兵馬俑VPN 高級威脅中的匿名性

責(zé)任編輯:editor006

作者:Venvoo

2015-08-25 15:32:50

摘自:安全牛

RSA于8月初發(fā)布了一份技術(shù)分析報(bào)告,報(bào)告稱中國一家VPN服務(wù)提供商入侵了百臺Windows服務(wù)器,并充當(dāng)其匿名基礎(chǔ)網(wǎng)絡(luò)設(shè)施的一部分。

RSA于8月初發(fā)布了一份技術(shù)分析報(bào)告,報(bào)告稱中國一家VPN服務(wù)提供商入侵了百臺Windows服務(wù)器,并充當(dāng)其匿名基礎(chǔ)網(wǎng)絡(luò)設(shè)施的一部分。安全牛組織譯者將篇報(bào)告翻譯成中文。下面是報(bào)告的主要內(nèi)容:

兵馬俑是什么?

兵馬俑VPN是一個擁有多個VPN“品牌”,并對之進(jìn)行實(shí)時維護(hù)的集團(tuán)。其旗下各個品牌的網(wǎng)站十分相似。

兵馬俑VPN系統(tǒng)包含網(wǎng)站、客戶端程序、客戶端程序認(rèn)證、一般VPN節(jié)點(diǎn)和用戶認(rèn)證等五個關(guān)鍵組件。

兵馬俑節(jié)點(diǎn)

在兵馬俑使用的1500多個普通VPN節(jié)點(diǎn)中,不可否認(rèn),確實(shí)有一些服務(wù)器及相關(guān)設(shè)備是通過合法租用得到的。然而研究人員發(fā)現(xiàn),僅僅三臺設(shè)備就有557個相關(guān)IP地址。所以基于以下兩點(diǎn)判斷是否為合法的VPN節(jié)點(diǎn):

是否使用多宿主技術(shù)只使用PPTP公共服務(wù)

確認(rèn)入侵

已經(jīng)確認(rèn)的有包括財(cái)富500強(qiáng)連鎖酒店等23家組織、31種Windows服務(wù)器系統(tǒng)被入侵并收編進(jìn)兵馬俑的VPN網(wǎng)絡(luò)。據(jù)初步分析,之所以選擇Windows服務(wù)器作為入侵對象的主要原因是其操作系統(tǒng)本身可以在極短的時間內(nèi)配置好VPN服務(wù)。

 

兵馬俑VPN的工作原理

兵馬俑VPN背后的經(jīng)濟(jì)學(xué)

為什么一家企業(yè)需要在VPS如此便宜的情況下入侵服務(wù)器,將其納入自己的生態(tài)系統(tǒng)呢?目前,使用高質(zhì)量VPS作為VPN節(jié)點(diǎn)的租價在美國可以低至5美元每月。不過,VPN屬于流量密集型,而不是CPU密集型服務(wù)。由于很多VPS解決方案只是提供基本帶寬,而使用額外帶寬需要加價,這會明顯增加如兵馬俑這樣的VPN服務(wù)商的運(yùn)營成本。即使不計(jì)算長期使用VPS服務(wù)器的帶寬成本,管理和國內(nèi)外VPS供應(yīng)商的大量合同也會顯著增加經(jīng)營負(fù)擔(dān)。

假設(shè)服務(wù)器都是合法的,為了維護(hù)網(wǎng)絡(luò),每個月至少要進(jìn)行300筆國際轉(zhuǎn)賬。更有利可圖且更簡單的模型是誘捕網(wǎng)絡(luò)上無窮無盡、存在漏洞的服務(wù)器。研究人員提出,兵馬俑VPN提供商入侵并收割VPN節(jié)點(diǎn),因?yàn)檫@種方式不僅便宜,從邏輯上來講也比維護(hù)一個擁有超過1500個節(jié)點(diǎn),需要定期轉(zhuǎn)賬的復(fù)雜VPN生態(tài)系統(tǒng)更加方便。

兵馬俑VPN的用戶

RSA的研究人員在一個月時間內(nèi)研究了某個兵馬俑VPN受害者服務(wù)器的MSRAS

 

被編入兵馬俑網(wǎng)絡(luò)節(jié)點(diǎn)的單月日志

顯然,多數(shù)兵馬俑用戶來自中國大陸,用例包括進(jìn)行APT攻擊、翻墻、實(shí)現(xiàn)匿名性、P2P文件共享和游戲加速。考慮到兵馬俑提供的匿名性,除APT之外的其它犯罪活動是可 能存在的,但目前并沒有被觀察到。兵馬俑的客戶可能對該組織獲取服務(wù)器和帶寬的手段毫不知情。

兵馬俑VPN節(jié)點(diǎn)分布

最近對兵馬俑VPN節(jié)點(diǎn)地址的分析表明,大多數(shù)節(jié)點(diǎn)位于中國,其后則是美國、韓國。其余地點(diǎn)的節(jié)點(diǎn)數(shù)量分配較為平均。

 

Shell_Crew

據(jù)調(diào)查,Shell_Crew小組的威脅源在幾個月時間內(nèi)持續(xù)進(jìn)行著針對某敏感網(wǎng)絡(luò)的入侵行動。在該小組入侵目標(biāo)時使用的13個IP地址中,其中11個與兵馬俑VPN節(jié)點(diǎn)有關(guān),占總數(shù)的85%。在該高級威脅源于本月進(jìn)行的長期行動中,分析人員觀察到其使用了兵馬俑VPN設(shè)施掩蓋源地址和足跡。

檢測節(jié)點(diǎn)是否被兵馬俑收編

如果一臺主機(jī)被編入兵馬俑VPN網(wǎng)絡(luò),服務(wù)器會響應(yīng)如下URL,因?yàn)榉?wù)器會向VPN服務(wù)認(rèn)證用戶:

8800free.info (IP地址目前歸屬于河南省鄭州市)8800free.info (IP地址目前歸屬于浙江省杭州市)

檢測節(jié)點(diǎn)是否被用于攻擊

為了探測兵馬俑VPN節(jié)點(diǎn)在攻擊中起到的作用,需要注意審查主機(jī)節(jié)點(diǎn)發(fā)出和接收的連接。對這些節(jié)點(diǎn)的訪問意味著存在來自兵馬俑網(wǎng)絡(luò)的匿名化活動。

檢測兵馬俑VPN資源調(diào)用情況

要探測使用兵馬俑服務(wù)的用戶,應(yīng)當(dāng)監(jiān)控“客戶端認(rèn)證域”。對這些域的訪問意味著終端用戶正在使用下載的VPN客戶端選擇即將使用的節(jié)點(diǎn)。另外,對 “客戶端銷售域”的訪問意味著終端用戶正在購買該VPN服務(wù)。

利用RSA Security Analytics和RSA ECAT檢測兵馬俑

RSA Security Analytics是一套威脅情報(bào)自動收集與分發(fā)系統(tǒng),又被稱為RSA Live。受懷疑VPN節(jié)點(diǎn)訂閱源中提供了更新過的兵馬俑節(jié)點(diǎn)IP地址,可根據(jù)客戶要求提供。

 

RSA ECAT控制臺顯示的可疑Gh0st幕后域連接

供Security Analytics使用的兵馬俑標(biāo)識已經(jīng)加載到如下的RSA Live訂閱源:

RSA Firstwatch APT Threat DomainsRSA Firstwatch Command and Control DomainsRSA Firstwatch Criminal VPN Exit IPsRSA Firstwatch Insider Threat Domains

預(yù)防

采取以下加強(qiáng)步驟中的任何一種都足以幫你防護(hù)任何一種已知的攻擊方式:

1. 在外部路由器和/或防火墻上屏蔽端口號135

目前沒有任何已知的商務(wù)應(yīng)用會使用端口號135建議:啟用硬件防火墻,配置“例外情況下允許接入”策略

2. 使用數(shù)字與字母組合的方式重命名所有Windows系統(tǒng)上的管理員賬戶

3. 啟用超過15位的強(qiáng)密碼,包括大小寫字母、數(shù)字、多個特殊字符,不使用鍵盤上的字母排布

利用鍵盤上的字母排布圖案設(shè)置的密碼幾乎存在于所有破解字典中建議:定期更換密碼

防止服務(wù)器被收編到兵馬俑VPN節(jié)點(diǎn)生態(tài)系統(tǒng)很容易,但探測那些使用兵馬俑VPN節(jié)點(diǎn)進(jìn)行匿名攻擊的高級威脅源則相對復(fù)雜。萬無一失的防御是不可能實(shí)現(xiàn)的,因此檢測成了關(guān)鍵。使用不基于特征檢測的網(wǎng)絡(luò)分析和端點(diǎn)分析,比如RSA Security Analytics和RSA ECAT所提供的功能。它們能夠進(jìn)行主動檢測,并在信息資產(chǎn)被入侵前挫敗攻擊者的嘗試。

結(jié)論

兵馬俑VPN系統(tǒng)建立了一個灰色市場上的匿名生態(tài)系統(tǒng),其運(yùn)作方式至少部分基于被入侵的服務(wù)器。APT小組會使用兵馬俑VPN作為攻擊支點(diǎn),隱藏源地址。這制造了一批新型受害者,讓合法公司和政府機(jī)構(gòu)變成了大規(guī)模APT攻擊事件的跳轉(zhuǎn)節(jié)點(diǎn)。兵馬俑節(jié)點(diǎn)生態(tài)系統(tǒng)看上去能夠?yàn)楦呒壨{源提供更好的匿名性,否則后者就會轉(zhuǎn)而使用那些具有合法、透明節(jié)點(diǎn)結(jié)構(gòu)的傳統(tǒng)VPN服務(wù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號