国家支持的攻击还是被入侵的政府?[访客日记]
[这是一篇由Jackie Nguyen撰写的访客日记,他是SANS.edu BACS项目的ISC实习生] ISC实习不仅教会了我安全知识,还彻底改变了我对威胁的思考方式。亲眼目睹实时攻击在你的DShield蜜罐上成形,知道世界某处的攻击者刚刚采取了行动,这种感觉非常耐人寻味。而撰写详细的攻击观察报告,然后由经验丰富的分析师批评和完善你的分析,这种反馈循环才是真正学习发生的地方。有一次攻击观察尤其突出,完美地诠释了这次实习的威力。让我向你展示我的发现!
开端…
2025年11月10日,我的蜜罐捕获了非常有趣的活动,充分展示了现代威胁行为者是如何进化的。最初看起来像是一次简单但成功的SSH暴力破解尝试,但很快揭示了更为令人担忧的情况:攻击者部署了一个旨在实现长期驻留和规避的高级木马。
发生了什么?
当IP地址103[.]148[.]195[.]161使用用户名“root”和密码“linux”成功通过SSH登录到我的蜜罐时,检测到了可疑活动。恶意行为者保持了对蜜罐的访问权限1分45秒,但最终没有运行任何命令。相反,攻击者上传了一个文件:一个名为“sshd”的木马二进制文件,它通过伪装成OpenSSH守护进程来逃避安全检测。这是一个可执行和可链接格式(ELF)的二进制文件(哈希值:7a9da7d10aa80b0f9e2e3f9e518030c86026a636e0b6de35905e15dd4c8e3e2d),被VirusTotal和Hybrid-Analysis归类为恶意软件。
我们此时无法看到木马在我的蜜罐上做了什么,但是,我在Hybrid-Analysis上找到了该哈希值,并对木马的功能有了清晰的了解。
木马文件分析
MITRE ATT&CK 映射
- T1078 - 有效账户
- T1110.001 - 暴力破解
- T1204.002 - 用户执行
- T1036.005 - 伪装
- T1554 - 破坏客户端软件二进制文件
- T1548.001 - 滥用权限提升控制机制
- T1027 - 混淆文件或信息
- T1497 - 虚拟化/沙箱规避
- T1480 - 执行护栏
- T1003.008 - 操作系统凭证转储
预防类似攻击
- 禁用密码认证,改用SSH密钥。
- IP白名单。
- 部署入侵检测系统/入侵防御系统/端点检测与响应。
- 威胁狩猎。
- 多因素认证。
这说明了什么?
这充分展示了复杂的攻击者会投入多少精力来实现长期驻留和高级规避。来自政府IP地址的攻击并不总是意味着是政府所为;更有可能意味着该地址所属的系统已被入侵。从逻辑上思考,为什么一个国家支持的威胁行为者会使用他们真实的政府IP地址来执行攻击?
重要性?
对于一个高效的安全团队来说,不将攻击错误地归因于错误的威胁行为者非常重要。在政治上,这可能会引起问题,特别是如果你工作的公司在媒体上有很大影响力。这种错误可能导致错误的报复行为和政治紧张局势。
这次攻击还展示了威胁行为者如何利用合法进程来混入正常活动中。我们必须记住,攻击者的目标很可能是长期的,因此他们会尽一切可能规避你的防御。
防御者可采取的行动情报
威胁狩猎是任何安全计划的关键部分,拥有具体的入侵指标(IOC),如文件哈希、恶意IP地址等,可以为团队提供可立即采取行动的情报。这次观察也有助于防御者了解需要寻找什么。没有命令的短暂会话可能与带有可疑活动的会话一样危险。
关键要点
这次攻击真正展示了威胁行为者是如何变得越来越复杂的。通过上传一个看起来合法的木马而不是运行命令,攻击者可能避开了大多数监控工具寻找的典型危险信号。使用政府IP地址也给我们上了重要的一课:不要仅仅基于IP地址块的归属就立即下结论,因为它可能已经被入侵。对于分析师来说,看似平静的会话有时可能是最危险的。
[1] https://www.virustotal.com/gui/file/7a9da7d10aa80b0f9e2e3f9e518030c86026a636e0b6de35905e15dd4c8e3e2d/detection [2] https://www.abuseipdb.com/whois/103.148.195.161 [3] https://hybrid-analysis.com/sample/7a9da7d10aa80b0f9e2e3f9e518030c86026a636e0b6de35905e15dd4c8e3e2d/6542c8b6abeb51c5ee0bbf2a [4] https://github.com/jslagrew/cowrieprocessor [5] https://www.sans.edu/cyber-security-programs/bachelors-degree/