微軟
微軟揭露中國駭客組織Flax Typhoon約自2021年中發起的攻擊行動,其主要目標是臺灣的政府機關、教育機構、重要製造商、資訊科技組織等數十個單位,但研究人員也有看到東南亞、北美、非洲的組織受害。
這些駭客鎖定可透過網際網路存取的伺服器,例如:VPN主機、網頁伺服器、SQL Server資料庫等,利用已知漏洞取得初期存取的權限,然後部署大小僅有4 KB的Web Shell中國菜刀(China Chopper),以便遠端執行命令,過程中駭客可能為了提升權限,他們會透過開源程式Juicy Potato或BadPotato來利用系統的已知漏洞,取得管理者層級的權限。
接著,駭客利用登錄檔關閉網路層身分驗證(NLA),且透過粘滯鍵(Sticky Keys)建立遠端桌面連線(RDP),而能夠持續存取受害伺服器,甚至取得啟動終端機、導出記憶體內容的能力。
濫用開源VPN應用程式建立新的存取管道,並進一步用來攻擊其他受害電腦
特別的是,駭客為了跳脫他們設計的RDP只能存取內部網路的限制,再度透過寄生攻擊(LOLBins)手法,利用名為Invoke-WebRequest的PowerShell指令碼,或是Bitsadmin、certutil,部署SoftEther的VPN用戶端程式。再者,駭客也透過WinRM、WMIC來進行橫向移動。
攻擊者為了避免建立的VPN連線被發現,他們採取了多種措施。在部署之前,駭客會調查企業環境裡存在的VPN應用程式;再者,在大部分的攻擊行動裡,駭客會將VPN應用程式的可執行檔重新命名成Windows元件的名稱,如:conhost.exe或dllhost.exe,這些分別是名為Console Window Host Process、Component Object Model Surrogate元件的檔案名稱。其次,他們濫用SoftEther的VPN-over-HTTPS操作模式,使得相關網路流量被封裝成相容於HTTPS的資料,並透過TCP通訊協定443埠進行傳輸。如此一來,企業組織難以識別這種VPN連線與一般的HTTPS流量。
而上述的VPN連線駭客還進一步加以利用,透過SoftEther的VPN橋接功能,將網路攻擊流量路由到其他的受害系統,這些流量被用於網路掃描、漏洞掃描、弱點嘗試利用等。
一旦駭客成功建立上述的VPN存取管道,通常他們就會利用Mimikatz,鎖定本機安全認證子系統服務(LSASS)處理程序占用的記憶體內容、安全性帳號管理員(SAM)登錄檔配置的內容,來竊取本機用戶的密碼雜湊值,然後進一步存取受害組織網路環境的其他資源。此外,駭客還會列舉系統還原功能的還原點,目的是從中了解受害電腦狀態,或是抹除惡意活動的跡象。
熱門新聞
2024-10-05
2024-10-05
2024-10-07
2024-10-04
2024-10-07
2024-10-04
2024-10-04
2024-10-05