微软的威胁情报中心(Threat Intelligence Center)一直在分析诺贝尔集团从2021年4月开始使用的定制后门。

betway必威weibo攻击背后的威胁行动者有名字吗SolarWinds,阳光后门、TEARDROP恶意软件、GoldMax恶意软件等相关的组件

微软将窃取服务器配置数据库的后门称为“FoggyWeb”。

攻击表面

正如我们在前面的案例中看到的,Nobelium使用各种方法来窃取凭证,目的是获得管理员级别的访问权限Active Directory联合会广告服务(FS)服务器。一旦完成了这一级别的访问,FoggyWeb就是允许攻击者获得持久性并进一步部署恶意软件的工具之一。

FoggyWeb是一个非常有针对性的后门,它能够从受影响的Active Directory Federation Services (AD FS)服务器中窃取信息。为了建立持久性和进一步的妥协,它在服务器上放置两个文件。这个操作首先需要管理员特权,所以这个后门建立在更早建立的妥协或被盗凭证之上。

DLL搜索顺序劫持方法

最初被删除的两个文件之一使用DLL搜索顺序劫持技术来获得持久性。所有的Windows系统都使用一个通用的方法来查找需要加载到程序中的动态链接库(dll)。它们都使用相同的搜索顺序来查找DLL。环境中的前两个位置使用SafeDllSearchMode是:

  • 加载应用程序的目录
  • 系统目录

所以,文件% % \ ADFS \ version.dll列出,以确保在合法的version.dll位于%列出% \ System32系统\。

为了避免任何错误消息,后门version.dll作为所有合法的代理行为version.dll出口函数调用。它导出与version.dll的合法版本相同的17个函数名。

它对所有17个函数的作用是完全相同的:

  • 调用从文件系统加载后门文件的函数,然后在内存中解密并执行该文件
  • 的合法版本将执行转移到最初调用的目标函数version.dll

基本上,它在原始执行过程中增加了一个额外的步骤,该步骤旨在运行在受影响服务器上的第二个文件:C:\Windows\ SystemResources \ Windows.Data.TimeZones \ \ Windows.Data.TimeZones.zh-PH.pri取了。该文件是被恶意程序解密并执行的加密后门程序version.dll

当加载时,它充当实际的后门。它启动一个HTTP侦听器,侦听特定的HTTP GET和POST请求。这样,它就可以用来和一个C2服务器以及检索被泄露的AD FS服务器的令牌签名证书和其他文件和信息。对于解密后门的更详细的分析,我们建议阅读全文微软博客

缓解和检测

微软为服务器管理员提供了一些建议,可以帮助加强和安全AD FS部署:

  • 说明AD FS系统只有“Active Directory Admins”和“AD FS Admins”具有admin权限
  • 在所有AD FS服务器上减少本地Administrators组成员。
  • 要求所有云管理员使用多因素身份验证(MFA)
  • 通过代理确保最低限度的管理能力
  • 通过主机防火墙限制网络访问
  • 确保AD FS管理员使用管理员工作站来保护他们的凭据。安全管理工作站是有限使用的客户端机器,其构建的目的是大幅降低恶意软件、钓鱼攻击、虚假网站和散列传递(PtH)攻击等安全风险
  • 将AD FS服务器计算机对象放置在不承载其他服务器的顶级组织单元(OU)中
  • 确保所有应用于AD FS服务器的GPOs (Group Policy Objects)只应用于AD FS服务器,不应用于其他服务器。这限制了通过GPO修改潜在的特权升级
  • 请确保已安装的证书不被窃取。这是后门的目标之一
  • 将日志级别设置为最高级,将AD FS日志和安全日志发送给aSIEM与AD认证以及Azure AD(或类似)相关联
  • 删除不必要的协议和Windows功能
  • AD FS服务帐户使用较长的(>25个字符)和复杂的密码
  • 更新到最新的AD FS版本,以提高安全性和日志记录(和往常一样,先测试)

国际石油公司

请阅读微软的博客国际石油公司的完整列表

保持安全,大家好!