红蓝对抗已成为新形势下关键信息系统网络安全保护的重要组成部分,以实际运行的信息系统为保护目标,最大限度地模拟真实的黑客入侵,从而检验信息系统的实际可靠性和运行维护的具体有效性。
近日,安恒信息威胁情报中心对一些与红蓝对抗行动相关的样本进行了监控和捕捉,其中猎影实验室对这些样本进行了分析和关联,并对其进行了一定程度的总结,并将其分成几集进行叙述。
一、本期对Golang在红蓝对抗中常用的攻击方法进行了实例分析。
1.概述Golang
Golang,又称谷歌,是谷歌开发的一种编译语言。设计于2007年开始,并于2009年正式推出。另外,它还具有跨平台的特点,能很好地支持各种操作系统。
2.Golang应用于恶意软件
Golang编译的恶意软件已经出现了很长时间,但并没有引起太多关注。近年来,APT攻击、僵尸网络和勒索病毒逐渐进入公众视野。
二、为什么Golang会受到一些攻击者的青睐,大致有以下几点:
1.跨平台特色
支持Windows,Linux、OSX等主流操作系统,代码复用能力强,无需过多关注跨平台修改。
2.适应性强
编译程序时会嵌入依赖库,然后在目标设备上运行时可以很好的执行,不需要其他依赖,适应性强。但由于这个原因,样本体积太大,在一些应用中存在一些缺陷。
3.免杀效果好
由于软件规模、代码规模、关注度等问题,Golang恶意程序的杀软检验效果不佳,甚至可实现0杀毒。
在APT攻击中,ZebrocyLoaderAPT28Golang版本、VALUEVAULT(Golang版本凭证窃取工具)等APT34使用的组织也在Golang使用。SSLVPN事件中经常使用WellMess恶意软件,直接影响到国内。
三、Golang在红蓝对抗中应用
Golang也在红蓝对抗中发光。我们捕捉到了一些与此相关的Golang样本,包括开源、开源修改和非开源。例如:
1. GECC(CobaltStrike-GoExternalC22Client项目
选择Golang实现CobaltStrikeExternalC2客户端。
2.ShellGo项目
使用Golang写的shellCodeLoader。
3.GolangDownloader
下载远程负荷并执行Golang程序。
4.GolangScanner
端口,弱密码扫描器。
很容易发现golang在各个方面都有应用。
同时,可能会陆续出现许多开源程序,包括远程控制、凭证盗窃、Payload装载机、扫描爆破、代理工具等。当然,基于开源的修改或自写也是如此。
四、如何防御
安恒APT预警平台和安恒APT预警平台不难发现已知或未知的威胁。APT预警平台的实时监控能力可以捕获和分析邮件附件发送文档或程序的威胁,并且可以在邮件发送、漏洞检测、安装植入、连接控制等各个阶段进行强有力的监控。结合安恒威胁情报系统,可以总结国内外威胁数据,分析整个攻击演变和联合预警。