云原生网络取证和响应平台提供商Cado Security公司研究员Matt Muir在其发表的一篇文章中指出,“CoinStomp在之前的加密劫持攻击中使用了时间戳。然而,这不是一种常见的技术。这种技术通常被用作一种反取证措施,以阻碍调查人员的调查和受害方的补救工作。”
Cybellum公司安全研究员和开发人员Gal Lapid解释说,网络攻击者经常更改关键文件。他说,“很多时候,这些文件位于包含许多同时生成的文件的文件夹中,一旦有一个文件‘不合适’(最近被更改过),就可能会引发一些危险信号。因此,网络攻击者可以复制文件夹内其他文件的时间戳,从而躲避安全检测。”
恶意软件删除加密策略文件
Vulcan Cyber公司的网络安全工程师Mike Parkin指出,一些APT小组的工具包中包含时间戳操作。他说,“这并不是一种晦涩难懂的技术。”
CoinStomp恶意软件还发出命令以删除系统上的加密策略文件,甚至终止加密进程。Cado Security公司的Muir写道,“显然,加密策略的执行对恶意软件的部署产生了切实的影响。如果恶意应用程序使用不安全的协议,加密策略可能会阻止下载额外的有效负载,也可以防止恶意应用程序运行。”
CoinStomp团伙精通云计算技术
为了发出命令和控制恶意软件,CoinStomp团伙在Linux系统上使用/dev/tcp文件创建了一个反向shell。Muir解释说,“大多数Linux发行版都支持通过/dev/tcp设备文件对远程主机进行读/写操作。当然,这对于恶意软件开发人员来说是完美的,因为它是一种创建反向shell或C2通信通道的简单且原生支持的方法。”
北美共享评估指导委员会主席Nasser Fattah补充说:“由于/dev/tcp是Linux的原生版本,旨在与其他计算机通信,网络攻击者可以利用该文件,并将其作为常见的预期网络流量,例如HTTP。”北美共享评估指导委员会是第三方风险管理提供工具和认证的公司联盟。
Muir认为,CoinStomp团伙展示了网络攻击者在云安全领域的复杂性和专业知识。他写道,“采用反取证技术,并通过删除加密策略来削弱目标机器的安全性,不仅表明了网络攻击者对Linux安全措施的了解,而且还表明了对事件响应过程的理解。”
敏锐地意识到如何在Linux上进行检测
Muir补充说,使用/dev/tcp创建用于通信的反向shell也是一种高级技术。他指出,“C2通信通常很嘈杂,并且很容易被监控工具发现,但使用端口443有助于使这种流量看起来合法。”
Arctic Wolf公司首席技术官Ian McShane发现CoinStomp是一种不寻常的网络攻击。他说,“由于反向shell的使用和避免常见安全控制的能力,CoinStomp团伙敏锐地意识到在Linux上进行安全检测的方式,并且能够针对不一定对互联网通信开放的基础设施进行攻击。”
Valtix公司首席安全研究员Davis McCarthy补充说,“CoinStomp团伙具有前瞻性思维,他们正在使用复杂技术来应对可能遇到的安全控制措施。”