E安全3月29日讯 FireEye公司的安全专家们发现,APT29网络间谍组织曾利用一系列当时尚不为IT安全社区所了解的前沿技术规避安全检测。
安全厂商FireEye公司正继续对APT29组织进行追踪(又名The Dukes、舒适熊以及Cozy Duke),并于本周一透露称,该网络间谍集团曾经利用一种名为“域名前移(domain fronting)”的技术提升对攻击活动进行归因的难度。
去年12月,Signal开发团队正式介绍了“域名前移”这一能够用于逃避审查机制的技术。
然而令人惊讶的是,APT29组织早在很久之前就已经开始使用此类技术,而当时IT安全社区对此几乎一无所知。
所谓域名前移技术,是一种依赖在不同应用层使用不同域名的方式逃避审查的技术手段。
根据加利福尼亚大学伯克利分校、Psiphon以及Brave
New
Software公司的研究人员们联合发表的一篇论文所言,域名前移技术能够“隐藏通信中的远程端点。域名前移作为应用层起效,其利用HTTPS与违禁主机进行通信,但表面上看起来却是在与其它主机通信,从而逃避安全审查。”
这份论文同时解释称,“其核心思路在于立足多个不同通信层使用不同域名。其中一个域名用于在HTTPS请求之外进行显示——即存在于DNS请求与TLS服务器名指示当中——而另一域名则为内部真实存在,即包含于HTTP主机标头内且受HTTPS加密保护而无法被审查机制所发现。在这种情况下,审查机制将无法判断指向该域名的前移及未前移流量,因此只能选择完全允许全部流量或者彻底屏蔽该域名——这无疑会造成昂贵的附加损害。”
这项域名前移技术易于部分及使用,且不需要由网络中继机制进行特殊操作。
APT29组织至少在两年之前就已经开始使用域名前移技术,黑客们利用Tor网络与受感染设备进行通信。为了将Tor流量伪造为合法流量,这群网络犯罪分子使用了Meek——一款专门用于实现域名前移技术的Tor插件,其允许用户在一条指向google.com的看似无害HTTPS
POST请求内发送实际指向Tor的流量。
FireEye公司发布的分析报告指出,“APT29The
Onion
Router(简称TOR)与TOR域名前移插件meek以创建一条隐藏的加密网络隧道,且后者看似是在通过TLS接入谷歌服务。这条隧道能够为攻击者提供利用终端服务(简称TS)、NetBIOS以及Server
Message
Block(简称SMB)服务对主机系统的远程访问能力,同时其流量看似指向合法网站。攻击者亦利用一项常见的Windows安全漏洞以在未经身份验证的情况下访问高权限命令shell。”
攻击者们利用一套PowerShell脚本外加一个.bat文件在目标系统上安装Tor客户端与Meek插件。
APT29组织利用Sticky Keys漏洞替换合法的Windows命令提示符(即cmd.exe)可执行文件,并在目标系统上获取一条具备SYSTEM级别权限的shell。通过这种方式,攻击者们得以执行其它多项命令,其中包括添加新的帐户。
分析报告进一步介绍称,“攻击者执行Powershell脚本C:\Program Files(x86)\Google\start.ps1以安装TOR服务并实现‘Sticky Keys’漏洞。此套脚本在执行后即被删除,且不可恢复。”
这套负责执行Sticky Keys漏洞的脚本亦被用于在目标设备上实现持久驻留,其会创建一项名为“Google Update”的Windows服务。
分析报告总结称,“通过采用这种公开的实现方案,他们能够隐藏自己的网络流量、最大程度降低研发需求并使用多种难于归因的入侵工具。要在网络之上成功检测到此类活动,需要查看TLS连接并检查实际网络签名。”
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
阅读(981) | 评论(0) | 转发(0) |