从脚本到系统：全面解析Tangerine Turkey攻击行动

作者：Cybereason安全服务团队

Cybereason安全服务发布威胁分析报告，旨在通报具有影响力的威胁。这些报告调查威胁并提供实用的防护建议。在本威胁分析报告中，Cybereason安全服务调查了在Cybereason EDR中观察到的Tangerine Turkey攻击活动流程。Tangerine Turkey被识别为一种Visual Basic脚本蠕虫，用于促进加密货币挖矿活动。

关键要点

• Tangerine Turkey部署通过可移动驱动器横向传播的VBScript蠕虫。
• 该组织利用wscript.exe和printui.exe等"离地攻击"二进制文件进行执行和持久化。
• 他们通过修改注册表项和将恶意二进制文件伪装成合法系统文件来展示防御规避技术。
• 恶意软件将恶意文件复制到新创建的模拟目录以隐藏其活动。
• 他们的主要动机似乎是通过未经授权的加密货币挖矿获取经济利益。

引言

Tangerine Turkey是一个利用VBScript和批处理文件来获取持久性、规避防御并在受害环境中部署挖矿有效载荷的加密货币挖矿活动。该活动于2024年末首次被报告，此后已扩展到全球，无差别地针对多个行业和地理区域的组织。 虽然目前尚未与勒索软件部署相关联，但攻击者实现持久化和横向移动的能力带来了更广泛的安全风险。

Tangerine Turkey执行流程

技术分析

本节涵盖Cybereason EDR检测到的Tangerine Turkey感染链。在此特定样本中，交付的挖矿有效载荷是XMRig。 XMRig主要是一种加密货币挖矿软件，旨在利用计算机的CPU或GPU挖掘门罗币和其他加密货币。当由自愿运行它的矿工使用时，它是开源且合法的。然而，恶意行为者滥用XMRig进行加密劫持，将其秘密安装在受感染的机器上，以便在所有者不知情的情况下为自己挖掘加密货币。

战术、技术和程序

本节重点介绍Cybereason在此活动中检测到的关键TTP。

Cybereason EDR中观察到的攻击链

通过受感染USB的初始访问 Tangerine Turkey恶意软件活动的初始访问是通过受感染的USB设备实现的。 攻击始于wscript.exe执行可移动驱动器上的恶意VBScript。在观察到的事件中，可移动驱动器被挂载为E:\，不过在不同主机上驱动器盘符可能不同。 此VBScript x817994.vbs 充当初始投放器，负责通过生成cmd.exe来启动辅助批处理文件 x966060.bat。

• wscript.exe 从USB驱动器执行恶意VBScript： C:\WINDOWS\System32\WScript.exe E:\rootdir\x817994.vbs
• 批处理文件执行：VBScript生成cmd.exe以运行批处理文件： C:\WINDOWS\system32\cmd.exe /c "E:\rootdir\x966060.bat"

滥用LOLBins 批处理文件继续执行，滥用合法的Windows二进制文件 printui.exe。这个"离地攻击"二进制文件被用来在 printui.dll 旁侧加载恶意库 svculdr64.dat。 在此阶段，还尝试分散用户注意力。启动 explorer.exe 以打开"USB驱动器"目录，同时使用 xcopy.exe 将 printui.exe 和额外的有效载荷组件复制到伪装的System32目录中，确保它们存在于受信任的位置。

• xcopy.exe 将恶意文件复制到新创建的目录： xcopy "C:\Windows\System32\printui.exe" "C:\Windows \System32" /Y xcopy "x209791.dat" "C:\Windows \System32" /Y

PowerShell防御规避 随后，printui.exe 生成 cmd.exe，后者执行经过混淆的PowerShell命令。解码后的内容为System32目录添加Windows Defender排除项，从而有效地使安全控制无法检测进一步的活动。此步骤是一种明显的防御规避策略。

• Base64解码后的命令 → 添加Windows Defender排除项： Add-MpPreference -ExclusionPath "C:\Windows\System32"

通过恶意服务实现持久化 接下来，通过创建新的Windows服务 x665422 来建立持久性。该服务配置为运行 svchost.exe -k DcomLaunch，同时指向恶意服务DLL x665422.dat。这确保恶意软件能够在系统重启后存活并保持执行。

• 恶意软件创建新服务 x665422： sc create x665422 binPath= "C:\Windows\System32\svchost.exe -k DcomLaunch" type= own start= auto reg add HKLM\SYSTEM\CurrentControlSet\services\x665422\Parameters /v ServiceDll /d "C:\Windows\System32\x665422.dat" /f sc start x665422

有效载荷执行 然后从System32目录部署并执行主要有效载荷 console_zero.exe。为了加强持久性，恶意软件创建了一个名为 console_zero 的计划任务，配置为在每个用户登录时以最高权限运行该有效载荷。

• console_zero.exe 的路径： C:\Windows\System32\console_zero.exe
• 通过计划任务实现持久化： cmd.exe /c schtasks /create /tn "console_zero" /sc ONLOGON /tr "C:\Windows\System32\console_zero.exe" /rl HIGHEST /f

清理与反分析 最后，恶意软件尝试通过删除暂存文件 svculdr64.dat 并发出删除Windows目录的命令来进行清理操作。虽然后者的路径操作可能无法实际删除操作系统目录，但它突显了恶意软件进行反分析和破坏性行为的企图。

• 尝试移除证据： timeout /t 14 && rmdir /s /q "C:\Windows " timeout /t 16 && del /q "C:\Windows\System32\svculdr64.dat"

结论

Tangerine Turkey活动展示了一种分层攻击策略，利用USB传播的VBScript蠕虫进行横向移动，并在受感染的系统上部署未经授权的加密货币挖矿。通过利用 wscript.exe 和 printui.exe 等"离地攻击"二进制文件，以及注册表修改和诱饵目录，恶意软件能够规避传统防御并保持持久性。 主要影响是通过非法加密货币挖矿造成的经济损失，但所采用的技术也带来了更广泛的风险，包括潜在的系统不稳定和暴露于其他恶意软件的风险。

缓解措施与响应

• 阻止/限制USB大容量存储：由于初始感染媒介是USB驱动器，防止从可移动媒体执行可以在VBScript投放器运行之前将其阻止。组织可以使用组策略或端点控制来禁用自动运行，并限制从外部驱动器执行.vbs或.bat文件。在可行的情况下，禁用自动运行并强制执行设备控制。
• 应用程序控制：Tangerine Turkey利用合法的Windows二进制文件执行恶意脚本。对这些二进制文件的异常使用实施应用程序控制或端点检测规则可以降低风险并实现早期检测。
• 强化注册表并监控更改：恶意软件使用注册表修改来保持持久性。监控启动项或已知恶意软件持久化位置的意外更改可以向防御者发出正在进行的入侵企图警报。
• 网络分段和出口过滤：Tangerine Turkey最终旨在部署加密货币挖矿程序，该程序通常与外部矿池通信。将工作站的网络流量限制为仅允许访问授权的端点，可以防止数据外泄或矿工流量。
• 用户意识和USB使用规范：许多感染是通过USB物理访问开始的。教育用户避免使用未知的USB设备并遵循安全的插入策略，可以降低初始感染的可能性。

入侵指标

MITRE ATT&CK映射

关于研究员

Mahadev Joshi，高级安全分析师，Cybereason全球SOC Mahadev Joshi是Cybereason全球SOC团队的安全分析师。他热衷于网络安全和恶意软件分析，专注于了解和对抗高级威胁。他渴望了解更多信息并保持领先于新兴威胁。Mahadev拥有信息技术理学学士学位。