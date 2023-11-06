IBM X-Force 发现了 Gootloader 的新变体——“GootBot”植入程序，它能实现隐蔽的水平运动，增大企业环境中检测和阻止 Gootloader 攻击活动的难度。X-Force 观察到这些攻击活动利用 SEO 投毒技术，针对毫无戒备的受害者搜索行为实施攻击，我们将在博客中对此进行更深入的分析。Gootloader 组织在攻击链的后期阶段引入了自定义机器人，目的是在使用 CobaltStrike 或 RDP 等现成 C2 工具时避免被检测到。这种新变体虽为轻量级但却威力十足，能让攻击者快速扩散至整个网络并部署更多有效载荷。
此前，Gootloader 仅被视为初始访问恶意软件，攻击者随后需要加载 CobaltStrike 等工具或使用 RDP 才能在网络内传播。利用 GootBot 进行水平运动的攻击活动标志着感染后计策、技术与程序 (TTP) 的重大变化，因为这一定制工具使威胁参与者能够更长时间保持隐蔽。GootBot 在 Gootloader 感染后作为有效载荷被下载，能够接收加密 PowerShell 脚本形式的 C2 任务的功能，这些脚本随后会作为任务运行。与 Gootloader 不同，GootBot 是轻量级混淆 PS 脚本，仅包含单个 C2 服务器。GootBot 植入程序（每个 GootBot 植入程序内含一个在被黑 WordPress 站点上运行的不同 C2 服务器）会在受感染企业域内大规模扩散，试图触达域控制器。截至本文撰写时，GootBot 在 VirusTotal 上没有任何检测记录。TTP 和工具的转变显著提升了攻击后利用阶段（例如与 Gootloader 关联的勒索软件附属活动）的成功风险。
X-Force 追踪的 Gootloader 组织代号为 Hive0127（又名 UNC2565），该组织自 2014 年起活跃至今，通过 SEO 投毒技术和受感染 WordPress 站点双管齐下传播 Gootloader。Gootloader 感染为包括勒索软件关联组织在内的其他威胁参与者提供初始访问权限，而攻击则部署 IcedID、Cobalt Strike、SystemBC 等后续有效载荷。
X-Force 观察到该组织在恶意攻击活动中利用了 SEO 投毒技术。SEO 投毒技术是威胁参与者用来操纵搜索引擎结果的一种方法，其目的是利用用户认为搜索引擎首屏结果通常准确、安全且合法的心理，诱导用户访问受感染网站。Hive0127 通常以合同、法律表格或其他商业文件的在线搜索为攻击目标；例如：“结算单是否等同于总合同？”。攻击目标会在中毒的搜索结果页面顶部看到一个伪装成正规论坛的受感染网站，随后在论坛对话中被诱骗下载与初始搜索词相关的压缩文件，但压缩文件里面其实装着 Gootloader。
下图为 Gootloader 利用 GootBot 在整个网络中进行传播的示例图。以下分析章节将详细介绍感染的不同阶段：
Gootloader 感染始于用户下载装有高度混淆 JavaScript 文件的受感染压缩包，这是 Gootloader 感染的第一阶段。执行时，它会在 %APPDATA% 文件夹下的选定子文件夹中释放另一个 JavaScript 文件，该文件使用不显眼的英文文件名。Gootloader 不会在 %APPDATA% 中创建新文件夹，而是选择已存在的文件夹。这种选择不是随机的，而是根据 %APPDATA% 文件夹中的子文件夹数量计算得出。计算方法如下：
722 –（向下取整（722 / 子文件夹数量）* 子文件夹数量）
Gootloader 不会直接运行第二阶段程序，而是触发计划任务来执行该 JavaScript 文件并实现持久化。
该计划任务的参数如下：
名称：<随机英文单词>
操作：wscript <以“~1.JS”结尾的第二阶段短文件名>
文件夹：[%APPDATA% 中的子文件夹]
触发器：LogonTriggerID [当前用户下次登录时]
第二阶段 JavaScript 执行后将运行 PowerShell 脚本和第三阶段程序，用于收集系统信息并将其上传到 10 个硬编码 C2 服务器中的任意一个。Gootloader 利用被黑 WordPress 站点来运行 C2 服务器，因此 C2 URL 路径以“/xmlrpc.php”结尾。
以下是该恶意软件发出的 HTTP 请求示例。
User-Agent 字符串与疑似恶意软件 ID 3B47772CE3 均保持一致。
该恶意软件需要 C2 服务器返回包含 PowerShell 脚本的数据，供 Gootloader 执行。
第三阶段 PowerShell 脚本以无限循环方式运行，使威胁参与者能够让 C2 服务器返回不同类型的 PowerShell 有效载荷。
X-Force 观察到的有效载荷之一是 GootBot，它是 Gootloader 的新变体。它具备高度相似的功能，但以轻量级 PowerShell 脚本形式存在。与第三阶段 PowerShell 脚本不同，GootBot 只包含一个 C2 服务器地址。
GootBot 的字符串通过替换密钥进行了轻度混淆，具体如下方屏幕截图所示：
与 Gootloader 类似，该机器人程序首先向 C2 服务器发送 GET 请求以获取 PowerShell 任务。第一个信标具有该恶意软件添加的以下 HTTP 标头：
GET /xmlrpc.php HTTP/1.1
User-Agent：Mozilla/5.0（Windows NT 10.0；Win64；x64）AppleWebKit/537.36（KHTML，例如 Gecko）Chrome/107.0.0.0 Safari/537.36
Cookie：<BOT_ID>=<If user is admin: 0/1>
Pragma：no-cache
Cache-Control：no-cache、no-store
Expires：0
作为响应，GootBot 需要一个由 Base64 编码有效载荷组成的字符串，其中最后 8 个字符为任务名称。随后它会解码有效载荷并将其注入一个简单的脚本块，再通过“Start-Job”命令行工具在新的后台作业中执行。这种方式使得 PowerShell 有效载荷能以异步方式运行且不创建子进程，很可能会减少 EDR 检测。
以下屏幕截图所示为运行 C2 任务的去混淆化代码。
默认情况下，GootBot 每隔 60 秒发送一次信标，但可通过在子作业信息属性中设置包含“asz”的特定字符串来更改此间隔。同理，工作目录路径也可通过“asx”信号字符串进行更改。
机器人程序收到来自 C2 服务器的任务后，下一次循环迭代将首先查询 C2 服务器请求的每个子作业的执行结果。如果作业已完成，则返回作业结果。如果尚未完成，则发送字符串“E1”；如果找不到作业，则发送字符串“E2”。随后将所有请求任务的结果按以下格式拼接：
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
生成的字符串经 Base64 编码后，通过模运算算法进行混淆处理，该技术与先前 Gootloader JavaScript 样本中观察到的手段相似。
此时 GootBot 会向 C2 服务器发送 POST 请求。如果数据超过 100,000 个字符，则将其拆分为多个请求，具体格式如下：
POST /xmlrpc.php HTTP/1.1
User-Agent：Mozilla/5.0（Windows NT 10.0；Win64；x64）AppleWebKit/537.36（KHTML，例如 Gecko）Chrome/107.0.0.0 Safari/537.36
Cookie：<BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma：no-cache
Cache-Control：no-cache、no-store
Expires：0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
该机器人程序同样需要收到包含下一个任务的响应。
GootBot 还能在整个环境中横向传播。一旦初始主机被感染，GootBot 就会收到多个枚举该主机和域名的脚本。X-Force 还观察到多个脚本使用不同技术将嵌入的 GootBot 有效载荷传播到其他主机。GootBots 的 C2 基础设施可以快速生成大量待传播的 GootBot 有效载荷，每个有效载荷均配备不同 C2 联系地址。它们由水平运动脚本自动部署，可能会使主机被重复感染多次。
水平运动脚本利用 PowerShell 中的 WinRM 功能，通过 WMI 或“Invoke-Command”命令行工具实现。其他示例包括通过 SMB 复制有效载荷，以及调用 WinAPI 访问 SCM（服务控制管理器）以创建远程服务与计划任务。
在某些情况下，GootBot 还会利用窃取的凭据进行传播：
图：通过 WinRM Invoke-Command 进行水平运动
图：通过 SCM 进行水平运动
GootBot 还被证实会利用环境变量存储加密字符串，进一步减小了脚本的大小。此外，GootBot 还可能采用以下技术手段进行部署：先创建新进程，然后将恶意脚本写入进程标准输入，以此伪冒 PowerShell 进程参数。
GootBot 的首批任务还包括运行侦察脚本，其中包含主机的唯一 GootBot ID。
以下信息会被汇总并返回给任务处理程序：
这些数据会按照指定的 ID 进行格式化。请参阅下方 ID 为“FDA8970BA3”的示例数据：
Gootloader 感染可能会迅速引发更多工具的部署，例如 Cobalt Strike、SystemBC 和域入侵脚本（包括 Kerberoasting 攻击）。其他观察到的行为包括以窃取下敏感信息：
此外，Gootloader 感染还会引发勒索软件攻击。
Gootbot 变体的出现凸显了攻击者为躲避检测和隐蔽行动所采取的极端手段。这种高效恶意软件能让攻击者轻松快速地在环境中水平运动并扩大攻击范围。此外，Hive 0127 利用了大量受感染 WordPress 域名集群，使得防御者越来越难以拦截恶意流量。由于 Gootloader 经常充当初始访问提供程序，因此必须了解这些持续演变的 TTP 和工具，方可降低重大攻击后利用活动的风险。
指示符
指标类型
情境化
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
GootBot C2 服务器
http://63factory[.]jp/wordpress/
URL
GootBot C2 服务器
