ShellClient木马锁定全球航太与电信产业发动攻击，并滥用Dropbox作为C2中继站来规避资安系统

进阶持续性威胁攻击（APT）的手法日趋隐密，很可能暗中行动数年才被资安人员发现。例如，资安业者Cybereason于10月6日，揭露名为GhostShell的攻击行动（Operation GhostShell），骇客运用从未被发现的RAT木马程式ShellClient，攻击全球的航太产业与电信公司。

针对攻击者的意图，Cybereason指出，主要是窃取组织的关键资产、基础设施，以及所持有的技术等敏感资料。至于攻击者锁定攻击范围，研究人员认为主要是中东地区，但在美国、俄罗斯，以及欧洲也有受害组织。

至于攻击者的身份，该公司认为是名为MalKamak的伊朗APT骇客组织，这个组织约从2018年开始运作。此外，研究人员指出，根据他们掌握的情报，MalKamak也与数个伊朗-资助的APT组织，例如Chafer（APT39）、Agrius有所联系，但Malkamak的攻击特征，又与其他伊朗骇客组织有所不同，而被资安研究员认为是新的APT骇客组织。

假冒合法程式的名义来进行伪装

至于Cybereason发现这起攻击行动的过程为何？该公司是在今年7月的网络攻击中，看到不明的攻击者，使用未曾出现过的ShellClient木马程式。骇客先是运用这个RAT木马程式来调查目标组织的网络环境，并外泄敏感资料。攻击者先针对中东的大型航太与电信公司下手，随后则对于美国、俄罗斯，以及欧洲地区的航太与电信产业发动攻击。

研究人员对于取得的木马程式档案进行分析，攻击者将这个档案命名为svchost.exe，但根据档案资讯里面的内容，该档案被伪装成另一个合法程式RuntimeBroker.exe──这是在Windows操作系统里，监控微软市集应用程序（Universal App）存取权限的应用程序。

根据ShellClient的植入受害电脑方式，Cybereason指出总共有3种用途，首先，是能够将其安装为网络主机侦测服务（Network Hosts Detection Service，nhdService）。

再者，则是能透过服务控制管理器（Service Control Manager，SCM）执行来建立反向Shell，来和设置好的Dropbox账号进行通讯。至于第3种模式，则是将ShellClient当做一般处理程序执行。而这2种模式之下，还具备透过WMI（Windows Management Instrumentation）来收集系统资讯的功能，像是：BIOS资讯、Mac位址、受害电脑所安装的防毒软件等。

而根据攻击者使用ShellClient的手法，研究人员发现骇客也部署了其他的工具或是“就材取材（Living Off the Land）”，来进行侦察、横向移动、资料收集等工作。例如，他们使用合法的PAExec与Net use指令，来进行横向横动的工作。

在对于资料窃取的工作中，研究人员发现攻击者运用LSA.EXE，将LSASS.EXE于内存内存放的帐密，另存到debug.bin的档案，根据这个将帐密汇出的档案名称，Cybereason推测，LSA.EXE是伊朗APT骇客所使用的SafetyKatz工具变种版本。此外，对于外泄资料的打包，MalKamak使用了知名压缩软件WinRAR来进行处理。

木马程式经过近3年发展，纳入更为隐密的C2通讯机制

根据调查结果，研究人员发现ShellClient至少经过6次改版。最早期的版本编译于2018年11月6日，仅为单纯的反向Shell，而于同年11月底编译的第1版，为了能在受害电脑持续运作，ShellClient会伪装成Windows Defender更新服务的方式执行。

而到了2018年12月制作的2.1版ShellClient，开始具备FTP与Telnet通讯能力、与C2中继站连线采AES加密，以及自我更新机制等。

直到今年，骇客制作了4.0.0版与4.0.1版，Cybereason认为这是ShellClient改版幅度最大的版本，原因是该版本纳入新的技术来回避资安系统检测。首先，攻击者使用Costura来打包ShellClient，借此混淆程式码，让资安人员反组译更加困难。

再者，攻击者弃用旧的C2网域，并改以Dropbox内建的用户端软件来取代，他们滥用这项相当受到欢迎的云端服务，向ShellClient发送命令，并将窃得资料存放到指定的Dropbox账号。由于存取Dropbox的流量通常都被视为合法，而使得攻击行动难以察觉。

但为何4.0.1版会早于4.0.0版3个月制作？Cybereason没有进一步说明。