Hun$ng the Shadows: In Depth Analysis of Escalated APT - - PowerPoint PPT Presentation

hun ng the shadows in depth analysis of escalated apt a
SMART_READER_LITE
LIVE PREVIEW

Hun$ng the Shadows: In Depth Analysis of Escalated APT - - PowerPoint PPT Presentation

Jun 14, 2023 230 likes •679 views

Hun$ng the Shadows: In Depth Analysis of Escalated APT A=acks Fyodor Yarochkin, Academia Sinica Pei Kan PK Tsung, Academia Sinica Ming-Chang Jeremy

slide-1
SLIDE 1

Hun$ng ¡the ¡Shadows: ¡ In ¡Depth ¡Analysis ¡of ¡Escalated ¡APT ¡A=acks ¡

Fyodor ¡Yarochkin, ¡Academia ¡Sinica ¡ Pei ¡Kan ¡PK ¡Tsung, ¡Academia ¡Sinica ¡ Ming-­‑Chang ¡Jeremy ¡Chiu, ¡Xecure ¡Lab ¡ Ming-­‑Wei ¡Benson ¡Wu, ¡Xecure ¡Lab ¡

1

slide-2
SLIDE 2

Agenda

  • Why ¡Taiwan? ¡
  • The ¡“Lstudio” ¡player… ¡fun ¡J ¡
  • Taking ¡a ¡peek ¡at ¡Weaponry ¡ ¡
  • APT ¡in ¡a ¡Cloud ¡ ¡
  • VicLmology ¡or ¡… ¡chicken-­‑logy? ¡ ¡ ¡

2

slide-3
SLIDE 3

whoweare ¡

Based in Taiwan Interests in Computer Forensics Access to some raw network traffic data (fun!) Get to fish interesting things (PROFFFIIITT!) @bensonwu [secret] @fygrave [censored]

3

slide-4
SLIDE 4

Disclaimer ¡

A ¡few ¡words ¡before ¡we ¡move ¡on. ¡

  • ­‑ ¡With ¡this ¡research ¡we ¡are ¡primarily ¡interested ¡in ¡

understanding ¡the ¡Ops ¡and ¡vicLms ¡of ¡discussed ¡ targeted ¡aPacks. ¡We ¡DO ¡NOT ¡aPempt ¡to ¡ perform ¡any ¡aPribuLon ¡of ¡potenLal ¡aPackers. ¡

4

slide-5
SLIDE 5

Taiwan ¡has ¡been ¡a ¡frontline ¡of ¡ APT ¡ba=lefield ¡for ¡some ¡$me ¡

5

slide-6
SLIDE 6

Many ¡interes$ng ¡things ¡could ¡be ¡observed ¡ (though ¡this ¡is ¡not ¡“Lstudio” ¡group) ¡

6

slide-7
SLIDE 7

Elirks: ¡earlier ¡campaign ¡

l Reported ¡by ¡Dell/Secureworks ¡as ¡Elirks ¡hPp://

www.secureworks.com/cyber-­‑threat-­‑intelligence/threats/ chasing_apt/ ¡

7

slide-8
SLIDE 8

Elirks ¡evolu$on ¡ ¡

hPp://tw.myblog.yahoo.com/jw!uzrxZwSGHxowPMGZAaj4I5 ¡ hPp://blog.yam.com/minzhu0906/arLcle/54726977 ¡ hPp://diary.blog.yam.com/bigtree20130514/arLcle/10173342 ¡ hPp://tw.myblog.yahoo.com/jw! uzrxZwSGHxowPMGZAaj4I50-­‑ ¡ ¡hPp://blogs.yahoo.co.jp/sakasesi2013/31805794.html ¡ hPp://www.plurk.com/mdbmdb ¡ ¡

8

slide-9
SLIDE 9

Elirks ¡2.0 ¡– ¡silly ¡to ¡reuse ¡the ¡ address-­‑space ¡

Managed by the same IP addresses (easy to cross-correlate)

9

slide-10
SLIDE 10

Another ¡on-­‑going ¡Campaign ¡

l On-­‑going: ¡

10

slide-11
SLIDE 11

On ¡average, ¡48 ¡APT ¡emails ¡a ¡ week!

11

slide-12
SLIDE 12

The “Lstudio” group: Exploring fun things in a greater detail :)

12

slide-13
SLIDE 13

They ¡start ¡with ¡a ¡boring ¡ spearphhiiissh ¡

13

slide-14
SLIDE 14

Almost ¡clean ¡:) ¡

14

slide-15
SLIDE 15

The ¡APT ¡Landscape ¡in ¡Taiwan ¡

15

slide-16
SLIDE 16

We’ll ¡examine ¡the ¡“LStudio” ¡ group ¡today

  • Unique ¡indicators ¡of ¡the ¡“LStudio” ¡group: ¡
  • Debug ¡symbols ¡(.pdb) ¡
  • “horse” ¡label ¡and ¡generator ¡tag ¡
  • Some ¡curious ¡discoveries ¡from ¡the ¡“Lstudio” ¡

backend ¡data ¡center ¡… ¡;-­‑)

16

slide-17
SLIDE 17

LStudio ¡binaries ¡have ¡cute ¡things ¡

h=p://scan.xecure-­‑lab.com

17

slide-18
SLIDE 18

CSJ-­‑Elise ¡..

18

slide-19
SLIDE 19

They love fast cars J J

19

slide-20
SLIDE 20

Evora

20

FASST ¡CARS ¡J J

slide-21
SLIDE 21

Lstudio ¡Opera$ons ¡and ¡C2 ¡

21

slide-22
SLIDE 22

“Lstudi Lstudio” p paylo yload Ge Gene nerator

Generator ¡ Owner ¡ Horse ¡Label ¡ Generator-­‑Tag ¡ APT ¡Exploit ¡delivery ¡via ¡email ¡

22

slide-23
SLIDE 23

We don’t say victim 肉雞 ! != ! !G

23

slide-24
SLIDE 24

The ¡typical ¡botnet ¡model

24

slide-25
SLIDE 25

Very ¡advanced ¡Zoo-­‑management ¡ skills ¡:)

25

slide-26
SLIDE 26

APT a advanc nced f farmi ming ng :) :)

ž Operated by roughly 25 “farmers” ž Has controlled over 5,884 machines ž International coverage over 30 countries ž Utilizes 4 different Botnet software families ž Active since 2007

26

slide-27
SLIDE 27

The ¡“Lstudio” ¡Chicken ¡Cloud ¡J J

APT Cloud Backend Data Center

Farmer Boss? Farmer Group B Farmer Group A

Command Channel (Second phase backdoor) Data Channel (First phase backdoor) Configurable Bounce

APT Botnet A 27 APT Botnet B

slide-28
SLIDE 28

.. ¡And ¡who ¡are ¡the ¡Chicken ¡?! ¡J J

28

slide-29
SLIDE 29

Interna$onal ¡Chicken ¡Farm ¡Corp. ¡

29

slide-30
SLIDE 30

chicken ¡farms ¡went ¡interna$onal ¡

2%

30

slide-31
SLIDE 31

Share ¡some ¡Chicken ¡J J

31

slide-32
SLIDE 32

When ¡you ¡travel, ¡your ¡chicken ¡ travel ¡too… ¡J J ¡

32

slide-33
SLIDE 33

Lets ¡look ¡at ¡some ¡travelers ¡J J

33

US Canada France England Taiwan

slide-34
SLIDE 34

ANOTHER ¡DISCOVERY!!

34

slide-35
SLIDE 35

.. ¡do ¡have ¡9 ¡to ¡5 ¡job ¡;)…

35

slide-36
SLIDE 36

Just ¡like ¡some ¡security ¡researchers ¡ do ¡J J

36

slide-37
SLIDE 37

AND ¡THE ¡LAST ¡.. ¡SOME ¡HANDY ¡ TOOLS ¡TO ¡SHARE ¡J J

37

slide-38
SLIDE 38

XecScan: ¡Free ¡API ¡

38

slide-39
SLIDE 39

Yara: ¡a ¡swiss-­‑knife ¡of ¡sta$c ¡sigs ¡;) ¡

39

slide-40
SLIDE 40

Yara ¡use ¡

Easy ¡to ¡integrate ¡with ¡your ¡scripts ¡ IntegraLon ¡with ¡a ¡proxy ¡server ¡is ¡possible ¡via ¡ icap ¡yara ¡plugin: ¡hPps://github.com/fygrave/ c_icap_yara ¡ Raw ¡network ¡traffic ¡monitoring ¡project ¡(and ¡ hPp/DNS ¡indexing): ¡ hPps://github.com/fygrave/eyepkflow ¡ ¡ ¡

40

slide-41
SLIDE 41

More ¡cool ¡tools

¡Moloch ¡hPps://github.com/aol/moloch ¡ ¡ ¡Yara ¡mail ¡ hPps://github.com/kevthehermit/yaraMail ¡ ¡ Yara ¡pcap ¡ ¡ hPps://github.com/kevthehermit/YaraPcap ¡

41

slide-42
SLIDE 42

Conclusions

Complex ¡infrastructure ¡ Operates ¡since ¡2007 ¡ MulLple ¡soqware ¡versions ¡ MulLple ¡back-­‑ends ¡ VicLms ¡– ¡government ¡and ¡private ¡sector ¡ Mainly ¡Taiwan ¡but ¡also ¡seen ¡world-­‑wide

42

slide-43
SLIDE 43

Questions? benson.wu@xecure-lab.com jeremy.chiu@xecure-lab.com pk@hitcon.org f@plurk.com

43