2024年12月18日(ri)，國家互聯網(wang)(wang)應急中(zhong)心CNCERT發(fa)布公告(//www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，發(fa)現處置兩起美對我大(da)型科(ke)(ke)技企業(ye)機構(gou)網(wang)(wang)絡(luo)(luo)攻擊事件。本報(bao)告將公布對其(qi)中(zhong)我國某智慧能(neng)源和(he)數字(zi)信息大(da)型高(gao)科(ke)(ke)技企業(ye)的網(wang)(wang)絡(luo)(luo)攻擊詳情，為全球相關(guan)國家、單位有效發(fa)現和(he)防范美網(wang)(wang)絡(luo)(luo)攻擊行為提(ti)供借鑒。

一、網絡攻擊流程

（一）利(li)用郵(you)件(jian)服務器漏洞進行入侵

該公(gong)司(si)郵件(jian)服(fu)務器使用(yong)微(wei)軟Exchange郵件(jian)系統。攻(gong)擊(ji)者利(li)(li)用(yong)2個(ge)微(wei)軟Exchange漏(lou)洞進行攻(gong)擊(ji)，首先利(li)(li)用(yong)某任意用(yong)戶(hu)偽造漏(lou)洞針對特定賬戶(hu)進行攻(gong)擊(ji)，然后利(li)(li)用(yong)某反序(xu)列化漏(lou)洞再(zai)次進行攻(gong)擊(ji)，達到執行任意代碼(ma)的目標。

（二）在(zai)郵件服務器植入(ru)高度隱蔽(bi)的內(nei)存木馬

為避免被發現，攻(gong)(gong)擊(ji)(ji)者在郵件服務器(qi)中(zhong)植(zhi)入(ru)了(le)2個(ge)攻(gong)(gong)擊(ji)(ji)武器(qi)，僅(jin)在內存(cun)中(zhong)運(yun)行，不(bu)在硬盤(pan)存(cun)儲。其(qi)利用了(le)虛擬化技術(shu)，虛擬的(de)訪(fang)問路徑為/owa/auth/xxx/xx.aspx和(he)/owa/auth/xxx/yy.aspx，攻(gong)(gong)擊(ji)(ji)武器(qi)主要功能包括敏感信(xin)息竊取(qu)、命(ming)令執行以及(ji)內網(wang)穿(chuan)透(tou)等。內網(wang)穿(chuan)透(tou)程序通過混淆來逃避安全軟件檢(jian)測，將攻(gong)(gong)擊(ji)(ji)者流量轉發給(gei)其(qi)他(ta)目(mu)標設備，達到攻(gong)(gong)擊(ji)(ji)內網(wang)其(qi)他(ta)設備的(de)目(mu)的(de)。

（三）對(dui)內網30余(yu)臺重要(yao)設備發起攻(gong)擊

攻擊(ji)(ji)者以郵(you)件服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)為跳板，利用(yong)(yong)內(nei)(nei)網掃(sao)描和滲(shen)透手段，在(zai)內(nei)(nei)網中(zhong)建立隱蔽的加密傳(chuan)輸隧道(dao)(dao)(dao)，通(tong)過SSH、SMB等方式登錄控制該(gai)公司的30余(yu)臺重(zhong)要設(she)備并竊取數(shu)據。包括(kuo)個人計(ji)算機、服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)和網絡設(she)備等；被控服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)包括(kuo)，郵(you)件服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)、辦公系統服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)、代碼管(guan)理(li)(li)服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)、測試服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)、開發(fa)管(guan)理(li)(li)服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)和文件管(guan)理(li)(li)服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)等。為實現(xian)(xian)持久(jiu)控制，攻擊(ji)(ji)者在(zai)相關(guan)服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)以及(ji)網絡管(guan)理(li)(li)員計(ji)算機中(zhong)植入了(le)能夠建立websocket+SSH隧道(dao)(dao)(dao)的攻擊(ji)(ji)竊密武器(qi)(qi)(qi)(qi)(qi)(qi)，實現(xian)(xian)了(le)對攻擊(ji)(ji)者指令的隱蔽轉(zhuan)發(fa)和數(shu)據竊取。為避免被發(fa)現(xian)(xian)，該(gai)攻擊(ji)(ji)竊密程序(xu)(xu)偽(wei)裝成微(wei)信(xin)相關(guan)程序(xu)(xu)WeChatxxxxxxxx.exe。攻擊(ji)(ji)者還在(zai)受(shou)害服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)(qi)(qi)中(zhong)植入了(le)2個利用(yong)(yong)PIPE管(guan)道(dao)(dao)(dao)進行(xing)進程間通(tong)信(xin)的模塊(kuai)化惡意(yi)程序(xu)(xu)，實現(xian)(xian)了(le)通(tong)信(xin)管(guan)道(dao)(dao)(dao)的搭建。

二、竊取大量商業(ye)秘(mi)密(mi)信(xin)息

（一）竊(qie)取(qu)大量敏(min)感郵件數據

攻擊(ji)者利用(yong)郵(you)件(jian)(jian)服(fu)務器管(guan)理員賬(zhang)號(hao)(hao)執行了郵(you)件(jian)(jian)導出(chu)操作，竊密目標主要是該(gai)公司(si)高層管(guan)理人員以及重要部(bu)門人員。攻擊(ji)者執行導出(chu)命令(ling)時設置了導出(chu)郵(you)件(jian)(jian)的時間(jian)(jian)區(qu)間(jian)(jian)，有些賬(zhang)號(hao)(hao)郵(you)件(jian)(jian)全部(bu)導出(chu)，郵(you)件(jian)(jian)很多(duo)的賬(zhang)號(hao)(hao)按指定時間(jian)(jian)區(qu)間(jian)(jian)導出(chu)，以減少竊密數據(ju)傳輸(shu)量，降低被發現風(feng)險。

（二）竊取(qu)核心(xin)網絡設備賬(zhang)號及(ji)配置信息

攻(gong)(gong)擊者(zhe)通過攻(gong)(gong)擊控(kong)制(zhi)該公(gong)司3名網(wang)(wang)絡管(guan)(guan)理員計算機(ji)(ji)(ji)，頻繁竊(qie)取該公(gong)司核(he)心(xin)網(wang)(wang)絡設(she)備(bei)(bei)賬號及配(pei)置信(xin)息。例如，2023年(nian)5月(yue)2日，攻(gong)(gong)擊者(zhe)以位于德國的代理服(fu)務(wu)(wu)器(qi)（95.179.XX.XX）為跳(tiao)(tiao)板，入侵了(le)該公(gong)司郵件(jian)服(fu)務(wu)(wu)器(qi)后，以郵件(jian)服(fu)務(wu)(wu)器(qi)為跳(tiao)(tiao)板，攻(gong)(gong)擊了(le)該公(gong)司網(wang)(wang)絡管(guan)(guan)理員計算機(ji)(ji)(ji)，并竊(qie)取了(le)“網(wang)(wang)絡核(he)心(xin)設(she)備(bei)(bei)配(pei)置表”、“核(he)心(xin)網(wang)(wang)絡設(she)備(bei)(bei)配(pei)置備(bei)(bei)份及巡(xun)檢”、“網(wang)(wang)絡拓撲”、“機(ji)(ji)(ji)房(fang)交(jiao)換(huan)機(ji)(ji)(ji)（核(he)心(xin)+匯聚）”、“運營商IP地址統計”、“關(guan)于采購互聯網(wang)(wang)控(kong)制(zhi)網(wang)(wang)關(guan)的請(qing)示”等(deng)敏(min)感文件(jian)。

（三）竊取項目管理文件

攻擊者通過對該公司的代碼服務器、開發服務器等進行攻擊，頻繁竊取該公司相關開發項目數據。例如，2023年7月26日，攻擊者以位于芬蘭的代理服務器（65.21.XX.XX）為跳板，攻擊控制該公司的郵件服務器后，又以此為跳板，頻繁訪問在該公司代碼服務器中已植入的后門攻擊武器，竊取數據達1.03GB。為避免被發現，該后門程序偽裝成開源項目“禪道”中的文件“tip4XXXXXXXX.php”。
（四）清除攻擊(ji)痕跡并進行反取證(zheng)分析(xi)

為避免(mian)被(bei)發(fa)現，攻擊者每次攻擊后(hou)，都會清(qing)除(chu)計(ji)算(suan)機(ji)日(ri)志中攻擊痕跡，并刪除(chu)攻擊竊密過程中產生的臨時打包文件。攻擊者還會查(cha)看(kan)系統審(shen)計(ji)日(ri)志、歷史命令記(ji)錄、SSH相關配(pei)置(zhi)等，意圖分析機(ji)器被(bei)取證情(qing)況，對抗網(wang)絡安全(quan)檢測。

三、攻擊行為特點

（一）攻擊時間

分(fen)析(xi)發現(xian)，此次(ci)攻(gong)擊(ji)活動主(zhu)要集中在北(bei)京(jing)時(shi)(shi)(shi)間22時(shi)(shi)(shi)至次(ci)日8時(shi)(shi)(shi)，相對于(yu)美國東部時(shi)(shi)(shi)間為白天10時(shi)(shi)(shi)至20時(shi)(shi)(shi)，攻(gong)擊(ji)時(shi)(shi)(shi)間主(zhu)要分(fen)布在美國時(shi)(shi)(shi)間的星期一至星期五，在美國主(zhu)要節(jie)假日未出現(xian)攻(gong)擊(ji)行為。

（二）攻擊資源

2023年5月至2023年10月，攻(gong)(gong)擊(ji)者發起了(le)30余次網絡(luo)攻(gong)(gong)擊(ji)，攻(gong)(gong)擊(ji)者使用的(de)境外跳板IP基本不重復，反映出其高度的(de)反溯(su)源意識和豐富的(de)攻(gong)(gong)擊(ji)資源儲備。

（三）攻擊武器

攻擊者植(zhi)入(ru)的(de)(de)2個用(yong)于(yu)(yu)PIPE管(guan)道進程(cheng)通信(xin)的(de)(de)模(mo)塊化惡(e)意程(cheng)序位于(yu)(yu)“c:\\windows\\system32\\”下，使用(yong)了.net框(kuang)架，編譯時(shi)間均(jun)被抹除，大小為(wei)數十KB，以TLS加密為(wei)主。郵件服務(wu)器(qi)內存中植(zhi)入(ru)的(de)(de)攻擊武器(qi)主要功能包括敏(min)感信(xin)息竊取(qu)、命令執行以及內網穿透等(deng)。在相關服務(wu)器(qi)以及網絡管(guan)理(li)員計算機中植(zhi)入(ru)的(de)(de)攻擊竊密武器(qi)，使用(yong)https協(xie)議，可以建立websocket+SSH隧道，會(hui)回連(lian)攻擊者控制的(de)(de)某域名(ming)。

四、部分(fen)跳(tiao)板IP列表

封面圖片來源：視覺(jue)中(zhong)國