C2 Obfuscation and Exfiltration: HUC Packet Transmitter 

Атакуващите често искат да прикрият местоположението си, когато компрометират цел. За целта те могат да използват общи инструменти за поверителност (напр. Tor) или по-специфични инструменти, за да объркат евентуално разследнаве относно местоположението си.

Предавателят на пакети HUC (HUC Packet Transmitter, HTran) е прокси инструмент, използван за прихващане и пренасочване на връзки на протокола за контрол на предаването (TCP) от локалния хост към отдалечен хост. Това прави възможно затъмняването на комуникацията на нападателя с мрежите на жертвите. Инструментът е свободно достъпен в интернет поне от 2009 г.

HTran улеснява TCP връзки между жертвата и точката хоп, контролирана от актьора на заплаха. Злонамерените актьори могат да използват тази техника, за да пренасочат своите пакети чрез множество компрометирани хостове (hops, хопове), работещи с HTran, за да получат по-голям достъп до хостове в мрежа.

In Use

Използването на HTran се наблюдава редовно при компромиси както с държавните, така и с индустриалните цели.

Наблюдавани са широка гама от участници в заплахата, използващи HTran и други прокси инструменти за:

заобикаляне на системите за проникване и откриване в мрежа (IDS/IPS);
смесване с обичайния трафик или използване на доверителни връзки на домейн, с цел заобиколяне на контролите за сигурност;
скриване на инфраструктурата или комуникациите на C2 и
създаване на peer-to-peer или мрежова C2 инфраструктура, с цел избегване на откриването и осигуряване на устойчиви връзки към инфраструктурата.
Възможности
HTran може да работи в няколко режима, всеки от които препраща трафик през мрежа чрез свързване на два TCP сокета. Те се различават по отношение на това откъде се инициират TCP сокетите, локално или отдалечено. Трите режима са

Сървър (слушане) – И двата TCP сокета се инициират отдалечено;
Клиент (подчинен) – И двата TCP сокета се инициират локално; и
Прокси (tran) – Единият TCP сокет се инициира дистанционно, другият се инициира локално при получаване на трафик от първата връзка.
HTran може да се инжектира в изпълняващи се процеси и да инсталира руткит, за да скрие мрежовите връзки от хост операционната система. Използването на тези функции също създава записи в системния регистър на Windows, за да гарантира, че HTran поддържа постоянен достъп до мрежата на жертвите.

Примери
Последните разследвания от институционални органи за киберсигурност (US CERT) установиха използването на HTran за поддържане и затъмняване на отдалечен достъп до целевата среда.

При един инцидент актьорът на заплахата компрометира външни уеб сървъри, работещи с остарели и уязвими уеб приложения. Този достъп позволява инсталиране на WebShells, които след това са използвани за разполагане на други инструменти, включително HTran.

HTran беше инсталиран в директорията ProgramData и бяха използвани други внедрени инструменти за преконфигуриране на сървъра за приемане на комуникации с протокол за отдалечен работен плот (RDP).

Актьорът на заплахата издаде команда за стартиране на HTran като клиент, инициирайки връзка със сървър, разположен в интернет през порт 80, който препраща RDP трафика от локалния интерфейс.

В този случай HTTP е избран да се слее с другия трафик, който се очаква да бъде видян, произхождащ от уеб сървър към интернет. Други известни използвани пристанища включват:

Порт 53 – Система за имена на домейни
Порт 443 – HTTP през слой TLS / Secure Sockets
Порт 3306 – MySQL
Използвайки HTran по този начин, актьорът на заплахата успя да използва RDP в продължение на няколко месеца, без да бъде открит.
Откриване и защита
Атакуващите се нуждаят от достъп до машина, за да инсталират и стартират HTran, така че защитниците на мрежата трябва да прилагат корекции за сигурност и да използват добър контрол на достъпа, за да попречат на атакуващите да инсталират злонамерени приложения.

Мониторингът на мрежата и защитните стени могат да помогнат за предотвратяване и откриване на неоторизирани връзки от инструменти като HTran.

В някои от анализираните проби руткит компонентът на HTran крие подробности за връзката само когато се използва прокси режим. Когато се използва клиентски режим, защитниците могат да видят подробности за TCP връзките, които се правят.

HTran включва и състояние за отстраняване на грешки, което е полезно за защитниците на мрежата. В случай че дестинация стане недостъпна, HTran генерира съобщение за грешка, използвайки следния формат:

sprint(buffer, “[SERVER]connection to %s:%d error\r\n”, host, port2);

Това съобщение за грешка се предава на свързващия клиент в чист текст. Защитниците на мрежата могат да наблюдават за това съобщение за грешка, за да открият потенциално екземпляри на HTran, активни в техните среди.

Mitigations

Има няколко мерки, които ще подобрят цялостната киберсигурност на вашата организация и ще я помогнат да я защитите срещу видовете инструменти, подчертани в този доклад. Защитниците на мрежата се съветват да търсят допълнителна информация, като използват връзките по-долу.

Further information: invest in preventing malware-based attacks across various scenarios. See UK NCSC Guidance: https://www.ncsc.gov.uk/guidance/mitigating-malware.

Additional Resources from International Partners