iT邦幫忙

2023 iThome 鐵人賽

DAY 4
1
影片教學

資安 Vtuber 語野飛陪你讀新聞學資安知識系列 第 4

Day4 資安 Vtuber 讀新聞:Windows 入侵手法 (臺灣企業組織遭到中國駭客Flax Typhoon寄生攻擊)

  • 分享至 

  • xImage
  •  

新聞來源:https://www.ithome.com.tw/news/158467
新聞名稱:臺灣企業組織遭到中國駭客Flax Typhoon寄生攻擊
Yes

基礎知識

Web Shell

  • 網站型的後門,可以瀏覽該網頁控制網站的伺服器

China Chopper

  • 中國菜刀,Web Shell 用來控制受害者的伺服器

  • 大小僅有 4 KB

提升系統權限

  • 從一般使用者的身分利用工具、漏洞提升到管理員權限

Juicy Potato 和 BadPotato

  • 利用系統已知漏洞,用於提升系統權限的工具

網路層身分驗證(NLA)

  • Windows 所使用的身分驗證

Windows 登錄檔

  • 儲存軟體、硬體、使用者和作業系統的設定值

粘滯鍵(Sticky Keys)

  • 按組合鍵不方便的使用者設定,如按 Shift 鍵 5 次

RDP (遠端桌面連線)

  • Windows 內建遠端桌面工具,使用者可遠端存取電腦

LOLBins (Living Off The Land Binaries)

  • 系統本身提供的合法二進制檔來執行惡意活動

  • 合法工具來掩護非法行動

PowerShell

  • Microsoft 中執行腳本的環境

  • Invoke-WebRequest

    • 用來發送 HTTP 請求

Bitsadmin 和 certutil

  • Windows 命令行工具

  • 新增和監視檔案下載或上傳任務

  • 常被惡意腳本用來下載惡意 payload

WinRM 和 WMIC

  • Windows 管理工具和命令行工具

  • 管理和執行系統命令

VPN-over-HTTPS

  • HTTPS 協定來傳輸 VPN 流量

  • VPN 流量可以更好地躲避檢測和封鎖

TCP 443

  • 用於 HTTPS 通訊

  • 通常不會被企業網路防火牆阻擋

Mimikatz

  • 從 Windows記憶體中提取明文密碼和 hash 的工具

LSASS 和 SAM

  • Windows 的系統元件,管理儲存系統和使用者的安全憑證

系統還原點

  • 讓使用者恢復系統到一個先前的狀態

  • 用途

    • 恢復系統錯誤

    • 病毒感染

事件整理

駭客組織與目標

  • 組織

    • 中國駭客組織

    • Flax Typhoon

  • 發現

    • 微軟

    • 2021 年中開始攻擊

  • 臺灣政府、教育機構和企業

初步攻擊手法

  • 初期

    • 已知漏洞

      • 取得存取權限
  • 控制

    • Web Shell

      • 遠端控制系統
  • 提權

    • Juicy Potato 和 BadPotato

      • 提升系統權限

濫用開源 VPN 應用程式

  • 跳脫他們設計的 RDP 只能存取內部網路的限制

  • 寄生攻擊(LOLBins)手法

  • 部署 SoftEther 的 VPN 使用者端程式

    • Invoke-WebRequest PowerShell

    • Bitsadmin

    • certutil

  • 橫向移動

    • WinRM

    • WMIC

深度入侵手法

  • 避免建立的 VPN 連線被發現

    • 調查企業環境裡存在的 VPN 應用程式
  • 將 VPN 應用程式可執行檔重新命名成 Windows 元件的名稱

    • conhost.exe

      • Console Window Host Process
    • dllhost.exe

      • Component Object Model Surrogate
  • 濫用 SoftEther 的 VPN-over-HTTPS 模式

    • 使得相關網路流量被封裝成相容於 HTTPS 的資料

    • 透過 TCP 通訊協定 443 埠進行傳輸

    • 難以識別這種 VPN 連線與一般的 HTTPS 流量

  • 進一步利用

    • SoftEther 的 VPN 橋接功能

      • 網路攻擊流量路由到其他的受害系統

      • 網路掃描、漏洞掃描、弱點嘗試利用

後續利用

  • 竊取本機用戶的密碼雜湊值

    • Mimikatz

      • 本機安全認證子系統服務(LSASS)處理執行續占用的記憶體內容

      • 安全性帳號管理員(SAM)登錄檔設定的內容

  • 列舉系統還原功能的還原點

    • 了解受害電腦狀態

    • 抹除惡意活動的跡象

小試身手

Flax Typhoon 是從什麼時候開始發現其攻擊行動的?

  • A. 2020年

  • B. 2021年中

  • C. 2022年

  • D. 2023年

  • 答案

    • B

駭客在獲得初期存取部署了哪款 Web Shell?

  • A. BadPotato

  • B. Juicy Potato

  • C. China Chopper

  • D. Flax Shell

  • 答案

    • C

為了掩飾VPN流量,駭客通常將VPN應用程式的可執行檔重新命名為什麼?

  • A. Windows元件的名稱

  • B. Linux核心元件名稱

  • C. 系統預設應用程式名稱

  • D. 亂碼

  • 答案

    • A

駭客是通過什麼方式來控制受害者的遠端桌面?

  • A. 利用網路層身分驗證 (NLA)

  • B. 通過 VPN 橋接功能

  • C. 建立 RDP 並禁用 NLA

  • D. 通過電子郵件

  • 答案

    • C

駭客為了了解受害電腦的狀態會查看什麼?

  • A. 系統日誌

  • B. 資料庫記錄

  • C. 系統還原點

  • D. 網路流量記錄

  • 答案

    • C

上一篇
Day3 資安 Vtuber 讀新聞:演算法與密碼學 (GitLab Gitaly 全面支援 SHA-256 雜湊演算法)
下一篇
Day5 資安 Vtuber 讀新聞:車聯網安全 (福特證實車載資訊系統Sync3存在Wi-Fi元件漏洞)
系列文
資安 Vtuber 語野飛陪你讀新聞學資安知識30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言