Threat Actor
Unit 180
Unit 121
Silent Chollima
Stardust Chollima
Bluenoroff
Labyrinth Chollima
Ricochet Chollima
Andariel
Wymienione grupy realizujące ataki na instytucje finansowe oraz pokrewne, ale także na infrastrukturę krytyczną mają jedną cechę wspólną... współdzielenie narzędzi z jakich korzystają.
Robią tak od ponad 4 lat (!).
Kwestię atrybucji zaniedbujemy.
Motywacja
W żołnierskich słowach chcemy pokazać co może wynikać z analizy narzędzi używanych przez zaawansowanego Threat Actora by uzyskać zdolność do jego detekcji niezależnie od posiadania IOC typu: IP, domena, hash.
Założenia
Detekcja
Low hanging-fruit
- Certyfikaty self-signed
- Certyfikaty “zaufane” (kopie oryginalnych certyfikatów), ale już nieważne (expired)
- Negocjowany SSLv3 i nic innego
- Certyfikaty o znanym fingerprintcie jako Lazarusowe
Try harder
- Kilka prób negocjacji TLS z tym samym serwerem C2 - za każdym razem inny SNI i często inne Cipher Suites
- Sprawdzanie, czy IP serwera przynależy do adresacji wskazywanej przez SNI (reverseDNS, WHOIS)
- Połączenia TLS nie poprzedzają zapytania DNS
- SSL profiling - ustalenie profilu charakterystycznego dla narzędzi Lazarus
Na ten moment publicznie możemy udostępnić ten fragment naszej analizy.
Poniżej slajdy z premierowej edycji prezentacji Bartka na temat FakeTLS.
Detekcja cech dystynktywnych kanałów Dowodzenia i Kontroli (C2)
Po więcej, szczególnie w zakresie profilowania SSL dla mechanizmu FakeTLS, używanego przez część analizowanych narzędzi, zapraszam w imieniu Bartka oraz swoim na kolejne prezentacje White Cat Security.
