2024年12月18日,國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),發(fā)現(xiàn)處置兩起美對我大型科技企業(yè)機構(gòu)網(wǎng)絡(luò)攻擊事件。本報告將公布對其中我國某先進材料設(shè)計研究院的網(wǎng)絡(luò)攻擊詳情,為全球相關(guān)國家、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。
一、網(wǎng)絡(luò)攻擊流程
(一)利用漏洞進行攻擊入侵
2024年8月19日,攻擊者利用該單位電子文件系統(tǒng)注入漏洞入侵該系統(tǒng),并竊取了該系統(tǒng)管理員賬號/密碼信息。2024年8月21日,攻擊者利用竊取的管理員賬號/密碼登錄被攻擊系統(tǒng)的管理后臺。
(二)軟件升級管理服務(wù)器被植入后門和木馬程序
2024年8月21日12時,攻擊者在該電子文件系統(tǒng)中部署了后門程序和接收被竊數(shù)據(jù)的定制化木馬程序。為逃避檢測,這些惡意程序僅存在于內(nèi)存中,不在硬盤上存儲。木馬程序用于接收從涉事單位被控個人計算機上竊取的敏感文件,訪問路徑為/xxx/xxxx?flag=syn_user_policy。后門程序用于將竊取的敏感文件聚合后傳輸?shù)骄惩猓L問路徑是/xxx/xxxStats。
(三)大范圍個人主機電腦被植入木馬
2024年11月6日、2024年11月8日和2024年11月16日,攻擊者利用電子文檔服務(wù)器的某軟件升級功能將特種木馬程序植入到該單位276臺主機中。木馬程序的主要功能一是掃描被植入主機的敏感文件進行竊取。二是竊取受攻擊者的登錄賬密等其他個人信息。木馬程序即用即刪。
二、竊取大量商業(yè)秘密信息
(一)全盤掃描受害單位主機
攻擊者多次用中國境內(nèi)IP跳板登錄到軟件升級管理服務(wù)器,并利用該服務(wù)器入侵受害單位內(nèi)網(wǎng)主機,并對該單位內(nèi)網(wǎng)主機硬盤反復(fù)進行全盤掃描,發(fā)現(xiàn)潛在攻擊目標,掌握該單位工作內(nèi)容。
(二)目的明確地針對性竊取
2024年11月6日至11月16日,攻擊者利用3個不同的跳板IP三次入侵該軟件升級管理服務(wù)器,向個人主機植入木馬,這些木馬已內(nèi)置與受害單位工作內(nèi)容高度相關(guān)的特定關(guān)鍵詞,搜索到包含特定關(guān)鍵詞的文件后即將相應(yīng)文件竊取并傳輸至境外。這三次竊密活動使用的關(guān)鍵詞均不相同,顯示出攻擊者每次攻擊前均作了精心準備,具有很強的針對性。三次竊密行為共竊取重要商業(yè)信息、知識產(chǎn)權(quán)文件共4.98GB。
三、攻擊行為特點
(一)攻擊時間
分析發(fā)現(xiàn),此次攻擊時間主要集中在北京時間22時至次日8時,相對于美國東部時間為白天時間10時至20時,攻擊時間主要分布在美國時間的星期一至星期五,在美國主要節(jié)假日未出現(xiàn)攻擊行為。
(二)攻擊資源
攻擊者使用的5個跳板IP完全不重復(fù),位于德國和羅馬尼亞等地,反映出其高度的反溯源意識和豐富的攻擊資源儲備。
(三)攻擊武器一是善于利用開源或通用工具偽裝躲避溯源,此次在涉事單位服務(wù)器中發(fā)現(xiàn)的后門程序為開源通用后門工具。攻擊者為了避免被溯源,大量使用開源或通用攻擊工具。
二是重要后門和木馬程序僅在內(nèi)存中運行,不在硬盤中存儲,大大提升了其攻擊行為被我分析發(fā)現(xiàn)的難度。
(四)攻擊手法
攻擊者攻擊該單位電子文件系統(tǒng)服務(wù)器后,篡改了該系統(tǒng)的客戶端分發(fā)程序,通過軟件客戶端升級功能,向276臺個人主機投遞木馬程序,快速、精準攻擊重要用戶,大肆進行信息搜集和竊取。以上攻擊手法充分顯示出該攻擊組織的強大攻擊能力。
四、部分跳板IP列表
編輯: | 傅姍姍 |
劍網(wǎng)行動舉報電話:12318(市文化執(zhí)法總隊)、021-64334547(市版權(quán)局)
Copyright ? 2016 Kankanews.com Inc. All Rights Reserved. 看東方(上海)傳媒有限公司 版權(quán)所有
全部評論
暫無評論,快來發(fā)表你的評論吧