组织名称 | 未知 |
关联组织 | 未知 |
战术标签 | 防御规避 |
情报来源 | https://web.archive.org/web/20221125224850/https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice |
情报背景
Nighthawk是一个近年来新兴的C2框架,由英国MSDEC公司开发。其销售受到英国政府Military and dual-use goods出口管制。不同于CobaltStrike遵循的稳定性、灵活性。Nighthawk更具有侵略性,常常会添加最新的检测逃逸技术来绕过现代的安全防护,被称为现在市场上最先进、具有最高级防御规避技术的命令控制框架。
11月底,proofpoint公司发表了一篇文章《Nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice》, 提出随着Nighthawk逐渐获得更广泛的认可和威胁行为者寻求新的强大攻击工具的需求,Nighthawk将会出现在一些威胁行为活动中。msdec以对此做出回应。本文并不讨论具有争议的 “没有根据的假设Nighthawk会被恶意威胁者滥用”内容,仅讨论原文中以及msdec发表公开资料中所提及的一些技术,以及这些技术对现代安全防护所造成的巨大挑战。
01 攻击技术分析
WinAPI滥用
在去年我们就观察到WinAPI的滥用情况,AlternativeShellcodeExec项目详细收集可被滥用的WinAPI, 这些WinAPI主要可以被代替作为运行shellcode的函数。
AlternativeShellcodeExec收集的可滥用做shellcode执行的WinAPI,总数达到了48个
以Nighthawk和BruteRatel为代表的新C2扩展了这种滥用方式,这两个C2框架分别使用RtlQueueWorkItem和RtlRegisterWait来代理执行LoadLibrary,以用来绕过AV/EDR对敏感调用检查(安全产品常常会进行回溯检查类似LoadLibrary的敏感API是不是来自于可疑的调用)。
代码来自于WorkItemLoadLibrary根据Proofpoint披露的Nighthawk分析报告的技术实现。
从发展趋势来看,攻击者对WinAPI的滥用还有扩大趋势,了解现有的攻击技术并不能高枕无忧。
载荷密钥绑定(key-)
为了让载荷的加载过程更加安全可靠,Nighthawk载荷依赖通过与目标本地或远程的资源进行绑定,外壳代码会在载荷加载前使用包括不限于本地用户/域SID、特定用户名、计算机名等多种手段进行解密,或通过请求远程的资源中获取解密Key。
Nighthawk生成载荷时可用作Key绑定的资源:
远程:
Nighthawk的载荷可以在生成时设置Key进行资源绑定,运行时根据环境值或请求内容解密,这会对沙箱自动化分析设备造成致命打击,因为自动分析设备获取到的Nighthawk样本根本不会解密成功,在2022年的攻防比赛中我们也看到使用此类逻辑进行样本保护的技术,沙箱本身的缺陷导致面对这种降维打击无能为力。
从DNS TXT和CNAME记录中获取密钥
HTTP(S)响应中
通过HTTPS传输的DNS TXT/CNAME记录中
SMB共享或命名管道传输的文件中
本地:
特定的用户/域SID
特定的注册表键值
特定的用户名/计算机名
特定的硬盘序列号
安全机制绕过
AMSI、ETW、WLDP等安全机制为windows系统和各类安全软件提供了一个非常好的观察各类无文件攻击和恶意行为的窗口,modexp对此有一份详细研究。
不同于modexp中提到的内存代码patch,Nighthawk使用硬件断点挂钩进行Patch。在实战中效果更好,检测难度更高。因为一些AV和EDR会检测是否存在对AmsiScanBuffer内存进行修改的恶意行为,使用硬件断点挂钩能在不修改内存的情况下完成此类AV/EDR的检测逃逸。
Nighthawk使用硬件断点挂钩实现的检测逃逸技术:
implant+zero-堆加密技术
inproc-console-控制台
block-dlls-挂钩LoadLibrary防止安全软件的检测DLL加载
patch-etw-event-修补ETW事件
patch-etw-control-进一步修补ETW事件
patch-amsi-修补AMSI接口
03 总结
当前并没有明显证据表明Nighthawk已被威胁者滥用,但其是现在市场上最先进、最高级的防御规避命令控制框架,具有极高的检测逃逸成熟度,代表了未来一段时间内C2的检测逃逸技术方向,更多技术将会在绿盟科技2022年攻击技术发展趋势年度报告中进行介绍分享。
参考
https://www.mdsec.co.uk/nighthawk/
https://web.archive.org/web/20221125224850/https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice
https://www.mdsec.co.uk/2022/11/nighthawk-with-great-power-comes-great-responsibility/
https://www.mdsec.co.uk/2022/05/nighthawk-0-2-catch-us-if-you-can/
https://github.com/aahmad097/AlternativeShellcodeExec
https://github.com/rad9800/misc/blob/main/bypasses/WorkItemLoadLibrary.c
https://modexp.wordpress.com/2019/06/03/disable-amsi-wldp-dotnet/
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
往期推荐