臺灣企業組織遭到中國駭客Flax Typhoon寄生攻擊

圖片來源: 

微軟

微軟揭露,其主要目標是臺灣的政府機關、教育機構、重要製造商、資訊科技組織等數十個單位,但研究人員也有看到東南亞、北美、非洲的組織受害。

這些駭客鎖定可透過網際網路存取的伺服器,例如:VPN主機、網頁伺服器、SQL Server資料庫等,利用已知漏洞取得初期存取的權限,然後部署大小僅有4 KB的Web Shell中國菜刀(China Chopper),以便遠端執行命令,過程中駭客可能為了提升權限,他們會透過開源程式Juicy Potato或BadPotato來利用系統的已知漏洞,取得管理者層級的權限。

接著,駭客利用登錄檔關閉網路層身分驗證(NLA),且透過粘滯鍵(Sticky Keys)建立遠端桌面連線(RDP),而能夠持續存取受害伺服器,甚至取得啟動終端機、導出記憶體內容的能力。

屏東借錢感應門神,推薦沙發修理,老師傅的專業手工!測試專家告訴你如何好好使用示波器大阪包車好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!屏東借款!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享!專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!日本包車台灣護照代辦申辦工作天及價錢!空壓機合理價格為您解決工作中需要。貨櫃屋,結合生活理念、發揮無限的創意及時尚的設計。三個月單次觀光泰國簽證需準備哪些資料?竹北床墊推薦!總是為了廚餘煩惱嗎?雅高環保提供最適用的廚餘機,滿足多樣需求。沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的?為什麼辦理台胞證需要護照正本?屏東軍公教借款各家評價及利息一覽表。東京包車三洋服務站全台據點。

濫用開源VPN應用程式建立新的存取管道,並進一步用來攻擊其他受害電腦

特別的是,駭客為了跳脫他們設計的RDP只能存取內部網路的限制,再度透過寄生攻擊(LOLBins)手法,利用名為Invoke-WebRequest的PowerShell指令碼,或是Bitsadmin、certutil,部署SoftEther的VPN用戶端程式。再者,駭客也透過WinRM、WMIC來進行橫向移動。

攻擊者為了避免建立的VPN連線被發現,他們採取了多種措施。在部署之前,駭客會調查企業環境裡存在的VPN應用程式;再者,在大部分的攻擊行動裡,駭客會將VPN應用程式的可執行檔重新命名成Windows元件的名稱,如:conhost.exe或dllhost.exe,這些分別是名為Console Window Host Process、Component Object Model Surrogate元件的檔案名稱。其次,他們濫用SoftEther的VPN-over-HTTPS操作模式,使得相關網路流量被封裝成相容於HTTPS的資料,並透過TCP通訊協定443埠進行傳輸。如此一來,企業組織難以識別這種VPN連線與一般的HTTPS流量。

而上述的VPN連線駭客還進一步加以利用,透過SoftEther的VPN橋接功能,將網路攻擊流量路由到其他的受害系統,這些流量被用於網路掃描、漏洞掃描、弱點嘗試利用等。

一旦駭客成功建立上述的VPN存取管道,通常他們就會利用Mimikatz,鎖定本機安全認證子系統服務(LSASS)處理程序占用的記憶體內容、安全性帳號管理員(SAM)登錄檔配置的內容,來竊取本機用戶的密碼雜湊值,然後進一步存取受害組織網路環境的其他資源。此外,駭客還會列舉系統還原功能的還原點,目的是從中了解受害電腦狀態,或是抹除惡意活動的跡象。

https://www.ithome.com.tw/news/158467