最近邻攻击：俄罗斯APT组织的 Wi-Fi 隐秘攻击

本文讲述了一个发生在俄乌战争前夕的真实网络间谍案例，揭示了一个有创造力、足智多谋且目标明确的攻击者为了达到目的，愿意付出多大的努力。这种被称为 “最近邻攻击” 的新型攻击方式，堪称近距离攻击的 “远程遥控”，它巧妙地结合了近距离攻击的优势和远程操控的便捷性，使攻击者远在千里之外，却能如同身临其境般对目标网络进行攻击。

本文将深入分析攻击者在此次事件中使用的战术、技术和程序 (TTPs)，并详细解读 “最近邻攻击” 的运作机制，以及如何有效防御这种新型攻击。同时，我们还将探讨 “最近邻攻击”对网络安全防御体系的挑战，并提出一些应对策略，以期帮助我国政企组织和相关机构更好地防范此类攻击。

2022 年 2 月初，就在俄罗斯入侵乌克兰之前，美国AppSec 安全服务运营公司的一项发现，引发了他们经手过的最引人入胜也最复杂的事件调查之一。事情的起因是这样的：AppSec 在客户 "A 组织" 的网络中部署了一套自定义的入侵检测系统，该系统发出了一个警报，表明一个攻击者入侵了客户网络中的一台服务器。AppSec 迅速展开了调查，但随着调查的深入，他们遇到的问题越来越多，答案却越来越少。这是因为攻击者是一个技术非常高超、攻击动机很强的 APT 组织，而且他们使用了一种AppSec 从未见过的新型攻击方法。最终，AppSec 确定，这次攻击的幕后黑手是他们一直在追踪的俄罗斯 APT 组织——GruesomeLarch (该组织也被称为 APT28、Forest Blizzard、Sofacy、Fancy Bear 等)。AppSec 还发现，GruesomeLarch 攻击 A 组织的目的是为了窃取与乌克兰相关的情报，包括那些在乌克兰有专业技能的个人信息，以及正在进行的与乌克兰相关的项目资料。

经过一个半月的调查，AppSec 发现，GruesomeLarch 最终是通过连接到企业 Wi-Fi 网络入侵了 A 组织。这个黑客组织真是狡猾，他们采用了一种 "菊花链" 式的攻击方法，先入侵了距离 A 组织很近的几个组织，然后再一步步接近最终目标 A 组织。更令人惊讶的是，发动攻击的黑客距离受害者远隔重洋，有数千英里之遥！AppSec 表示，他们从未见过这种攻击方式，于是给它取了个形象的名字，叫做 “最近邻攻击”。

1. 最近邻攻击

考虑到攻击者和受害者之间巨大的物理距离，你可能会好奇，黑客究竟是如何连接到 A 组织的企业 Wi-Fi 网络的呢？答案很简单，首先，他们需要拿到有效的登录凭证。他们是通过对 A 组织网络上公开的服务进行密码喷洒攻击来验证凭证的。虽然这些凭证可以通过验证，但由于 A 组织的公共服务启用了多因素身份验证 (MFA)， 攻击者无法直接使用这些凭证登录。

然而，A 组织的企业 Wi-Fi 网络不需要 MFA，只需要有效的用户名和密码就能登录。但问题是，攻击者远在千里之外，根本无法连接到 A 组织的 Wi-Fi 网络。为了解决这个问题，他们想出了一个 “曲线救国” 的办法：入侵 A 组织办公室附近的其他机构。他们的策略是先入侵附近的组织，然后在这些组织的内部网络中横向移动， 寻找那些同时连接了有线网络和无线网络的 “双宿主” 系统。

一旦找到这样的“双宿主”系统，攻击者就可以通过有线网络连接访问该系统，然后启用系统自身的 Wi-Fi 适配器，连接到 A 组织的企业 Wi-Fi 网络，并使用之前获取的用户名和密码进行身份验证，从而成功入侵 A 组织的网络。

最近邻攻击的剖析如下所示。

这时候，如果你觉得这有点异想天开，那也完全可以理解。但是，AppSec 的调查结果表明，GruesomeLarch 确实成功入侵了 A 组织附近的多个机构。而且，他们真的在附近某个组织的网络中找到了一个 "双宿主" 系统，并成功入侵了它，然后通过这个系统连接到了 A 组织的企业 Wi-Fi 网络。

AppSec 认为这是一种从未被描述过的新型攻击，攻击者入侵一个组织，然后进行撞库攻击，试图入侵附近其他组织的 Wi-Fi 网络。需要再次强调的是，仅仅窃取到凭据并不能让攻击者访问目标网络，因为所有面向互联网的资源都启用了多因素身份验证 (MFA)。然而，Wi-Fi 网络并没有启用 MFA 保护，这意味着只要攻击者在 Wi-Fi 网络覆盖范围内，并且拥有有效的凭据，就能连接到目标网络。

2.幽灵一瞥

故事开始于 2022 年 2 月 4 日，AppSec 在其客户 A 组织的网络上检测到了可疑活动。事情的起因是，AppSec 开发了一个自定义的检测规则，用于监控 C:ProgramData 目录根目录下的文件写入和执行操作，而这个规则触发了警报。随着AppSec 的调查， 他们发现了以下活动：

• 名为 C:ProgramDataservtask.bat 的文件被创建并执行了。

• servtask.bat 文件调用了微软的命令行注册表工具和 PowerShell 来运行以下命令：

reg save hklmsam C:ProgramDatasam.savereg save hklmsecurity C:ProgramDatasecurity.savereg save hklmsystem C:ProgramDatasystem.savePowershell -c “Get-ChildItem C:ProgramDatasam.save, C:ProgramDatasecurity.save, C:ProgramDatasystem.save ^| Compress-Archive -DestinationPath C:ProgramDataout.zip”

AppSec 的威胁检测和响应团队立刻高度警惕起来，因为他们发现敏感的注册表配置单元 hive 已经被导出并压缩成一个 ZIP 文件。接下来的调查步骤很明确：团队立即对系统的 EDR（端点检测和响应）事件历史记录展开了更深入的调查，并准备部署AppSec Surge Collect Pro 来收集系统内存 (RAM) 和关键磁盘文件。

EDR 日志的分析，揭示了在最初发现之前和之后不久发生的一些有趣活动。AppSec 发现在上述活动发生之前，系统上发生了以下情况：

1. 一个非特权用户通过 RDP 登录到了服务器。

2. 一个名为 DefragmentSrv.zip 的文件出现在该用户的目录下，并使用系统上安装的图形界面版 WinRAR 解压缩。

3. 两个文件，DefragmentSrv.exe 和 DefragmentSrv.bat，也被写入并执行；最终导致了 servtask.bat 的写入和执行。

4. 一个名为wayzgoose52.dll 的文件被写入了一个伪造的目录 C:ProgramDataAdobev3.80.15456。

AppSec 急于收集这些文件，作为事件响应调查的一部分。但不幸的是，他们遇到了两个难题。第一个问题是，在收集系统内存的过程中，服务器突然关机了！这可不是什么好事，因为这意味着一些重要的易失数据丢失了，而这些数据本来可能对调查非常有用，比如，这些文件中的一些组件可能还驻留在内存中，如果服务器没有关机，我们就可以恢复并分析它们。尽管如此，AppSec  还是设法让服务器重新启动，并收集了一些硬盘上的文件，用于后续调查。然而，第二个问题是，AppSec 发现攻击者删除了所有之前识别出的文件和文件夹。不仅文件没了，AppSec 还发现攻击者运行了一个微软自带的工具，叫做 Cipher.exe，它可以安全地擦除文件，不留痕迹。虽然AppSec 以前也遇到过攻击者使用反取证技术来掩盖踪迹的情况，但这还是他们第一次见到有人使用 Cipher.exe 这个工具。

3.陷入僵局

在最初的事件之后，攻击者销声匿迹了一段时间。与此同时，AppSec 利用收集到的各种取证信息继续进行调查。然而，调查过程并非一帆风顺。首先，虽然AppSec 找到了一个连接到受害服务器的 IP 地址，但他们不清楚这个 IP 地址的来源，而且它已经离线了。其次，AppSec 在 A 组织的办公室部署了一个网络安全传感器，但传感器几乎没有记录到任何与攻击者相关的信息。通常情况下，这些步骤可以帮助我们快速明确调查方向，但这一次却都失败了，这让人非常沮丧。

在攻击者再次出现之前，调查一度陷入僵局。当攻击者再次活动时，AppSec 终于找到了一些答案。他们发现，攻击者使用的 IP 地址段属于 A 组织的企业 Wi-Fi 网络，而且该网络上的一个域控制器充当了 DHCP 服务器。然而，检查 DHCP 日志后，AppSec并没有找到与攻击者相关的 IP 地址记录。看来，另一个可能的线索也断了。

4.无线网络的线索

在进一步的调查中，AppSec 发现，A 组织使用一个无线控制器来管理其无线网络、接入点和所有相关基础设施。这个控制器会记录详细的日志，包括信号强度、连接设备、已认证用户账户等等。AppSec 获得了无线控制器的访问权限，这成为了案件的重大突破口。不久之后，他们就找到了攻击者的 IP 地址，并将其与一个已认证的域用户账户和一个 MAC 地址关联起来。

有了这些新信息，AppSec 开始检查 A 组织的 RADIUS 日志，并找到了与该用户和 MAC 地址相关的身份验证事件，这些事件与最初的入侵时间段重叠。然而，AppSec 还发现了其他身份验证事件，这些事件发生在 2022 年 1 月下旬，使用了相同的 MAC 地址，但用户名不同。他们发现，1 月份使用的那个账户的密码已经过期并被用户更新了，这导致攻击者无法再使用该账户登录。但是，攻击者在 2 月初又使用在无线控制器日志中发现的另一个账户重新入侵了系统。

这些新发现促使AppSec 检查 A 组织中一台服务器的日志，这台服务器提供了面向互联网的 Web 服务，并且支持身份验证。虽然该服务本身受到 MFA 的保护，但攻击者可以利用它来验证凭据是否有效。在检查这些日志后，AppSec 发现，在 1 月和 2 月，攻击者曾对这项服务进行过密码喷洒攻击，并成功破解了三个账户。其中两个账户正是AppSec 之前从无线控制器和 RADIUS 日志中发现的账户，而第三个账户则还没有被使用过。

现在，AppSec确定攻击者使用的是从面向互联网的服务暴力破解的无线凭据来连接到网络的。但是，攻击者究竟在哪里连接到企业 Wi-Fi 网络的呢？为了弄清楚这个问题，AppSec进一步分析了 A 组织的无线控制器数据， 确定了攻击者连接的具体无线接入点，并将其标记在地图上，地图上显示了建筑物的布局和楼层信息。AppSec 发现，攻击者连接的是位于大楼尽头、靠近街道窗户的一个会议室里的三个无线接入点。这让AppSec 第一次意识到， “入侵不是来自大楼内部”。难道是攻击者在大楼外的街道上进行的近距离攻击？各种可能性都考虑在内，但AppSec 很快就要找到真正的答案了。

5.不要相信任何人，尤其是你的邻居

在调查过程中，AppSec 与 A 组织合作，采取了各种补救措施，实施了反制措施，并改进了日志记录和网络可见性不佳的领域。这些改进措施最终让AppSec 在调查中取得了重大突破，弄清了到底发生了什么。

尽管 A 组织重置了包括那三个被破解账户在内的多个账户的密码，但是攻击者仍然持有有效的域凭证。攻击者再次连接到了 A 组织的企业 Wi-Fi 网络，但这一次，由于AppSec 已经加强了网络监控和日志记录，他们很快就发现了攻击者的活动。现在，AppSec 可以捕获 A 组织网络中所有 Wi-Fi 连接系统的完整网络数据包， 无论这些系统连接到内部网络的哪个位置。通过分析这些数据包，Volexity 发现攻击者的系统发送了 NetBIOS 名称服务 (NBNS) 查询， 泄露了它的计算机名称和它加入的活动目录域。根据这个活动目录域，AppSec 最终确定了攻击者的位置——就在街对面的 “B 组织”！

AppSec 联系了 B 组织，并与他们合作，对此事展开进一步调查。正是在这里，AppSec 最终揭开了攻击者是如何操作的，以及 “最近邻攻击” 的运作机制。在与 B 组织的合作下，Volexity 找到了连接到 A 组织 Wi-Fi 网络的那台系统。分析结果显示，攻击者首先使用特权凭证， 通过 RDP 从 B 组织网络中的另一台系统登录到这台 “双宿主” 系统。这台系统通过有线以太网连接到互联网，同时还配备了一个可以使用的 Wi-Fi 网络适配器。攻击者利用该系统，运行了一个自定义的 PowerShell 脚本，扫描附近的可用无线网络，然后使用之前破解的凭证连接到了 A 组织的企业 Wi-Fi 网络。该脚本中嵌入的 C# 代码的修订版可以在这里找到。

对 B 组织的系统进行进一步分析后，AppSec 发现攻击者有两种方式访问 B 组织的网络。第一种是使用凭证连接到他们的 VPN，而这个 VPN 并没有启用 MFA 保护。Volexity 还发现证据表明，攻击者曾从另一个附近的组织（“C 组织”）的网络连接到 B 组织的 Wi-Fi 网络。攻击者真是煞费苦心，入侵了多个组织，通过 “菊花链”式地连接 Wi-Fi 和/或 VPN，最终到达 A 组织的网络。Volexity 的团队成员既震惊又 relieved，他们终于找到了攻击手法和证据，解开了这个谜团。

根据 MAC 地址和 SSID 信息的分析，AppSec 确定了 C 组织的身份，并与他们取得了联系。然而，C 组织拒绝向AppSec 提供进一步调查所需的关键数据。尽管如此，所有这些发现已经让AppSec 完全掌握了攻击者的行动方式，并使团队能够自信地向 A 组织提出进一步的缓解措施和补救建议。至此，攻击者与 A 组织企业 Wi-Fi 网络的连接已被切断，此后他们再也没有出现过。

6.最后的狂欢：访客 Wi-Fi

一个月后，在采取了各种修复措施之后，AppSec 再次收到了警报，显示客户 A 组织的网络中出现了可疑活动。经过调查，AppSec发现，同一个攻击者又回来了！这次，攻击者通过多个内部系统进行代理连接。幸运的是，AppSec 迅速展开了调查，并一路追踪到攻击源头：A 组织访客 Wi-Fi 网络上的一台系统。

虽然访客 Wi-Fi 网络被认为与存储高价值目标数据的企业有线网络完全隔离，但实际上，有一个系统可以同时从 Wi-Fi 网络和企业有线网络访问。攻击者利用了这一点，使用之前尚未重置的账户凭证，成功连接到访客 Wi-Fi 网络，并通过这个系统，再次入侵了企业有线网络，最终获得了对高价值目标数据的访问权限。真是道高一尺，魔高一丈！

为了实现这个“桥接”，攻击者使用了 Windows 自带的 netsh 工具，设置了一系列端口转发，将流量从访客 Wi-Fi 网络转发到企业有线网络，从而访问目标系统。下面是攻击者使用的命令示例：

cmd.exe /C netsh advfirewall firewall add rule name="Remote Event Log Management SMB" dir=in action=allow protocol=tcp localport=12345 > C:WindowsTempMSI28122Ac.LOG 2>&1cmd.exe /C netsh interface portproxy add v4tov4 listenaddress=172.33.xx.xx listenport=12345 connectaddress=172.20.xx.xx connectport=445 > C:WindowsTempMSI2cBfA24.LOG 2>&1

通过分析 A 组织无线控制器的网络流量和日志，AppSec 再次确定了发起此次活动的源系统。他们发现，这次攻击者是从 C 组织的网络连接进来的。AppSec 再次联系了 C 组织，并与 A 组织合作，采取新的修复措施，解决了这次新的入侵。

自此之后，AppSec 再也没有观察到与 “最近邻攻击” 相关的攻击活动。

7.手法笔记

在入侵过程中，GruesomeLarch 主要采用 “就地取材” 的策略，利用微软的标准协议和工具进行横向渗透。以下部分将详细介绍在此次事件中观察到的一些攻击者的行为和技巧，这些信息可以用来检测 GruesomeLarch 或其他使用类似手法攻击者的活动。

Cipher.exe 的使用

入侵期间，攻击者删除了他们创建的文件，他们使用的是 Windows 系统自带的 Cipher.exe 工具：

以下命令被用来覆盖特定文件夹中已删除的数据：

cmd.exe /c cipher /W:C

微软官方对这个命令是这样描述的：

这意味着攻击者可以利用 Windows 系统自带的功能安全地删除他们的工具，而无需额外引入新的工具或自己编写代码，这使得取证分析人员恢复攻击者工具的难度大大增加了。

在这个案例中，攻击者非常小心且仔细地使用了 Cipher.exe 工具，所有被AppSec 识别出的写入磁盘的文件，后来都被这个工具删除了。值得注意的是， 在AppSec 处理过的众多事件响应案例中，他们此前从未发现攻击者使用这种技术来清除痕迹。

通过 VSSAdmin 导出 Ntds.dit 文件

攻击者还尝试通过创建卷影副本窃取活动目录数据库。这是一种很常见的技术手段，AppSec 过去几年已经见过很多次了。这种方法的流程已经被公开记录在案，在此次事件中，我们观察到了以下关键步骤：

• 创建卷影副本， 例如使用以下命令：

vssadmin create shadow /for C: /quiet

• 从卷影副本中检索 ntds.dit 文件和 SYSTEM 注册表配置单元的副本：

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsNTDSNTDS.dit [dest]copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsSystem32configSYSTEM [dest]

下载复制的文件。为了下载这些文件（文件相当大），攻击者使用 PowerShell 命令对其进行了压缩：

powershell -c "& { Add-Type -Assembly 'System.IO.Compression.FileSystem'; [IO.Compression.ZipFile]::CreateFromDirectory($path1', '$path2');}" > C:WindowsTempb2rMBPL.tmp 2>&1

杀毒软件和端点检测与响应 (EDR) 产品通常会检测这种行为，因为它可能是恶意的。但是，为了提高检测能力，组织还可以创建自定义的 EDR 签名，用于查找具有以下特征的特权账户：

• 任何 vssadmin.exe 的使用；

• 从 VolumeShadowCopy 目录复制或移动文件；

• 指示文件内联压缩的 PowerShell 命令。

数据渗透前的暂存

该事件中的大部分数据都被复制回了攻击者的系统（该系统连接到了 Wi-Fi 网络）。然而，在少数情况下，AppSec 观察到攻击者将数据暂存在面向公众的 Web 服务器上的目录中，然后再通过外部下载的方式渗透出去。

这是一种常见的攻击技术，AppSec 在各种入侵事件中都见到过。监控这种活动可能比较困难，但如果组织能够监控 Web 服务器上出现的意外文件，或者异常的大文件传输，就有机会检测到这种行为。确保 Web 服务器日志正常工作并保存下来，有助于事后调查。

8.溯源

起初，AppSec 无法确定这次入侵是哪个已知的威胁行为者所为。攻击者主要使用的是 “就地取材” 的技术手段，而且他们使用的工具和 IP 地址都很难追溯到具体的攻击者。然而，当AppSec 确定了攻击者的目标人物和目标内容后，他们立即怀疑这是一个俄罗斯的 APT 组织，但究竟是哪个组织呢？

2024 年 4 月，微软发布了一份关于Forest Blizzard（AppSec 称之为 GruesomeLarch）的研究报告，详细介绍了该组织使用的一个名为 GooseEgg 的后渗透工具。该工具被用于利用 CVE-2022-38028（微软 Windows 打印后台处理程序服务中的一个提权漏洞）的零日漏洞利用。在报告中，微软详细列出了该框架使用的几个关键文件名、文件夹路径和命令，特别是以下内容：

• Servtask.bat

• Wayzgoose52.dll

• DefragmentSrv.exe

• C:ProgramData[var]v%u.%02u.%04u

AppSec 在调查的事件中发现了完全相同的文件名和路径。微软的报告还显示了 servtask.bat 文件中的命令，这些命令与AppSec 在最初的入侵活动中看到的命令完全一致，即保存注册表配置单元并将其压缩到一个名为 out.zip 的文件中。然而，正如本文 “手法笔记”部分所述，这些文件已经被使用 Cipher.exe 工具安全删除了。

微软的报告指出，GooseEgg 至少从 2020 年 6 月开始使用，甚至可能早在 2019 年 4 月就已经投入使用。Volexity 可以确认该工具确实在 2022 年 2 月被使用过。此外，对 CVE-2022-38028 的利用也解释了最初的受害系统是如何被入侵的。由于微软指出 GooseEgg 工具是该组织特有的，因此，AppSec 高度确信本文中描述的攻击活动可以归因于 GruesomeLarch 组织。

这个真实的调查案例揭示了一个有创造力、足智多谋且目标明确的攻击者为了实现网络间谍目的，愿意付出多大的努力。“最近邻攻击”堪称近距离攻击的“远程遥控”，它保留了近距离攻击的优势，同时又消除了被现场抓获的风险。攻击者虽然远在千里之外，却能如同亲临现场一般，对目标网络进行攻击，既便捷又高效。

8.结论

使用“最近邻攻击”方法，攻击者可以像“搭桥”一样，从一个组织入侵到另一个组织，而且全程无需部署恶意软件，仅使用有效的用户凭据作为访问手段。为了避免被发现，攻击者专注于使用，从而避免部署恶意软件和被 EDR 产品检测到。

再说安全建议我国各政企组织机构需要更加重视 Wi-Fi 网络可能带来的安全风险。近年来，政府和企业在攻击面削减方面投入了大量精力，例如，通过 MFA 保护面向互联网的服务，或干脆移除这些服务。然而， Wi-Fi 网络的安全性却往往被忽视。现在，或许应该像对待 VPN 等其他远程访问服务一样，认真对待企业 Wi-Fi 网络的访问安全。

案例中，由于目标 Wi-Fi 系统的安全控制级别低于电子邮件或 VPN 等其他资源， 才导致了此次攻击。攻击者利用了这一点，即使远在千里之外，也成功地绕过了安全控制。他们的攻击设计思路如下：

使用最近邻攻击方法，攻击者能够从一个组织到另一个组织进行菊花链式攻击，而无需部署恶意软件，只需使用有效的用户凭据作为其访问方法即可。然后，攻击者专注于使用就地取材的技术手段来避免部署恶意软件并逃避 EDR 产品的检测。

为了预防或检测类似于本文中讨论的攻击，再说安全建议：

1. 监控并对环境中 netsh 和 Cipher.exe 实用程序的异常使用发出警报。

2. 创建自定义检测规则，查找从各种非标准位置（例如 C:ProgramData 的根目录）执行的文件。

3. 检测并识别从你的环境中运行的面向 Internet 的服务渗透的数据。

4. 为 Wi-Fi 网络和以太网有线网络创建单独的网络环境，尤其是在基于以太网的网络允许访问敏感资源的情况下。

5. 考虑提高 Wi-Fi 网络的访问要求，例如对身份验证应用多因素身份验证 (MFA) 要求，或采用基于证书的解决方案。

6. 监控设备之间的网络流量，识别通过 SMB 传输的包含常见渗透数据（凭据数据、ntds.dit、注册表配置单元等）的文件。

如果您觉得文章对您有所帮助，还请您关注我！

原文始发于微信公众号（再说安全）：最近邻攻击：俄罗斯APT组织的 Wi-Fi 隐秘攻击