這篇文章將帶領大家分析近期美國財政部對特定 VPN 服務商及惡意軟體開發者的制裁行動。對於初入行的工程師來說,這不僅是一則新聞,更是一個典型的案例,揭示了現代網路犯罪是如何透過「基礎設施租賃」與「 evasion 避險技術」來建構其攻擊鏈的。
勒索軟體攻擊的隱匿基礎設施
在一次典型的勒索軟體攻擊中,攻擊者最擔心的就是被追蹤到真實 IP 地址。為了達成匿名化,他們經常依賴 VPN(虛擬私人網路)來隱藏身分。然而,並非所有 VPN 都是為了隱私,有些服務商採取的是一種極端且違法的經營模式。
本次被制裁的 First VPN Service(簡稱 1VPNS)就是其中之一。該服務自 2014 年起營運,其核心賣點是完全不記錄使用者身分與活動(No-log policy),且明確聲明不會與執法部門合作。雖然對一般使用者來說這聽起來像是在保護隱私,但對犯罪組織而言,這就是完美的避風港。
1VPNS 允許勒索軟體集團利用其伺服器來隱藏攻擊來源、部署惡意軟體以及管理外洩的數據。更糟糕的是,該服務的管理者 Dmytro Rashevskyi 為了規避網路服務供應商(ISP)的濫用舉報,頻繁使用假身分去租用基礎設施。這種行為讓 1VPNS 成為了許多針對美國金融、醫療與政府機構攻擊的跳板。
突破偵測的關鍵:Cryptor 混淆技術
除了隱藏身分,惡意軟體還必須面對安全軟體(如防毒軟體或 EDR)的掃描。這就是 Cryptor(加密混淆器)發揮作用的地方。
本次制裁的另一名對象 Yegeniy Vladimirovich Silayev,其專長是銷售 Cryptor。簡單來說,Cryptor 是一種工具,能將原本會被安全軟體標記為惡意的程式碼進行加密或混淆處理,使其在靜態分析時看起來像是一個無害的合法程式。
當勒索軟體被 Cryptor 處理後,它能更輕易地繞過簽章偵測(Signature-based Detection),在受害者的系統中潛伏更久,直到觸發最終的加密攻擊。這說明了網路犯罪不僅僅是寫程式,還有一套成熟的供應鏈在支持,包括基礎設施提供商與 evasion 工具開發者。
國家級威脅與路由器漏洞利用
除了單純的犯罪組織,此次事件也揭露了俄羅斯國家級駭客(如 GRU 與 FSB)的運作模式。他們不僅利用 Lumma Stealer 這種資訊竊取軟體大規模收集憑證,更將目標瞄準了網路邊緣設備,尤其是路由器。
俄羅斯 FSB Center 16 的攻擊手法非常具有代表性,值得工程師警覺。他們利用 SNMP(簡單網路管理協定,一種用於監控與管理網路設備的標準協定)的配置漏洞進行掃描。
具體攻擊流程如下: 首先,駭客掃描具有開放 SNMP 代理且使用預設認證字串(Community Strings)的設備。 接著,他們發送偽造的 SNMP Set-Request 指令,利用特定的 OID(物件識別碼)命令路由器將其設定檔複製到一個檔案中。 最後,將該設定檔傳送到駭客控制的 VPS 或 FTP 伺服器。
一旦設定檔外洩,攻擊者就能掌握網路拓撲、管理密碼等關鍵資訊,進而滲透進國防、能源或金融等關鍵基礎設施。此外,他們也利用 Cisco 設備的舊漏洞(如 CVE-2008-4128)來達成目的。
實務啟示與防禦建議
從這次事件中,我們可以得出三個關鍵的防禦觀點。
第一,不要過度信任任何聲稱完全不記錄日誌且不配合執法部門的匿名服務,這類服務極高機率被用作 C2(指令與控制)伺服器或攻擊跳板。
第二,針對設備管理,必須徹底禁用或更改 SNMP 的預設認證字串。預設的 community string(如 public 或 private)在駭客眼中等同於開啟的大門。
第三,設備更新不能僅針對作業系統,網路設備(Router, Switch, Firewall)的韌體更新同樣至關重要。像 CVE-2008-4128 這種極其古老的漏洞依然在被利用,說明許多企業的邊緣設備處於長期未更新的狀態。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。