安全研究人员发现了一项名为 StrikeShark 的活动,该活动使用名为 SharkLoader 的自定义恶意软件加载程序在受感染的 Windows 系统上部署 Cobalt Strike Beacon。
该活动使用两个主要进入路径。攻击者利用面向互联网的企业软件中的已知漏洞,还分发假装是可信工具(例如 Cisco AnyConnect 和 Google Update)的虚假安装程序。
卡巴斯基安全列表表示 SharkLoader 是在对影响印度尼西亚外交组织的活动进行研究时首次发现的,随后其他几个国家和部门也出现了相关感染。
SharkLoader 是一款定制加载程序,旨在在受感染的计算机上运行 Cobalt Strike Beacon。 Cobalt Strike 是一个合法的红队框架,但攻击者经常滥用破解或未经授权的版本进行攻击后活动。
在 StrikeShark 活动中,SharkLoader 通过多个组件进行工作,解密、加载并执行内存中的最终植入。这使得主要依赖于写入磁盘的文件的工具更难检测到恶意软件。
黑客新闻报道称,该活动影响了多个地区的政府组织、外交实体、软件开发公司和其他目标。
| 活动元素 | 报告详情 | 防守影响力 |
|---|---|---|
| 活动名称 | 强袭鲨鱼 | 使用 SharkLoader 和 Cobalt Strike 跟踪集群。 |
| 恶意软件 | 鲨鱼装载机 | 在受感染的主机上加载 Cobalt Strike Beacon。 |
| 诱饵 | 假冒 Cisco AnyConnect 和 Google 更新安装程序 | 滥用用户对熟悉的软件名称的信任。 |
| 技术 | 使用 SystemSettings.exe 和 SystemSettings.dll 进行 DLL 侧加载 | 使用合法的 Windows 二进制文件来启动恶意代码。 |
| 目标 | 政府、外交和软件开发组织 | 建议战略目标和机会主义目标。 |
虚假安装程序使恶意软件看起来合法
该活动的社会工程依赖于可信的软件名称。某些 dropper 使用 GoogleUpdateStepup.exe、AutoUpdate.exe 和 AnyConnect-win-4.10.04071-predeploy-k9exe 等文件名。
在一个分析案例中,植入程序包含一个真正的 Cisco AnyConnect VPN 安装程序。合法安装程序正常运行,而 SharkLoader 组件则默默地放置在后台的其他目录中。
网络安全新闻指出这为受害者创造了一种令人信服的错觉,因为可见的安装似乎按预期完成。
攻击者还利用已知的企业漏洞
StrikeShark 不仅仅依赖于假冒安装程序。研究人员还观察到攻击者利用面向互联网的应用程序和网络设备中的已知漏洞。
卡巴斯基列出了涉及 Microsoft Exchange、Microsoft SharePoint、Openfire、GeoServer、Fortinet FortiOS、Cisco IOS XE Web UI、F5 BIG-IP、Zimbra、Hikvision 产品、Apache Shiro 和 React Server Components 的活动。
这种模式说明了为什么旧的漏洞仍然很危险。一旦存在公共概念验证漏洞,攻击者就可以将其用于未修补的系统,而无需从头开始构建新的漏洞链。
SharkLoader 使用 DLL 旁加载
该活动中最重要的技术之一是 DLL 侧面加载。攻击者滥用合法的Windows应用程序SystemSettings.exe来加载名为SystemSettings.dll的恶意DLL。
可见的可执行文件是一个真正的Windows组件,它可以使活动对于安全工具和管理员来说看起来更加正常。恶意逻辑位于旁边加载的 DLL 中。
这Microsoft DLL 最佳实践该指南向开发人员发出关于加载程序行为、DllMain 限制和不安全操作的警告,这些操作可能会在 DLL 加载路径中造成可靠性和安全风险。
内存执行使检测变得更加困难
SharkLoader 旨在减少遗留的明显恶意软件文件的数量。它在执行 Cobalt Strike Beacon 之前解密嵌入式组件并将其加载到内存中。
加载程序还使用 API 挂钩和其他规避行为来干扰可见性。研究人员观察到影响 Windows 日志记录的事件跟踪并改变子进程显示方式的尝试。
卡巴斯基的分析据称,该恶意软件会挂钩多个 Windows API,并使用直接系统调用来执行某些操作,从而帮助其绕过监控更高级别 API 活动的工具。
最初妥协后会发生什么
获得访问权限后,攻击者会进行侦察和凭证盗窃。观察到的活动包括系统信息收集、网络发现、Active Directory 枚举和凭据转储。
研究人员还发现有人尝试转储 LSASS 内存并提取 NTDS 数据库。这些步骤可以帮助攻击者获取凭据并深入 Windows 域。
根据黑客新闻,观察到的受害者研究表明,受害者的地理范围很广,而不是针对一个国家或一个行业的活动。
受害者和可能的动机
已确认的活动包括印度尼西亚的外交实体、台湾的政府相关实体以及台湾、黎巴嫩和叙利亚的软件开发公司。
研究人员还确定了香港、哥伦比亚、北马其顿、尼泊尔、塞尔维亚和其他地区受影响的组织。这种混合表明了有针对性的行为和机会主义行为。
针对政府和软件开发组织的目标可能是间谍活动或知识产权收集,但研究人员尚未确认该活动的最终目标。
归属仍不清楚
卡巴斯基将该集群追踪为 StrikeShark,但尚未将其直接与已知的 APT 或网络犯罪组织联系起来。该公司表示,没有发现明显的代码重用、基础设施重叠或与现有参与者的操作相似性。
该活动中使用的一些开源攻击后工具与讲中文的开发人员有关,但这并不能证明直接归属于某个已知的与中国有关的组织。
对于防守者来说,这种不确定性比技术更重要。该活动展示了加载程序、虚假安装程序、旧漏洞和 Cobalt Strike 如何组合成严重的企业入侵链。
组织应关注的指标
安全团队应将以下姓名和行为作为调查的起点。他们还应该寻找相关的流程链、持久性机制和出站 Cobalt Strike 流量。
| 类型 | 指标 | 描述 |
|---|---|---|
| SHA256 | 6a5f9bd0e4a0c385b98cc7b528be53a95ff9c4ccffa8c1f65448ab792a46186 | 与虚假安装程序交付活动相关的示例。 |
| 文件名 | 系统设置.exe | 合法的 Windows 二进制文件被滥用用于 DLL 侧面加载。 |
| 文件名 | 系统设置.dll | 通过侧加载链加载恶意 DLL。 |
| 文件名 | 谷歌更新步骤.exe | 报告中观察到以 Google 更新为主题的虚假投放程序名称。 |
| 文件名 | AnyConnect-win-4.10.04071-predeploy-k9exe | 报告中观察到以 Cisco AnyConnect 为主题的虚假投放程序名称。 |
安全团队的防御步骤
组织应优先考虑修补面向互联网的应用程序和网络设备,因为攻击者严重依赖已知的、公开记录的漏洞。
- 修补 Microsoft Exchange、SharePoint、Fortinet、Cisco IOS XE、Openfire、GeoServer、F5 BIG-IP、Zimbra 和其他暴露的系统。
- 限制公众对管理控制台和旧管理界面的访问。
- 寻找在正常 Windows 目录之外运行的 SystemSettings.exe。
- 在复制的 Windows 二进制文件附近搜索意外的 SystemSettings.dll 文件。
- 查看围绕可疑活动创建的计划任务和注册表运行键。
- 监视 Cobalt Strike Beacon 流量和异常的父子进程关系。
- 检查用户是否从不受信任的位置执行了虚假安装程序或更新主题文件。
为什么仅靠文件信誉还不够
SharkLoader 说明了为什么安全团队不能仅依赖可见的可执行文件是否已签名或熟悉。合法文件仍然可能成为恶意加载链的一部分。
这微软文档解释说 DLL 初始化是在加载器锁定约束下发生的,这就是为什么在事件响应期间需要仔细检查不寻常的 DLL 加载行为。
网络安全新闻还强调该活动结合了虚假安装程序、已知漏洞利用、内存执行和 DLL 侧面加载,这是防御者需要行为监控的关键原因。
StrikeShark 带来的更大教训
StrikeShark 将熟悉的攻击者策略融入到一场战役中。它使用旧漏洞、可信软件诱饵、DLL 侧面加载、内存中执行、持久性、侦察和 Cobalt Strike。
这种组合使得该活动与任何拥有面向互联网的系统的组织或在托管渠道之外安装软件更新的用户相关。
最强大的防御是分层的。团队需要快速修补、限制管理暴露、端点检测、流程链监控、凭证保护、用户培训以及在企业环境中安装软件的明确规则。
FAQ
什么是SharkLoader?
SharkLoader 是 StrikeShark 活动中使用的自定义恶意软件加载程序,用于在受感染的 Windows 系统上部署 Cobalt Strike Beacon。它使用 DLL 侧面加载和内存执行等技术来减少检测。
假冒的 Cisco AnyConnect 和 Google Update 安装程序是如何使用的?
攻击者将植入程序伪装成受信任的安装程序或更新程序。在一种情况下,真正的 Cisco AnyConnect 安装程序正常运行,而 SharkLoader 组件则在后台默默删除。
什么是StrikeShark?
StrikeShark 是卡巴斯基在涉及 SharkLoader 和 Cobalt Strike 的活动中使用的跟踪名称。它已经影响了多个国家的政府、外交、软件开发和其他组织。
哪些漏洞与 SharkLoader 活动相关?
研究人员观察到影响 Microsoft Exchange、Microsoft SharePoint、Openfire、GeoServer、Fortinet FortiOS、Cisco IOS XE Web UI、F5 BIG-IP、Zimbra、Apache Shiro、Hikvision 产品和 React Server Components 的已知漏洞的利用情况。
组织如何检测 SharkLoader 活动?
组织应监视从异常目录运行的 SystemSettings.exe、可疑的 SystemSettings.dll 文件、虚假安装程序名称、Cobalt Strike 流量、异常计划任务、注册表运行密钥以及 DLL 侧面加载或内存中执行的迹象。
