警铃大作,队员们放下筷子,来不及擦嘴就集结上车,开往事故现场,扑灭危险,保护人们的生命财产……这样的场面,你肯定在电视里看过不少。
但很多人并不知道,在网络安全领域也有类似的“救火队员”角色——“应急响应团队”。
在现实世界里,他们看着就是一个个普通人,静静坐在电脑前,探着脑袋敲键盘,然而当视角转入赛博空间,他们用代码和黑客犯罪团伙拼杀,上演侦查与反侦查的场面。
今天这篇文章由微步应急响应团队投稿,我们润色了一下,试图用最通俗的语言还原一次“救火”过程,让更多人了解这个群体及背后的故事。
警报响起
屏幕上弹出一个应急响应工单,二狗子虎躯一震瞬间提神:“来活了啊,又是一个APT(高级持续性黑客攻击)。”
到达现场,经情报分析研判,所有IOC(入侵指标)都指向某个商业APT 团伙“W”(出于保护客户隐私等原因不便透露太具体,姑且先叫“W”),经过深度研判,该 IOC 属于最新狩猎到的关联情报。
这个团伙之前作案用的木马被捕获过,“作案前科”都收录在微步安全云里。
溯源木马背后的团伙
“伪供应链攻击”听起来高大上,其实很好理解——先找到一些运维人员常用的运维工具,比如 iterm2、navicat、snailsvn 、rinetd等等。
在程序里植入后门和木马。
锁定木马进程的“样貌”
就好比小偷伪装成保安或者物业人员,潜入大楼,以此躲避检查。
系统守护进程很多,怎么把伪装的给揪出来呢?二狗子想到一个比较快速的木马排查方法:排查PID。
PID是什么呢?
如果操作系统是一栋办公楼,进程是里头进进出出的人,PID就是人们第一次进大楼的打卡次序。
当一台电脑启动,第一个启动的进程PID就是0,第二进程PID就是1,第三个进程PID就是2……以此类推。
依照二狗子的经验:如果一个进程的PID大于300,却标榜自己是系统守护进程,就很可疑,大概率是伪装的。
因为系统守护进程总是优先启动的,就像一栋办公楼,最早来的肯定是负责开门的保安大爷、负责打扫的保洁大妈、负责开灯的物业人员。如果一个人中午才来上班,却说自己是负责开门的保安,那肯定有问题。
解析这个进程的详细信息,与本地测试关联样本一致(越看嫌疑越大)。
消失的进程
等到现场上机排查,二狗子发现客户机器上根本没有一个名叫[rcu_sched]的伪造系统守护进程。
???
二狗子懵了。
冥冥之中,脑海里传来一个声音指引着二狗子:
二狗翻开自己的“小本本”,里头详细记录着关于 Linux 预加载劫持链接库隐藏的方法和解法(不懂技术的读者感受一下就好):
木马功能分析
经过分析,这个进程名叫[rcu_sched] 的木马具有文件下载功能,和内核模块交互隐藏文件,新增 DNS,修改 DNS,删除文件、创建文件,隐藏进程等功能,具有反弹加密后的 shell 功能。
简单来说,就是隐藏自己,窃取数据,接受远程命令以及下载更新木马组件。
为了避免之后发生类似情况,二狗子也给客户提供一些安全加固的建议:
-
建议做好威胁检测联动阻断,同时有序做好内部网络区域权限划分隔离和资产管理。 -
建议实时或定期更新补丁/版本,并测试资产接口只对内部网络区域开放。 -
建议内部建立统一且唯一办公终端软件来源,且有关软件工具必须来源官网下载并做好安全审核(千万不要下载使用来历不名的软件了)。 -
做好内部安全设备运营。
哦原文始发于微信公众号(微步在线):应急响应日记 | 和APT黑客团伙斗智斗勇的一天
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论