概述
当一家大型跨国企业,在同一时间面对六个APT(高级可持续威胁攻击)网络攻击组织的围剿之下,如何让企业网络恢复正常,这将是一个大问题。
近日Microsoft检测和响应团队(DART)发布了一次事件响应案例的报告,里面描述了这场被六个APT组织围剿的长达243天的攻坚战,可以对如何解决这个问题提供一些帮助。
起初,该跨国企业在发现第一个APT组织的攻击后,一开始他们尝试自己补救,但是并没有用,然后他们请来了专业的应急响应供应商进行调查。
虽然一直尝试将攻击者赶出网络,但由于这家大型的跨国企业内部系统没有开启日志记录,也没有启用VPN 监控,导致一直没有找到入侵点,因此让攻击者在内网存活持续了240天,最终还是请DART来进行分析排查,一起还原了整场攻击事件。
过程
时间线
取证分析以后,还原的具体时间线如下:
Ø 1到11天
攻击者通过批量用户密码暴破攻击获取了没有多因素认证的Office365管理员账号的权限,Office365主要用于办公协作,包括Word、PPT、Exchange邮箱等常用办公软件服务。
Ø 16到163天
攻击者在Office 365环境中在公司员工的邮箱里面搜索邮件
攻击者使用被窃取的凭据将VPN接入公司网络,搜索知识产权
Ø 137到218天
攻击者更改搜索和渗透技术,利用合规性搜索进行精确搜索
Ø 137到143天
攻击者在公司的IT环境中创建规则,以自动将数据泄露到第三方云服务器上
上面这幅图中还贴心的提示了,如何进行操作可以防止类似的攻击发生。
细节
根据微软描述,在一开始,攻击者通过批量用户密码暴破(Password Spraying)攻击,即针对所有用户进行自动化密码猜测,而不是针对单个用户,这样可以避免账户被锁定。实际上仍然是使用已有密码列表进行密码爆破的一种。
就这样,攻击者成功获取到了该公司的Office 365的管理员账号密码凭证,由于具有Exchage邮箱的权限,攻击者开始在多个员工邮箱里面收集信息,不幸的是,有的邮件居然共享了公司以及其客户之间的管理凭据。
此后,攻击者用到了Office365的合规性搜索功能,由于攻击者拥有Office365的管理员权限,因此其可以获取整个公司的所有人在上面存放的文档,甚至Exchange邮箱里面的邮件。从而大大减少了工作量的获取了大量信息。
此外,该系统还有语法可以直接搜索。
收集到足够的数据后,攻击者将数据传上云端。
在搞清楚了攻击者如何进来,如何部署,并且整理清楚了攻击链路之后,第243天,这个攻击者权限终于断掉了。
微软称,该APT组织攻击跨行业的目标,包括政府机构,金融机构和科技公司,此外攻击者专门针对某些地区和该地区的市场中搜索电子邮件中的特定信息,因此这起攻击很有可能是网络间谍案,专门进行窃密操作。
在这个分析过程中,DART还确定了在该跨国企业环境中持续存在与上述说明的事件无关的,另外五个独立的攻击者活动。这五个不同的攻击者比上面这起攻击事件更早的进入了环境并且建立了后门以便日后使用。
而这六个攻击组织,如果其中的各个攻击者在目标企业内网横向移动的过程碰见了对方的木马或者渗透工具时,恐怕心理感受如下图吧。
撞车并不罕见
高价值的目标从来都是APT组织的猎物,所以多个APT组织出现在同一个攻击目标资产列表中并非只有上述案例一起。攻击者双方相遇的后果,有的是抹除对方的存在,鸠占鹊巢,甚至还会封堵漏洞入口,彻底成为受害主机的主人;有的是双方友好共存,互不干扰,还有的选择自毁,防止被对方发现等。
2018年,APT组织Turla和另一个APT组织APT34就曾经在一个公司的主机中相遇,根据推测,Turla组织在遇到APT34组织的木马后,他们没有轻举妄动,而是先黑进了该木马对应的C2服务器,然后使用伊朗的服务器进行数据获取。此外,APT组织Darkhotel和与另一个APT组织Group123也曾经在同一个目标主机遭遇,他俩相安无事的存活了好一段时间。
甚至,据称美国NSA的方程式组织还曾经写过一个脚本,上面清晰记录了多个其他国家APT组织的特征用于检测,防止在进入同一个目标”撞车”等。
这类有趣的攻击活动不止存在于APT攻击中,黑产活动实际上也大有存在,奇安信威胁情报中心的分析师在平日的应急响应过程中也经常看到,比如一个受害者主机上,拥有多个Webshell、多种勒索软件等,当然这主要是以受害者系统的脆弱性强度有关。
最后,在平日的分析过程中,一定要带有可能会遇到多个攻击组织发起针对性攻击的思路进行取证溯源,这也意味着每一次取证分析都要刨根问底,这不仅是对客户负责,也是能力的一种体现。
来源:freebuf.com 2020-03-04 09:51:48 by: 奇安信威胁情报中心
请登录后发表评论
注册