六合引擎介绍
长期以来,银狐(Ghost)、WinOS、PlugX、Cobalt Strike、Sliver、Havoc 等通用木马框架被黑客广泛使用。为了绕过传统终端杀软和 EDR 的检测,攻击者通常会采用免杀加载器、内存注入等技术,甚至不惜重金为加载器代签数字签名,以规避静态特征检测,实现通用木马在不落地磁盘的情况下加载进内存中。尽管安全厂商持续披露这些恶意代码的变种[1],但传统的特征检测方式仍然难以应对日益复杂的免杀手段。
那么,是否存在一种防御引擎,能够无视外层免杀技巧,直接检测内存中的恶意行为并精准告警?
天擎下一代威胁检测产品:“六合”高级威胁防御引擎自推出以来,大幅提升了安全团队的威胁狩猎能力,已发现多起境外顶级APT组织针对国内的全程无文件间谍活动,银狐(Ghost)等黑产木马更是不在话下。无论攻击者如何变换免杀手法、使用多少合法签名,只要用户购买并部署天擎“六合”模块,即可实现默认拦截,有效阻断通用木马攻击。
银狐(Ghost)木马内存检测截图:
Cobalt Strike木马内存检测截图:
Sliver木马内存检测截图:
Havoc木马内存检测截图:
合法签名滥用活动
基于天擎“六合”高级威胁引擎告警,发现带有合法数字签名的安装包运行后的内存中出现银狐(Ghost)木马特征,随即进行溯源发现上层仿冒网站如下:
下载的恶意安装包带有合法的数字签名:
黑产和APT组织在木马上使用国内数字签名基本都是通过代签服务,据我们了解一次代签收费2w-5w不等,是比网络攻击利润率更高的黑色产业链,涉及的数字签名:
Xi'an Vanci Electronic Technology Co., Ltd.
恶意逻辑为加载器,读取释放的文件并解密:
解密后将银狐(Ghost)木马注入到explorer.exe进程中。
该案例涉及的加载器和注入器都是目前黑产和中低水平的APT组织常用的武器,六合引擎可以实现全流程监控和内存检测,当六合引擎在explorer.exe系统进程中检测到银狐特征后,会直接从内存中读取C2,并展示给用户,方便后续排查通报。
后续攻击者释放了一套白加黑组件,其中黑DLL带有另一个合法签名,同样触发了六合高级威胁引擎的告警后被我们发现:
数字签名:
Capybara Technology Ltd
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
FileHash-MD5:
8e26e076308f8294ccfabc9aee3a6511
fcdd97426794cd57ab413f8ebbba4d4d
C2:
ksdcks3.org
ldmnq.jxw.ink
参考链接
[1] https://mp.weixin.qq.com/s/31MvIg9wwAcoRFUhBnej3g
点击阅读原文至ALPHA 8.3
即刻助力威胁研判
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...