Dinas-Kominfo-Kota-Tangerang/cl-sta-1087-malware-rules

# 英文版本 (男性没有翻译，没时间用 AI，直接从 Palo Alto 的报告中复制了🙂‍) # CL-STA-1087 检测规则 这是 Wazuh 针对 Unit 42 Palo Alto 识别出的、针对东南亚军事组织的 CL-STA-1087 威胁集群的检测规则。 ## 背景 根据 Unit 42 的报告，CL-STA-1087 是一个疑似由国家支持的间谍活动，自 2020 年（至少）以来一直活跃。该威胁行为者使用定制开发的恶意软件，包括 AppleChris 后门、MemFun 后门和 Getpass（定制的 Mimikatz 变体），用于情报收集和凭据窃取。 ## 文件 - `sigma_unit42_corrected.yml` - 用于检测 CL-STA-1087 活动的 Sigma 规则 - `yara_unit42_corrected.yar` - 用于恶意软件识别的 YARA 规则 ## 检测覆盖范围 ### Sigma 规则 (网络与行为) | 规则 | 描述 | 级别 | |------|-------------|-------| | CL-STA-1087 C2 连接 | 检测与已知 C2 IP 地址的连接 | 严重 | | AppleChris 与 MemFun 互斥体 | 检测特定恶意软件的互斥体 | 严重 | | Getpass 凭据窃取 | 检测使用 getpass/vncpass 访问 lsass.exe 的行为 | 严重 | | MemFun HTTP 模式 | 检测使用 "Q" HTTP 方法且 User-Agent 为 "MyIE" 的行为 | 严重 | | AppleChris 自定义 HTTP 动词 | 检测 PUT, POT, DPF, UPF, CPF, LPF | 高危 | | AppleChris 后门持久化 | 检测可疑的服务安装 | 高危 | | System32 DLL 劫持 | 检测 System32 中的可疑文件 | 高危 | | dllhost.exe 进程镂空 | 检测通过 dllhost.exe 触发的 CREATE_SUSPENDED | 高危 | | Pastebin DDR 访问 | 检测未使用标准浏览器访问 Pastebin 的行为 | 中危 | | PowerShell 休眠 6 小时 | 检测休眠 21600 秒的 PowerShell | 中危 | | Timestomping 检测 | 检测文件时间戳修改 | 中危 | | WMI 横向移动 | 检测基于 WMI 的横向移动 | 中危 | | 组合高置信度 | 多指标组合检测 | 严重 | ### YARA 规则 (恶意软件识别) | 规则 | 描述 | 威胁级别 | |------|-------------|--------------| | AppleChris_Backdoor | 检测互斥体、DLL 劫持、C2 模式 | 高危 | | Getpass_Mimikatz_Variant | 检测定制 Mimikatz 变体 | 严重 | | MemFun_Backdoor | 检测多阶段后门 | 严重 | | CL_STA_1087_Malware_Hashes | 检测 SHA256 恶意软件哈希 | 严重 | | AppleChris_Dropbox_DDR | 检测基于 Dropbox 的 C2 解析 | 高危 | | Reflective_Loading | 检测反射式 DLL 加载 | 高危 | | Custom_HTTP_Verbs | 检测 AppleChris HTTP | 中危 | | Composite_Detection | 综合 APT 检测 | 严重 | ## 失陷指标 ### C2 IP 地址 - 8.212.169.27 - 8.220.135.151 - 8.220.177.252 - 8.220.184.177 - 116.63.177.49 - 118.194.238.51 - 154.39.142.177 - 154.39.137.203 - 109.248.24.177 ### 已知哈希 (SHA256) ``` AppleChris Tunnel: 9e44a460196cc92fa6c6c8a12d74fb73a55955045733719e3966a7b8ced6c500 5a6ba08efcef32f5f38df544c319d1983adc35f3db64f77fa5b51b44d0e5052c 0e255b4b04f5064ff97da214050da81a823b3d99bce60cdd9ee90d913cc4a952 AppleChris Dropbox: 413daa580db74a38397d09979090b291f916f0bb26a68e7e0b03b4390c1b472f 2ee667c0ddd4aa341adf8d85b54fbb2fce8cc14aa88967a5cb99babb08a10fae MemFun Backdoor: ad25b40315dad0bda5916854e1925c1514f8f8b94e4ee09a43375cc1e77422ad Getpass (Mimikatz): ee4d4b7340b3fa70387050cd139b43ecc65d0cfd9e3c7dcb94562f5c9c91f58f ``` ## 主要恶意软件特征 ### AppleChris 后门 - 互斥体：`0XFEXYCDAPPLE05CHRIS` - DLL 劫持方式：`swprv32.sys`, `swrpv.sys` - 自定义 HTTP 动词：PUT, POT, DPF, UPF, CPF, LPF - 使用死信箱解析器 (Pastebin/Dropbox) 进行 C2 解析 ### MemFun 后门 - 互斥体：`GOOGLE` - User-Agent：`MyIE` - HTTP 方法：`Q`，端点 `/DL1` - 通过 `dllhost.exe` 使用进程镂空技术 ### Getpass 凭据窃取器 - 函数：`getpass`, `vncpass` - 目标：用于获取凭据的 lsass.exe - 输出文件：`WinSAT.db` - 伪装成 Palo Alto Cyvera 工具 ## MITRE ATT&CK 映射 | 技术 | 描述 | |-----------|-------------| | T1071.001 | 应用层协议：Web 协议 | | T1102 | Web 服务：死信箱解析器 | | T1055.012 | 进程注入：进程镂空 | | T1546.001 | 劫持执行流：事件日志 | | T1574.001 | 劫持执行流：DLL 搜索顺序 | | T1003 | 操作系统凭据转储 | | T1543.003 | 创建或修改系统服务 | | T1047 | Windows 管理规范 | | T1070.006 | 指标移除：Timestomp | ## 参考 - Unit 42 CL-STA-1087 报告： - MITRE ATT&CK： ## 作者 TangerangKota-CSIRT (NAuliajati)

标签：AppleChris, C2通信, CL-STA-1087, DLL劫持, DNS信息、DNS暴力破解, Getpass, IPv6, MemFun, Mimikatz, OpenCanary, Palo Alto, PE 加载器, PowerShell, Sigma规则, Timestomping, Unit 42, Wazuh, WMI, YARA规则, 东南亚军事, 后门, 国家级攻击, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据展示, 横向移动, 目标导入, 红队, 编程规范, 网络信息收集, 网络间谍, 进程空心化