从脚本到系统:全面审视Tangerine Turkey行动
Cybereason安全服务团队发布威胁分析报告,旨在通报具有影响的威胁。这些威胁分析报告对这些威胁进行调查,并提供实用的防护建议。 在本威胁分析报告中,Cybereason安全服务团队调查了在Cybereason EDR中观察到的Tangerine Turkey攻击活动流程。Tangerine Turkey是一个被识别为可视化基础脚本(VBS)蠕虫的威胁行为者,用于促进加密货币挖矿活动。
关键要点
- Tangerine Turkey部署通过可移动驱动器(USB)横向传播的VBScript蠕虫。
- 该组织利用诸如wscript.exe和printui.exe等“无文件”二进制文件(LOLBins)来执行攻击和维持持久性。
- 他们通过修改注册表键值并将恶意二进制文件伪装成合法的系统文件来展示防御规避技术。
- 恶意软件将恶意文件复制到新创建的伪装目录中以隐藏其活动。
- 他们的主要动机似乎是通过未经授权的加密货币挖矿获取经济利益。
引言
Tangerine Turkey是一个利用VBScript和批处理文件来获取持久性、规避防御并在受害环境中部署挖矿载荷的加密挖矿活动。首次报告于2024年末,此后该活动在全球范围内扩展,不分行业和地域地无差别针对各类组织。 虽然目前未发现与勒索软件部署相关,但攻击者实现持久化和横向移动的能力带来了更广泛的安全风险。
技术分析
本节涵盖了Cybereason EDR检测到的Tangerine Turkey感染链。在此特定样本中,传递的挖矿载荷是XMRig。 XMRig主要是一种加密货币挖矿软件,设计用于利用计算机的CPU或GPU挖掘门罗币(XMR)和其他加密货币。它是开源的,当被自愿运行它的矿工使用时是合法的。然而,恶意行为者滥用XMRig进行加密劫持,将其秘密安装在受感染的机器上,在所有者不知情的情况下为他们自己挖掘加密货币。
战术、技术与程序
本节重点介绍了Cybereason在此活动中检测到的关键TTPs。
在Cybereason EDR中观察到的攻击链
通过受感染的USB进行初始访问 Tangerine Turkey恶意软件活动的初始访问是通过受感染的USB设备实现的。 当wscript.exe执行位于可移动驱动器上的恶意VBScript时,攻击开始。在观察到的事件中,可移动驱动器挂载为E:\(例如,E:\rootdir\x817994.vbs),尽管在不同主机上驱动器盘符可能不同。 这个VBScript x817994.vbs充当初始投放器,负责通过生成cmd.exe来启动一个辅助批处理文件x966060.bat。
- wscript.exe从USB驱动器执行恶意VBScript:
C:\WINDOWS\System32\WScript.exe E:\rootdir\x817994.vbs - 批处理文件执行:VBScript生成运行批处理文件的cmd.exe:
C:\WINDOWS\system32\cmd.exe /c "E:\rootdir\x966060.bat"
滥用LOLBins(printui.exe) 批处理文件继续执行,滥用合法的Windows二进制文件printui.exe。这个“无文件”二进制文件(LOLBin)被用来将恶意库svculdr64.dat与printui.dll一同旁加载。 在此阶段,还尝试分散用户注意力。启动explorer.exe以打开“USB驱动器”目录,同时使用xcopy.exe将printui.exe和额外的载荷组件(x209791.dat)复制到伪装的System32目录中,确保它们存在于受信任的位置。
- xcopy.exe将恶意文件复制到新创建的目录:
xcopy "C:\Windows\System32\printui.exe" "C:\Windows \System32" /Yxcopy "x209791.dat" "C:\Windows \System32" /Y
PowerShell防御规避 随后,printui.exe生成cmd.exe,后者执行混淆的PowerShell命令。解码后的内容为System32目录添加Windows Defender排除项,从而有效地使安全控制无法检测到进一步的活动。此步骤是明确的防御规避策略。
- Base64解码后的命令 → 添加Windows Defender排除项:
Add-MpPreference -ExclusionPath "C:\Windows\System32"
通过恶意服务实现持久化 接下来,通过创建一个新的Windows服务x665422来建立持久性。该服务配置为运行svchost.exe -k DcomLaunch,同时指向恶意服务DLL x665422.dat。这确保了恶意软件能够在系统重启后存活并保持执行。
- 恶意软件创建新服务x665422:
sc create x665422 binPath= "C:\Windows\System32\svchost.exe -k DcomLaunch" type= own start= autoreg add HKLM\SYSTEM\CurrentControlSet\services\x665422\Parameters /v ServiceDll /d "C:\Windows\System32\x665422.dat" /fsc start x665422
载荷执行 然后,主要载荷console_zero.exe从System32目录部署并执行。为了加强持久性,恶意软件创建了一个名为console_zero的计划任务,配置为在每次用户登录时以最高权限运行该载荷。
- console_zero.exe的路径:
C:\Windows\System32\console_zero.exe - 通过计划任务实现持久化:
cmd.exe /c schtasks /create /tn "console_zero" /sc ONLOGON /tr "C:\Windows\System32\console_zero.exe" /rl HIGHEST /f
清理与反分析
最后,恶意软件尝试进行清理操作,删除暂存文件svculdr64.dat,并发出命令删除Windows目录(rmdir /s /q "C:\Windows ")。虽然后者的路径操作(尾部空格)可能会阻止实际删除操作系统目录,但这突显了恶意软件尝试反分析和破坏性行为。
- 尝试移除证据:
timeout /t 14 && rmdir /s /q "C:\Windows "timeout /t 16 && del /q "C:\Windows\System32\svculdr64.dat"
结论
Tangerine Turkey活动展示了一种分层攻击策略,利用USB传播的VBScript蠕虫进行横向传播,并在受感染的系统上部署未经授权的加密货币挖矿。通过利用wscript.exe和printui.exe等“无文件”二进制文件,以及注册表修改和诱饵目录,恶意软件能够规避传统防御并维持持久性。 主要影响是经济方面的,通过非法加密货币挖矿,但所采用的技术也带来了更广泛的风险,包括潜在的系统不稳定和暴露于其他恶意软件。
缓解措施与响应
- 阻止/限制USB大容量存储:由于初始感染媒介是USB驱动器,防止从可移动媒体执行可以在VBScript投放器运行之前将其阻止。组织可以使用组策略或端点控制来禁用自动运行,并限制从外部驱动器执行.vbs或.bat文件。在可行的情况下,禁用自动运行并强制执行设备控制。
- 应用程序控制(AppLocker/WDAC):Tangerine Turkey利用wscript.exe和printui.exe等合法的Windows二进制文件来执行恶意脚本。为这些二进制文件的异常使用实施应用程序控制或端点检测规则可以降低风险并允许早期检测。
- 加固注册表并监控变更:恶意软件使用注册表修改来维持持久性。监控启动项或已知恶意软件持久化位置的意外更改可以向防御者发出正在进行的攻击企图警报。
- 网络分段和出口过滤:Tangerine Turkey的最终目标是部署加密货币矿工,这通常与外部矿池通信。将工作站到仅授权端点的网络流量限制可以防止数据泄露或矿工流量。
- 用户意识和USB使用规范:许多感染始于通过USB的物理访问。教育用户避免使用未知的USB并遵循安全插入策略可以降低初始感染的可能性。
入侵指标(IOC)
| IOC 类型 | 描述 |
|---|---|
| E:\rootdir\x817994.vbs | 文件 |
| E:\rootdir\x966060.bat | 文件 |
| C:\Windows\System32\printui.exe | LOLBin |
| x209791.dat | 文件(载荷) |
| 93d74ed188756507c6480717330365cede4884e98aeb43b38d707ed0b98da7cc | SHA256 |
| 4617cfd1e66aab547770f049abd937b46c4722ee33bbf97042aab77331aa6525 | SHA256 |
| 4ffb3c0c7b38105183fb06d1084ab943c6e87f9644f783014684c5cb8db32e32 | SHA256 |
| schtasks /create /tn “console_zero” /sc ONLOGON /tr “C:\Windows\System32\console_zero.exe” /rl HIGHEST /f | 计划任务 |
| Add-MpPreference -ExclusionPath “C:\Windows\System32” | 防御规避 |
| sc create x665422 binPath= “C:\Windows\System32\svchost.exe -k DcomLaunch” | 服务创建 |
| rmdir /s /q “C:\Windows" | 破坏性命令 |
| del /q “C:\Windows\System32\svculdr64.dat” | 反取证 |
MITRE ATT&CK 映射
| 战术 | 技术ID | 描述 |
|---|---|---|
| TA0001 - 初始访问 | T1091 – 通过可移动媒体复制 | VBS脚本(x######.vbs)由用户从可移动媒体执行。USB驱动器将x######.vbs和x######.bat传播到其他机器。 |
| TA0002 - 执行 | T1059 – 命令和脚本解释器 | wscript.exe执行VBS脚本。 |
| TA0002 - 执行 | T1059.003 – Windows命令外壳 | cmd.exe作为攻击链的一部分执行.bat文件。 |
| TA0003 - 持久化 | T1574.001 – DLL搜索顺序劫持 | printui.exe从伪造的C:\Windows \System32\加载恶意printui.dll。 |
| TA0004 - 权限提升 | T1055.001 – DLL注入 | 恶意DLL(printui.dll)通过合法二进制文件注入或加载。 |
| TA0005 - 防御规避 | T1036 – 伪装 | 带有尾部空格的伪造文件夹C:\Windows \System32\;用于旁加载的合法二进制文件。 |
| TA0005 - 防御规避 | T1562 – 削弱防御 | 旁加载绕过安全控制;可能阻止EDR检测。 |
| TA0011 - 命令与控制 | T1071.001 – Web协议 | 从rootunv*[.]com或GitHub获取矿工配置。 |
| TA0011 - 命令与控制 | T1105 – 入口工具传输 | 从远程位置下载XMRig或Zephry矿工二进制文件或配置。 |
| TA0040 - 影响/资源劫持 | T1496 – 资源劫持 | 使用受感染的主机挖掘加密货币。 |
关于研究员
Mahadev Joshi,高级安全分析师,Cybereason全球SOC Mahadev Joshi是Cybereason全球SOC团队的安全分析师。他热衷于网络安全和恶意软件分析,专注于理解和对抗高级威胁。他渴望学习更多知识并保持领先于新兴威胁。Mahadev拥有信息技术理学学士学位。