侵襲臺灣高科技產業的外國 APT:Operation Skeleton Key 攻擊手段分析

侵襲臺灣高科技產業的外國 APT:Operation Skeleton Key 攻擊手段分析

今年 Black Hat 大會中,奧義智慧研究團隊發表了有關臺灣半導體產業遭 APT 攻擊的相關研究演說,該研究自今年四月發表白皮書以來收穫許多回應,演講後更引起海內外媒體報導,以下這篇文章將分享奧義團隊研究時的發現,以及介紹 Skeleton Key 攻擊手法。

Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry
臺灣資安新創業者揭露:臺灣至少有7家半導體業者遭中國駭客鎖定

根據 2019 年 7 月的報導,臺灣以約 21.1% 成長率與總計 123.1 億美元的市場規模,成為世界最大且成長最快速的半導體設備製造市場。儘管對於產業發展來說,2019 是個代表豐收的年度,但在經濟好轉的同時,整個 2019 年,臺灣高科技業界有多家公司成為 APT 攻擊的受害者,不可見的安全威脅如同一隻兇惡的巨獸,正從內而外慢慢啃蝕著整體產業。

APT 潛伏在各式網路間諜行動中扮演著重要角色,且經常有國家勢力隱身其後給予指點與資源,一般來說,APT 以擁有高價值機敏資訊的組織作為攻擊目標,包含國防單位、金融、能源及製造業等機構。由於這批新的 APT 攻擊的行為特徵(如技術、策略、程序與 TTP 等)互相相似,且也與過去已被記載的某些網路攻擊類似,因此,我們高度地懷疑這些新攻擊是來自相同境外攻擊者的行動。

在調查的過程中,我們以「Chimera」(意即奇美拉,是傳說中一種由許多動物部位組合而成的怪獸)代稱這些攻擊行為背後的 APT Group,研究發現該駭客組織曾使用包含了提取自 DumpertMimikatz 等開源程式碼的 Skeleton Key 惡意程式,而這種駭客工具就像奇美拉嵌合體一樣由各種部件組合在一起,這也是為何我們以奇美拉來做為攻擊者代稱。

對於奇美拉的威脅行動,包含從 2018 年末到 2019 年末所有利用 Skeleton Key 攻擊的新攻擊,在我們的研究中以 Operation Skeleton Key 來代稱之。這些攻擊意圖使受攻擊對象的智慧資產遭到洩漏,如 IC 設計文件、軟體開發套件 (SDK)、程式碼等,而它們背後的動機,很有可能是源自競爭對手(從攻擊的先進程度來看甚至可能是國家組織)意圖要在競爭之中取得優勢。

閱讀我們對奇美拉 Operation Skeleton Key 攻擊的完整報告

重點發現

前段最後附上的報告中,我們針對奇美拉採用的技術、策略、程序與客製化的惡意程式進行了全面性的分析,並發現以下幾個值得注意的項目:

  1. SkeletonKeyInjector — 這個惡意程式結合了從 Dumpert、Mimikatz 所提取的程式碼,並被用作帳號操控 (Account Manipulation) 的工具。這項惡意程式改變了 Kerberos 的身分驗證程式並植入 Skeleton Key,使攻擊者可以在不需密碼的狀況下登入系統。如此一來,由於網域伺服器的認證程序記憶體遭到修改,即便重新設置了密碼,攻擊者也仍可進入遭駭的機器。成功植入 Skeleton Key 後,攻擊者便可以在相同網域內橫向移動、順利連進其他的機器,這種移動在行為上與合法登入相同,故而在系統內執行各種行動時不會被阻止,並且有助於攻擊者掩蓋自己的持續性惡意行為。
  2. Counterfeit Google RAT — 攻擊者利用 Cobalt Strike 作為主要的遠端存取木馬 (Remote-access Trojan, RAT),後門程式偽裝成 Google Chrome 瀏覽器的更新檔案,藉以混淆視聽使用戶難以察覺。另外,為了進一步掩蓋惡意行為、提升防護方調查根因的困難度,攻擊者也將大部分的 C2 伺服器建置在 Google Cloud Platform 上。
  3. ChimeRAR — Chimera 使用了一個已被替換的舊版 RAR,並修改利用來洩漏資料。
關於 Skeleton Key 攻擊

在 2014 年時,Dell SecureWorks 的 Counter Threat 部門察覺第一個 Skeleton Key 的案例,該 Skeleton Key 能夠繞過 Active Directory 的單因素驗證,並藉此對服務進行遠端存取。然而,Chimera 的 Skeleton Key 則是提取自 Mimikatz 與 Dumpert 的鑰匙,並嘗試著透過調用 syscall 自行實作高層次API,來繞過常被運用在防毒軟體及端點偵測產品上的 API 監控。

下載我們對奇美拉 Operation Skeleton Key 攻擊的惡意程式逆向分析報告。

初步調查

在調查 Operation Skeleton Key 攻擊的期間,我們一共分析了超過 30,000 個來自臺灣高科技供應鏈中不同公司的端點,接下來我們將挑出兩個較具代表性的案例,進行更深入的分享。

我們將整年度之中分析的案例歸納成兩種,分別代表不同的檢測方式,案例 A 在常態的安全監測下發現 Operation Skeleton Key 攻擊,而案例 B 則在攻擊發生後許久,才透過 IR 服務開始調查的期間才發現曾受到 Chimera 攻擊的影響。

將分析案例歸納成案例 A (常態的安全監測下發現 Operation Skeleton Key 攻擊)與案例 B(在攻擊發生後許久,才透過 IR 服務開始調查的期間才發現曾受到 Chimera 攻擊)兩種並代表不同的檢測方式。
※註:本文所有案例內容及端點名稱等均已去識別化,僅為示意圖。

奧義智慧的 MDR 服務
步驟一:在您的系統端點上部署奧義的 MDR 及 NGAV 鑑識掃描器
步驟二:掃描器持續回傳監測數據
步驟三:奧義的資安專家攜手 AI 人工智能分析數據,產生即時告警及掃描報告,包含針對所有惡意行為的全站式用戶與實體行為分析 (User and Entity Behavior Analytics, UEBA)、威脅分析、MITRE ATT&CK® 分類、事件根因案情脈絡,以及修復相關建議。

在偵測時間的部分,可以看到案例 A 的組織在受攻擊前就已經使用了奧義提供的 MDR 方案。奧義提供的防護方案有主、被動兩種類型,在這些方案內,企業的端點將受到 AI 掃描器的監測,針對已知惡意程式與可疑的行為進行掃描。主動方案是我們的 24/7 全天候 AI MDR 服務,而案例 A 選用的方案則是定期提供端點與企業網路完整檢測報告的被動做法(案例 A 的報告週期為每日提供)。

我們從案例 A 中挑選出一個能看出更多細節、較具有代表性的樣本;另外,案例 B 則是在系統已偵測出異常活動後,才提出開始導入我們的 IR 服務。接下來我們可以看到,已經過匿名處理的 Situation Graph 和 Storylines 等資料。

案例 A 客戶的代表性樣本

案例 A 的案情脈絡範例
案例 A 的案情脈絡範例,自 2019/12/10 14:59 至 2019/12/10 16:17。※註:本文所有案例內容及端點名稱等均已去識別化,僅為示意圖。

在攻擊行動開始的第一個小時內,Chimera 並未實際侵害到重要的伺服器,因此系統並未立刻通報,而是暫時允許攻擊者的行為,藉此針對該攻擊蒐集更多的情資,如新型惡意程式、惡意行為與行為動機等。在 NB-CLAIR 端點發生第一起可疑行為後,在這個案例 A 的代表性樣本情況下,企業的資安監控中心 (Security Operations Center, SOC) 立刻產生告警,通知系統管理者關於可疑行為與其潛在風險的資訊。假如案例 A 的組織當下已有訂閱過我們的 24/7 全天候 MDR 服務,那麼從 NB-CLAIR 遭攻擊的當下,我們就能輕易地協助阻止攻擊行動。

Chimera 最初的存取是透過 VPN 使用了有效的 ID。

許多的企業常會忽視 VPN 連線的風險,並且預設保持對對 VPN 連線的信賴、方便用戶進到企業網路內部。Chimera 是我們所見過,擅長技術性利用此 VPN 政策缺陷的攻擊團體,從 NB-CLAIR 的情況來看,攻擊者透過遠端桌面協議 (Remote Desktop Protocol, RDP) 成功獲得存取權,並放置了第一個 Cobalt Strike 後門程式。

AI 生成的案例 A 網路勢態
AI 生成的案例 A 網路勢態 (Cyber Situation) 圖範例。※註:本文所有案例內容及端點名稱等均已去識別化,僅為示意圖。

Cobalt Strike 是 Chimera 主要用作 RAT 用途的工具,為了防止被偵測,他們將 RAT 木馬程式偽裝成 Google 更新的可執行檔,作為 Cobalt Strike 的 Beacon 來將 Payload 注入其他程序。這類型的操作顯然非常可疑,由於程式經過變種、或專為此次攻擊設計。VirusTotal 上並未有此惡意程式的資料,而我們的 AI 偵測服務則會立刻開始追蹤攻擊足跡。

利用遠端桌面程式進入 NB-CLAIR 後,攻擊者在六分鐘內便成功把 Cobalt Strike 透過 schtask utility 複製到另一個端點 Server-LAUREN 上。如果您有導入我們的持續性 MDR 服務,也就是前述的主動型防護方案,那麼安裝在端點上的 agent 就能在這個階段,偵測出攻擊者在系統中的橫向移動,並且進一步阻止攻擊。

而 GoogleUpdate.exe 這個惡意程式為了躲避追蹤、增加防守方追蹤的難度,利用建置在 GCP 的 C2 來連線;當然,這個行為逃不過我們 AI 數位鑑識的法眼,再一次,案例 A 組織的 SOC 能在攻擊發生當下就收到告警。

惡意的 C2 Domain
惡意的 C2 Domain

整個攻擊行動到這邊,距離 Chimera 首次成功存取其實才過 18 分鐘而已,一旦 C2 與系統完成連接,RecordedTV.ms 這個惡意檔案便會被放入 Server-LAUREN,並開始竊取資料;也就是說,即便沒有 .exe 執行檔,攻擊者依然能夠竊取目標的數據等資料。後來我們發現,RecordedTV.ms 事實上是由舊版 RAR 修改而來,它與原本的 RAR 軟體僅僅只有一個 Byte 的差距(與 rar.exe v3.6 版本相較)。

 rar.exe 與 RecordedTV.ms
左邊為原本的 rar.exe 右邊為 RecordedTV.ms

除了 RecordedTV.ms,我們也在幾台機器中找到以不同名字存在的相同二進位檔案,例如 uncheck.dmp、jucheck.exe 等,這些惡意檔案也同樣地,被我們的 AI 驅動鑑識掃描器一一抓出。為了探勘整個網路系統,攻擊者也透過 Server-LAUREN 發出了多次「net user」指令,並將相應結果儲存在 RecordedTV_lib.log 這個檔案內;此外,Server-LAUREN 還利用 wmic 遠端執行了一些其他指令,用以確認其它的端點是否有網路連線,而我們將此行為標記為 MITRE ATT&CK 框架下的 discovery events。

偵查的指令 (command)
偵查的指令 (command)

Server-LAUREN 還儲存了 Windows 的登錄檔及其他主機的 ntds.dit 檔案,而不管是 Active Directory 資料庫、ntsa.dit 等,裡面都包含了許多關於主機、使用者的重要資訊,例如 ID、名稱、密碼雜湊值等,Windows 登錄檔內更是有加密檔案 ntds.dit 的金鑰,Chimera 利用這些資訊還解鎖檔案,或者暴力破解密碼雜湊。只要 AD 不慎遭受到攻擊,SkeletonKeyInjector 惡意程式 d3dll.dll 就能注入一把 Skeleton Key 進去,讓駭客得以於同樣網域內的主機中自由地橫向移動

所幸案例 A 在 SkeletonKeyInjector 開始運作前,就以得到告警並對此資安事件做出應變。案例 B 可就沒有這麼幸運了。

和我們的所有客戶一樣,案例 A 的組織會收到有事件前後完整信息且可參照執行的報告,這份報告內會針對先前曾產生高嚴重性告警的事件,提供包含攻擊流程與來源等上下文內容的詳細資訊,並給客戶一份對於他們所有端點、檔案、網路、身分識別與存取管理系統的可操作情資。

透過自動化鑑識調查,我們就不需要再反覆猜測嘗試,可以最快找出問題所在,並且分析得到有效可執行的步驟來阻止駭客的攻擊、修復受損的系統。

提交給案例 A 組織的報告中,具體告知那些檔案應刪除、哪些程序須停止、哪些是惡意程式應該移除,甚至是哪一個使用者帳號受到影響而建議重設,以及該封鎖哪一些網址、網域與 IP 地址。案例 A 的組織原本使用我們的被動防護方案,經歷上述這個樣本事件的處理後,他們現在已決定升級成主動方案,並且在奧義 MDR 服務的保護之下享受安全的網路環境。


Skeleton Key 注入器

這個惡意軟體是一種帳號操縱的工具,它更改了 NTLM 身分驗證的程式並且植入一把 Skeleton Key,透過這把 Skeleton Key,Chimera 得以在沒有有效憑證的情況下,繞過驗證程序並登入其他機器,而一旦內存記憶體中的程式碼遭到竄改,Chimera 便能夠存取該網域中的任何系統與機器。由於 AD 主機通常不太會重啟,Chimera 很有可能得以長期潛伏操縱機器,而不被系統擁有者察覺。

這也就是為甚麼我們主張需對每一台電腦、包含網域伺服器,進行全面的記憶體鑑識掃描。

在 Operation Skeleton Key 的調查過程之中,我們發現有一些半導體廠商使用白名單的方式來做資安管控。然而,雖然 AD 只能執行白名單內的軟體,使白名單在某些狀況下不失為一個好方法,但根據我們的調查,即使設定了白名單,Chimera 依舊能透過離地攻擊 (Living off the Land) 的技巧成功發動攻勢。

點擊閱讀我們對 Operation Skeleton Key 所做的完整逆向分析報告。

代表性案例 B
案情脈絡範例
案例 A 的案情脈絡範例,自 2018/11/7 19:56 至 2019/12/27 10:56。※註:本文所有案例內容及端點名稱等均已去識別化,僅為示意圖。

去年十一月的時候,當案例 B 的組織升級他們的網路基礎架構時,他們發現了一些異常的網路活動,並找上奧義要透過我們的 IR 服務進行相關調查。因此,在案例 B 的事件中,奧義智慧解決方案和對方的日常 SecOps 是完全無關的,我們僅從事件發生後開始參與。

奧義智慧的 IR 服務
步驟一:部署我們的 IR 鑑識掃描器至您的端點
步驟二:掃描器回傳數據,奧義的資安專家攜手 AI 人工智能進行分析
步驟三:24 小時之內我們將提交包含完整的駭客工具與行為分析的報告,並為您制定合適的威脅根除計畫
步驟四:您依照根除計畫處理後,我們將協助您再次掃描、確認威脅已被完全清除

回到案例 B,當時我們掃描了案例 B 組織的端點,並且很快地從攻擊行為中發現,他們所遭遇的網路攻擊正是前述所說的 Operation Skeleton Key 攻擊。

A 與 B 兩個案例之間,以及與我們先前曾調查的許多案件有著明顯的共通點。例如它們全都使用了 SkeletonKeyInjector,也都將 Cobalt Strike RAT 偽裝成 Google 更新檔案,甚至也在 TTP 使用方式等行為上十分類似,因此,我們認為這些相同方式的攻擊均是來自相同的攻擊者。

然而,在這大量的案例之中,很明顯並不是所有組織都像案例 A 這般幸運,我們調查發現到,大多類似的攻擊行為都成功在系統中潛伏了很長一段時間,有些甚至超過一年。Chimera 廣泛地使用下方圖示的 PowerShell 腳本,直接將 Paylaod 注入到系統記憶體內,藉以避開針對檔案的偵測機制。

我們在包含兩台網域管理者的多個端點內,都發現了 Cobalr Strike 後門,並且多數是植入到 svchost.exe,攻擊者透過這個後門來進入到其他的系統程序中。

Chimera PowerShell script
Chimera PowerShell script

與案例 A 十分類似,Chimera 將他們的 C2 伺服器建置在合法的雲端服務上,以此來逃避威脅的根因追蹤,同時,他們透過命名看似無害的 RAR 程式(RecordedTV.ms、jucheck.exe、vmware.log 等)來存取與洩漏系統內的資料。

在案例 B 之中,Chimera 成功地取得了密碼並利用 d3d11.dll 這個 .dll 檔案將 Skeleton Key 部署至系統中,得到自由橫向移動、存取網域中所有機器的能力。Chimera 發動 Skeleton Key 攻擊的最終目的,是為了要獲取目標組織的智慧財產,如 IC 設計文件、SDK、程式原始碼等。

網路場域勢態圖
案例 B 組織的網路場域勢態圖。※註:本文所有案例內容及端點名稱等均已去識別化,僅為示意圖。

在接下案例 B 組織的案子,開始執行掃描與根除計劃的不久後,我們順利修復了由 Chimera 所造成的全部系統損壞、並清除惡意程式。為了確保根除計劃後的系統安全性與韌性,奧義智慧為所有 IR 服務的客戶提供三個月的免費 MDR 服務,當然也包含了案例 B 的組織。而經過三個月的體驗,他們高度信賴奧義的服務品質並且決定要繼續使用我們的 MDR 服務。


MITRE ATT&CK

ATT&CK Navigator
ATT&CK Navigator

我們用 MITRE ATT&CK 框架,來總結一下 Operation Steleton Key 攻擊所使用到的各種技巧,請參照上方圖片內的顏色標示。

Operation Steleton Key 攻擊所使用到的各種技巧

閱讀我們對 2019 年臺灣發生的 Operation Skeleton Key 攻擊的完整報告。

Writer: CyCraft

關於 CyCraft

奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。

訂閱奧義智慧電子報

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
點擊此按鈕,即表示您同意奧義智慧的隱私權政策,並同意奧義智慧使用您所提供的資訊並寄送資訊給您。您隨時可以取消訂閱。