北京
2020年至今,超過4年時間,一批軍事組織的網(wǎng)絡(luò)里住著不速之客。他們沒偷走海量數(shù)據(jù),也沒搞破壞,只是安靜地待著,偶爾翻翻看。
安全公司PolySwarm最近披露的行動代號CL-STA-1087,把這套"低存在感"間諜術(shù)的底褲扒了個干凈。攻擊者把PowerShell腳本設(shè)成每6小時才動一次——這個頻率剛好卡在多數(shù)自動化監(jiān)控工具的盲區(qū)里,像鬧鐘調(diào)成了人類注意力的死角。
被發(fā)現(xiàn)純屬意外:一個" unmanaged endpoint"(未受管終端)的警報
整個行動的暴露是個黑色幽默。調(diào)查人員最初只是看到某臺邊緣設(shè)備上的PowerShell活動異常,順藤摸瓜才發(fā)現(xiàn):這不是剛破門,是人家已經(jīng)住了很久。
攻擊者部署的延遲執(zhí)行腳本早就連上了多個命令控制(C2)服務(wù)器。6小時間隔的設(shè)計堪稱心機(jī)——自動化工具看的是流量峰值和頻率異常,這種"脈沖式"心跳比正常業(yè)務(wù)還像正常業(yè)務(wù)。
Palo Alto旗下Unit 42的分析師在報告中打了個比方:這幫人不是在"入侵",是在"寄居"。他們的目標(biāo)明確指向指揮、控制、通信、計算機(jī)與情報系統(tǒng),也就是軍方的C4I體系。翻譯成人話:不是來偷文件的,是來偷"怎么打仗"的。
工具箱解剖:三個自制后門與一份"中國時區(qū)作息表"
技術(shù)拆解顯示,攻擊者用了三件核心工具。AppleChris是主后門,負(fù)責(zé)長期駐留;MemFun作為輔助后門;Getpass則是Mimikatz的改裝版,專門搬運憑證。
AppleChris的C2地址獲取方式相當(dāng)復(fù)古——從Pastebin動態(tài)拉取,早期版本還用過Dropbox。這種設(shè)計讓封鎖域名變成打地鼠,封一個換一個,成本全轉(zhuǎn)嫁給防御方。
更露馬腳的是行為指紋。Unit 42發(fā)現(xiàn)攻擊者的操作時間高度吻合UTC+8時區(qū)的工作時段,基礎(chǔ)設(shè)施里嵌著中國云服務(wù),C2環(huán)境里還能找到簡體中文元素。沒有組織被正式點名,但這些指標(biāo)疊在一起,指向性已經(jīng)相當(dāng)明確。
持久化手段同樣老練。攻擊者在system32目錄里玩DLL劫持,把惡意文件注冊成正經(jīng)Windows服務(wù)。這種"借殼上市"讓惡意代碼獲得了系統(tǒng)級的信任背書,查殺工具掃過去,看到的只是又一個svchost。
橫向移動的精準(zhǔn)打擊:從邊緣設(shè)備到域控和 executive 系統(tǒng)
沉寂數(shù)月后,攻擊者開始第二階段。他們用Windows管理規(guī)范(WMI)和原生.NET命令橫向擴(kuò)散,目標(biāo)清單讀起來像軍事IT部門的組織架構(gòu)圖:域控制器、Web服務(wù)器、IT工作站、高管系統(tǒng)。
這里的"executive systems"(高管系統(tǒng))值得細(xì)品。不是隨便哪臺電腦,是決策層的工作終端。結(jié)合C4I系統(tǒng)的情報價值,攻擊者的優(yōu)先級排序很清晰——人比機(jī)器重要,決策層比普通員工重要,作戰(zhàn)流程比單個文件重要。
這種"戰(zhàn)略情報"導(dǎo)向,和常見的數(shù)據(jù)竊取型攻擊形成對比。后者往往批量拖庫、量大管飽;CL-STA-1087是精準(zhǔn)點菜,每動一下都有明確目標(biāo)。
Southeast Asia 的軍網(wǎng)為何成了長期靶場
東南亞軍事組織成為目標(biāo),地理和戰(zhàn)略因素都有。該區(qū)域處于關(guān)鍵航道,多國軍事合作頻繁,且網(wǎng)絡(luò)安全投入與攻擊者的 sophistication( sophistication )存在落差。
更關(guān)鍵的是"長期駐留"這門手藝的價值。4年時間足夠觀察系統(tǒng)迭代、人員變動、甚至戰(zhàn)略調(diào)整。攻擊者不是在偷當(dāng)下的數(shù)據(jù),是在積累"如何理解這個組織"的上下文。
這種攻擊模式的防御難點在于:傳統(tǒng)指標(biāo)——數(shù)據(jù)外泄量、異常流量峰值、勒索信——統(tǒng)統(tǒng)不觸發(fā)警報。直到某個未受管終端的PowerShell行為異常,整個故事才浮出水面。
PolySwarm在報告中埋了一個細(xì)節(jié):部分樣本的編譯時間戳顯示,工具鏈的迭代持續(xù)到了2024年。這意味著行動可能仍在進(jìn)化,而"6小時睡眠"只是被發(fā)現(xiàn)的版本。
下一個版本的間隔會是12小時,還是隨機(jī)抖動?防御方的監(jiān)控閾值該往哪調(diào)?這個問題,大概正是攻擊者想看到的。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
