“1月的第一個星期,的月活用戶超過了5億,在那之后數字還在不斷增長:僅剛剛過去的72小時內,就有2500萬用戶加入。”1月12日,帕維爾·杜羅夫在自己的頻道中寫道,“比之去年,這是重大增長,當時每天的新注冊用戶約為150萬人。”
從杜羅夫信息發布時間往前推72小時,互聯網世界剛剛發生了兩件刷新全民認知的大事:其一是當地時間1月6日特朗普支持者強攻國會山以后,從推特到及后者旗下的一眾社交媒體平臺宣布封鎖特朗普的賬號,并威脅(也最終實施了)永久封禁;其二,則是同樣屬于旗下的即時通訊軟件在1月8日修改其用戶隱私政策,稱將把用戶數據提供給所有系列的應用平臺。
●杜羅夫在自己上發布的消息 / 網頁截圖
兩件事的影響都十分明顯:國會山事件后在美國地區下載量沖上應用程序榜單次席,超過50萬美國人成為新注冊用戶。而在12日杜羅夫公布的數據中,涌進的新用戶已不限于北美,而來自世界各地:其中的38%位于亞洲,27%位于歐洲,21%位于拉丁美洲。
1月14日,杜羅夫再次更新了自己的頻道,在最新一則消息中他寫道,“我們或許正在目睹人類歷史上最大一次數字移民。”他提到,已有越來越多的國家領導人開始選擇。在這一行列當中,最新兩位加入者是土耳其總統埃爾多安和巴西總統波索納羅。
從不吝于攻擊自己美國同行的杜羅夫對此評論道:“我聽說有一個單獨的部門在試圖研究為什么如此受到歡迎,我很高興幫助省下這筆支出并免費分享我們的秘密:尊重你的用戶。”
在互聯網巨頭已能輕易左右選舉走向、制裁美國總統、并依靠規模優勢和平臺壟斷地位對任何對手形成“降維打擊”的時代,再次充當了一個異類。作為創始人,出生于1984年的杜羅夫似乎生來是個挑戰者。只是幾年前他的對手是國家權力監控,如今則是已異化成為某幾個公司Logo的“主流互聯網”本身。
向“雙頭壟斷”宣戰
這不是杜羅夫第一次表露對于美國互聯網巨頭公司的強烈不滿。2020年7月9日,杜羅夫曾發表一篇署名長文,呼吁監管機構和從業人員一起,在移動應用市場上向由蘋果和谷歌構成的“雙頭壟斷”斗爭到底。
●杜羅夫7月9日發表的長貼截圖:蘋果如何消滅全球創業公司,以及如何阻止它 / 網頁截圖
在杜羅夫的敘事里,蘋果和谷歌兩大巨頭由于掌控了主要的移動應用市場,已經成為整個世界的壟斷托拉斯。他透露,曾在2016年試圖為東歐游戲開發者創建一個業內平臺,但計劃宣告夭折。因為蘋果威脅他們,如果不停止就要在蘋果商店里下架。“這是集權和失衡的史無前例的例子,”杜羅夫寫道,“當整個數字經濟部門因過高的稅費而導致失血過多,這只有在全無競爭的情況下才有可能。”他認為,依靠向移動應用收取30%的收入作為平臺費用,這兩家公司正在抽干全球科技行業。
“十多年來,我們一直處于一種自相矛盾的局面,兩家硅谷公司完全控制著全球數十億用戶,決定了他們可以在自己的手機上安裝哪些應用程序。”這一局面的結果則是,“當蘋果和谷歌的離岸賬戶累積數十億美元財富,全世界數以萬計的本土開發者公司正徘徊在財務破產的邊緣。”
杜羅夫呼吁這種情況應該得到改變,而面對壟斷,首先需要發力的是監管機構:“歐盟委員會已經對蘋果在自己品牌的手機上強制預裝蘋果商店一事展開反壟斷調查,這是積極的一步。”他提議,各國應推動本國移動應用商店的本地化,而不是坐視本國開發者30%的利潤被自動輸送到美國加州。“阻止兩個超國家公司對全人類征稅并非易事……但我們需要直面當前的危機——它們對數十億用戶、數十萬開發人員、各國國民經濟和全球進步有害。”
盡管杜羅夫言辭懇切,但在全球范圍內,這次發聲其實并未引起太多注意。在此之后,杜羅夫還數次呼吁用戶應放棄蘋果改用安卓系統,因為蘋果的系統設計可以完全限制用戶對于特定應用程序的訪問。但與之前的嘗試一樣,這些表態也沒有在大眾媒體上激起太大的水花。
●為了繞開應用商店,稱其正在開發網頁版客戶端 / 網絡
這還不夠,少數跟進報道了他動向的行業媒體還給出了恐怕并不符合杜羅夫期待的評論。俄羅斯互聯網行業媒體“Kod”就此評論道:事實是蘋果和谷歌這樣提供平臺的巨頭公司提供了IT行業發展的主要推動力,“這些公司除了從自己的應用商店中收取銷售傭金外,還創建最重要的東西——各種編程語言,SDK和API形式的開發人員工具。iOS的客戶端就是用這些語言之一(即Swift)編寫的。”在這一意義上,也可以說這些巨頭公司承擔著基礎建設工作。
而杜羅夫的提議看上去可能比兩家巨頭公司更值得警惕:是否每個國家都有意愿和能力承擔平臺維護和應用程序審核需要的巨額金錢和工作量?這種引入國家權力的做法,會不會變成另一種國家控制的資源,和對IT行業施加壓力的另一個杠桿?
盡管杜羅夫以同俄羅斯政府的決裂聞名,出走后也向來淡化俄羅斯色彩而堅持用英語更新自己的個人頻道,但七月的這一次,他看上去空前地“俄羅斯”——這篇帖子以俄語寫成,也發布在杜羅夫在的俄語頻道上。事實上,杜羅夫點名“監管機構”語出有因。這篇文章發表的同時,副總裁別列康普斯基正在俄羅斯韃靼斯坦共和國伊諾波利斯出席一場線下的互聯網企業家論壇,講話內容正是杜羅夫這篇文章的縮略簡化版本,臺下他的聽眾不止有俄羅斯IT和互聯網行業高管,還有俄羅斯總理米哈伊爾·米舒斯金。
與俄羅斯的危險和解
改變是靜悄悄地發生的,但的確已經發生:出走五年以后,杜羅夫與俄羅斯政府達成了和解。
至少從表面看來,這場幾乎持續十年的對峙以俄羅斯政府的有限讓步為結局,最后一幕則是從2018年到2020年讓俄羅斯政府頗為尷尬的“封禁”鬧劇:盡管通過了立法,也發布了公文,還引爆了多場抗議,但是由于技術短板,所謂的封禁從未成功。
●解封時的俄羅斯網絡笑話,上圖“被封”,下圖“解封”/ 網絡
2020年6月18日,俄羅斯網監局正式推枰認輸,宣布解封。其實早在這之前很久,俄羅斯全國上下就已無法抵抗的誘惑,從國家媒體到政府高官,紛紛注冊并公布自己的賬號以爭取更多粉絲,媒體在報道中引用公眾人物的頻道更早已是常規操作。而在網監局發布的解封說明中,只提及“我們感謝的創始人愿意反對恐怖主義和極端主義”,對于此前導致沖突和封禁的真正原因——要求開放后臺訪問權限并移交特定用戶數據——只字未提。
但正式解封依然有其意義:二十天后,就有了伊諾波利斯的會議和杜羅夫的署名長文。
7月9日的這次會議或許可以列入俄羅斯互聯網產業史:除了總理米舒斯金,其他與會官員還包括多位政府副總理、韃靼斯坦共和國幾乎全部領導層、以及大眾通訊、教育和健康三個部的政府部長。在互聯網公司方面,與會代表則囊括了Yandex、Mail.ru、卡巴斯基實驗室、VK和等幾乎所有出自俄羅斯的頂級互聯網公司高管。
●出席會議的副總裁伊利亞·別列康普斯基 / 網絡
會前,米舒斯金剛剛按照普京要求,為俄羅斯互聯網產業準備了無限期稅收優惠,其中所得稅稅率將從20%下調到3%。參與會議的俄羅斯副總理切爾尼申科則在講話中向伸出橄欖枝,稱“這一具有俄羅斯血統的全球通訊應用對于俄羅斯的IT企業家和投資者來說都是一個好兆頭”。
沒有人重提用戶數據和國家安全問題,也沒有人再回顧此前的沖突。杜羅夫本人在6月22日的媒體采訪中稱,在俄羅斯的兩年封禁期間,是成千上萬的俄羅斯工程師幫助完成了“數字抵抗”,并且,“考慮到世界政治局勢正在變得更加不可預測,數字抵抗運動并沒有隨著在俄羅斯的停火而告終。”
至于與俄羅斯政府的和解,杜羅夫將之解釋為,在與“雙頭壟斷”的戰爭當中“需要比同行開發者更有影響力的盟友”。
從解封后的半年來看,至少在自己“傳統”領域的表現并未出現什么變化:俄羅斯解封后僅兩個月,隨著白俄羅斯局勢驟然緊張,再一次成為新一場“數字抵抗運動”的主戰場。盡管白俄羅斯政府對本國互聯網公司采取了多次暴力措施,也多次向俄羅斯尋求支持,似乎戰火從未波及到。
但與此同時,當杜羅夫越來越多地將蘋果這樣的“互聯網暴君”視為自己的主要敵人,另一個更為復雜的問題越來越難于繞開:在全球國家權力、壟斷資本、企業擴張需求和大數據監視之間,真的還有杜羅夫口中“自由的互聯網”的容身之處嗎?或者,即使真有可能,就會是那個寄托理想之地嗎?
理想與現實
2020年6月,在俄羅斯宣布解封之際,塔斯社在一篇相關的專家訪談文章中提出,在俄羅斯解除封鎖之后,的下一步將會是變現:“杜羅夫無法啟動自己的區塊鏈項目TON,因此現在需要尋找其他方式來獲取利潤。”
盡管未必與俄羅斯的解封相關,但這一預言不可謂不準確:12月23日,杜羅夫發出公開信息稱,將從明年開始尋求變現。
在此之前所有服務均屬免費,自我定位甚至是“非盈利項目”——杜羅夫對外透露,此前六年里的所有運營費用是依靠他個人存款來支付的。對于俄羅斯最年輕的億萬富翁來說,這句話并不特別令人意外,但如果事情涉及到的是一個正在成長中、并且極富野心的互聯網公司,它所面臨的問題其實并不像聽上去那么凡爾賽。
盈利成為問題的直接背景是杜羅夫創業生涯中迄今為止最嚴重的一次失敗:區塊鏈平臺TON和與之相伴而生的虛擬貨幣Gram的徹底破產。
●杜羅夫設想中的區塊鏈平臺TON最終宣告流產 / 網絡
比起目前在做的事,TON和Gram的構想更為野心勃勃:打破美元壟斷,挑戰現有的國際金融支付規則。按照當初杜羅夫對外透露的設計思路,Gram最終將顛覆各國央行的貨幣發行壟斷地位。不料美國證券委員會從2019年秋天開始啟動對于杜羅夫以及TON平臺項目的調查,這一劃時代的項目最終于2020年5月被正式放棄。
在那篇聲明中,杜羅夫依然強調美國法院的判決并不公平,但由于世界依靠著美國的金融和技術,自己也沒有能力與美國國家權力相抗衡:“今天,我們處于一個惡性循環中:您不能為平衡一個過于集權的世界做太多,這恰恰是因為它是如此集權。”
而當顛覆貨幣體系的嘗試宣告失敗,盈利問題成了頭號大事:杜羅夫在放棄TON項目的聲明中承諾,將向所有投資人返還其投資金額的72%。這是因為已有一部分資金在開發過程中用掉了,但這部分錢也會在其后返還——他提出,會在2021年4月前向所有投資人以其投資金額的110%還清債務。
即使從杜羅夫宣布尋求變現的2020年12月23日開始計算,留給杜羅夫和的時間也僅有四個月零一周。
●2020年10月的月活排名榜單,未計入蘋果公司 / 網頁截圖
盡管已有5億月活用戶,在全球市場的角度依然是個不那么大眾的通訊軟件:去年十月的統計結果顯示全球前三即時通訊軟件分別為、 和微信,只能排到第六,而這份統計并未列入蘋果公司旗下的(月活用戶約9億),如果加入后者,即使以最新數據參加排名,也很難沖進前五。
而變現之路如何開始?杜羅夫已經排除出售的可能性,同時暗示可能會考慮在頻道中開放廣告位,但承諾不會以犧牲用戶個人數據的方式進行。然而,如果考慮到等第一代互聯網巨頭犧牲用戶數據的第一步正是廣告投放,擔心只不過是還未發展到相應階段的的看法聽上去十分不討人喜歡,但并非杞人憂天。
投身于與惡龍的搏斗之中的勇士,最終會變成惡龍嗎?(責編 / 權文武)
點擊圖片直達往期精選
最近鄰居攻擊:X 羅斯 APT 如何利用附近的 Wi-Fi 網絡進行隱秘訪問
The Nearest Attack How A Russian APT Nearby Wi-Fi for Covert Access
關鍵要點
在 2022 年 2 月初,恰逢X 羅斯入侵烏 X 蘭之前, 發現了一項發現,這導致了 進行的最引人入勝和復雜的事件調查之一。調查始于 在客戶現場(“組織 A”)部署的自定義檢測簽名發出的警報,表明威脅行為者已入侵客戶網絡上的一臺服務器。雖然 迅速調查了威脅活動,但由于一個非常有動機且技術嫻熟的高級持續威脅(APT)行為者使用了一種 之前未曾遇到的新型攻擊向量,提出的問題比答案還要多。在調查結束時, 將此次泄露與其追蹤的 X 羅斯威脅行為者 (公眾稱為APT28、Forest 、Sofacy、Fancy Bear 等)聯系在一起。 進一步確定 正在積極針對組織 A,以收集與烏 X 蘭相關的專家和項目的數據。
長達一個半月的調查揭示, 最終通過連接到組織 A 的企業 Wi-Fi 網絡成功入侵了組織 A 的網絡。威脅行為者通過串聯其方法,入侵了多個與目標組織 A“近距離”的組織。這個威脅行為者與受害者相隔數千英里,跨越了一片海洋。 不知道有任何術語來描述這種攻擊方式,并將其稱為最近鄰居攻擊。
最近鄰居攻擊
考慮到假定的物理距離,您可能會想知道這個威脅行為者是如何能夠認證到組織 A 的企業 Wi-Fi 網絡的。首先也是最明顯的需求是有效的憑據。這是通過對組織 A 網絡上一個面向公眾的服務進行密碼噴灑攻擊來驗證憑據實現的。雖然憑據可以被驗證,但由于實施了多因素認證(MFA),這些憑據無法用于組織 A 的公共服務。
然而,企業 Wi-Fi 網絡并不需要 MFA,只需用戶的有效域用戶名和密碼即可進行認證。與此同時,威脅行為者身處世界另一端,無法實際連接到組織 A 的企業 Wi-Fi 網絡。為了克服這一障礙,威脅行為者努力入侵其他位于組織 A 辦公室附近建筑內的組織。他們的策略是入侵另一個組織,然后在該組織內部橫向移動,尋找可以訪問的雙網系統(即同時具有有線和無線網絡連接的系統)。
一旦在這一努力中取得成功,找到一臺通過有線以太網連接到網絡的系統,威脅行為者將訪問該系統并使用其 Wi-Fi 適配器。此時,他們將連接到組織 A 的企業 Wi-Fi 的 SSID 并進行認證,從而獲得組織 A 網絡的訪問權限。
最近鄰居攻擊的結構如下所示。
在這一點上,如果您認為這聽起來有些牽強,那也是可以理解的。然而, 發現 成功入侵了_多個_與組織 A 近距離的組織。他們能夠找到并入侵一個附近組織的雙網系統,從而允許他們從該被入侵的系統連接到組織 A 的企業 Wi-Fi 網絡。
認為這代表了一種新型攻擊類別,之前未曾描述,其中威脅行為者入侵一個組織并執行憑據填充攻擊,以便通過其 Wi-Fi 網絡入侵其他物理上近距離的組織。重申一下,僅憑這些憑據的入侵并未獲得客戶環境的訪問權限,因為所有面向互聯網的資源都要求使用多因素認證(MFA)。然而,Wi-Fi 網絡并未受到 MFA 的保護,這意味著接近目標網絡和有效憑據是連接的唯一要求。
這篇博客文章旨在闡明 在事件調查中觀察到的戰術、技術和程序(TTP),并詳細介紹最近鄰居攻擊的工作原理及其緩解方法。
幽靈的窺視
這個故事始于 2022 年 2 月 4 日,當時 在其客戶組織 A 的網絡上檢測到可疑活動。這一檢測是在 開發的自定義簽名觸發警報后進行的,該簽名旨在查找寫入并從C:\目錄根目錄執行的文件。在 調查時,可以看到以下活動發生:
這立即使 的威脅檢測與響應團隊高度警覺,因為他們可以看到敏感的注冊表蜂巢正在被導出并壓縮成 ZIP 文件。調查的下一步變得清晰:團隊立即擴大了對系統 EDR 事件歷史的深入調查,并準備部署 Surge Collect Pro以收集系統內存(RAM)和關鍵磁盤工件。
對 EDR 日志的審查提供了一些有趣的見解,關于在上述活動之前和之后立即發生的活動。 發現,在上述活動發生之前,系統上發生了以下情況:
急于收集這些文件作為事件響應調查的一部分。不幸的是,團隊遇到了兩個主要問題。第一個問題是,在收集系統內存的過程中,系統被關閉。這并不理想,因為這導致了可能對調查有用的易失性數據的丟失。這些文件的某些組件可能仍然駐留在內存中,允許其恢復和分析。盡管遇到這一挫折, 還是能夠重新啟動服務器,并仍然收集到支持調查的取證工件。然而,第二個問題是, 發現攻擊者已刪除所有已識別的文件和文件夾。不僅文件消失了, 還發現攻擊者運行了一個名為Cipher.exe的本地 實用程序,通過安全刪除文件來掩蓋他們的蹤跡。雖然這并不是 第一次遇到攻擊者使用反取證方法掩蓋自己的蹤跡,但這是 第一次看到使用Cipher.exe實用程序進行此操作。
調查死胡同
在初始事件之后,攻擊者暫時保持低調。在此期間, 利用其收集的各種取證工件繼續進行調查。在此過程中遇到了一些挑戰。首先, 能夠識別出一個連接到受害者服務器的 IP 地址,但不清楚它與什么相關,并且該地址不再在線。此外, 在組織 A 的辦公室部署了一個網絡安全傳感器,但幾乎沒有記錄攻擊者的活動。通常可以立即提供清晰度和調查下一步的幾個步驟令人沮喪地無果而終。
調查在一段時間內陷入僵局,直到攻擊者再次出現。當攻擊者返回時, 能夠獲得_一些_答案。 了解到攻擊者所來自的 IP 地址段與組織 A 的企業 Wi-Fi 網絡相關,并且網絡上的一個域控制器充當 DHCP 服務器。然而,在檢查 DHCP 日志后,沒有記錄 與攻擊者關聯的 IP 地址。另一個可能的線索又是一個死胡同。
無線救贖
在調查的進一步過程中, 了解到該組織有一個無線控制器,用于管理其無線網絡、接入點和所有相關基礎設施。該控制器還保留了與信號強度、連接設備、認證用戶帳戶等相關的詳細日志。 獲得了對無線控制器的訪問,并在調查中取得了第一次重大突破。在獲得無線控制器的訪問后不久, 能夠找到攻擊者的 IP 地址,并將其與一個經過認證的域用戶和一個 MAC 地址關聯起來。
憑借這一新信息, 能夠檢查組織 A 的 RADIUS 日志,并找到與剛剛發現的用戶和 MAC 地址相關的認證事件。這個相同的 MAC 地址和用戶帳戶出現在與初始泄露重疊的舊日志中。然而, 發現有額外的認證事件,使用相同的 MAC 地址和不同的用戶名,追溯到 2022 年 1 月底。 了解到,1 月份觀察到的帳戶的密碼已過期并被用戶更新。這顯然使攻擊者無法訪問該帳戶,但他們能夠在 2 月初使用從無線控制器觀察到的帳戶重新進入。
這一新信息促使 檢查組織 A 的系統日志,該系統提供可以進行認證的面向互聯網的 Web 服務。該服務本身受到 MFA 保護,但可以用來驗證憑據是否有效。在檢查這些日志時, 發現,在 1 月和 2 月期間,對該服務進行了密碼噴灑攻擊,攻擊者成功入侵了三個帳戶。識別出的三個帳戶中有兩個是 從無線控制器和 RADIUS 日志中識別出的。第三個帳戶尚未使用。
現在確定攻擊者是通過從面向互聯網的服務中暴力破解的無線憑據連接到網絡的。然而,尚不清楚攻擊者在物理上位于何處,使他們能夠首先連接到企業 Wi-Fi。對組織 A 的無線控制器提供的數據的進一步分析顯示,攻擊者連接的具體無線接入點,并將其疊加在一張建筑物和特定樓層的布局圖上。 可以看到攻擊者連接到位于建筑物遠端靠近街道窗戶的會議室的同三個無線接入點。這使 首次獲得證據,表明“呼叫并不是來自建筑內部。”這可能是攻擊者在街道外進行的近距離訪問操作嗎?沒有什么被排除,但 離發現真正的答案并不遠。
不要信任任何人,尤其是你的鄰居
在此次調查過程中, 與組織 A 合作采取了各種補救措施,實施對策,并改善了日志記錄和網絡可見性不佳的各個領域。這樣做最終使 在調查中取得了重大突破,準確弄清楚發生了什么。
盡管重置了各種憑據,包括從密碼噴灑攻擊中識別出的三個帳戶,攻擊者仍然擁有有效的域憑據。攻擊者再次重新獲得了對組織 A 企業 Wi-Fi 的訪問權限,但由于現在有了可見性和日志記錄, 迅速采取了行動。 現在能夠從組織 A 網絡中所有涉及 Wi-Fi 連接系統的活動中提取完整的數據包捕獲,無論它們在內部連接到哪里。對該數據包捕獲的分析顯示,攻擊者的系統發送了 NetBIOS 名稱服務(NBNS)查詢,揭示了其計算機名稱和其加入的活動目錄域。這個活動目錄域準確揭示了攻擊者的連接來源,結果發現是位于_街對面_的一個組織(“組織 B”)。
能夠與組織 B 取得聯系,并與他們合作進一步調查此事。在這里, 最終揭示了攻擊者的操作方式,以及最近鄰居攻擊的工作原理。在與組織 B 的協調下, 能夠找到連接到組織 A Wi-Fi的系統。對該系統的分析顯示,它在攻擊者使用特權憑據通過RDP從組織B網絡內的另一臺系統連接后被入侵。該系統是雙網的,通過有線以太網連接到互聯網,但它也有一個可以同時使用的Wi-Fi網絡適配器。攻擊者找到該系統,并使用自定義腳本檢查其無線網絡范圍內的可用網絡,然后使用他們已入侵的憑據連接到組織A的企業Wi-Fi。自定義腳本中嵌入的C#代碼的刪減副本可在此處找到。
對組織 B 系統的進一步分析顯示,入侵者對其網絡有兩種訪問模式。第一種是使用允許他們連接到其 VPN 的憑據,該 VPN 未受到 MFA 保護。 還發現攻擊者曾從另一個屬于附近組織(“組織 C”)的網絡連接到組織 B 的 Wi-Fi。攻擊者不遺余力地入侵多個組織,以便能夠串聯 Wi-Fi 和/或 VPN 連接,最終到達組織 A 的網絡。 團隊感到震驚,但也松了一口氣,因為他們現在有了對這一攻擊發生方式的解釋和證據。
能夠根據 MAC 地址和 SSID 信息分析確定組織 C 的身份并與他們聯系。然而,組織 C 選擇不向 提供進一步調查所需的關鍵數據。無論如何,所有這些發現使 全面了解了攻擊者的操作,并使團隊能夠自信地向組織 A 推薦進一步的緩解和補救措施。此時,攻擊者的訪問權限已被切斷,未再觀察到他們連接到組織 A 的企業 Wi-Fi。
最后的狂歡:訪客 Wi-Fi
在最后一次觀察到的威脅行為者活動一個多月后,經過各種補救措施, 再次收到警報,指示其客戶組織 A 的網絡中存在可疑活動。在調查該活動時, 發現同一威脅行為者設法重新進入網絡,并通過多個內部系統進行代理。幸運的是, 能夠迅速調查此事件,并追溯到其起源:組織 A 的訪客 Wi-Fi 網絡上的一臺系統。
雖然訪客 Wi-Fi 網絡被認為與存儲高價值目標數據的企業有線網絡完全隔離,但有一臺系統可以同時從 Wi-Fi 網絡和企業有線網絡訪問。憑借未重置的帳戶憑據,以及 Wi-Fi 網絡并未完全隔離的事實,攻擊者能夠重新進入企業有線網絡,并最終重新獲得對高價值目標數據的訪問。
為了實現這一轉變,攻擊者使用 Windows 實用程序netsh設置了一系列端口轉發,使他們能夠訪問目標系統。以下是用于此的示例命令:
cmd.exe /C netsh advfirewall firewall add rule name="Remote Event Log Management SMB" dir=in action=allow protocol=tcp localport=12345 > C:\Windows\Temp\MSI28122Ac.LOG 2>&1
cmd.exe /C netsh interface portproxy add v4tov4 listenaddress=172.33.xx.xx listenport=12345 connectaddress=172.20.xx.xx connectport=445 > C:\Windows\Temp\MSI2cBfA24.LOG 2>&1
通過分析網絡流量和組織 A 無線控制器的日志,再次可以確定連接到發起此活動的源系統。 發現攻擊者這次是從組織 C 連接的。 再次聯系組織 C,并與組織 A 合作采取新的補救措施,以解決這一新入侵。
自這次與訪客 Wi-Fi 網絡相關的最終活動以來, 未觀察到任何與攻擊者利用最近鄰居攻擊相關的活動。
技術細節筆記
在入侵過程中主要采用了“Living-of-the-land”的方法,利用標準的 協議并進行橫向移動。接下來的部分詳細描述了一些觀察到的事件,這些事件可以用來潛在地檢測 或其他使用類似行為或技術的威脅行為者。
使用 Cipher.exe
在入侵過程中,攻擊者刪除了他們創建的文件,利用了每個現代版本 Windows 中自帶的工具Cipher.exe:
以下功能用于覆蓋特定文件夾中已刪除的數據:
cmd.exe /c cipher /W:C
文檔對此的描述如下:
其效果是,攻擊者能夠使用本地 Windows 功能安全地刪除他們的工具,而無需引入新工具或編寫自己的代碼,從而使取證分析師更難恢復攻擊者的工具。
在這種情況下,攻擊者在使用此工具時非常細致, 識別的每個寫入磁盤的文件都被該工具隨后刪除。值得注意的是,在其眾多事件響應參與中, 之前未曾識別出攻擊者使用此技術進行自我清理。
通過 轉儲 Ntds.dit
另一個觀察到的戰術是通過創建卷影副本來竊取活動目錄數據庫。這是一種常見的技術, 已經觀察到多年。該工作流程已被公開詳細記錄,包括在此次事件中看到的以下關鍵組件:
vssadmin create shadow /for C: /quiet
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit [dest]
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM [dest]
powershell -c "& { Add-Type -Assembly 'System.IO.Compression.FileSystem'; [IO.Compression.ZipFile]::CreateFromDirectory($path1', '$path2');}" > C:\Windows\Temp\b2rMBPL.tmp 2>&1
防病毒和端點檢測與響應(EDR)產品可能自然會將此行為檢測為潛在惡意。然而,為了提供額外的檢測機會,組織可以創建自定義 EDR 簽名,以查找表現出以下行為的特權帳戶:
數據外泄的準備
此次事件中的大部分數據被復制回連接到 Wi-Fi 的攻擊者系統。然而,在少數情況下, 觀察到攻擊者在面向公眾的 Web 服務器的目錄中準備數據。這些文件隨后通過外部下載被外泄。
這是 在各種泄露中觀察到的攻擊者使用的常見技術。監控此活動可能很困難,但如果組織能夠監控 Web 服務器上意外文件或不尋常的大文件傳輸,則可以檢測到此行為。如果沒有其他辦法,確保 Web 日志正常工作并被保存可以幫助后續調查。
歸屬
最初, 無法將此次入侵歸因于已知的威脅行為者。攻擊者主要使用“Living-of-the-land”的技術,他們使用的任何工具或 IP 地址使 難以鎖定可能的罪犯。然而,一旦 能夠確定內部目標是誰和什么,它立即懷疑這是 X 羅斯威脅行為者的活動,但具體是哪一個?
然后,在 2024 年 4 月,發布了研究關于_森林暴風雪_, 將其追蹤為 ,詳細介紹了威脅行為者使用的名為 的后滲透工具。該工具在CVE-2022-38028的零日利用中被利用,這是 Windows 打印后臺處理程序服務中的特權升級漏洞。在其報告中, 詳細列出了框架使用的幾個關鍵文件名、文件夾路徑和命令,特別包括以下內容:
這些確切的文件名和路徑在 調查的事件中被觀察到。 的報告還顯示了.bat文件中的命令,這些命令與 在初始入侵活動中看到的將注冊表蜂巢保存并壓縮到名為out.zip的文件中的命令完全相同。然而,正如在技術細節筆記部分中記錄的那樣,這些文件已使用Cipher.exe工具安全刪除。
的帖子指出, 自“至少 2020 年 6 月,可能早至 2019 年 4 月”以來一直在使用。 可以確認該工具在 2022 年 2 月被明確使用。CVE-2022-38028的利用也為初始受害者系統可能如何被入侵提供了解釋。基于該工具的使用, 指出該工具是該威脅行為者獨有的, 高度自信地評估本帖中描述的活動可以歸因于 。
結論
的調查揭示了一個創造性、足智多謀且有動機的威脅行為者為實現其網絡間諜目標所愿意付出的代價。最近鄰居攻擊實際上相當于一種近距離訪問操作,但被物理識別或拘留的風險已被消除。這種攻擊具有與目標近距離接觸的所有好處,同時允許操作員身處數千英里之外。
組織需要更加關注 Wi-Fi 網絡可能對其操作安全構成的風險。在過去幾年中,已經投入了大量精力來減少攻擊面,確保面向互聯網的服務得到 MFA 保護或完全移除。然而,Wi-Fi 網絡并未得到同樣程度的關注。也許是時候以與其他遠程訪問服務(如虛擬專用網絡(VPN))相同的關注和重視來對待企業 Wi-Fi 網絡的訪問。
這種攻擊之所以可能,是因為針對 Wi-Fi 系統的安全控制水平低于其他資源,如電子郵件或 VPN。在這種情況下,攻擊者找到了濫用這些控制的方法,即使他們遠遠超出了地理范圍,使用以下工作流程:
通過最近鄰居攻擊方法,攻擊者能夠從一個組織串聯到另一個組織,而無需部署惡意軟件,僅使用有效的用戶憑據作為訪問方法。攻擊者隨后專注于使用“Living-of-the-land”的技術,以避免部署惡意軟件并逃避 EDR 產品的檢測。
為了普遍防止或檢測類似于本博客中討論的攻擊, 建議如下:
致謝
感謝其客戶允許公開分享有關此次調查的信息。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。