揭秘：俄罗斯黑客组织利用最近邻攻击入侵美国目标网络

最近邻攻击：俄罗斯APT如何利用

附近的Wi-Fi网络进行秘密访问

关键要点

• 俄罗斯APT组织GruesomeLarch部署了一种新的攻击技术，利用靠近目标的Wi-Fi网络。

• 威胁行为者主要利用的是“离地攻击”技术。

• 使用零日权限提升来进一步获取访问权限。

• 在俄乌战争爆发前，与乌克兰相关的工作和项目成为这次袭击的目标。

2022年2月初，尤其是在俄乌战争爆发前，Volexity发现了一个问题，并因此开展了Volexity有史以来最有趣、最复杂的事件调查之一。调查始于Volexity在客户站点（“组织A”）部署的自定义检测签名发出的警报，该警报表明威胁行为者已经入侵了客户网络上的服务器。虽然Volexity迅速调查了威胁活动，但由于APT组织行为者非常积极主动且技术娴熟，他使用了一种Volexity以前从未遇到过的新型攻击媒介，因此提出的问题比答案还多。在调查结束时，Volexity将该漏洞与其追踪的俄罗斯威胁行为者GruesomeLarch（公开名称为APT28、Forest Blizzard、Sofacy、Fancy Bear等）联系起来。Volexity进一步确定，GruesomeLarch正在积极瞄准组织A，以收集具有乌克兰专业知识和积极参与乌克兰项目的个人的数据。

一个半月的调查表明，GruesomeLarch最终通过连接到A组织的企业Wi-Fi网络侵入了该组织的网络。威胁者通过菊花链方式，侵入了目标A组织附近的多个组织。这是由一个距离受害者数千英里、隔着大洋的威胁行为者完成的。Volexity不知道任何描述这种攻击方式的术语，并将其称为“最近邻攻击”（Nearest Neighbor Attack）。

考虑到假设的物理距离，你可能想知道这个威胁行为者究竟是如何能够向组织A的企业Wi-Fi网络进行身份验证的。首先也是最明显的是需要有效的凭证。这是通过对组织A网络上面向公众的服务进行密码喷洒攻击来验证凭证来实现的。虽然可以验证凭证，但由于实施了多因素身份验证（MFA），因此无法将其用于组织A的公共服务。

但是，企业Wi-Fi网络不需要MFA，只需要用户的有效域用户名和密码即可进行身份验证。与此同时，威胁行为者远在天涯海角，无法真正连接到组织A的企业Wi-Fi网络。为了克服这一障碍，威胁行为者试图入侵组织A办公室附近建筑物内的其他组织。他们的策略是入侵另一个组织，然后在该组织内横向移动，以找到他们可以访问的双宿主系统（即同时具有有线和无线网络连接）。

一旦成功完成此操作，威胁行为者就会找到通过有线以太网连接到网络的系统，然后访问该系统并使用其Wi-Fi适配器。此时，他们会连接到组织A的企业Wi-Fi的服务集标识符（SSID）并进行身份验证，从而获得访问组织A网络的权限。

“最近邻攻击”剖析如下所示。

“最近邻攻击”：攻击者入侵与针对目标物理距离较近的基础设施； 识别出双宿主系统并且攻击者启用Wi-Fi；攻击者使用受损的凭据连接到实际预期目标的网络。

此时，如果你觉得这听起来有点牵强，这是可以理解的。然而，Volexity发现GruesomeLarch成功入侵了组织A附近的多个组织。他们还能够找到并入侵附近组织的双宿主系统，从而使他们从该入侵系统连接到组织A的企业Wi-Fi网络。

Volexity认为，这代表了一种以前从未描述过的新型攻击，威胁者入侵一家组织并执行凭证填充攻击，以便通过Wi-Fi网络入侵物理距离较近的其他组织。需要重申的是，仅凭这些凭证的入侵并不能获得对客户环境的访问权限，因为所有面向互联网的资源都需要使用多因素身份验证（MFA）。但是，Wi-Fi网络不受MFA保护，这意味着靠近目标网络和有效凭证是连接的唯一要求。

本文旨在阐明Volexity在事件调查中观察到的策略、技术和程序（TTP），并详细介绍了“最近邻攻击”的工作方式及其缓解方法。

这个故事始于2022年2月4日，当时Volexity在其客户组织A的网络上检测到可疑活动。此检测是在Volexity开发的自定义签名触发警报后进行的，该签名用于查找正在写入目录根目录并在目录根目录外执行的文件C:ProgramData。在Volexity调查时，它发现发生了以下活动：

1. 一个名为C:ProgramData

   servtask.bat的文件已被写入并执行。

2. 一个名为servtask.bat的文件调用了Microsoft命令行注册表实用程序和PowerShell来运行以下命令：

• regsavehklmsamC:ProgramDatasam.save

• regsavehklmsecurityC:ProgramDatasecurity.save

• regsavehklmsystemC:ProgramDatasystem.save

• Powershell-c“Get-ChildItemC:Program Datasam.save,C:ProgramDatasecurity.save,C:ProgramDatasystem.save^|Compress-ArchiveDestination PathC:ProgramData out.zip”

这立即让Volexity威胁检测和响应团队处于高度警惕状态，因为他们看到敏感的注册表配置单元被导出并压缩成ZIP文件。调查的下一步现在很明确：团队立即深入研究系统的端点检测与响应（EDR）事件历史，并准备了一个软件包来部署Volexity Surge Collect Pro来收集系统内存（RAM）和关键磁盘工件。

对EDR日志的审查提供了一些有趣的见解，可以了解最初发现前后不久的活动。Volexity发现在上述活动发生前，系统上发生了以下情况：

• 通过远程桌面协议（RDP）使用服务器上的一个非特权用户账户进行登录。

• 一个名为DefragmentSrv.zip的文件出现在系统中该用户的目录下，并使用系统中的WinRAR的GUI版本解压。

• DefragmentSrv.exe和

  DefragmentSrv.bat两个文件也被写入并执行；该链最终导致了的写入和执行servtask.bat。

• 一个名为wayzgoose52.dll的文件

  也被写入位于C:ProgramData

  Adobev3.80.15456的虚假目录中。

作为事件响应调查的一部分，Volexity非常希望收集这些文件。不幸的是，团队遇到了两个主要问题。第一个问题是，在收集系统内存的过程中，系统被关闭了。这不是理想的情况，因为它导致易失性数据丢失，而这些数据可能对调查有用。这些文件的组件可能仍驻留在内存中，并允许恢复和分析它们。尽管遭遇了这一挫折，Volexity还是能够重新启动服务器，并仍然收集取证文物来支持调查。然而，第二个问题是Volexity发现攻击者删除了所有已识别的文件和文件夹。不仅文件不见了，Volexity还发现攻击者运行了一个名为的Microsoft本机实用程序Cipher.exe，该实用程序通过安全地擦除文件来掩盖痕迹。虽然这不是Volexity第一次遇到攻击者使用反取证方法掩盖痕迹，但这是Volexity第一次看到攻击者使用该Cipher.exe实用程序完成这一操作。

调查死胡同

在最初的事件发生后，攻击者暂时隐匿了一段时间。与此同时，Volexity利用收集到的各种取证材料继续调查。调查过程中遇到了一些挑战。首先，Volexity能够识别连接到受害服务器的IP地址，但目前尚不清楚它与什么相关，而且该地址已不再在线。此外，Volexity在组织A的办公室部署了一个网络安全传感器，但上面几乎没有任何关于攻击者的记录。调查中通常可以立即提供清晰度和后续步骤的几个步骤令人沮丧地一无所获。

在攻击者重新出现前，调查一度陷入停滞。当攻击者再次出现时，Volexity得到了一些答案。Volexity了解到攻击者来自的IP地址段与组织A的企业Wi-Fi网络相关联，并且网络上的其中一个域控制器充当动态主机配置协议（DHCP）服务器。然而，在检查DHCP日志后，没有记录Volexity与攻击者关联的IP地址。另一个可能的线索是另一个死胡同。

无线赎取

进一步调查后，Volexity了解到该组织有一个无线控制器，用于管理其无线网络、接入点和所有相关基础设施。该控制器还保存了与信号强度、连接设备、经过身份验证的用户账户等相关的详细日志。Volexity获得了对无线控制器的访问权，并在调查中取得了第一个重大突破。在获得无线控制器的访问权后不久，Volexity就能够找到攻击者的IP地址并将其与经过身份验证的域用户和MAC地址联系起来。

有了这些新信息，Volexity能够检查组织A的远程身份验证拨入用户服务（RADIUS）日志并找到与刚刚发现的用户和MAC地址相关的身份验证事件。相同的MAC地址和用户账户出现在与初始入侵重叠的旧日志中。然而，Volexity发现了可追溯到2022年1月下旬的其他身份验证事件，这些事件具有相同的MAC地址和不同的用户名。Volexity了解到，从1月份观察到的账户的密码已过期并已被用户更新。这显然将攻击者锁定在该账户外，但他们能够在2月初使用从无线控制器观察到的账户回归。

这一新信息促使Volexity检查了组织A的一个系统的日志，该系统提供可进行身份验证的面向互联网的Web服务。该服务本身受到MFA保护，但它可用于验证凭据是否有效。在检查这些日志后，Volexity发现，在1月和2月，该服务曾遭受过密码喷洒攻击，攻击者成功入侵了3个帐户。在识别出的3个帐户中，有2个是Volexity从无线控制器和远程身份验证拨入用户服务（RADIUS）日志中识别出的。第3个账户尚未使用。

Volexity现在确定攻击者正在通过他们从面向互联网的服务中暴力破解的无线凭证连接到网络。但是，一开始并不清楚攻击者的物理位置，因此无法连接到企业Wi-Fi。进一步分析组织A的无线控制器提供的数据，可以显示攻击者正在连接哪些特定的无线接入点，并将它们叠加在标有建筑物的布局和具体楼层的地图上。Volexity可以发现攻击者正在连接到位于建筑物远端靠近街道窗户的会议室中的3个无线接入点。这为Volexity提供了第一个证据，证明“呼叫不是来自建筑物内部”。这可能是攻击者从外面的街道进行近距离访问操作吗？没有排除任何可能，但Volexity距离发现真正的答案并不遥远。

不要相信任何人，尤其是你的邻居

在此次调查过程中，Volexity与组织A合作采取了各种补救措施，实施了对策，并对日志记录和网络可见性不够理想的各个领域进行了改进。这样做最终使Volexity在调查中取得了重大突破，并弄清楚了到底发生了什么。

尽管重置了各种凭据，包括从密码喷洒攻击中识别出的3个账户，攻击者仍然拥有有效的域凭据。攻击者再次重新获得了对组织A的企业Wi-Fi的访问权限，但由于可见性和日志记录现已到位，Volexity迅速采取行动。Volexity现在能够从组织A网络中涉及Wi-Fi连接系统的所有活动中提取完整的数据包捕获，无论它们内部连接到何处。对此数据包捕获的分析显示，攻击者的系统已发出NetBIOS名称服务（NBNS）查询，这些查询显示了其计算机名称和它加入的活动目录域。这个活动目录域准确地揭示了攻击者的连接位置，原来是一个位于街对面的组织（“组织B”）。

Volexity成功联系到组织B，并与他们合作进一步调查此事。Volexity最终发现了攻击者的操作方式以及最近邻居攻击的工作原理。在与组织B的协调下，Volexity找到了连接到组织A的Wi-Fi的系统。对此系统的分析表明，攻击者使用特权凭据通过远程桌面协议（RDP）从组织B网络内的另一个系统连接到该系统后，该系统遭到了入侵。该系统是双宿主的，通过有线以太网连接到互联网，但它也有一个可以同时使用的Wi-Fi网络适配器。攻击者找到了这个系统，并使用自定义PowerShell脚本检查其无线范围内的可用网络，然后使用他们窃取的凭据连接到组织A的企业Wi-Fi。自定义PowerShell脚本中嵌入的C#代码的删节版可在此处获得（https://github.com/volexity/threat-intel/blob/main/2024/2024-11-22%20 GruesomeLarch/wifi_ps1_redacted.cs）。

对组织B系统的进一步分析显示，入侵者有两种访问其网络的方式。第一种是使用允许他们连接到未受MFA保护的VPN的凭据。Volexity还发现证据表明攻击者曾从另一个附近组织（“组织C”）的另一个网络连接到组织B的Wi-Fi。攻击者不遗余力地攻破多个组织，以便他们能够通过菊花链式Wi-Fi和/或VPN连接最终到达组织A的网络。Volexity的团队感到震惊，但也松了一口气，因为他们现在有了关于这次攻击如何发生的解释和证据。

Volexity能够根据对MAC地址和服务集标识符（SSID）信息的分析确定组织C的身份，并与他们取得联系。然而，组织C选择不向Volexity提供进一步调查所需的关键数据。无论如何，所有这些发现让Volexity全面了解了攻击者的操作，并让团队有信心向组织A推荐进一步的缓解和补救措施。此时，攻击者与组织A的企业Wi-Fi的访问权限被切断，此后再也没有观察到他们连接到该网络。

最后的欢呼：访客Wi-Fi

在最后一次观察到威胁行为者活动发生一个多月后，在采取了各种补救措施后，Volexity又收到另一条警报，表明其客户组织A的网络中存在可疑活动。在调查该活动后，Volexity发现同一威胁行为者已设法返回网络并通过多个内部系统进行代理。幸运的是，Volexity能够迅速调查此事件，并通过多个系统将其追溯到其起源：组织A的访客Wi-Fi网络上的系统。

虽然人们认为访客Wi-Fi网络与存放高价值目标数据的公司有线网络完全隔离，但有一个系统可从Wi-Fi网络和公司有线网络访问。利用尚未重置的账户凭据以及Wi-Fi网络并非完全隔离的事实，攻击者能够重新进入公司有线网络并最终重新获得对高价值目标数据的访问权。

为了实现这一转变，攻击者使用Windows实用程序netsh设置了一系列端口转发，使他们能够到达目标系统。下面提供了用于此目的的示例命令：

通过分析组织A的无线控制器的网络流量和日志，可以再次确定发起此活动的源系统。Volexity发现攻击者这次是从组织C连接的。Volexity再次联系了组织C，并与组织A合作采取新的补救措施来解决这一新的入侵。

自从这项与访客Wi-Fi网络相关的最终活动以来，没有观察到Volexity可以将其与利用“最近邻攻击”的攻击者联系起来的活动。

GruesomeLarch在入侵过程中主要采取了“离地攻击”的方式，利用标准的Microsoft协议并横向移动。以下部分详细介绍了从该事件中观察到的一些情况，这些情况可用于检测GruesomeLarch或其他使用类似行为或技术的威胁行为者。

Cipher.exe的使用

在入侵过程中，攻击者利用内置的Windows工具（Cipher.exe随每个现代版本的Windows提供）删除了他们创建的文件：

以下功能用于覆盖特定文件夹中已删除的数据：

cmd.exe/ccipher/W:C

Microsoft文档对此进行了如下描述：

其结果是，攻击者能够使用原生Windows功能安全地删除他们的工具，而无需带来新工具或编写自己的代码，从而使取证分析师更难以恢复攻击者的工具。

本案中的攻击者在使用该工具时非常谨慎，Volexity识别出的每个已写入磁盘的文件随后都被该工具删除。值得注意的是，在Volexity的多次事件响应中，此前从未发现攻击者使用该技术进行清理。

通过VSSAdmin转储Ntds.dit

观察到的另一种策略是尝试通过创建卷影副本来窃取活动目录数据库。这是一种常见的技术，Volexity已经见过好几年了。工作流程有详细的公开记录，包括此事件中看到的以下关键组件：

• 创建卷影副本，例如以下内容：

  vssadmincreateshadow/forC:/quiet

• ntds.dit从卷影副本中检索文件副本和SYSTEM注册表配置单元：

  copy\?GLOBALROOTDeviceHarddisk VolumeShadowCopy1WindowsNTDSNTDS.dit[dest]

  copy\?GLOBALROOTDeviceHarddisk VolumeShadowCopy1WindowsSystem32configSYSTEM[dest]

• 下载复制的文件。为了下载这些文件（相当大），攻击者使用PowerShell命令对其进行了压缩：

  powershell-c"&{Add-Type-Assembly' System.IO.Compression.FileSystem';[IO.Compression.ZipFile]::CreateFromDirectory($path1','$path2');}">C:WindowsTempb2rMBPL.tmp2>&1

防病毒和端点检测与响应（EDR）产品可能会自然地将此行为检测为潜在的恶意行为。但是，为了获得更多检测机会，组织可以创建自定义EDR签名来查找具有以下特征的特权账户：

• 任何使用vssadmin.exe

• 从VolumeShadowCopy目录复制或移动文件

• 指示文件内联压缩的PowerShell命令

暂存数据以进行渗漏

此次事件中的大部分数据都被复制回了攻击者的系统，该系统已连接到Wi-Fi。然而，在少数情况下，Volexity观察到攻击者将数据暂存在面向公众的Web服务器的目录中。然后这些文件通过外部下载被窃取。

这是Volexity发现攻击者在各种入侵行为中使用的一种常见技术。这种活动可能很难监控，但如果组织能够监控网络服务器上的意外文件或异常的大文件传输，就有机会检测到这种行为。如果没有其他办法，确保网络日志正常运行并被保存可以帮助后续调查。

最初，Volexity无法将这次入侵归咎于已知的威胁行为者。攻击者主要使用“离地攻击”技术，他们使用的任何工具或IP地址都让Volexity难以锁定可能的罪犯。然而，一旦Volexity能够确定内部目标是谁、针对什么，就会立即怀疑这是俄罗斯威胁行为者的活动，但究竟是哪一个呢？

随后，在2024年4月，微软发布了关于Forest Blizzard（Volexity将其追踪为GruesomeLarch）的研究，详细介绍了威胁行为者使用的名为GooseEgg的入侵后工具。此工具被用于CVE-2022-38028的零日漏洞利用，这是Microsoft Windows Print Spooler服务中的一个特权提升漏洞。在其报告中，微软详细介绍了该框架使用的几个关键文件名、文件夹路径和命令，特别是以下内容：

• Servtask.bat

• Wayzgoose52.dll

• DefragmentSrv.exe

• C:ProgramData[var]v%u.%02u.%04u

在Volexity调查的事件中，我们观察到了这些确切的文件名和路径。微软的报告还显示了servtask.bat文件中的命令，这些命令与Volexity看到的完全相同，注册表配置单元被保存并压缩到out.zip以初始入侵活动命名的文件中。然而，正如本文“间谍技术笔记”部分所述，这些文件已使用该工具安全删除Cipher.exe。

微软的帖子指出，GooseEgg自“至少2020年6月，甚至可能早在2019年4月”就开始使用。Volexity可以确认该工具确实在2022年2月被使用。CVE-2022-38028的利用也解释了最初的受害者系统是如何被入侵的。根据该工具的使用情况（微软表示这是该威胁行为者独有的），Volexity高度确信，本文描述的活动可归因于GruesomeLarch。

Volexity的调查揭示了一个富具创造、足智多谋、积极主动的威胁行为者为了实现其网络间谍目标不惜一切代价。“最近邻攻击”实际上相当于近距离接触行动，但被物理识别或拘留的风险已被消除。这种攻击具有物理上接近目标的所有好处，同时允许操作人员远在天涯海角。

组织需要额外考虑Wi-Fi网络可能对其运营安全造成的风险。过去几年，组织在减少攻击面方面投入了大量精力，面向互联网的服务已通过MFA得到保护或完全移除。然而，组织却未必对Wi-Fi网络给予同等程度的关注。现在可能是时候像对待其他远程访问服务（如VPN）一样，以同样的谨慎和关注来对待企业Wi-Fi网络的访问了。

此次攻击发生的原因在于，目标Wi-Fi系统的安全控制级别低于其他资源（如电子邮件或VPN）。在本例中，攻击者想出了如何滥用这些控制措施，即使这些措施远远超出了其地理范围，他们使用的工作流程如下：

• 入侵位于目标地理附近的组织。

• 在该网络中找到一个双宿主系统，该系统同时具有以太网和Wi-Fi连接。

• 检查被访问的受感染双宿主系统范围内可用的Wi-Fi网络。

• 暴力破解与这些Wi-Fi网络相关的组织的凭证。

• 使用发现的凭证向物理相邻的Wi-Fi网络进行身份验证。

使用“最近邻攻击”方法，攻击者能够以菊花链方式从一个组织攻击到另一个组织，而无需部署恶意软件，仅使用有效的用户凭据作为访问方法。然后，攻击者专注于使用“离地攻击”技术来避免部署恶意软件并逃避端点检测与响应（EDR）产品的检测。

为全面预防或检测与本文中讨论的攻击类似的攻击，Volexity建议采取以下措施：

• 监视环境中netsh和Cipher.exe实用程序的异常使用并发出警报。

• 创建自定义检测规则来查找从各种非标准位置（例如 C:ProgramData 的根目录）执行的文件。

• 检测并识别环境中运行的面向互联网的服务的数据泄露。

• 为Wi-Fi和以太网有线网络创建单独的网络环境，特别是在基于以太网的网络允许访问敏感资源的情况下。

• 考虑加强Wi-Fi网络的访问要求，例如应用MFA要求进行身份验证或基于证书的解决方案。

• 监控设备间的网络流量，以识别通过服务器消息块（SMB）传输的包含常见泄露数据（凭证数据、ntds.dit注册表配置单元等）的文件。