最近中国骇客的攻击行动频频,其中最恶名昭彰的APT41(又称Winnti、Earth Baku、Brass Typhoon),有研究人员揭露长达9个月的攻击行动,公布这些骇客隐密的手法供防守方参考。
资安业者Security Joes揭露有关。
这波攻击行动如何进行?研究人员目前无法确定骇客初始入侵的管道,但根据采集到的证据与过往该组织曾经运用的手段,研判可能借由网路钓鱼得到初期的存取权限,等到成功进入受害组织的基础设施,就会执行DCSync攻击,企图取得服务及管理帐号的密码杂凑资料,从而控制整个网路环境以便持续活动。
值得一提的是,骇客似乎没有对网际网路的网页应用程式下手,也没有发动供应链攻击的迹象。
但特别的是,这些骇客在完全控制网域之后,并非选择直接发动攻击(如加密档案、窃取资料),而是测试各种攻击策略,然后观察受害组织资安团队的反应,若是行迹败露,骇客就会停止活动一段时间,更换工具及新的战术、技巧、流程(TTP),再度从事攻击活动。这样的做法如同实际的红队及蓝队演练,不只是从网路环境及设备持续收集情报,还会根据防守方的反应、不断调整使用的工具。
在这起资安事故发生的过程里,至少有3次试图于多台主机提升权限的迹象,目的都是下载有效酬载并执行,做法却存在显著差异。
在前2次活动里,攻击者利用Ghost DLL Hijacking手法执行恶意程式码,而这些程式码以加密档案存放于磁碟,然后透过Windows服务SessionEnv及自制的DLL档案解密及载入。
攻击者试图散布DLL档案TSVIPSrv.dll,并借此执行Phantom DLL Hijacking手法,借由视窗作业系统直接载入恶意程式码,从而回避资安系统的侦测。一旦电脑的SessionEnv服务启动,这些恶意程式码就会执行,充当恶意程式载入工具,然后透过SMB协定传输档案。
到了第3回出现变化,骇客利用公用程式WMIC进行寄生攻击(LOLBins),执行内含重度混淆JavaScript程式码的XSL档案。
在这3次渗透的过程当中,也被研究人员找到一个共通点,那就是攻击者滥用具有管理者权限的服务帐号来进行,但即便他们掌握高权限,还是选择投入时间进行测试与微调手法。