你见过最嚣张的黑客有哪些?作为云安全一线作战队员,在与他们多次的正面交锋中,我们见过不少奇葩,有的甚至弹窗威胁:别再继续调查了!今天我们就一起来扒一扒那些奇葩事件!
图1 黑客弹窗威胁
01 黑客抢占控制权 · 打破砂锅连根拔起
2023年3月,某客户内网的一台主机毫无征兆地出现了外连告警。管理员快速锁定了事发主机,并识别出一个名为 postgres-daemon 的恶意进程。在对进程文件进行隔离后,管理员终止了进程,然而诡异的事情发生了,管理员突然被强制下线,重新上线后再次被踢!在与攻击者反复拉锯了多次之后,客户想起了自己的兜底方案,立即联系了青藤运营人员,很快就定位到了黑客的据点。
对方通过一个容器服务的 0day 下载了远控程序 sshs ,并逃逸到宿主机,然后将远控程序重命名为 postgres-daemon 在后台执行。黑客敢如此猖狂,就是认为自己通过 0day 肯定不会被发现,所以重传了远控程序进行挑衅,幸好青藤猎鹰已把关键的主机行为统统记录在案。运营同学在平台上固定相关证据后,最终配合客户将这位不速之客连根拔起,从内网清理了出去。
图2 青藤猎鹰调查截图
(黑客容器逃逸后,使用 docker cp 拷贝远控程序到宿主机,并伪装成 postgres-daemon 守护进程运行)
02 黑客瞬移加地遁 · 追风逐电铁手擒拿
2023年4月某天下午5点35左右,某客户内部OA系统所在的主机发出了web后门告警,这个OA系统平时只对内部员工提供服务,并没有向互联网暴露服务地址。负责OA系统维护的工程师登录到主机上,在 /opt 目录发现了告警中提示的 jsp 后门文件,但是很诡异,主机上没有任何其他异常的命令执行记录,黑客地遁一样凭空消失了。正在大家一筹莫展时,位于同一个网络区域的另外一台主机突然也提示有提权告警,是误报巧合,还是说黑客瞬移过去了?客户知道只有一个系统能回答这个问题,于是立即联系了青藤猎鹰运营人员,申请紧急支援。
这一查不要紧,一个2天前就已经闯入内网,准备搞个大新闻的黑客,渐渐浮出水面。原来早在2天前,这个黑客就已经通过钓鱼控制了一位员工的电脑,并加密上传了定向的攻击载荷。在今天5点30这位员工下班后,黑客对内网展开了一系列入侵行动,而所谓的瞬移和地遁,不过是黑客在内网做弱密码爆破后,清理了操作记录的小伎俩。运营同学果断将其拿下,并对其攻击意图做了进一步识别,结论让所有人都不寒而栗:黑客已经将OA的数据库拷贝了一份,但因为太过贪心还在做横向移动,没有来得及将数据转运出去,否则后果不堪设想。
图3 青藤猎鹰调查截图
(黑客使用fscan对另一台主机进行密码爆破,并多次使用 history -c 命令擦除操作痕迹)
03 黑客用弹窗挑衅 ·强制缴械远程抄家
要说最嚣张的,还属前段时间遇到的一个悍匪。黑客发现我们找到了他的入口进攻据点之后,气急败坏发出了弹窗威胁,声称继续溯源下去将会启动磁盘加密程序。但是他不知道的是,在我们登上这个机器之前,他的所有攻击载荷已经被我们摸了个底掉。简单来说,黑客以为自己握了把枪,但青藤运营小组呵呵一笑,不好意思子弹我们已经换掉了,而且正式通知你,现在你已经被包围了。
这个悍匪来头不小,其实在两周以前,青藤猎鹰的ATT&CK威胁狩猎就已经发现内网有疑似攻击的程序在运行。但是因为对方采用的白加黑进程注入的方式,这个程序只是偶尔行为有点像攻击,大部分时候都是正常程序的表现。直到这个信号越来越强,运营小组也通过逆向拿到了关键证据,这才发现这个黑客(组织)已经盘踞了很长一段时间。最终,青藤运营小组拔掉对方C2代理池1个(50余个IP),新注册的钓鱼域名2个,改造过的扫描、爆破工具包一组,C2工具1个。
图4 青藤猎鹰ATT&CK变化录屏
(即使是不足以告警的可疑行为,随着时间的累积信号也会明显加强)
04 写在最后
没有任何一个安全防御系统,可以保证永远不被攻破,不要等到黑客弹窗才发现束手无策。如何研判告警已经产生安全事件,如何追溯主机上到底发生过什么,如何确认周边的主机是否受到影响,如何回答对问题的清理是否到位?
告警每天都在发生,偶发的安全事件也在所难免,但青藤猎鹰,给安全事故加上了一个保险绳,让“0事故”多了一些底气。
青藤猎鹰,助力客户埋葬一切来犯之敌,为企业主机安全保驾护航!
关于“青藤猎鹰”
猎鹰威胁狩猎平台(THP)是青藤云安全为主机威胁事件调查与狩猎研发的一款专业安全产品,其提供的一系列安全事件分析能力,在多起大型网络安全事件中发挥了决定性作用。该产品目前广泛服务于金融、国央企、运营商、电力等行业的关键基础设施,是企业主机威胁防护的兜底方案。
关于作者:
Hunter:青藤平台产品事业部-主机安全事件调查及狩猎专家,云安全一线作战指挥员、战斗员。