伊朗攻击组织持续攻击VPN服务器并在目标网络中植入后门

天地和兴 昨天



伊朗攻击组织攻击Pulse Secure、Fortinet、Palo Alto Networks和Citrix的VPN服务器以入侵大型公司。




编者按

2019年是许多企业使用的VPN服务器中暴露重大安全漏洞较多的一年,例如Pulse Secure、Palo Alto Networks、Fortinet和Citrix的提供的VPN服务器。以色列网络安全公司ClearSky今年2月16日发布的报告显示,伊朗政府支持的攻击组织在去年首次利用VPN漏洞渗透到世界各地的许多公司中,并在这些公司网络中植入了后门。攻击组织主要瞄准了IT、电信、石油和天然气、航空、政府和安全行业类的公司。报告结合MITRE的ATT@CK威胁框架对攻击活动的TTPs进行了深入分析,根据已有证据对攻击组织进行了归因,特别是强调了攻击者利用漏洞的快速能力、协同攻击战术、开源和定制恶意软件和渗透工具的能力、可能实施数据清除的风险等。特别要引起注意的是,攻击组织老练的手法和成熟的流程,从初始突破、开发和维护通往目标组织的访问路径、窃取目标组织的敏感信息、保持长期潜伏能力到利用供应链攻陷其他公司,其攻击基础设施逐步扩展丰富。这种攻击手法对安全防御者提出了很大的挑战,正如报告中报述,“在被攻陷的网络中识别出攻击者所需的时间很长,在几个月之间甚至遥遥无期。组织现有的监控能力要想识别和阻止通过远程通信工具进来的攻击者,相当困难甚至不可能”。


一、概述

2019年最后一个季度,以色列ClearSky研究团队发现了广泛的伊朗网络攻击活动,称之为“狐狸小猫战役”(Fox Kitten Campaign)。攻击活动在过去三年中针对以色列和世界各地的数十家公司和组织进行。通过这些活动,攻击者成功获得了来自全球IT、电信、石油和天然气、航空、政府和安全行业的众多公司和组织的网络访问权和持久的立足点。
报告中披露的攻击活动是迄今为止伊朗进行的最连续、最全面的活动之一。除恶意软件外,还包含整个基础设施,以确保长期控制和维持攻击者选择下一个攻击目标的能力。已披露的攻击活动被用作侦察的基础设施,当然,它也可以用作新的攻击平台,以传播和激活与APT34相关联的破坏性恶意软件(如ZeroCleare和Dustman)。
在ClearSky的分析中,发现该活动的基础设施与伊朗进攻性组织APT34-OilRig的活动之间存在中高概率的重叠。此外,ClearSky团队以中等概率确定了该活动与APT33-Elfin和APT39-Chafer组织之间的联系。工业网络安全厂商Dragos首先揭露了该攻击活动,并将其命名为“ Parisite”,并归因于APT33。
ClearSky还以中等概率确定伊朗网络攻击组织(APT34和APT33)自2017年以来一直在合作,尽管已经给以色列和世界各地的许多公司透露了攻击者的基础设施。
攻击活动的基础设施主要用于:
  • 开发和维护通往目标组织的访问路径
  • 窃取目标组织的敏感信息
  • 在目标组织中保持长期潜伏能力
  • 通过供应链攻击攻陷其他公司
攻击活动使用了各种进攻性工具,其中大多数是基于开放源代码的,而有些是自行定制开发的。
在大多数情况下,最初攻击目标组织的方法是利用不同VPN服务中的1-day漏洞,例如:Pulse Secure VPN、Fortinet VPN和Palo Alto Networks的Global Protect。在初始突破目标之后,攻击者试图通过打开各种通信工具来维持对网络的访问,包括通过SSH隧道打开RDP链接,以伪装和加密与目标的通信。在最后阶段,成功渗透到组织后,攻击者执行了常规过程,即从每个目标组织中识别、检查和筛选敏感、有价值的信息。有价值的信息被发送回攻击者,以进行后续侦察、间谍活动或进一步感染连接的网络。

图1 攻击目标网络的关键步骤

在报告中,ClearSky通过将攻击的TTPs与MITER ATT&CK模型进行匹配,以调查攻击活动中的不同阶段和各种工具。报告的第一部分简短回顾在已攻陷组织中发现或上传到公共存储库中供分析的攻击工具。在整个攻击过程中,没有发现连贯的情况。攻击者更改了他们的作案手法,因此不一定在其按时间顺序排列的攻击中提供这些工具。后续各章中,扩展分析了攻击工具所使用的技术和方法。之后溯源分析,将其归因于不同的APT组织。最后给出了一些建议和IoC信息。


二、主要发现

ClearSky的主要见解有如下几点:
  • 在过去的三年中,伊朗的APT组织成功地渗透和窃取了来自全球数十家公司的信息。
  • 伊朗APT组织在过去三年中使用的最成功、最重要的攻击向量是利用未打补丁的VPN和RDP服务的系统中的已知漏洞(1-day漏洞),窃取并控制了关键的公司数据存储设施。
  • 此攻击向量并非伊朗APT组织专有的,它已成为网络犯罪团伙、勒索软件攻击组织和其他由国家发起的攻击组织的主要攻击向量。
  • 通过利用VPN和其他远程系统(例如Citrix中最新的漏洞)中的新漏洞,估计此攻击向量在2020年也很引入注目。
  • 伊朗APT组织已经形成了良好的技术进攻能力,并且能够在相对短的时间内(从几小时到一两周不等)利用1-day漏洞。
  • 自2017年以来,ClearSky注意到伊朗APT组织,尤其关注那些为数千家公司提供广泛服务的IT公司。与这些IT公司建立联系特别有价值,因为通过它们可以与其他公司的网络建立联系。
  • 在攻陷组织之后,攻击者通常会通过安装和创建更多访问公司核心网络的访问点来维持足够的立足点和操作冗余。这样,就能够确保被识别和关闭一个立足点并不一定会失去在网络内部进行操作的能力。
  • ClearSky以中等高的概率确定伊朗的APT组织(APT34和APT33)共享了攻击基础设施。更进一步,它可能是一个APT组织,只不过近年来被研究人员人为标记为两个或三个单独的APT组织。
  • 在被攻陷的网络中识别出攻击者所需的时间很长,在几个月之间甚至遥遥无期。组织现有的监控能力要想识别和阻止通过远程通信工具进来的攻击者,相当困难甚至不可能。

ClearSky团队特别感谢Dragos公司的研究人员,他们发现了该活动的最初迹象(即Dragos称之为“ Parisite”),并与ClearSky分享了关键的信息,这些信息有助于揭示该报告中介绍的整个Fox Kitten攻击活动。


三、主要攻击特点

1、漏洞利用时效极强

ClearSky表示:“伊朗APT小组(APT代表高级持续威胁,是一个经常用来描述民族国家攻击组织的术语)已经开发了良好的技术进攻能力,能够在相对较短的时间内利用1-day的漏洞。”在某些情况下,它观察到伊朗组织在漏洞被公开披露后数小时内利用VPN漏洞。
报告还传递了这样一种观念,即在攻击的技战术、老练程度方面,伊朗的攻击组织并不比俄罗斯、朝鲜的黑客组织差。
ClearSky表示,在2019年,伊朗组织迅速利用几个VPN厂商产品中的漏洞,如Pulse Secure的“connect VPN”(CVE-2019-11510漏洞),Fortinet公司的“FortiOS VPN”(CVE-2018-13379漏洞)和Palo Alto Networks公司的“Global Protect VPN(CVE-2019-1579漏洞),并迅速进行武器化。
对这些系统的攻击始于去年夏天,当时有关这些漏洞的详细信息被公开,但在2020年类似攻击还在继续。此外,随着有关其他VPN漏洞的详细信息被公开,伊朗攻击组织也在攻击中利用了这些漏洞利用(即CVE-2019-19781,这是Citrix“ ADC” VPN中披露的漏洞)。

2、入侵企业目标以种植后门

根据ClearSky的报告,这些攻击的目的是突破企业网络,在其内部系统中横向移动,并植入后门以供日后利用。他们的攻击的第一阶段(突破)针对VPN,而第二阶段(横向运动)则涉及全面的工具和技术,也显示了这些伊朗攻击组织近年来的发展水平。
例如,攻击者通过粘滞键(Sticky Keys)这样的可访问性工具滥用了一种众所周知的技术来获取Windows系统上的管理员权限。他们还利用了开源的黑客工具,例如JuicyPotato和调用哈希,但他们还使用了诸如Putty、Plink、Ngrok、Serveo或FRP之类的合法sysadmin软件
此外,在攻击者找不到开源工具或本地实用程序来帮助其进行攻击的情况下,他们还具有开发自定义恶意软件的能力。ClearSky表示发现了以下工具:
  • STSRCheck:自行开发的数据库和开放端口映射工具。
  • POWSSHNET:自行开发的后门恶意软件,用于RDP-over-SSH隧道。
  • 自定义VBScripts:用于从命令和控制(C&C)服务器下载TXT文件并将这些文件统一为可移植可执行文件的脚本。
  • cs.exe上的基于套接字的后门:一个EXE文件,用于打开与硬编码IP地址的基于套接字的连接。

  • Port.exe:扫描预定义端口以查找IP地址的工具。

图2:PowSSHnet工具示意

3、多个组织协同攻击

ClearSky报告的另一个启示是,伊朗攻击组织似乎也在合作并作为一个组织在行动,这在过去是从未见过的。
先前有关伊朗攻击组织活动的报告详细介绍了不同的活动类别,通常是一个团队的工作。
ClearSky报告强调指出,对全球VPN服务器的攻击似乎是至少三个伊朗组织的工作-即APT33(Elfin, Shamoon),APT34(Oilrig)和APT39(Chafer)。

4、可能实施清除数据

当前,这些攻击的目的似乎是执行侦察并为后续监控操作植入后门。但是,ClearSky担心,将来所有这些受感染的企业网络的访问也可能会被武器化,以部署可能破坏公司并摧毁网络和业务运营的数据擦除恶意软件
这样的场景是可能的,并且非常合理。自2019年9月以来,出现了两种新的数据擦除恶意软件(ZeroCleare 和Dustman),并且发现这些工具回连伊朗攻击组织。
此外,ClearSky还不排除伊朗攻击组织可能利用对这些已攻陷公司的访问权对其客户进行供应链攻击。
这一理论得到以下事实的支持:FBI在本月初向美国私营部门发出了安全警报,警告有关对软件供应链公司的持续攻击,“包括支持工业控制系统(ICS)进行全球能源生产、传输和分配的实体。”过去,ICS和能源行业一直是伊朗攻击组织的主要目标。
联邦调查局(FBI)的同一警报还指出,这些攻击中部署的恶意软件与伊朗APT33组织先前使用的代码之间存在关联,强烈暗示伊朗攻击组织可能是这些攻击的幕后黑手。
此外,对巴林国家石油公司Bapco的攻击使用了ClearSky在其报告中描述的“突破VPN-->横向移动”策略。
ClearSky现在警告说,经过几个月的攻击,终于修补了VPN服务器漏洞的公司也应该扫描其内部网络,以寻找任何可能被植入后门的迹象。
ClearSky报告包括安全威胁(IOC)指标,安全团队可以使用该指标来扫描日志和内部系统,以查找伊朗组织的入侵迹象。但是,相同的缺陷也被开发者利用,比如国家支持的攻击组织和多个勒索软件和加密货币挖矿组织。

5、伺机利用新的VPN漏洞

此外,考虑到ClearSky报告的结论,们还可以期望伊朗攻击组织也将在新的VPN漏洞一旦公开后立即发掘利用机会。

这意味着可以预期,在本周早些时候安全研究人员发现了可能影响SonicWall SRA和SMA VPN这两个产品的6个漏洞,伊朗攻击组织后续很有可能将其作为攻击目标。


关于ClearSky

ClearSky Cyber Security提供针对威胁情报服务的网络安全解决方案,主要针对金融、关键基础设施、公共服务和制药行业。ClearSky专注于创建独特的网络套件来满足每个客户的需求,包括威胁情报、新兴威胁的评估与防范、追踪针对公司的潜在威胁行为体、Cyber TTX以及开发新的防御层来预防、检测和缓解网络攻击。ClearSky是网络安全联盟的成员,该联盟在全球许多国家/地区部署网络解决方案。ClearSky提供了解决方案,例如为财团提供网络情报服务、网络战略、部署国家CERT、网络培训和网络解决方案体系结构。ClearSky总部设在英国剑桥,在荷兰设有分支机构。


参考资源

1、https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/
2、Fox Kitten Campaign:Widespread Iranian Espionage-Offensive Campaign,2020.02.16,www.clearskysec.com

天地和兴工控安全研究院编译




········延伸阅读·········

黑客可控制卫星甚至将其变为攻击武器
原创 | 工业网络成为地缘政治角逐的新战场
惊!黑客可通过屏幕亮度窃取物理隔离计算机中的敏感数据