信息來源：4hou

近年來網(wǎng)絡間諜行動最重要的發(fā)展之一是組織都采取了“living off the land”策略。就是使用操作系統(tǒng)功能或合法網(wǎng)絡管理工具來危及受害者網(wǎng)絡的縮寫。LOTL的目的是雙重的。通過使用這些功能和工具，攻擊者希望融入受害者的網(wǎng)絡，并將他們的活動隱藏在合法進程的汪洋大海中。其次，即使檢測到涉及這些工具的惡意行動，也可能使攻擊更難以歸因溯源。如果每個人都使用類似的工具，那么將一個組織與另一個區(qū)分開就更加困難。大多數(shù)攻擊組織仍然創(chuàng)建并利用自定義惡意軟件，但它往往很少被使用，從而降低了發(fā)現(xiàn)的風險。

大海撈針

這并不意味著現(xiàn)在不能發(fā)現(xiàn)間諜攻擊，但這確實意味著分析人員可能需要更長時間才能進行調(diào)查。這就是賽門鐵克創(chuàng)建目標攻擊分析（Targeted Attack Analytics (TAA)）的原因之一，該攻擊分析采用了我們?yōu)樽约旱姆治鋈藛T開發(fā)的工具和功能，并將其提供給我們的高級威脅防護（ATP）客戶。TAA利用先進的人工智能和機器學習技術，對賽門鐵克的遙測數(shù)據(jù)進行梳理，以發(fā)現(xiàn)與目標攻擊相關的模式。其先進的AI技術自動化了以前需要花費數(shù)千小時的分析時間。這使我們和客戶更容易大海撈針。

TAA帶領發(fā)現(xiàn)了最新的網(wǎng)絡間諜行動?；氐?018年1月，TAA觸發(fā)了東南亞一家大型電信運營商的警報。攻擊者使用PsExec在公司網(wǎng)絡上的計算機之間橫向移動。PsExec是一個用于在其他系統(tǒng)上執(zhí)行進程的微軟Sysinternals工具，也是攻擊者嘗試live off the land時最常使用的合法軟件之一。但是，它也被廣泛用于合法目的，這意味著PsExec的惡意使用可能難以發(fā)現(xiàn)。

TAA不僅標記了對PsExec的這種惡意使用，還告訴我們攻擊者正在使用它。他們試圖在受害者網(wǎng)絡的計算機上遠程安裝以前未知的惡意軟件。當我們分析惡意軟件時，發(fā)現(xiàn)它是Trojan.Rikamanu的更新版本，與Thrip相關，Thrip是我們自2013年以來一直在監(jiān)控的一個組織。經(jīng)過進一步調(diào)查后，我們發(fā)現(xiàn)Thrip在這次攻擊中還使用了一種全新的惡意軟件（Infostealer.Catchamas）。

圖1.TAA利用機器學習來發(fā)現(xiàn)與有針對性的攻擊相關的惡意活動并提醒客戶

掌握了這些惡意軟件的有關信息，以及針對這名受害者的live off the land，我們擴大了搜索范圍，以查看是否可以找到表明Thrip針對其他機構的類似模式。我們發(fā)現(xiàn)了一個廣泛的網(wǎng)絡間諜活動，其中涉及強大的惡意軟件。

我們發(fā)現(xiàn)有三臺中國電腦用于發(fā)動Thrip攻擊。Thrip的動機是間諜活動，其目標包括美國和東南亞的通信，地理空間成像和國防部門。

Thrip的目標

也許最令人擔憂的發(fā)現(xiàn)是Thrip針對衛(wèi)星通信運營商。攻擊組織似乎對公司的運營方特別感興趣，尋找和感染運行監(jiān)視和控制衛(wèi)星軟件的計算機。這暗示了Thrip的動機超越了間諜行為，也可能包括破壞。

另一個目標是參與地理空間成像和制圖的機構。同樣，Thrip主要對公司的運營方面感興趣。它針對運行MapXtreme GIS（地理信息系統(tǒng)）軟件的計算機，該軟件用于諸如開發(fā)自定義地理空間應用程序或?qū)⒒谖恢玫臄?shù)據(jù)集成到其他應用程序等任務。它還針對運行Google Earth Server和Garmin圖像軟件的機器。

衛(wèi)星運營商并非是Thrip唯一感興趣的通信目標。該組織還針對三個不同的電信運營商，全部位于東南亞。根據(jù)受Thrip感染的計算機的性質(zhì)，攻擊的目標是電信公司自己而不是其客戶。

此外，還有第四個目標是國防承包商。

圖2. Thrip——監(jiān)視通信，測繪和國防目標

隱藏

自2013年以來，我們一直在監(jiān)控Thrip，當時我們發(fā)現(xiàn)了一個由中國組織的間諜活動。自從最初發(fā)現(xiàn)以來，該組織改變了策略并擴大了其使用的工具范圍。最初，它主要依靠自定義惡意軟件，但在2017年開始的最近一輪攻擊中，該組織已切換為混合自定義惡意軟件并以live off the land工具為主。后者包括：

· PsExec：用于在其他系統(tǒng)上執(zhí)行進程的Microsoft Sysinternals工具。這個工具主要被攻擊者用來在受害者的網(wǎng)絡上橫向移動。

· PowerShell：Microsoft腳本工具，用于運行命令下載有效載荷，穿越受控網(wǎng)絡并執(zhí)行偵察。

· Mimikatz：可自由使用的工具，能夠更改權限，導出安全證書并以明文形式恢復Windows密碼。

· WinSCP：用于從目標組織傳輸數(shù)據(jù)的開源FTP客戶端。

· LogMeIn：基于云的遠程訪問軟件。目前還不清楚攻擊者是否未經(jīng)授權訪問受害者的LogMeIn帳戶，還是他們自己創(chuàng)建了帳戶。

所有這些工具，除了Mimikatz（幾乎總是被惡意使用）之外，都有合法用途。例如，PowerShell在企業(yè)內(nèi)被廣泛使用，絕大多數(shù)腳本都是合法的。同樣，系統(tǒng)管理員經(jīng)常使用PsExec。然而，Thrip使用PsExec引起了我們的注意。通過先進的人工智能和機器學習，TAA已經(jīng)訓練自己去發(fā)現(xiàn)惡意活動的模式。雖然PsExec本身可能無害，但它在這里使用的方式觸發(fā)了TAA的警報?？傊?，Thrip的偽裝使其浮出水面。

雖然Thrip現(xiàn)在大量使用live off the land戰(zhàn)術，但它也使用自定義惡意軟件，特別是針對感興趣的計算機。這包括：

· Trojan.Rikamanu：一種自定義木馬，旨在從受感染計算機中竊取信息，包括憑據(jù)和系統(tǒng)信息。

· Infostealer.Catchamas：基于Rikamanu，該惡意軟件包含旨在避免檢測的其他功能。它還包含許多新功能，例如從原始Trojan.Rikamanu惡意軟件創(chuàng)建以來出現(xiàn)的新應用程序（如新的或更新的Web瀏覽器）捕獲信息的功能。

· Trojan.Mycicil：一個由地下中國黑客創(chuàng)建的鍵盤記錄器。雖然公開可用，但并不常見。

· Backdoor.Spedear：雖然在最近的這次攻擊中沒有看到，但Spedear是Thrip在其他行動中使用的后門木馬。

· Trojan.Syndicasec：Thrip在之前的行動中使用的另一款木馬。

高度有針對性的間諜活動

從TAA引發(fā)的最初警報中，我們一路追蹤，最終能夠看到來自中國電腦的網(wǎng)絡間諜活動，針對美國和東南亞的多個組織。間諜活動是該組織可能的動機，但鑒于其有意攻陷運營體系，如果選擇這樣做，它也可能采取更具攻擊性和破壞性的立場。

IOCs

https://content.connect.symantec.com/sites/default/files/2018-06/Thrip_IOC_list_0.txt