Photo by nathanh100 (CC BY 2.0) https://www.flickr.com/photos/nat507/22108218624
中国骇客锁定东南亚发动攻击的现象,近期有资安业者公布他们的发现,有多组骇客自2017年开始,锁定大型电信业者发动攻击,且滥用了微软Exchange重大漏洞“Proxylogon”。但有不同的调查报告指出,有其他的中国骇客不只是攻击电信业者,还对于多个类型的关键基础设施(CI)下手。
赛门铁克揭露由中国骇客发起的攻击行动,攻击延续数个月之久,至少自2020年11月持续到2021年3月,对象包含了水资源公司、电力公司、电信公司,以及国防组织等。
而对于攻击者的身份,该公司根据他们的调查结果,研判攻击者来自中国,但无法确定是那个骇客组织所为。
就地取材滥用合法工具
为何会认定这些针对不同类型关键基础设施的攻击,是同一组骇客所为?原因与赛门铁克找到的证据存在了数个共通点,例如,他们在攻击目标的地理位置找到关连,且在不同组织的电脑上出现相同的工具--其中2个组织出现了下载器,而键盘侧录器存在于3个组织里,再者,则是针对其中2个组织的攻击行动里,研究人员发现了相同的IP地址。
究竟攻击者的目的为何?赛门铁克认为,主要是窃取帐密,以及进行横向移动。为了达到目的,攻击者广泛在受害电脑就地取材(Living Off-the-Land,LOL),运用多项电脑里现成、合法的工具,诸如Windows Management Instrumentation(WMI)、ProcDump、PsExec、PsExec,以及Mimikatz等。
研究人员提到,在执行恶意工具的过程里,他们也发现攻击者滥用合法的影音播放器PotPlayer Mini,来侧载DLL,并用另一款合法的工具载入恶意档案,而且这个影音播放器的踪迹,在所有的受害单位都有出现。
从攻击者所运用的合法工具来看,有些是Windows操作系统内建的工具,也有系统监控软件,而Mimikatz则是骇客常用于窃取密码的工具。相较之下,PotPlayer Mini是偏向个人用户的应用程序,且并非操作系统内建的软件,若是维护关键基础设施的管理者采用白名单机制,骇客很有可能就因为无法执行PotPlayer Mini,而使得攻击行动受到阻碍。由此可见,攻击者对于这些目标的内部环境应该是相当了解。
疑似锁定设计SCADA系统的资料
在针对上述提及的水资源公司、电力公司、电信公司,以及国防单位等,具体而言,攻击者究竟如何运用合法工具来发动攻击?以锁定水资源公司的事故为例,赛门铁克指出,攻击者先是滥用WMI,接着运用了PotPlayer Mini来载入恶意DLL档案。
再来,攻击者了执行ProcDump、PsExec,以及Mimikatz。而他们运用这些工具的目的为何?其中,攻击者用ProcDump来存取LSASS.EXE处理程序,目的是窃取凭证,并下达net view指令,来列举网域用户,接下来受害电脑启动了可疑的加密连线。
在攻击过程里,赛门铁克发现攻击者并未窃取资料,但为何要入侵水资源公司的电脑?赛门铁克表示,这些受害电脑所存放的资料,很可能与设计SCADA系统有关,而成为攻击者的目标。
而在针对电力公司的攻击行动中,攻击者也运用类似于水资源公司的手法。赛门铁克指出,有迹象显示该电力公司的受害电脑,所存放了工程设计的资料。从攻击者想要寻找的资料及攻击策略,赛门铁克认为,这两起事故是相同的骇客所为。
在电信公司出现新的合法工具
在上述的水资源公司与电力公司事故里,攻击者运用了相似的攻击手法。但在针对电信公司的攻击行动中,骇客滥用了上述2起事故没有出现过的合法工具:Google Chrome内嵌框架(Google Chrome Frame)、PAExec。
什么是Google Chrome内嵌框架?这是Google自2009年推出的浏览器插件(现已终止支援),适用于Internet Explorer(IE),能让该浏览器的使用者,利用Chrome浏览器引擎来载入网页。而攻击者使用它的目的,则是用来载入恶意档案。
但这款IE插件的来源为何?赛门铁克表示并不确定,有可能是这家公司的受害电脑本来就有,但也可能是攻击者自行带来的工具。
除了Google Chrome内嵌框架,攻击者也使用了开源的PAExec工具,并透过Windows排程工具at.exe执行。
在攻击的过程中,骇客也运用了WMI,不只用于窃取凭证,亦让Google Chrome内嵌框架能排程执行,借此横向移动找寻目标,并执行net.exe来存取网络上隐藏的C$共享资料夹等攻击行动。一般而言,这种型态的手法,很有可能被攻击者用于收集网络里窃得的资料。
但在这些只有出现于电信公司的攻击手法之外,赛门铁克也发现与前述事故的共通之处。例如,他们从这家受害的电信公司里,发现一个键盘侧录程式与数个档案,而这些档案也在前述的水资源公司网络出现。
再者,在受害的国防单位中,攻击者也滥用了PotPlayer Mini。赛门铁克表示,该单位受害电脑的档案,与上述的水资源公司和电信公司有所交集。
从本次攻击行动的过程里,骇客就地取材所运用的合法工具,涵盖的类型可说是相当广。这样的情况也突显出,网管人员在管制应用程序上所面临的难题。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09