這篇文章要跟各位 junior 工程師分享近期被披露的幾波針對亞太地區與北約國家的間諜活動。這類攻擊通常不是單一的漏洞利用,而是一連串的攻擊鏈(Attack Chain)。理解這些攻擊者的操作邏輯,能幫助我們在建構系統時更有意識地考慮防禦深度。
首先我們來看一個被命名為 SHADOW-EARTH-053 的威脅群組。他們的攻擊路徑非常典型,主要分為三個階段:突破、潛伏與擴張。
第一階段是突破。他們並不追求開發零日漏洞(Zero-day,指尚未公開且沒有補丁的漏洞),而是利用 N-day 漏洞。N-day 指的是那些已經公開、廠商已提供補丁,但許多企業因為維運壓力或疏忽而尚未更新的已知漏洞。這次他們鎖定的是 Microsoft Exchange 和 IIS 伺服器,例如著名的 ProxyLogon 漏洞鏈。
第二階段是潛伏。一旦進入伺服器,他們會部署 Web Shell,例如一種名為 Godzilla 的工具。Web Shell 簡單來說就是一個植入伺服器上的後門網頁,讓攻擊者不需要帳號密碼,就能透過 HTTP 請求直接在伺服器上執行任意指令。為了確保長期控制,他們還使用了 DLL Sideloading 技術。這是一種欺騙手段,利用合法且有數位簽名的執行檔,在啟動時載入惡意的 DLL 檔案,從而繞過防毒軟體的偵測。
第三階段是擴張。在取得初步權限後,他們會使用 Mimikatz 來進行權限提升(Privilege Escalation),這是一個能從記憶體中提取明文密碼或 Hash 的工具。接著,他們利用 Sharp-SMBExec 等工具在內網中進行橫向移動(Lateral Movement),也就是從一台被攻破的電腦跳轉到另一台,直到找到核心資料。
除了針對伺服器的硬攻,另有兩個名為 GLITTER CARP 與 SEQUIN CARP 的群組採取了更精準的社交工程(Social Engineering)手段。
他們不再嘗試攻破防火牆,而是直接攻擊人。他們會偽裝成記者或科技公司的安全警報,發送精心設計的釣魚郵件。其中一個值得注意的技巧是使用 1x1 追蹤像素(Tracking Pixel)。這是一種肉眼看不見的微小圖片,當受害者打開郵件時,瀏覽器會自動請求該圖片,攻擊者就能藉此確認郵件已被讀取,並收集受害者的裝置資訊。
在獲取權限的方式上,他們除了傳統的釣魚頁面騙取密碼,還利用了 OAuth Token。OAuth 是一種授權標準,讓使用者不需要交出密碼就能授權第三方應用程式訪問資料。攻擊者誘導使用者授權惡意應用,直接拿走 Token,這樣即使使用者後續更改密碼,攻擊者依然能維持存取權限。
對於我們開發者與維運人員來說,這次事件帶來的實務啟示有三點。
第一,補丁管理(Patch Management)是第一道防線。絕大多數的伺服器入侵都是因為 N-day 漏洞。如果無法立即更新,應部署 WAF(網頁應用程式防火牆)或 IPS(入侵防禦系統)來進行虛擬補丁(Virtual Patching),在流量進入伺服器前就攔截已知漏洞的攻擊特徵。
第二,警惕 DLL 載入與異常執行。在監控系統中,應關注合法程序是否載入了異常路徑的 DLL 檔案,這是偵測高級持續性威脅(APT)的重要指標。
第三,強化身分驗證。單純的密碼已不足夠,應全面推行多因素驗證(MFA),並審查第三方應用程式的 OAuth 授權範圍,避免權限過大導致的 Token 洩露風險。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。