新聞來源：https://www.ithome.com.tw/news/158467
新聞名稱：臺灣企業組織遭到中國駭客Flax Typhoon寄生攻擊

基礎知識

Web Shell

• 網站型的後門，可以瀏覽該網頁控制網站的伺服器

China Chopper

• 中國菜刀，Web Shell 用來控制受害者的伺服器

• 大小僅有 4 KB

提升系統權限

• 從一般使用者的身分利用工具、漏洞提升到管理員權限

Juicy Potato 和 BadPotato

• 利用系統已知漏洞，用於提升系統權限的工具

網路層身分驗證（NLA）

• Windows 所使用的身分驗證

Windows 登錄檔

• 儲存軟體、硬體、使用者和作業系統的設定值

粘滯鍵（Sticky Keys）

• 按組合鍵不方便的使用者設定，如按 Shift 鍵 5 次

RDP （遠端桌面連線）

• Windows 內建遠端桌面工具，使用者可遠端存取電腦

LOLBins (Living Off The Land Binaries)

• 系統本身提供的合法二進制檔來執行惡意活動

• 合法工具來掩護非法行動

PowerShell

• Microsoft 中執行腳本的環境

• Invoke-WebRequest

  • 用來發送 HTTP 請求

Bitsadmin 和 certutil

• Windows 命令行工具

• 新增和監視檔案下載或上傳任務

• 常被惡意腳本用來下載惡意 payload

WinRM 和 WMIC

• Windows 管理工具和命令行工具

• 管理和執行系統命令

VPN-over-HTTPS

• HTTPS 協定來傳輸 VPN 流量

• VPN 流量可以更好地躲避檢測和封鎖

TCP 443

• 用於 HTTPS 通訊

• 通常不會被企業網路防火牆阻擋

Mimikatz

• 從 Windows記憶體中提取明文密碼和 hash 的工具

LSASS 和 SAM

• Windows 的系統元件，管理儲存系統和使用者的安全憑證

系統還原點

• 讓使用者恢復系統到一個先前的狀態

• 用途

  • 恢復系統錯誤

  • 病毒感染

事件整理

駭客組織與目標

• 組織

  • 中國駭客組織

  • Flax Typhoon

• 發現

  • 微軟

  • 2021 年中開始攻擊

• 臺灣政府、教育機構和企業

初步攻擊手法

• 初期

  • 已知漏洞

    • 取得存取權限

• 控制

  • Web Shell

    • 遠端控制系統

• 提權

  • Juicy Potato 和 BadPotato

    • 提升系統權限

濫用開源 VPN 應用程式

• 跳脫他們設計的 RDP 只能存取內部網路的限制

• 寄生攻擊（LOLBins）手法

• 部署 SoftEther 的 VPN 使用者端程式

  • Invoke-WebRequest PowerShell

  • Bitsadmin

  • certutil

• 橫向移動

  • WinRM

  • WMIC

深度入侵手法

• 避免建立的 VPN 連線被發現

  • 調查企業環境裡存在的 VPN 應用程式

• 將 VPN 應用程式可執行檔重新命名成 Windows 元件的名稱

  • conhost.exe

    • Console Window Host Process

  • dllhost.exe

    • Component Object Model Surrogate

• 濫用 SoftEther 的 VPN-over-HTTPS 模式

  • 使得相關網路流量被封裝成相容於 HTTPS 的資料

  • 透過 TCP 通訊協定 443 埠進行傳輸

  • 難以識別這種 VPN 連線與一般的 HTTPS 流量

• 進一步利用

  • SoftEther 的 VPN 橋接功能

    • 網路攻擊流量路由到其他的受害系統

    • 網路掃描、漏洞掃描、弱點嘗試利用

後續利用

• 竊取本機用戶的密碼雜湊值

  • Mimikatz

    • 本機安全認證子系統服務（LSASS）處理執行續占用的記憶體內容

    • 安全性帳號管理員（SAM）登錄檔設定的內容

• 列舉系統還原功能的還原點

  • 了解受害電腦狀態

  • 抹除惡意活動的跡象

小試身手

Flax Typhoon 是從什麼時候開始發現其攻擊行動的？

• A. 2020年

• B. 2021年中

• C. 2022年

• D. 2023年

• 答案

  • B

駭客在獲得初期存取部署了哪款 Web Shell？

• A. BadPotato

• B. Juicy Potato

• C. China Chopper

• D. Flax Shell

• 答案

  • C

為了掩飾VPN流量，駭客通常將VPN應用程式的可執行檔重新命名為什麼？

• A. Windows元件的名稱

• B. Linux核心元件名稱

• C. 系統預設應用程式名稱

• D. 亂碼

• 答案

  • A

駭客是通過什麼方式來控制受害者的遠端桌面？

• A. 利用網路層身分驗證 (NLA)

• B. 通過 VPN 橋接功能

• C. 建立 RDP 並禁用 NLA

• D. 通過電子郵件

• 答案

  • C

駭客為了了解受害電腦的狀態會查看什麼？

• A. 系統日誌

• B. 資料庫記錄

• C. 系統還原點

• D. 網路流量記錄

• 答案

  • C