今年早些时候，Mandiant调查了多起与Pulse Secure（保思安）相关的网络攻击事件，黑客利用Pulse Secure VPN设备中存在的已知和未知漏洞，对世界各地国防、政府和金融机构的展开入侵行为。侵入Pulse Secure VPN设备的恶意软件家族有12个之多，一部分利用了Pulse Secure在2019年和2020年披露的漏洞，另一部分则利用了2021年4月刚发现的漏洞CVE-2021-22893，可能涉及多个攻击组织。

这其中就包括对美国国防工业基地(DIB)展开攻击的黑客组织UNC2630，他们从Pulse Secure VPN中收集用户登录凭据，利用合法帐户凭据进行横向移动。为了保持对受感染网络的持久性，还使用了经过修改的、合法的Pulse Secure二进制文件和脚本，并利用其完成以下任务：

· 使用恶意代码对共享库进行木马化，以记录凭据并绕过身份验证流程，包括多因素身份验证要求。我们将这些木马程序集跟踪为SLOWPULSE及其变体。

· 将RADIALPULSE和PULSECHECK webshell注入到可通过Internet访问的合法Pulse Secure VPN设备管理网页中。

· 在只读和读写模式之间切换文件系统，以允许对典型的只读文件系统进行文件修改。

· 维护由管理员执行的跨VPN设备的常规升级的持久性。

· 在绕过检测后，删除已修改的文件、实用程序和脚本。

· 使用THINBLOOD实用程序清除相关日志文件。

在2021年3月的攻击事件中，另一个位于欧洲的攻击组织UNC2717使用了恶意软件RADIALPULSE，PULSEJUMP和HARDPULSE，而UNC2630在对美国DIB的攻击中则没有用到PULSEJUMP或HARDPULSE，虽然UNC2717所使用的恶意软件家族与UNC2630使用的其他恶意软件之间具有相同的特征和类似的目的，但还是缺乏关键证据将UNC2630或UNC2717相关联，有可能他们背后有其他团伙在负责开发和传播，与其对接的也可能不止这两个攻击组织。

目前Pulse Secure的母公司Ivanti已发布了针对这些恶意软件家族所利用漏洞的缓解措施，以及Pulse Connect安全完整性工具，以帮助确定系统是否受到了影响。

SLOWPULSE

在对UNC2630的活动进行调查期间，我们发现了一个被标记为SLOWPULSE的新型恶意软件家族。该恶意软件被用作对合法Pulse Secure文件的修改，以绕过或记录合法Pulse Secure共享对象libdsplibs.so中的身份验证凭据。当前的四个版本中有三个可以绕过双因素身份验证。

SLOWPULSE变种1

此变种负责绕过LDAP和RADIUS-2FA身份验证流程。检查每个协议的关联例程开始时使用的登录凭据，如果攻击者提供的密码与后门密码匹配，则强制执行身份验证补丁。

LDAP身份验证绕过：由例程DSAuth::LDAPAuthServer::authenticate开始LDAP认证过程。此变种在例程后插入了对后门密码的检查，可以有条件地将返回值截住来绕过身份验证。

图1：LDAP身份验证绕过

RADIUS双因素验证绕过：由例程DSAuth::RadiusAuthServer:: checkusernampassword开始RADIUS-2FA身份验证过程。在从身份验证服务器收到RADIUS数据包后插入针对后门密码的检查，如果攻击者提供了后门密码，则数据包类型和认证成功状态标志将被覆盖。

图2：Radius-2FA身份验证绕过

SLOWPULSE变种2

ACE双因素认证凭据记录：此变种记录在ACE-2FA身份验证过程DSAuth :: AceAuthServer :: checkUsernamePassword中使用的凭据。该变种不是绕过身份验证，而是将用户名和密码记录到文件中，以供攻击者以后使用。

图3：ACE Auth凭证日志

SLOWPULSE变种3

ACE双因素授权绕过：此变种负责绕过以DSAuth :: AceAuthServer :: checkUsernamePassword开头的ACE-2FA登录过程。如果攻击者提供了后门密码，则修改认证过程的流程，以绕过负责验证用户名和密码的例行程序。

图4：ACE身份验证绕过

SLOWPULSE变种4

RealmSignin双因素认证绕过：这个变种能绕过Pulse Secure VPN的RealmSignin::runSecondaryAuth过程。通过修改登录过程中特定步骤的执行来欺骗身份验证。

图5:RealmSignIn 2FA认证绕过

归因

Mandiant正处于收集证据和属性评估的早期阶段，有归类出以下线索：

2020年8月至2021年3月，UNC2630入侵了美国DIB公司，使用的恶意软件家族包括：SLOWPULSE，RADIALPULSE，THINBLOOD，ATRIUM，PACEMAKER，SLIGHTPULSE和PULSECHECK。

2020年10月至2021年3月，UNC2717以全球政府机构为目标渗透，使用的恶意软件家族包括：HARDPULSE，QUIETPULSE和PULSEJUMP。

UNC2630所用到的基础设施、工具和网络行为似乎都是独一无二的，没有在任何其他活动中检测到的迹象。Mandiant暂时无法将其归因于任何现有的APT组织，但如果以攻击目标来看，研究人员推测其可能与APT5有关。APT5主要针对欧美等国的国防和技术公司。

至于UNC2717，所得信息更少，无法对其归因。

更多技术细节请参见：https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

参考及来源：https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html