這是一起由名為 VerdantBamboo(不同安全廠商對其稱呼不同,如 Clay Typhoon 或 Warp Panda)的中國背景駭客組織發起的複雜間諜活動。這次攻擊最值得工程師關注的不是單一的漏洞,而是他們如何利用 Linux 設備的特性,在避開現代安全監控工具的情況下,在企業網路中長期潛伏。
攻擊路徑與供應鏈風險
這起事件揭露了一個典型的供應鏈攻擊路徑。攻擊者首先入侵了受害企業的 Managed Service Provider(MSP,管理服務提供商,指負責幫企業維運 IT 基礎設施的外包公司)。駭客在 MSP 的 pfSense 防火牆(一種基於 BSD 的開源防火牆系統)中植入了後門。
由於 MSP 擁有進入客戶網路的權限,攻擊者利用這個跳板,輕而易舉地進入受害企業的內部網路,並針對特定設備如 Egnyte Storage Sync(儲存同步系統)與 Synology NAS(網路儲存設備)進行攻擊。這提醒我們,即使內部防禦再強,如果信任的第三方維運商被攻破,整個信任鏈條就會崩潰。
針對非標準系統的後門部署
大多數企業在伺服器上會安裝 EDR(Endpoint Detection and Response,端點偵測與回應系統),這類工具能監控可疑的行程與檔案變動。然而,許多網路設備(如防火牆、NAS、儲存設備)使用的是精簡版 Linux 或 BSD 系統,這些設備通常無法安裝標準的 EDR 軟體。
VerdantBamboo 正是利用這一點,將惡意程式部署在這些監控死角中。他們使用了三種主要的惡意工具:
第一款是 BRICKSTORM。這是一個強大的後門程式,這次特別開發了 BSD 版本以適應 pfSense 防火牆。它支援互動式 Shell(讓攻擊者像操作自己的電腦一樣控制目標)、遠端指令執行以及 C2(Command and Control,指令控制伺服器)切換功能。值得注意的是,新版本採用了 AOT(Ahead-of-Time,提前編譯)技術,將程式碼直接編譯成機器碼,這讓反編譯分析變得更困難,且執行效率更高。
第二款是 PLENET(又稱 GRIMBOLT)。這是一個基於 .NET Core 開發的跨平台後門。使用 .NET Core 意味著它可以在不同作業系統上運行,增加其通用性。
第三款是 AGENTPSD。這是一個用 Python 寫的 Reverse Shell(反向 Shell,一種讓目標主機主動連回攻擊者伺服器的技術)。它的角色是備援方案,一旦主後門被發現或失效,它可以作為最後的進入路徑。
隱匿技巧與權限提升
為了不被發現,攻擊者採取了幾種高級策略。首先是利用本地權限提升(Local Privilege Escalation),在進入儲存系統後,透過漏洞從一般使用者權限提升到管理員權限,以便安裝後門。
其次,他們利用後門的代理(Proxying)功能。攻擊者並不直接從外部連線到核心資料庫,而是將儲存系統當作跳板,透過該設備發出請求。這樣在日誌中看起來就像是內部設備在進行正常通訊,能有效繞過條件式存取(Conditional Access)等身分驗證策略,成功潛入 Microsoft 365 環境竊取資料。
實務啟發與防禦建議
對於維運工程師而言,這次攻擊提供了幾個關鍵教訓。首先是不要過度信任網路設備的安全性。許多人認為防火牆或 NAS 是封閉系統很安全,但實際上只要有漏洞,它們就是最完美的潛伏地點。
其次,應建立對 MSP 或第三方維運權限的嚴格管控。應實施最小權限原則,並對來自維運商的連線進行異常行為分析,而非僅僅依賴帳號密碼。
最後,針對無法安裝 EDR 的設備,必須加強網路層級的流量分析(Network Traffic Analysis)。例如,監控設備是否在異常時間連向未知的外部 IP,或是否有不尋常的內部橫向移動流量。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。