圖片來源: 

Photo by nathanh100 (CC BY 2.0) https://www.flickr.com/photos/nat507/22108218624

最近半年的時間,資安業者陸續揭露許多攻擊事故,背後都與中國駭客有關,例如,有多組駭客自2017年開始,鎖定大型電信業者發動攻擊,且濫用了微軟Exchange重大漏洞「Proxylogon」。但有不同的調查報告指出,有其他的中國駭客不只是攻擊電信業者,還對於多個類型的關鍵基礎設施(CI)下手。

賽門鐵克揭露由中國駭客發起的攻擊行動,攻擊延續數個月之久,至少自2020年11月持續到2021年3月,對象包含了水資源公司、電力公司、電信公司,以及國防組織等多個關鍵基礎設施。

而對於攻擊者的身分,該公司根據他們的調查結果,研判攻擊者來自中國,但無法確定是那個駭客組織所為。

不同事故卻存在共通跡證

為何會認定這些針對不同類型關鍵基礎設施的攻擊,是同一組駭客所為?原因與賽門鐵克找到的證據存在了數個共通點,例如,他們在攻擊目標的地理位置找到關連,且在不同組織的電腦上出現相同的工具--其中2個組織出現了下載器,而鍵盤側錄器存在於3個組織裡,再者,則是針對其中2個組織的攻擊行動裡,研究人員發現了相同的IP位址。

究竟攻擊者的目的為何?賽門鐵克認為,主要是竊取帳密,以及進行橫向移動。為了達到目的,攻擊者廣泛在受害電腦就地取材(Living Off-the-Land,LOL),運用多項電腦裡現成、合法的工具,諸如Windows Management Instrumentation(WMI)、ProcDump、PsExec,以及Mimikatz等。

研究人員提到,在執行惡意工具的過程裡,他們也發現攻擊者濫用合法的影音播放器PotPlayer Mini,來側載DLL,並用另一款合法的工具載入惡意檔案,而且這個影音播放器的蹤跡,在所有的受害單位都有出現。

從攻擊者所運用的合法工具來看,有些是Windows作業系統內建的工具,也有系統監控軟體,而Mimikatz則是駭客常用於竊取密碼的工具。相較之下,PotPlayer Mini是偏向個人用戶的應用程式,且並非作業系統內建的軟體,若是維護關鍵基礎設施的管理者採用白名單機制,駭客很有可能就因為無法執行PotPlayer Mini,而使得攻擊行動受到阻礙。由此可見,攻擊者對於這些目標的內部環境應該是相當了解。

疑似鎖定設計SCADA系統的資料

在針對上述提及的水資源公司、電力公司、電信公司,以及國防單位等,具體而言,攻擊者究竟如何運用合法工具來發動攻擊?以鎖定水資源公司的事故為例,賽門鐵克指出,攻擊者先是濫用WMI,接著運用了PotPlayer Mini來載入惡意DLL檔案。

再來,攻擊者了執行ProcDump、PsExec,以及Mimikatz。而他們運用這些工具的目的為何?其中,攻擊者用ProcDump來存取LSASS.EXE處理程序,目的是竊取憑證,並下達net view指令,來列舉網域用戶,接下來受害電腦啟動了可疑的加密連線。

在攻擊過程裡,賽門鐵克發現攻擊者並未竊取資料,但為何要入侵水資源公司的電腦?賽門鐵克表示,這些受害電腦所存放的資料,很可能與設計SCADA系統有關,而成為攻擊者的目標。

而在針對電力公司的攻擊行動中,攻擊者也運用類似於水資源公司的手法。賽門鐵克指出,有跡象顯示該電力公司的受害電腦,存放了工程設計的資料。從攻擊者想要尋找的資料及攻擊策略,賽門鐵克認為,這兩起事故是相同的駭客所為。

在電信公司出現新的合法工具

在上述的水資源公司與電力公司事故裡,攻擊者運用了相似的攻擊手法。但在針對電信公司的攻擊行動中,駭客濫用了上述2起事故沒有出現過的合法工具:Google Chrome內嵌框架(Google Chrome Frame)、PAExec。

什麼是Google Chrome內嵌框架?這是Google自2009年推出的瀏覽器外掛程式(現已終止支援),適用於Internet Explorer(IE),能讓該瀏覽器的使用者,利用Chrome瀏覽器引擎來載入網頁。而攻擊者使用它的目的,則是用來載入惡意檔案。

但這款IE外掛程式的來源為何?賽門鐵克表示並不確定,有可能是這家公司的受害電腦本來就有,但也可能是攻擊者自行帶來的工具。

除了Google Chrome內嵌框架,攻擊者也使用了開源的PAExec工具,並透過Windows排程工具at.exe執行。

在攻擊的過程中,駭客也運用了WMI,不只用於竊取憑證,亦讓Google Chrome內嵌框架能排程執行,藉此橫向移動找尋目標,並執行net.exe來存取網路上隱藏的C$共享資料夾等攻擊行動。一般而言,這種型態的手法,很有可能被攻擊者用於收集網路裡竊得的資料。

但在這些只有出現於電信公司的攻擊手法之外,賽門鐵克也發現與前述事故的共通之處。例如,他們從這家受害的電信公司裡,發現一個鍵盤側錄程式與數個檔案,而這些檔案也在前述的水資源公司網路出現。

再者,在受害的國防單位中,攻擊者也濫用了PotPlayer Mini。賽門鐵克表示,該單位受害電腦的檔案,與上述的水資源公司和電信公司有所交集。

從本次攻擊行動的過程裡,駭客就地取材所運用的合法工具,涵蓋的類型可說是相當廣。這樣的情況也突顯出,網管人員在管制應用程式上所面臨的難題。


熱門新聞

Advertisement