COOKIEJAR：使用 FireEye Endpoint Security 登錄跟蹤器模塊跟蹤對手

在最近由 Mandiant Managed Defense 領導的一家電信公司進行的調查中，我們團隊的任務是快速識別威脅參與者使用合法但被攻破的域名憑據訪問的系統。這個有時很有挑戰性的任務變得很簡單，因為客戶已經在他們的 FireEye Endpoint Security 產品中啟用了登錄跟蹤模塊。

Logon Tracker 是一個 Endpoint Security 創新架構模塊，旨在簡化 Windows 企業環境中橫向移動的調查。登錄跟蹤器通過匯總歷史登錄活動來提高調查橫向運動的效率，并提供監視新活動的機制。在設計用于分析調查線索（例如，受害帳戶）和尋找可疑活動（例如，特權帳戶的RDP活動）的用戶界面中提供此數據。Logon Tracker 還提供了一個圖形界面，該界面可以識別不規則和唯一登錄，并可以選擇過濾主機名，用戶名，協議，一天中的時間，進程名稱，特權級別，狀態（成功/失敗）等。

圖1：Logon Tracker GUI界面

成功的事件響應的關鍵部分是范圍界定工作，以確定可能已被對手訪問的系統。Windows 事件日志提供了一種識別 Windows 系統之間對手橫向移動的常用方法。然而，與所有日志源一樣，Windows事件日志在端點上受數據保留限制，這使Logon Tracker提供的聚合登錄活動成為事件響應的重要證據來源。

登錄跟蹤器的圖形顯示以及原始登錄事件使 Mandiant Managed Defense 能夠快速識別10個潛在的受感染主機，并開始創建對手活動的時間表。

Managed Defense 還利用 Logon Tracker 來監視整個事件響應中是否有其他可疑登錄和對手活動。從已知的受感染帳戶中搜索登錄（失敗和成功），以及源自受感染系統的活動，使我們的研究人員可以快速確定應優先考慮哪些系統進行分析。此外，Logon Tracker還為調查人員提供了以下功能：

• 篩選登錄數據以進行源自用戶提供的IP范圍的活動
• 搜索登錄數據以通過特定的特權帳戶進行活動，包括“域管理員”和“企業管理員”
• 使用“特權”登錄類型搜索任何特權登錄
• 提供警報和自定義規則的定義（即將推出！）

案例背景

7月中旬，Managed Defense Security Operations Center確定了Windows服務器上潛在的憑據收集活動。該活動包括創建計劃任務，該任務配置為執行內置Windows實用程序NTDSUTIL，以獲取活動NTDS.dit文件的快照并將其本地保存到文本文件中，如圖2所示：

"schtasks  /s <redacted> /create /tn ntbackup /tr \"ntdsutil snapshot \\\"activate instance ntds\\\" create quit quit >c:\\Users\\admin\\AppData\\Local\\Temp\\ntds.log\" /sc once /st 05:38:00 /sd 07-12-2020 /f

圖2：為NTDS.DIT 收集安排的任務創建

NTDS.dit文件是一個數據庫，其中包含Active Directory數據，例如用戶對象，組成員身份，組，以及（對于攻擊者更有用的）域中所有用戶的密碼哈希。

利用登錄跟蹤器和簡單的時間線分析，Managed Defense迅速確定了一個對手已經訪問了該系統，以從主機名與環境中使用的命名約定不匹配的系統中創建計劃任務。圖3顯示了Logon Tracker數據的匿名示例：

圖3：登錄跟蹤器數據

有了可疑的主機名和可能受到攻擊的用戶名，Managed Defense隨后使用Logon Tracker的搜索功能來確定對手可能訪問的系統范圍。

結果調查顯示，托管在Linux Apache Web服務器上的面向Internet的客戶關系管理（CRM）應用程序已受到威脅。可通過Web訪問的文件夾中放置了多個Web Shell，從而使對手可以在服務器上執行任意命令。攻擊者利用這些Web外殼之一安裝了惡意的Apache模塊并重新啟動Apache，以使該模塊生效。Mandiant已將此模塊歸類為COOKIEJAR（有關更多詳細信息，請參閱帖子末尾的惡意軟件附錄）。COOKIEJAR模塊使對手能夠通過受感染的服務器代理客戶內部網絡內的任意IP /端口對，請參見圖4。

圖4：PCAP數據

攻擊者使用對客戶網絡的這種代理訪問，利用以前被破壞的域憑據來使用SMB連接到多個Windows服務器。由于使用代理連接到客戶的網絡，因此用來進行攻擊的對手工作站的主機名也傳遞到了登錄事件中。這種類型的活動是由于直接連接到客戶網絡而發生的，類似于在同一LAN上。對手使用的非標準主機名和非標準客戶命名約定有助于進行范圍界定。此外，Managed Defense能夠利用網絡檢測來警告對手主機的身份驗證嘗試和活動。

惡意軟件附錄

在響應過程中，Mandiant確定了一個自定義的惡意Apache插件，該插件能夠攔截對Apache HTTP服務器的HTTP請求。創建了新的惡意軟件家族COOKIEJAR，以幫助集群和跟蹤此活動。COOKIEJAR模塊安裝一個預連接掛鉤，該掛鉤僅在客戶端IP地址與指定的硬編碼對手控制的IP地址匹配時才運行。它分別使用從/tmp/cacert.pem和/tmp/privkey.pem加載的證書和私鑰在Apache服務器指定的端口上偵聽SSL / TLS連接。如果客戶端IP地址與硬編碼的IP地址匹配（圖4），則后門將根據URL的開頭接受三個命令：

• / phpconf_t /：只需編寫<html> <h1> accepted。</ h1> </ html>作為響應。可能用于測試服務器是否感染了惡意軟件。
• / phpconf_s /：在服務器上執行命令。與系統之間的任何通信都將轉發到外殼，并經過AES-256-ECB加密，然后進行Base58編碼。
• / phpconf_p /：使用Base58和AES-256-ECB（與以前相同的密鑰）對作為主機名/端口提供的第二個編碼字符串進行解碼（忽略第一個）。服務器將連接到遠程主機，并充當命令和控制（C2）的代理。使用Base58和AES-256-ECB對進出C2的數據進行編碼。往返遠程主機的數據未編碼。

圖5：COOKIEJAR中的硬編碼配置數據

檢測技術