Aquatic Panda (Earth Lusca): Kampagnen, Malware und TTPs
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Aquatic Panda ist eine China-ausgerichtete APT-Gruppe, die sich auf Informationsbeschaffung und Industriespionage konzentriert. Die Gruppe verwendet ein vielfältiges Arsenal an Malware, einschließlich SprySOCKS, ShadowPad und BIOPASS RAT, um kritische Industrien anzugreifen. Ihre Operationen beinhalten auch die Ausnutzung von Schwachstellen wie Log4Shell und den Einsatz fortschrittlicher Rootkits zur Aufrechterhaltung von Tarnung.
Untersuchung
Der Bericht beschreibt mehrere Kampagnen, einschließlich Operation FishMedley und Angriffe auf VMware Horizon-Server. Er untersucht das technische Design des SprySOCKS-Backdoors, einschließlich seiner Kernel-Mode-Rootkit-Funktionalität und Persistenzfunktionen. Die Analyse zerlegt auch die spezifischen TTPs der Gruppe für den initialen Zugriff, Ausführung und Defensive-Evasion.
Minderung
Organisationen sollten ihre Abwehrmaßnahmen gegen die bekannte Handelsweise von Aquatic Panda mithilfe von Simulations- und Testplattformen validieren. Wichtige Gegenmaßnahmen umfassen das Patchen von Log4j-Schwachstellen wie CVE-2021-44228 und das Überwachen auf unbefugte geplante Aufgaben oder verdächtige Änderungen an Windows-Diensten. Eine starke Endpoint-Erkennung ist ebenfalls entscheidend, um DLL-Sideloading und Prozessinjektionsaktivitäten zu identifizieren.
Antwort
Wenn Aktivitäten von Aquatic Panda festgestellt werden, sollten die Reaktionskräfte die betroffenen Systeme sofort isolieren, um die seitliche Bewegung zu stoppen. Die Untersuchungen sollten sich auf unbefugte Registrierungsänderungen konzentrieren, insbesondere innerhalb von Print Processors oder IFEO-Einstellungen. Die forensische Analyse sollte die Speichersammlung aus verdächtigen Prozessen und die Überprüfung geplanter Aufgaben und Windows-Dienste priorisieren.
"flowchart TD step_resource_development["Resource Development: Registrieren von Homoglyph-Domains und Bereitstellung von JNDI/Log4Shell-Tools"] step_initial_access["Initial Access: Ausnutzen von Log4j (CVE-2021-44228) in VMware Horizon"] step_execution["Execution: PowerShell-Download-Cradles, cmd/C mit curl/wget, geplante Aufgaben und Windows-Dienste"] step_persistence["Persistence: Erstellen von Windows-Diensten, geplanten Aufgaben und Registrierung von Print Processor DLLs"] step_privilege_escalation["Privilege Escalation: IFEO-Injektion und Zugangstoken-Manipulation über CreateProcessAsUserW"] step_defense_impairment["Defense Impairment: Ändern der Windows-Host-Firewall mit ICMPv6-Imitation"] step_credential_access["Credential Access: LSASS-Speicher-Dumping, Diebstahl von SAM/SYSTEM-Hives, Browseranmeldedaten-Diebstahl und Passwortfilter-DLL"] step_discovery["Discovery: Aufzählen von Diensten, Prozessen, Systeminformationen und Software-Sicherheitsprodukten"] step_collection["Collection: Keylogging und Datenarchivierung mit WinRAR"] step_command_and_control["Command and Control: TCP/UDP/WebSockets mit AES-128 und WFP-basiertem Traffic-Signaling"] step_stealth["Stealth: Kernel-Mode-Rootkit (RawWNPF), Prozessinjektion, DLL-Sideloading und Sandbox-Evasion"] rules_for_step_stealth("<b>Regelname</b>: Verdächtiger Prozesspfad (über cmdline)<br/><b>Regel-ID</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Exfiltration: Datentransfer über C2 oder Dropbox (dbxcli)"] step_resource_development –>|führt zu| step_initial_access step_initial_access –>|führt zu| step_execution step_execution –>|führt zu| step_persistence step_persistence –>|führt zu| step_privilege_escalation step_privilege_escalation –>|führt zu| step_defense_impairment step_defense_impairment –>|führt zu| step_credential_access step_credential_access –>|führt zu| step_discovery step_discovery –>|führt zu| step_collection step_collection –>|führt zu| step_command_and_control step_command_and_control –>|führt zu| step_stealth step_stealth –>|führt zu| step_exfiltration step_stealth -.->|erkannt von| rules_for_step_stealth "
Angriffsfluss
Erkennungen
Mögliche Datenkomprimierung für Infiltration oder Exfiltration (über cmdline)
Ansehen
Mögliche Dienstaufzählung (über cmdline)
Ansehen
Mögliches SAM/SYSTEM/SECURITY-Dumping (über cmdline)
Ansehen
Mögliches Anmeldeinformations-Dumping mit Comsvcs.dll (über cmdline)
Ansehen
Mögliches Anmeldeinformationendumping mit comsvcs.dll (über powershell)
Ansehen
Verdächtige Firewall-Modifikationen über CLI (über cmdline)
Ansehen
Abnorme Systemprozesskette (über prozess_erstellung)
Ansehen
Mögliche Zugänglichkeitsfunktionen durch Registry-Missbrauch (über cmdline)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansehen
Verdächtige Diensterstellung zur Persistenz (über system)
Ansehen
Dienstbildoperationen durch seltene Prozesse (über registry_event)
Ansehen
Verdächtiger Ausführungsort von Skripten/Ausführungsdateien über [cmd.exe /C] (über cmdline)
Ansehen
Aufruf verdächtiger .NET-Klassen/Methoden von Powershell-Befehlszeile (über prozess_erstellung)
Ansehen
Schtasks verweist auf verdächtiges Verzeichnis / Binärdatei / Skript (über cmdline)
Ansehen
Verdächtiger Prozesspfad (über cmdline)
Ansehen
Speicherzuweisung zur Prozess-Hollowing [Windows Sysmon]
Ansehen
Registry-Änderungen für Debugger-Entführung und Print Processor-Persistenz [Windows Registry-Event]
Ansehen
Erstellung geplanter Aufgaben und bösartiger PowerShell-Download [Windows Prozess-Erstellung]
Ansehen
## Simulation Ausführung
Voraussetzung: Der Telemetrie- und Baseline-Vorflug-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der vom Angreifer angewandten Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die exakte Telemetrie zu generieren, die durch die Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffsgeschichte & Befehle: Ein Angreifer beabsichtigt, Prozess-Hollowing durchzuführen, um bösartigen Code innerhalb eines legitimen Prozesscontainers zu verbergen. Um zu testen, ob die aktuelle (wenn auch fehlerhafte) Erkennung ausgelöst wird, wird der Angreifer
powershell.exeaus einem bestimmten Verzeichnis starten. Dies simuliert die Anfangsphase eines Living-off-the-Land (LotL)-Angriffs, bei dem der Angreifer ein standardmäßiges Systemwerkzeug verwendet, um seine bösartigen Aktivitäten zu beginnen, wie z. B. Speicherinjektion oder Anmeldeinformationen Ernte. Das Ziel ist es, einProzesserstellungsEreignis zu generieren, bei dem dasBildFeld einen Backslash enthält, wie in der Erkennungslogik definiert. -
Regressionstest-Skript:
# Simulieren eines Prozessstarts, der der (schwachen) Erkennungslogik entspricht # Dies imitiert den Beginn einer Angreifersitzung unter Verwendung eines Standardtools $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" Write-Host "Ausführung: $targetProcess" Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Simulation Aktiv'" -
Bereinigungskommandos:
# Es wurden keine dauerhaften Änderungen vorgenommen; keine Bereinigung erforderlich für diese Simulation. Write-Host "Bereinigung der Simulation abgeschlossen."