一����、 多模態(tài)誘捕介紹
近年來����,網(wǎng)絡攻防對抗技術持續(xù)演進升級,網(wǎng)絡安全形態(tài)逐漸呈現(xiàn)多模態(tài)特征�,安全對象和攻擊技術多模態(tài)化,攻擊的高隱蔽性����、強對抗性、難以預判等特點愈發(fā)明顯�。
多模態(tài)誘捕針對多模態(tài)安全對象、多模態(tài)網(wǎng)絡攻擊特點����,設計多類型的仿真��、誘捕和分析方法����,并基于AI進行有機融合來構(gòu)建面向數(shù)字化時代�、復雜業(yè)務場景的多模態(tài)仿真及攻擊誘捕分析能力,以有效應對多模態(tài)組合攻擊���、高級未知隱蔽攻擊�。
多模態(tài)誘捕能夠?qū)崿F(xiàn)細粒度的精準仿真和定向誘捕�����,并與傳統(tǒng)網(wǎng)絡安全�����、數(shù)據(jù)安全技術能力形成協(xié)同����,構(gòu)建新型面向數(shù)字化時代的綜合運營體系��。
多模態(tài)誘捕技術架構(gòu)如下圖所示:
二����、 文件誘捕分析
在多模態(tài)誘捕中���,文件誘捕分析是其中重要組成部分。文件載荷作為文件誘捕分析的主要對象��,在網(wǎng)絡攻擊過程中起到了至關重要的作用�,文件載荷是攻擊者實現(xiàn)攻擊目標的核心載體,它通常包含惡意代碼��、漏洞利用程序�、控制指令或攻擊模塊等關鍵內(nèi)容,貫穿于攻擊的初始入侵�、權限擴張、目標達成等各個環(huán)節(jié)���。其在攻擊鏈的多個階段都有著重要的作用����。
1. 實現(xiàn)初始訪問:突破目標系統(tǒng)防線
初始訪問是攻擊的第一步�����,而文件載荷是攻擊者突破目標系統(tǒng)外圍防線的主要工具�,常見方式包括:
2. 執(zhí)行惡意操作:建立攻擊立足點
當文件載荷被觸發(fā)后,其核心作用是在目標系統(tǒng)中執(zhí)行預設的惡意行為���,為攻擊者建立初始控制權限����,具體包括:
3. 支撐持久化控制:確保長期駐留
攻擊者為避免單次入侵后失去對目標的控制���,會通過文件載荷實現(xiàn)持久化,常見手段包括:
植入后門機制:載荷中可能包含創(chuàng)建持久化后門的代碼�����,例如修改系統(tǒng)注冊表(如添加啟動項)���、創(chuàng)建計劃任務�����、安裝惡意服務或修改系統(tǒng)配置文件等���。
對抗清理機制:部分載荷會檢測目標系統(tǒng)的安全清理行為(如殺毒軟件掃描、系統(tǒng)還原)����,并通過隱藏文件(如利用 NTFS 流隱藏)、自我復制到多個位置等方式����,避免被徹底清除。
4. 助力權限擴張與橫向移動
在獲取初始訪問權限后���,攻擊者需進一步提升權限�、擴大攻擊范圍�,而文件載荷是實現(xiàn)這一目標的關鍵工具:
權限提升:載荷可以集成針對系統(tǒng)漏洞的提權模塊,通過執(zhí)行載荷中的提權代碼��,從普通用戶權限升級為管理員或系統(tǒng)權限���,獲取對目標系統(tǒng)的完全控制���。
橫向移動:載荷可以包含內(nèi)網(wǎng)掃描、遠程攻擊模塊�,例如通過 SMB 協(xié)議爆破、遠程桌面入侵��、WMI 命令執(zhí)行等方式����,向同一局域網(wǎng)內(nèi)的其他主機擴散。在入侵一臺主機后����,會自動掃描內(nèi)網(wǎng)其他存在漏洞的主機并重復攻擊過程。
5. 實現(xiàn)核心攻擊目標
文件載荷的最終目的是達成攻擊者的核心訴求,常見場景包括:
數(shù)據(jù)竊?�。狠d荷可能集成數(shù)據(jù)收集模塊��,例如鍵盤記錄器(記錄用戶輸入的賬號密碼)��、文件掃描器(搜索并竊取文檔�、數(shù)據(jù)庫備份)、屏幕截圖工具等�����,并通過加密傳輸將數(shù)據(jù)發(fā)送至攻擊者的 C2 服務器��。
系統(tǒng)破壞:勒索軟件的載荷是典型代表�����,執(zhí)行后會通過加密算法對目標系統(tǒng)的關鍵文件(文檔����、圖片、數(shù)據(jù)庫)進行加密���,并彈出勒索提示��,迫使受害者支付贖金��。此外��,部分破壞性攻擊的載荷還可能刪除系統(tǒng)文件����、格式化硬盤�����,直接摧毀目標系統(tǒng)的可用性����。
遠程控制:木馬類載荷執(zhí)行后會在目標系統(tǒng)中植入遠程控制模塊,攻擊者可通過 C2 服務器向載荷發(fā)送指令�,實現(xiàn)對目標系統(tǒng)的遠程操作(如文件管理、命令執(zhí)行���、攝像頭控制等)���,將目標變?yōu)?“肉雞”。
6. 規(guī)避防御檢測:提升攻擊隱蔽性
為避免被安全設備(如殺毒軟件�、EDR)發(fā)現(xiàn)�����,現(xiàn)代文件載荷往往集成對抗檢測的機制����,這也是其重要作用之一:
代碼混淆與加密:通過加殼(Packer)�、混淆(Obfuscation)、加密(如 XOR 加密�、AES 加密)等技術,隱藏自身的惡意特征�����,使靜態(tài)特征檢測失效�。
行為偽裝:載荷可能模仿正常程序的行為(如偽裝成系統(tǒng)進程、使用合法端口通信)���,或延遲執(zhí)行惡意操作(如等待特定時間���、觸發(fā)特定條件后才激活),規(guī)避動態(tài)行為分析的檢測�����。
由此可見,文件載荷是網(wǎng)絡攻擊的“矛尖”��,它既是攻擊者突破防線的工具�,也是實現(xiàn)權限控制、橫向擴散��、目標達成的核心載體����,同時還承擔著規(guī)避防御的功能�����。
吉幻?攻擊誘捕防御與溯源系統(tǒng)(DecoyPro)支持多模態(tài)誘捕能力�����,支持快速構(gòu)建多種誘捕環(huán)境對文件載荷進行誘捕����,利用文件沙箱、靜態(tài)特征�����、情報IOC、威脅模型等多種威脅分析手段對誘捕到的文件載荷進行深度剖析����,能夠發(fā)現(xiàn)常規(guī)手段無法檢測的APT等高級威脅,可以有效提高系統(tǒng)的多模態(tài)攻擊誘捕效率和高級威脅檢測能力�。
文件誘捕分析在整個系統(tǒng)架構(gòu)圖中的流程如下圖所示:
三、 應用案例介紹
1. 基本信息
在近期正在進行的攻防演習活動中�����,部署在某客戶處的吉幻產(chǎn)品向安全監(jiān)控人員推送了一條高風險的文件誘捕告警通知����,登錄到管理平臺查看告警內(nèi)容和相關日志,掌握了此次攻擊行為的完整過程���,大概流程描述如下:
1��、 攻擊者利用仿真客戶XX業(yè)務系統(tǒng)高交互蜜罐的漏洞獲取系統(tǒng)權限����;
2�、 上傳文件“XXXXXX集團數(shù)據(jù)中心云服務器配置參數(shù)”到系統(tǒng)桌面;
3�、 吉幻誘捕到攻擊者上傳的文件���,并上傳管理端;
4���、 管理端將文件送文件沙箱和威脅檢測引擎進行威脅鑒定��;
5�����、 文件沙箱鑒定結(jié)果為惡意;
6���、 第一時間向安全監(jiān)控人員推送了高風險的文件誘捕告警通知����。
誘捕到的文件為exe可執(zhí)行文件���,大小 19MB�����,偽造成 PDF 文檔引誘用戶去點擊執(zhí)行��,來實現(xiàn)對主機進行控制�����。
系統(tǒng)捕獲的文件誘捕日志如下圖所示:
誘捕文件送文件沙箱進行分析給出的鑒定結(jié)果:
2. 沙箱檢測結(jié)果
吉幻系統(tǒng)中的文件沙箱對此樣本文件進行了深度檢測分析����,識別到了多個關鍵的惡意行為,由于樣本文件很新��,傳統(tǒng)的殺毒引擎都還不能有效檢測�����。系統(tǒng)檢測結(jié)果如下圖所示:
文件沙箱動態(tài)分析圖如下所示:
通過文件沙箱分析出來的網(wǎng)絡連接行為如下圖所示:
通過文件沙箱抓取的程序運行截圖如下圖所示:
3. 人工分析
對樣本進一步進行人工分析和溯源�����。雙擊運行樣本文件���,會彈出一個 MessageBox��,此消息框是用來迷惑被控主機����,誤以為程序沒完全運行起來,點擊確定后并沒有結(jié)束程序�,它還是在運行中。
接下來樣本文件用一種特殊的方式對自身進行刪除�����。
此樣本采用了高精度 (NtDelayExecution) 延遲來實現(xiàn) sleep
組裝請求內(nèi)容準備進行網(wǎng)絡連接:
3.1 /token
以 GET 方式請求 URI /token
請求后返回的響應數(shù)據(jù):
返回的 body 為一個 json 串:
{
"rid": "4959b32defecb4e4",
"status": 200,
"token": "egb6E6D17WQVH2Y4NuVV8XpRnm3G0Apu9P7J6EzmW54LQ6o9cia9786G3PGaHfElPeGIOuZwQ9bwK82rQcZ28hnjDtKdO2IbuplJ5qAn3GtHZs1B1yOoqB1bWrLmzyWbWndJtHVt2ZlNZ9NXbqRwG+YIAXEK0WpHZQj08/x/atW6fBITZHjlvwIp3XiEkul5+Q8+a9s09ZcJ/XhvhXN1zyWswORPl6DuYqwnGEKnBAqctTxH461/wfu96PzvcnEy+3Q4KQdRLG8O9X8sFQv36nSPSECFCMa1YItHlm1YH99C0iz/HWT6WMxAA/FvdSw43XPiKBAiRCyhxvRdBRF54uIjfX4/2LF6gHd87G30C5k7i2ZKnyDUvHEXXtzFwnKl5MJ5D00GfI4vWDNtzshKsvshhoRFr9vIyzzTsadojZ7ToWbZEZ7f0R+BDf40spGTKEFyG3EttGSTJDqeJVZhRFF3mKyVzOgJ7PizswnZx9lwY88/uQYqpKpUonheDV1pHoL9Ll5CWXGaX0GZypsQK98TYpdhzGP8NkJFT/AF0WVFt5IqgmLaNyzexzedmJ8y1UfDz8kQDyZLoEaCXqKPY/HFnJ4D116ydEEWWnWPPX8n3ERXjZZgDT5cznCejsCQ",
"timestamp": 1751868950
}
循環(huán)獲取 JSESSIONID���、csrf_token��、sso_token
經(jīng)過一系列計算得到 RSA Public Key:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyUhOGjVHwrbx5qYWEy70v6yvo5FVWBNo7HXHBXFkK2t9Dao5blrMCUAzSrcVJDWXCS1ayLLrj2OXhO932Uu2doVAJ4QIcuo1Lt8/aTKJ64CyfRIWkqzI8x0txKzl7xOy76fj9hc+ccq39TM41B4lyPDBkS9pv/HzbQQ6f7kvaqQ2d74pNzWfOFaUm1tS/9ZfPnyxTNcqUGNMYsIXpDmOyWrSGZPziZ8/nga2oCtaXHll9C+RQAZXHqFc+fWu1Vmx/tqF833EFPi0iEDWhFeu7r3PwOHAv9gBWov6K/WbDKGp80LEEhFdj0ir9eDki2EohTgTCI2Y1tz7ii+8yIbHQQIDAQAB
-----END PUBLIC KEY-----
后續(xù)操作需要此 Key 加密發(fā)送內(nèi)容����,每次請求獲取到的 token 不一樣���,但最終解密出來的 RSA Public Key 是一樣的。
3.2 /check
請求 URI /check
POST 數(shù)據(jù):
metadata 數(shù)據(jù)是用之前的 RSA Public Key 對數(shù)據(jù)加密���,每次都不一樣�����,檢測被控機器是否還存活��。
3.3 獲取基本信息
獲取主機IP:
獲取用戶計算機名稱:
獲取用戶名稱:
獲取當前進程名稱:
通過 WMI 獲取操作系統(tǒng)名稱��、操作系統(tǒng)信息:
最后將獲取到的數(shù)據(jù)打包成 json 格式:
將 json 格式數(shù)據(jù)加密后 POST 到 /update�����,遠控上線獲取被控機器的基本信息�����。
3.4 /update
將加密后的 json 數(shù)據(jù) POST 到 /update
3.5 /report
將運行狀態(tài)日志數(shù)據(jù)加密后 POST 到 URI /report
3.6 /log
不斷請求 URI /log
人工分析時訪問此連接返回 403���,可能是由于限制了被控端的IP范圍����,導致無法獲取返回的 json 數(shù)據(jù)��。
3.7 PACS 資源
由于C2可能對連接IP范圍做了限制��,無法獲取返回數(shù)據(jù)�,因此未對 PACS 資源進行解密。
讀取 PACS 資源 (6.87MB) 用 AES 解密���,進一步解壓生成一個名為 crashpad_handler.exe 程序并運行��。
4. 溯源分析
雖無法獲取此資源解密后數(shù)據(jù)���,但結(jié)合系統(tǒng)誘捕的攻擊日志和對樣本文件的逆向分析���,基本確定此文件是一個遠控程序,根據(jù)遠控通信 IP 對攻擊進行溯源��,溯源基本信息如下:
