进，创建新的加密方式，改变大小，也许是不同的加载机制等等。我认为它与我们今天要介绍的NOOPDOOR恶意软件的关系是，它们并不一定一起工作。但我认为我们现在分析的NOOPDOOR恶意软件是LODEINFO的更修改和更高级的变体，我想我们稍后会详细介绍。

是的，我们稍后会更深入地讨论你提到的APT 10和NOOPDOOR。过去哪些类型的组织受到LODEINFO的攻击？它们是否有一些共同的特征？

我认为这与APT 10的目标是一致的，它们主要针对的是……我的意思是，我显然不能代表他们说话，但它们的目标是许多关键基础设施公司，许多讨论中国活动（无论是武器还是任何地缘政治话题）的媒体公司，以及为该国政府创建IT系统的IT公司。我想这些是我们在这些行为者那里不断听到的主要目标。

那么，Cybereason是如何参与到这次调查中的呢？

我们为一个新客户添加了检测功能，使用我们的解决方案。很快我们就发现这是一个复杂的威胁，并非常见的东西，也不是之前见过的东西。它涉及数据盗窃，使用了非常隐蔽的技术。因此，客户决定对此进行更深入的调查，并聘请我们作为事件响应者。因此，我们开始调查受感染的机器，提取一些技术，然后我们决定从这些技术转向我们的其他客户群。我们确实发现了另外两个受害者，后来又发现了一个，但它不是我们的客户，这使得我们总共处理了三个事件响应案例，这些案例都使用了相同的策略或相同的工具。

这些组织的网络中存在这些恶意软件相当长的时间才被发现。这些持久性是如何在网络中维持的？LODEINFO使用了哪些技术？在接下来的回答中，伊藤仁会提到NOOPDOOR使用的一些Windows机制来维持受感染网络中的持久性。

对于不熟悉Windows开发的听众，让我们快速分解一下这些关键机制。任务计划程序是Windows的一个组件，它在特定时间或特定事件（也称为触发器）发生后启动程序或脚本。计划程序可用于执行例行任务，例如发送电子邮件、显示消息框或运行恶意软件。MSBuild（Microsoft Build Engine）是一个组件，允许开发人员构建应用程序，即将源代码文件转换为可执行软件。

开发人员提供一个基于XML的配置文件，该文件描述要构建的项目以及构建过程中的各种任务，例如创建目录、复制文件等等。最后，WMI（Windows Management Instrumentation）是一个平台，系统可以使用它来远程控制基于Windows的机器，通常是在企业网络环境中，例如响应特定事件运行管理脚本。有了这些概念，让我们回到我们的访谈。

主要的持久性机制是任务计划程序，使用任务计划程序运行特定命令。他们使用MSBuild，我认为这是Microsoft构建系统的一部分，来构建、编译和执行C#代码。有一个任务计划程序来编译和运行代码，所以他们在系统上拥有注入器的实际源代码。

但这显然只是一个。另一个是WMI事件使用者，它表示当特定事件发生时，将发生此执行。另一个是ADLL。

我刚才提到的那两个是用C#编写的，并且有源代码。下一个是一个服务DLL。显然，这是一个DLL格式，高度混淆。它作为服务加载自身，从注册表加载加密的shellcode。它从注册表解密shellcode，基于诸如机器ID、从每个系统获取的一些哈希值等内容。所以它不像你可以创建一个脚本，可以解密所有NOOPDOOR样本，因为它对每个系统都是唯一的，所以你必须输入机器特定的信息才能最终解密并能够提取NOOPDOOR，然后弄清楚它在做什么。

是的，补充一点，在我们调查的所有机器上持久性发生之前，我们还注意到攻击者从先前受感染的机器转移。这基本上是他们一直都在做的事情。他们只是入侵了一组机器。

然后，从这组机器，他们转移到其他机器，放置文件，加载NOOPDOOR，并删除该文件，因为在他们将NOOPDOOR加载到注册表之后，就像伊藤仁说的那样，他们基本上获得了一个完全可操作的后门，没有在系统上留下任何文件。所以它仍然存在，因为证据在注册表中，但它不是一个文件，并且他们使用这些技术，每次使用不同的技术，这取决于攻击目标。他们想要控制这些机器。

攻击者是如何将恶意软件偷偷带入组织内部的？可以说是渗透方法是什么？

最初，已知LODEINFO是通过一种称为鱼叉式网络钓鱼的初始访问方式传播的，它使用各种欺骗或诡计来诱骗受害者执行恶意软件。

恶意软件在机器上运行，然后从该机器，攻击者转移到其余的基础设施并执行其余的操作。所以，在感染后，他们使用例如Cobalt Strike之类的商业产品来进入网络。他们使用这种类型的预测，他们还使用针对其目标行业和国家的特定文档。在我们调查的案例中，我们有一个案例也涉及鱼叉式网络钓鱼。

而且我看到这种情况，因为这些事件发生在我们开始事件响应之前的两年甚至两年多以前。所以在这种情况下，事件与调查之间的时间间隔越长，我们的结论正确的可能性当然就越低。但我们能够以75%的概率说，鱼叉式网络钓鱼参与了该案例。但在另一个案例中，其他厂商也提到了这一点，他们正在研究相同的受害者，一个使用非常流行的VPN解决方案（在日本使用的防火墙解决方案）和另一个使用FortiGate的受害者，它们被入侵以进行攻击。所以这意味着攻击者要么改变了他们的初始访问技术，因为之前的技术不再有效，要么是因为他们有了使用FortiGate的机会，这对于攻击者来说比鱼叉式网络钓鱼更方便，或者它是不同的攻击者，或者是在同一个组织内部的不同操作者。

现在我有一个问题，我想问你们两位。我想，一旦你们意识到你们正在调查一个国家支持的威胁行为者，我想，能够实际追踪到这些行为者的调查是相当罕见的。对于你们个人来说，调查这样一个案件，与国家支持的威胁行为者正面交锋，这有多令人兴奋？

显然，这对我来说非常令人兴奋，因为我以前处理过国家支持的攻击案例，但没有一个达到这个级别。我想我们稍后会谈谈，但他们使用的工具非常复杂，我将稍微技术化一点，但他们为整个攻击框架使用shellcode。

伊藤仁提到了shellcode，所以这是一个学习机会。什么是shellcode？shellcode是在命令行环境中运行的代码，例如Windows上的cmd.exe。

在恶意软件的上下文中，它指的是一旦被注入到正在运行的应用程序中，就可以执行的恶意软件有效负载代码。一旦恶意软件能够利用漏洞（例如缓冲区溢出）将shellcode注入内存并欺骗程序运行它。shellcode以利用应用程序的所有权限运行。缺点是编写shellcode非常具有挑战性。它需要深入了解低级编程语言，如C、C++甚至汇编语言，因为每个操作系统都有自己的shellcode。顺便说一句，C2是命令和控制基础设施的缩写，攻击者用来与网络内部受感染机器通信的软件。

创建shellcode本身需要一些特定的编码方法。你不能只是链接库，然后使用常规的Windows功能，例如创建文件等等。所以，从复杂性来看，我需要了解攻击中发生的一切，因为除了IR之外，这是一个能够查看它的绝佳机会，而且它还在进行中，这也是一件好事，因为在IR方面，只要你能够阻止攻击，控制住它，然后将它们从网络中清除，然后修补你需要做的事情，以防止它们再次出现，你就不需要对工具和技术进行全面分析。

所以你不需要查看恶意软件的一些具体细节，但它是一件非常有趣的事情，我想这促使我和Louis记录比IR工作所需更多的东西，所以我想这就是我们今天来到这里的原因。我认为关于这次攻击的一个有趣的事情是，我告诉过你们，我一年多前加入了Cybereason，然后这次攻击发生在我加入几个月后。但有趣的是，我在之前的组织中分析过一个非常相似的工具，可能使用了相同的C2。

大约一年前，我在我之前的组织中分析过一个非常相似的工具。所以我在实际中看到了它，在一个我工作的日本公司中。然后我从供应商的角度再次审视它，并且我可以看到它造成的破坏，这非常有趣。这很有趣。

如果我可以补充一点。我们使用的遏制策略也与大多数常见的IR策略非常不同，因为我们知道这是一个非常高级的攻击者。我们知道它们遍布整个网络。

他们可能还有其他类型的后门我们没有识别出来。所以在这种情况下，我们在采取任何行动之前，会非常仔细地研究。我们知道这种类型的攻击者会监控基础设施，他们会监控受害者的基础设施。

所以他们知道网络内部发生了什么。所以我们不能开始例如阻止C2 IP，阻止特定哈希运行。如果我们开始这样做，攻击者会很快改变策略。

基本上，他们将与我们和受害者一起玩“走棋”（Walker）。呃，所以他们将改变策略，我们将识别该策略，阻止它，是的，这种情况将持续很长时间。所以在那种情况下，你需要采取很多谨慎措施，进行遏制，并制定针对这类攻击者的特定收入策略。

是的，听起来就像你在和攻击者下象棋，某种意义上的智力较量。所以，也许为了给我们的听众设定一个基线，你能描述一下典型攻击的流程吗？呃，它如何从最初的影响开始，你首先做什么？

你进入你的组织后，首先要确保你再次获得访问权限。我认为这是你做的第一件事之一。他们通过MS Bill或WDM I或服务安装了持久机制。然后，当他们访问该机器时，他们就可以随时返回，然后他们开始进行内容获取，获取用户名、密码以及将要进入域控制器的那些信息。

而且，我们还在这些参与中看到了一种内部C2，这使得它成为了一种对NOOPDOOR的修改，但它被修改了。它只是一个作为服务器的品牌，并且表示它不直接与互联网外部通信。它完全是内部的，我们相信它被用作受害者网络内其他枢纽点之间的中继点，以便他们可以聚合信息或更容易地进行操作。所以我想这就是他们如何分散到整个网络中，并且能够入侵，我想说，数百台设备。

所以既有内部C2，也有外部C2。

是的，是的。呃，我想说外部C2只是，呃，它在攻击者一方。NOOPDOOR根据它使用的域生成算法连接到那里。内部C2是，是的，就像你说的那样，它只是在受害者的服务器上运行，或者无论什么，我们看到通信正在进行，再次聚合信息，它是一样的。它是相同的后门方法。我可以运行代码，它可以加载文件和删除文件，也许这就是他们收集所有用户信息的地方，我们没有确切地看到它们在那里被聚合，只是基于该服务器代码的遥测和功能。这就是我们认为它被用于的目的吗？

呃，内部C2也使他们能够控制未连接到互联网的机器，这些机器被限制在受限网络中，这也能暗示他们所针对的受害者类型，以及他们拥有一定的网络安全成熟度才能进行这种类型的对话。

意思是说，也许是一个内部区域差距，阻止内部系统访问互联网，对吧？

绝对的，绝对的。所以不是完全隔离，因为他们仍然需要连接到托管内部C2的网络，但是，是的，是的。

攻击中使用了哪些其他工具？

所有这些事件中有趣的一点是，我们没有注意到任何通常在其他事件中注意到的黑客工具，例如，我想到的是Mimikatz，用于通过Mimikatz进行隧道连接以窃取凭据。

呃，对于国家行为者来说，使用像Mimikatz这样的工具不会太严重，只是一个例子，以及前面提到的后门，它体积很大，并增加了许多功能，允许他们执行大多数这些操作，关键信息收集、侦察、所有围绕预期的事情，以及转储功能，所有这些都可以通过该后门完成。我们唯一注意到的就是使用了嵌入式Windows实用程序。我们经常称它们为“活在阴影中”的工具。

这是我们最注意到的。我们没有注意到一些凭据安全工具或进程来获取明文凭据，所以这种类型的攻击。但它总是使用机器上已存在的工具来做到这一点。

好的。我们之前提到了域生成算法DGA的使用。所以也许可以更深入地了解一下这项技术。什么是域生成算法，它是如何使用的？

通常情况下，当计算机连接到互联网时，它们是基于解析为IP地址的域名进行连接的。然后你连接到该IP地址。但是，如果域名不断变化，IP地址也可能发生变化，这只是攻击者使用的一种方法，这样他们就可以，你知道的，改变他们的基础设施，使阻止他们变得更加困难。

因为如果它不断变化，你就不会知道要阻止哪个域名。尤其是在这种情况下，它的使用方式是，呃，我们看到使用了几个不同的域名。顶级域名，主要的意思是，呃，比如说www.google.com，这是人们使用的许多域名。

但不是google，它只是www.随机算法生成的.com。它本质上变成了，你如何在防火墙上阻止它？你将阻止所有www.com，除非你知道域名本身。但也有一些其他的，比如google.die.hosting.com，如果你只阻止hosting之前的DJF，你就可以阻止它们。

但是，呃，在识别要阻止的域名方面存在许多挑战。这就是我们创建脚本的原因。我们对域生成算法进行了逆向工程。呃，我不会说得太详细，但它获取特定于计算机的信息，进行一些哈希运算，并动态生成一些随机字母，但它本质上并非随机。

你可以逆向它并创建脚本来了解哪些域名将在未来生成，因为我们看到变化发生在180天、365天，也许是90天，这取决于机器以及使用的NOOPDOOR的类型。所以我们创建了脚本。因此，受害者可以阻止在可预见的未来将要生成的任何域名。

好的。那么让我们把注意力转向参与此案的威胁行为者。我们已经提到了它的名字，APT10。那么，考虑到实际归因攻击的难度，从分析这次攻击中，我们对APT10了解多少？看起来他们有很多资源可以使用。呃，一个有趣的话题是，我认为我们看到的许多攻击都在当地时间的下午5点或6点结束，它们从上午9点开始。

所以他们在这些时间之间工作，呃，但这有点离题，但是的，很明显，他们有很多资源致力于这项工作及其工具的开发，因为正如我所说，NOOPDOOR，我们发现了许多新的变种。我认为有20多个，也许30个，甚至40个NOOPDOOR样本，显示代码，但没有一个是完全相同的。

总有一些不同的硬编码字符串有所不同，这使得DGA略有不同。所以我想，呃，而且由于他们一定有某种自动工具来生成这个的不同迭代版本。

所以仅仅是创建它，以及创建代码和它的整个操作，呃，他们在操作中是多么隐秘。这是一个，呃，你可以看出，很多工作都投入到了其中。我认为这是我们可以关于这次攻击得出的最有趣的事情之一。

呃，关于目标方面的一件事，Cuckoo Spear活动一直认为APT10具有更广泛的全球范围，因此已知它也攻击了英国组织，以及美国组织。所以，呃，APT10是一个更全球化的组织，而Cuckoo Spear则非常专注于使用我们正在记录的工具，并且也针对日本。就是这样。

非常感谢。很高兴与您交谈。

非常荣幸。感谢各位嘉宾。

非常感谢您的来电。谢谢。

非常感谢。

CK Milk Music Muk Music Muk Music K Music。