2024年12月18日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，發(fā)現(xiàn)處置兩起美對(duì)我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件。本報(bào)告將公布對(duì)其中我國(guó)某智慧能源和數(shù)字信息大型高科技企業(yè)的網(wǎng)絡(luò)攻擊詳情，為全球相關(guān)國(guó)家、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。

一、網(wǎng)絡(luò)攻擊流程

（一）利用郵件服務(wù)器漏洞進(jìn)行入侵

該公司郵件服務(wù)器使用微軟Exchange郵件系統(tǒng)。攻擊者利用2個(gè)微軟Exchange漏洞進(jìn)行攻擊，首先利用某任意用戶(hù)偽造漏洞針對(duì)特定賬戶(hù)進(jìn)行攻擊，然后利用某反序列化漏洞再次進(jìn)行攻擊，達(dá)到執(zhí)行任意代碼的目標(biāo)。

（二）在郵件服務(wù)器植入高度隱蔽的內(nèi)存木馬

為避免被發(fā)現(xiàn)，攻擊者在郵件服務(wù)器中植入了2個(gè)攻擊武器，僅在內(nèi)存中運(yùn)行，不在硬盤(pán)存儲(chǔ)。其利用了虛擬化技術(shù)，虛擬的訪問(wèn)路徑為/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx，攻擊武器主要功能包括敏感信息竊取、命令執(zhí)行以及內(nèi)網(wǎng)穿透等。內(nèi)網(wǎng)穿透程序通過(guò)混淆來(lái)逃避安全軟件檢測(cè)，將攻擊者流量轉(zhuǎn)發(fā)給其他目標(biāo)設(shè)備，達(dá)到攻擊內(nèi)網(wǎng)其他設(shè)備的目的。

（三）對(duì)內(nèi)網(wǎng)30余臺(tái)重要設(shè)備發(fā)起攻擊

攻擊者以郵件服務(wù)器為跳板，利用內(nèi)網(wǎng)掃描和滲透手段，在內(nèi)網(wǎng)中建立隱蔽的加密傳輸隧道，通過(guò)SSH、SMB等方式登錄控制該公司的30余臺(tái)重要設(shè)備并竊取數(shù)據(jù)。包括個(gè)人計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備等；被控服務(wù)器包括，郵件服務(wù)器、辦公系統(tǒng)服務(wù)器、代碼管理服務(wù)器、測(cè)試服務(wù)器、開(kāi)發(fā)管理服務(wù)器和文件管理服務(wù)器等。為實(shí)現(xiàn)持久控制，攻擊者在相關(guān)服務(wù)器以及網(wǎng)絡(luò)管理員計(jì)算機(jī)中植入了能夠建立websocket+SSH隧道的攻擊竊密武器，實(shí)現(xiàn)了對(duì)攻擊者指令的隱蔽轉(zhuǎn)發(fā)和數(shù)據(jù)竊取。為避免被發(fā)現(xiàn)，該攻擊竊密程序偽裝成微信相關(guān)程序WeChatxxxxxxxx.exe。攻擊者還在受害服務(wù)器中植入了2個(gè)利用PIPE管道進(jìn)行進(jìn)程間通信的模塊化惡意程序，實(shí)現(xiàn)了通信管道的搭建。

二、竊取大量商業(yè)秘密信息

（一）竊取大量敏感郵件數(shù)據(jù)

攻擊者利用郵件服務(wù)器管理員賬號(hào)執(zhí)行了郵件導(dǎo)出操作，竊密目標(biāo)主要是該公司高層管理人員以及重要部門(mén)人員。攻擊者執(zhí)行導(dǎo)出命令時(shí)設(shè)置了導(dǎo)出郵件的時(shí)間區(qū)間，有些賬號(hào)郵件全部導(dǎo)出，郵件很多的賬號(hào)按指定時(shí)間區(qū)間導(dǎo)出，以減少竊密數(shù)據(jù)傳輸量，降低被發(fā)現(xiàn)風(fēng)險(xiǎn)。

（二）竊取核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息

攻擊者通過(guò)攻擊控制該公司3名網(wǎng)絡(luò)管理員計(jì)算機(jī)，頻繁竊取該公司核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息。例如，2023年5月2日，攻擊者以位于德國(guó)的代理服務(wù)器（95.179.XX.XX）為跳板，入侵了該公司郵件服務(wù)器后，以郵件服務(wù)器為跳板，攻擊了該公司網(wǎng)絡(luò)管理員計(jì)算機(jī)，并竊取了“網(wǎng)絡(luò)核心設(shè)備配置表”、“核心網(wǎng)絡(luò)設(shè)備配置備份及巡檢”、“網(wǎng)絡(luò)拓?fù)?rdquo;、“機(jī)房交換機(jī)（核心+匯聚）”、“運(yùn)營(yíng)商IP地址統(tǒng)計(jì)”、“關(guān)于采購(gòu)互聯(lián)網(wǎng)控制網(wǎng)關(guān)的請(qǐng)示”等敏感文件。

（三）竊取項(xiàng)目管理文件

攻擊者通過(guò)對(duì)該公司的代碼服務(wù)器、開(kāi)發(fā)服務(wù)器等進(jìn)行攻擊，頻繁竊取該公司相關(guān)開(kāi)發(fā)項(xiàng)目數(shù)據(jù)。例如，2023年7月26日，攻擊者以位于芬蘭的代理服務(wù)器（65.21.XX.XX）為跳板，攻擊控制該公司的郵件服務(wù)器后，又以此為跳板，頻繁訪問(wèn)在該公司代碼服務(wù)器中已植入的后門(mén)攻擊武器，竊取數(shù)據(jù)達(dá)1.03GB。為避免被發(fā)現(xiàn)，該后門(mén)程序偽裝成開(kāi)源項(xiàng)目“禪道”中的文件“tip4XXXXXXXX.php”。
（四）清除攻擊痕跡并進(jìn)行反取證分析

為避免被發(fā)現(xiàn)，攻擊者每次攻擊后，都會(huì)清除計(jì)算機(jī)日志中攻擊痕跡，并刪除攻擊竊密過(guò)程中產(chǎn)生的臨時(shí)打包文件。攻擊者還會(huì)查看系統(tǒng)審計(jì)日志、歷史命令記錄、SSH相關(guān)配置等，意圖分析機(jī)器被取證情況，對(duì)抗網(wǎng)絡(luò)安全檢測(cè)。

三、攻擊行為特點(diǎn)

（一）攻擊時(shí)間

分析發(fā)現(xiàn)，此次攻擊活動(dòng)主要集中在北京時(shí)間22時(shí)至次日8時(shí)，相對(duì)于美國(guó)東部時(shí)間為白天10時(shí)至20時(shí)，攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五，在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為。

（二）攻擊資源

2023年5月至2023年10月，攻擊者發(fā)起了30余次網(wǎng)絡(luò)攻擊，攻擊者使用的境外跳板IP基本不重復(fù)，反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。

（三）攻擊武器

攻擊者植入的2個(gè)用于PIPE管道進(jìn)程通信的模塊化惡意程序位于“c:\\windows\\system32\\”下，使用了.net框架，編譯時(shí)間均被抹除，大小為數(shù)十KB，以TLS加密為主。郵件服務(wù)器內(nèi)存中植入的攻擊武器主要功能包括敏感信息竊取、命令執(zhí)行以及內(nèi)網(wǎng)穿透等。在相關(guān)服務(wù)器以及網(wǎng)絡(luò)管理員計(jì)算機(jī)中植入的攻擊竊密武器，使用https協(xié)議，可以建立websocket+SSH隧道，會(huì)回連攻擊者控制的某域名。

四、部分跳板IP列表

封面圖片來(lái)源：視覺(jué)中國(guó)