对手基础设施：勒索软件组、APT和红队

对手基础设施：勒索软件组、APT和红队
2023-2-27 08:32:6 Author: 潇湘信安(查看原文) 阅读量:36 收藏

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家能把潇湘信安“设为星标”，否则可能看不到了...！

这篇文章为机器翻译文，作者@Michael Koczwara，英文阅读能力还行的师傅可在文末点“阅读原文”！

前言

在这篇简短的博客中，我将开门见山。在过去的几个月/几周里我每天都在使用Shodan、Censys、Nmap和我的Python脚本扫描互联网，并想分享我的信息/研究。

我将非常简要地解释不同的威胁参与者是如何工作的，使用什么样的基础设施和工具来发起攻击，以及他们在opsec方面有多糟糕。

基础设施

威胁行为者简介：

位于俄罗斯的勒索软件集团总部设在中国的威胁行为者红队

钻石模型示例

我将使用钻石模型来解释威胁参与者的方法（我猜这是不言自明的？）

俄罗斯的勒索软件集团

勒索软件集团在俄罗斯的基础设施/工具是什么样子的？

总部设在俄罗斯的威胁演员

另一个勒索软件组示例是 62.182.159[.]147

勒索软件集团基础设施

Twitter地址：

https://twitter.com/MichalKoczwara/status/1605658798437199872

勒索软件基础设施/工具

Anydesk、RDP和ShadowGuru文件以及ngrok是勒索软件运营商使用的典型工具。Anydesk可能与RDP和其他bat文件一样用于持久性，以卸载/禁用安全控制。

Github地址：

https://gist.github.com/MichaelKoczwara/07a877f3df094cafa876834249817c95

中国的威胁演员

威胁演员专注于ProxyShell、Log4J和其他针对Microsoft Exchange等外部基础设施的攻击。

威胁演员 8.210.141.104

威胁演员工具包除了Cobalt Strike、MSF和Sqlmap等典型的Pentesting/Red Teaming 工具外，我们还可以看到，在通过ProxyShell或Log4j进行初始妥协后，威胁演员也有兴趣通过Chisel进入内部网络。

威胁演员工具

Twitter地址：

https://twitter.com/MichalKoczwara/status/1608756413874212865

威胁演员 43.154.36.199

这个 43.154.36[.]199 有什么有趣的地方？

FScan、Shuize、Weaver_exp或POC Bomber等工具由中国开发人员开发：

https://github.com/shadow1ng/fscanhttps://github.com/0x727/ShuiZe_0x727https://github.com/tr0uble-mAker/POC-bomberhttps://github.com/z1un/weaver_exp/blob/master/README.md

另外两个来自中国的威胁演员简介示例，见Twitter

https://twitter.com/MichalKoczwara/status/1601179780480610304https://twitter.com/MichalKoczwara/status/1593706174477541377

威胁演员的bash历史可以揭示有关目标、信用（Cobalt Strike TS密码）和用于执行攻击的工具的信息。

在下面的bash日志的简短总结中，我们可以清楚地看到他看起来像一个脚本小子，从Github中转储各种工具，扫描网站/ips，并尝试不同的漏洞利用，但均未成功。

太长，我只截取了部分，完整的可看Github：

https://gist.github.com/MichaelKoczwara/12faba9c061c12b5814b711166de8c2f

Cobalt Strike信标分析

https://app.any.run/tasks/b1ea6a92-0853-4903-8c78-735083755aa5/

Anyrun 分析

Triage 分析

https://tria.ge/221230-lvlplafd25

威胁演员Cobalt Strike Malleable Profile示例，只截取了部分，完整的可看Github：

https://gist.github.com/MichaelKoczwara/126f8e4a65d8adb635ac53c5d108cd31

当您设置自定义延展性并忘记禁用另一个端口上的证书时。

443上的Cobalt Strike Malleable和574上的默认证书

红队

好吧，这很有趣，因为我很惊讶我经常能找到属于红队的不安全C2（我不会让他们感到羞耻，但说真的，你们应该了解OPSEC！因为如果我能找到你们，坏人也能找到）。

好的，这就是红队基础设施的样子：

红队基础设施

红队Cobalt Strike可延展配置文件示例，只截取了部分，完整的可看Github：

https://gist.github.com/MichaelKoczwara/deb8ea5d997ecd9475532a650e30396a

总结

在这项研究中，我学到了很多东西，尤其是关于威胁参与者的配置文件、工具、方法，它们有何不同，以及他们在opsec中有多糟糕，这不仅是因为不安全的C2和默认配置，还因为凭证、ssh密钥等无处不在！

令人惊讶的是，所有威胁演员的工具和漏洞都可以从GitHub获得。

PS：红队队员请不要为您的Cobalt Strike Team服务器设置带有您公司首字母的邮政编码的密码！

相关阅读：OPSEC与查水表

关注有礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频，“1208”个人常用高效爆破字典，“0221”2020年酒仙桥文章打包，“2191”潇湘信安文章打包，“1212”杀软对比源码+数据源，“0421”Windows提权工具包。

还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247501525&idx=1&sn=45f1fdb35829f1aa3837849d2326a9f1&chksm=cfa562c6f8d2ebd09c0a120ea7467bd840c78aba3770ff53bad9000940a18530c5445891cd23#rd
如有侵权请联系:admin#unsafe.sh