新聞來源:https://www.ithome.com.tw/news/158467
新聞名稱:臺灣企業組織遭到中國駭客Flax Typhoon寄生攻擊
中國菜刀,Web Shell 用來控制受害者的伺服器
大小僅有 4 KB
系統本身提供的合法二進制檔來執行惡意活動
合法工具來掩護非法行動
Microsoft 中執行腳本的環境
Invoke-WebRequest
Windows 命令行工具
新增和監視檔案下載或上傳任務
常被惡意腳本用來下載惡意 payload
Windows 管理工具和命令行工具
管理和執行系統命令
HTTPS 協定來傳輸 VPN 流量
VPN 流量可以更好地躲避檢測和封鎖
用於 HTTPS 通訊
通常不會被企業網路防火牆阻擋
讓使用者恢復系統到一個先前的狀態
用途
恢復系統錯誤
病毒感染
組織
中國駭客組織
Flax Typhoon
發現
微軟
2021 年中開始攻擊
臺灣政府、教育機構和企業
初期
已知漏洞
控制
Web Shell
提權
Juicy Potato 和 BadPotato
跳脫他們設計的 RDP 只能存取內部網路的限制
寄生攻擊(LOLBins)手法
部署 SoftEther 的 VPN 使用者端程式
Invoke-WebRequest PowerShell
Bitsadmin
certutil
橫向移動
WinRM
WMIC
避免建立的 VPN 連線被發現
將 VPN 應用程式可執行檔重新命名成 Windows 元件的名稱
conhost.exe
dllhost.exe
濫用 SoftEther 的 VPN-over-HTTPS 模式
使得相關網路流量被封裝成相容於 HTTPS 的資料
透過 TCP 通訊協定 443 埠進行傳輸
難以識別這種 VPN 連線與一般的 HTTPS 流量
進一步利用
SoftEther 的 VPN 橋接功能
網路攻擊流量路由到其他的受害系統
網路掃描、漏洞掃描、弱點嘗試利用
竊取本機用戶的密碼雜湊值
Mimikatz
本機安全認證子系統服務(LSASS)處理執行續占用的記憶體內容
安全性帳號管理員(SAM)登錄檔設定的內容
列舉系統還原功能的還原點
了解受害電腦狀態
抹除惡意活動的跡象
A. 2020年
B. 2021年中
C. 2022年
D. 2023年
答案
A. BadPotato
B. Juicy Potato
C. China Chopper
D. Flax Shell
答案
A. Windows元件的名稱
B. Linux核心元件名稱
C. 系統預設應用程式名稱
D. 亂碼
答案
A. 利用網路層身分驗證 (NLA)
B. 通過 VPN 橋接功能
C. 建立 RDP 並禁用 NLA
D. 通過電子郵件
答案
A. 系統日誌
B. 資料庫記錄
C. 系統還原點
D. 網路流量記錄
答案