惡意情資分析

從一篇報告分析

https://securelist.com/cactuspete-apt-groups-updated-bisonal-backdoor/97962/

名詞

APT (Advanced Persistent Threat)

• 定義：進階持續性威脅

• 特點：

  1. 進階（Advanced）：使用複雜的攻擊技術和工具
  2. 持續（Persistent）：長時間潛伏在目標系統中
  3. 威脅（Threat）：對目標造成實質性的危害

• 在CactusPete案例中的體現：

  • 文章提到CactusPete的活動可以追溯到至少2013年，甚至可能早到2009年，體現了其"持續性"特點。
  • 雖然CactusPete的技術水平被描述為"中等"，但它仍然能夠成功滲透目標系統並持續活動，展現了APT的典型特徵。

APT Group

• 定義：專門進行APT攻擊的組織或團隊

• 特點：

  1. 通常有明確的目標和動機（如間諜活動、經濟利益等）
  2. 擁有持續的資金和資源支持
  3. 經常與特定國家或組織有關聯

• CactusPete作為APT Group的體現：

  • 文章描述CactusPete為"Chinese-speaking cyber-espionage APT group"，表明其可能與中國有關聯。
  • 其長期針對特定地區（亞洲和東歐）和行業（軍事、外交、基礎設施等）的活動，顯示了明確的目標和持續性。

ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)

• 定義：由MITRE公司開發的駭客攻擊手法知識庫，用於描述攻擊者的行為模式

• 用途：

  1. 幫助組織理解、分類和防禦各種攻擊技術
  2. 為安全分析師提供共同的語言和框架

• 在CactusPete分析中的應用：

  • 文章沒有直接提到ATT&CK，但我們可以將CactusPete的活動映射到ATT&CK框架中：
    • 初始訪問：文章提到使用釣魚郵件（對應ATT&CK的"Phishing"技術）
    • 執行：使用Bisonal後門（對應"Command and Scripting Interpreter"）
    • 持久性：長期潛伏在目標系統中
    • 命令與控制：使用HTTP協定與RC4加密進行通訊

分析一篇資安報告

類型

事實型：直接從文章中提取資訊。
分析型：要求讀者綜合文章中的多個資訊點。
推理型：基於文章提供的資訊進行合理推測。
應用型：如何將文章中的資訊應用到實際的資安安全實作中。
比較型：將CactusPete與其他APT組織或之前的活動進行比較。

1. 事實型分析

目的：直接從文章中提取關鍵資訊。

關注點：

• APT組織的基本資訊（名稱、別名、活動時間）
• 攻擊目標（地理位置、行業）
• 使用的惡意軟體和工具
• 攻擊技術和方法
• 時間線和重要事件

範例問題：

• CactusPete APT組織最早的已知活動是什麼時候？
• 該組織主要針對哪些地區和行業進行攻擊？
• 報告中提到了哪些具體的惡意軟體名稱？

2. 分析型分析

目的：綜合文章中的多個資訊點，得出更深入的洞察。

關注點：

• APT組織的整體戰略
• 攻擊手法的演變
• 技術能力的評估
• 潛在的組織結構或規模

範例問題：

• 根據報告中描述的攻擊模式，CactusPete的作業流程可能是怎樣的？
• 從使用的工具和技術來看，CactusPete的技術能力水平如何？這與其攻擊成功率有何關聯？
• 報告中提到的不同惡意軟體之間有什麼關聯？它們在整個攻擊鏈中扮演什麼角色？

3. 推理型分析

目的：基於報告提供的資訊進行合理推測。

關注點：

• APT組織的可能動機
• 潛在的幕後支持者
• 未來可能的攻擊趨勢
• 隱藏的能力或未披露的攻擊

範例問題：

• 根據CactusPete的攻擊目標，其背後可能有什麼樣的動機？
• 考慮到報告中描述的技術水平，CactusPete可能還擁有哪些未在報告中提到的能力？
• 基於現有資訊，CactusPete未來可能會如何改變其攻擊策略？

4. 應用型分析

目的：將報告中的資訊應用到實際的網路安全實踐中。

關注點：

• 防禦策略的制定
• 檢測方法的改進
• 事件回應計劃的更新
• 員工培訓的重點

範例問題：

• 如何根據報告中描述的CactusPete攻擊手法來加強組織的防禦措施？
• 基於報告中提供的IoCs，我們應該如何更新我們的威脅檢測系統？
• 報告中的哪些資訊應該納入到員工的安全意識培訓中？

5. 比較型分析

目的：將報告中的APT組織與其他已知的威脅行為者或過去的活動進行比較。

關注點：

• 與其他APT組織的相似性和差異
• 該組織自身的演變和發展
• 在整體威脅格局中的地位

範例問題：

• CactusPete的攻擊手法與其他已知的中國APT組織有何異同？
• 與早期的活動相比，CactusPete的能力和策略有什麼變化？
• 在針對特定地區或行業的APT威脅中，CactusPete的危險程度如何？

透過這種多角度的分析方法，我們可以從一份資安報告中取得最大價值，不僅了解具體的威脅細節，還能洞察更廣泛的安全趨勢和應對策略。

範例

CactusPete 主要使用的惡意軟體散佈方法

根據文章內容，CactusPete 主要使用 魚叉式網路釣魚 (spear-phishing) 來散佈惡意軟體。

• 文章明確指出，CactusPete 偏好的惡意軟體傳播方式是 "魚叉式網路釣魚郵件"，這些郵件會夾帶惡意附件。
• 這些附件通常不會利用零時差漏洞，而是利用近期發現和修補的漏洞，或其他任何可能幫助他們傳遞惡意軟體的技巧。
• 一旦使用者開啟這些附件，就會導致電腦被感染。

魚叉式網路釣魚 被明確指出是 CactusPete 偏好的 惡意軟體傳播方式。

CactusPete APT 攻擊團體的攻擊手法

根據文章內容，CactusPete APT 攻擊團體主要使用以下攻擊手法：

• 魚叉式網路釣魚（Spear Phishing）: 攻擊者會發送精心設計的釣魚郵件給目標對象，郵件中通常含有惡意附件。 這些附件不會利用零時差漏洞，而是利用近期被發現和修補的漏洞，或者其他任何可能幫助他們傳遞惡意軟體的方法。 一旦目標開啟這些附件，就會導致系統感染惡意軟體。
• 惡意軟體植入: CactusPete 會使用各種惡意軟體來攻擊目標，包括 Bisonal 後門程式、DoubleT 後門程式和 ShadowPad 惡意軟體等。 這些惡意軟體具有多種功能，例如：
  • 執行遠端 shell: 讓攻擊者能夠遠端控制受害者的電腦。
  • 背景啟動程式: 讓攻擊者能夠在受害者不知情的情況下，在背景執行惡意程式。
  • 資訊竊取: 竊取受害者的敏感資料，例如登入憑證、機密文件等。
• 橫向移動: 在成功入侵一個系統後，CactusPete 會嘗試在目標組織內部橫向移動，以取得更多資源和資料。 他們會利用 Bisonal 後門程式的功能，例如「取得執行緒列表」和「取得可用磁碟機列表」，來尋找其他可攻擊的目標。

CactusPete 的攻擊手法並不特別複雜，但他們非常善於利用社交工程和現有的漏洞來達到攻擊目標。 他們會針對目標對象精心設計釣魚郵件，並利用目標對象的信任和疏忽來植入惡意軟體。 此外，他們還會持續修改惡意軟體的程式碼，以躲避安全軟體的偵測。

CactusPete APT 攻擊團體使用的惡意軟體

根據文章內容，「CactusPete」APT 攻擊團體使用的惡意軟體包括以下幾種：

• Bisonal 後門程式: 這是 CactusPete 經常使用的一種惡意軟體，文章中詳細介紹了其功能，包括執行遠端 shell、背景啟動程式、上傳/下載/刪除檔案等。值得注意的是，雖然 Bisonal 後門程式功能強大，但其程式碼並不先進，也沒有使用複雜的混淆技術。
• DoubleT 後門程式: 這是 CactusPete arsenal 中的另一種惡意軟體，文章中提到該組織在 2019 年 9 月、10 月和 2019 年 12 月至 2020 年 4 月期間發起了使用 DoubleT 後門程式的攻擊活動。
• ShadowPad: 這是一種更複雜的惡意軟體，CactusPete 在 2020 年開始使用。文章指出，CactusPete 可能取得了外部支援才能使用 ShadowPad。

除了以上三種，文章還列出了 CactusPete 使用的其他惡意軟體的別名，包括 Curious Korlia、DOUBLEPIPE 和 CALMTHORNE。這些惡意軟體的具體功能和攻擊目標可能有所不同，但都屬於 CactusPete 用於攻擊軍事、外交、基礎設施和金融機構等目標的工具。

CactusPete APT Group 分析題目

1. CactusPete APT組織還被稱為什麼?(選擇所有正確答案)
   A. Karma Panda
   B. Tonto Team
   C. DarkHotel
   D. Bisonal

   答案: A, B
   解析: 文章中提到,"CactusPete (also known as Karma Panda or Tonto Team) is an APT group that has been publicly known since at least 2013."

2. 根據文章,CactusPete的主要攻擊目標是什麼?(選擇所有正確答案)
   A. 金融機構
   B. 軍事組織
   C. 外交機構
   D. 基礎設施

   答案: A, B, C, D
   解析: 文章提到,"Historically, their activity has been focused on military, diplomatic and infrastructure targets in Asia and Eastern Europe." 另外也提到,"The victims of the new variant of the Bisonal backdoor, according to our telemetry, were from financial and military sectors located in Eastern Europe."

3. Bisonal後門主要使用哪種加密方法來加密與C2服務器的通訊?
   A. AES
   B. RC4
   C. DES
   D. RSA

   答案: B
   解析: 文章中提到,"The communication takes place using the unmodified HTTP-based protocol, the request and response body are RC4-encrypted, and the encryption key is also hardcoded into the sample."

4. 根據文章,以下關於CactusPete的描述是否正確:CactusPete是一個技術水平非常高的APT組織。

   答案: 錯誤
   解析: 文章指出,"CactusPete is a Chinese-speaking cyber-espionage APT group that uses medium-level technical capabilities" 和 "We call CatusPete an Advanced Persistent Threat (APT) group, but the Bisonal code we analyzed is not that advanced."

5. Bisonal後門具有哪些主要功能?(列出至少3個)

   答案: 可能的答案包括:

   • 執行遠端shell
   • 背景啟動
   • 取得執行緒列表
   • 終止任何執行緒
   • 上傳/下載/刪除檔案
   • 取得可用驅動器列表
   • 取得指定文件夾的文件列表

   解析: 這些功能在文章的"The updated Bisonal backdoor version maintains functionality similar to past backdoors built from the same codebase:"部分列出。

總結

CactusPete（又名 Karma Panda 或 Tonto Team）是一個中國語系的網路間諜 APT 組織，其活動可追溯至至少 2013 年。該組織主要針對亞洲和東歐的軍事、外交、基礎設施和金融機構進行攻擊。

主要特點：

1. 技術水平：中等，但持續性強。
2. 主要攻擊手法：魚叉式網路釣魚，利用近期漏洞。
3. 主要惡意軟體：Bisonal 後門、DoubleT 後門、ShadowPad。
4. 通訊方式：使用 HTTP 協定，RC4 加密。
5. 攻擊目的：可能為情報收集和經濟利益。

CactusPete 雖然技術水平不算高超，但能持續成功滲透目標系統，展現了典型的 APT 特徵。其攻擊手法和工具不斷演進，近期開始使用更複雜的 ShadowPad 惡意軟體，顯示其能力可能在提升。

企業團隊閱讀完報告後的下一步行動清單

針對名詞「CactusPete」與惡意軟體，可根據不同的資安新聞、情資套入以下框架。

1. 評估風險：
   • 檢視組織是否屬於 CactusPete 的目標行業或地區
   • 評估現有系統對 Bisonal、DoubleT 和 ShadowPad 的防禦能力
2. 更新防禦措施：
   • 強化電子郵件過濾系統，特別注意防範魚叉式網路釣魚
   • 確保所有系統和軟體及時更新，特別關注最近曝露的漏洞
   • 更新防毒軟體和入侵檢測系統的規則，加入 CactusPete 相關的 IoCs
3. 加強監控：
   • 設定告警以檢測可疑的 HTTP 通訊，特別是使用 RC4 加密的通訊
   • 監控系統上的異常活動，如未經授權的 shell 執行或可疑的文件操作
4. 員工培訓：
   • 舉辦針對魚叉式網路釣魚的安全意識培訓
   • 教育員工識別可疑郵件和附件的技巧
5. 事件回應準備：
   • 更新事件回應計劃，加入 CactusPete 特定的檢測和處理步驟
   • 進行模擬演練，測試對 CactusPete 類型攻擊的回應能力
6. 情報共享：
   • 與行業內其他組織或相關的情報共享平台交換 CactusPete 的最新情報
   • 持續關注 CactusPete 的活動更新和新的攻擊模式
7. 技術對策：
   • 考慮實施應用程式白名單策略，限制未授權程式的執行
   • 強化網路分段，限制潛在的橫向移動
   • 實施雙因素認證，減少憑證被盜後的影響
8. 審計和測試：
   • 進行滲透測試，模擬 CactusPete 的攻擊手法
   • 審計現有的安全控制措施，確保它們能有效對抗 CactusPete 的攻擊技術