RSA于8月初發(fā)布了一份技術(shù)分析報(bào)告,報(bào)告稱中國一家VPN服務(wù)提供商入侵了百臺Windows服務(wù)器,并充當(dāng)其匿名基礎(chǔ)網(wǎng)絡(luò)設(shè)施的一部分。安全牛組織譯者將篇報(bào)告翻譯成中文。下面是報(bào)告的主要內(nèi)容:
兵馬俑是什么?
兵馬俑VPN是一個擁有多個VPN“品牌”,并對之進(jìn)行實(shí)時維護(hù)的集團(tuán)。其旗下各個品牌的網(wǎng)站十分相似。
兵馬俑VPN系統(tǒng)包含網(wǎng)站、客戶端程序、客戶端程序認(rèn)證、一般VPN節(jié)點(diǎn)和用戶認(rèn)證等五個關(guān)鍵組件。
兵馬俑節(jié)點(diǎn)
在兵馬俑使用的1500多個普通VPN節(jié)點(diǎn)中,不可否認(rèn),確實(shí)有一些服務(wù)器及相關(guān)設(shè)備是通過合法租用得到的。然而研究人員發(fā)現(xiàn),僅僅三臺設(shè)備就有557個相關(guān)IP地址。所以基于以下兩點(diǎn)判斷是否為合法的VPN節(jié)點(diǎn):
是否使用多宿主技術(shù)只使用PPTP公共服務(wù)確認(rèn)入侵
已經(jīng)確認(rèn)的有包括財(cái)富500強(qiáng)連鎖酒店等23家組織、31種Windows服務(wù)器系統(tǒng)被入侵并收編進(jìn)兵馬俑的VPN網(wǎng)絡(luò)。據(jù)初步分析,之所以選擇Windows服務(wù)器作為入侵對象的主要原因是其操作系統(tǒng)本身可以在極短的時間內(nèi)配置好VPN服務(wù)。
兵馬俑VPN的工作原理
兵馬俑VPN背后的經(jīng)濟(jì)學(xué)
為什么一家企業(yè)需要在VPS如此便宜的情況下入侵服務(wù)器,將其納入自己的生態(tài)系統(tǒng)呢?目前,使用高質(zhì)量VPS作為VPN節(jié)點(diǎn)的租價在美國可以低至5美元每月。不過,VPN屬于流量密集型,而不是CPU密集型服務(wù)。由于很多VPS解決方案只是提供基本帶寬,而使用額外帶寬需要加價,這會明顯增加如兵馬俑這樣的VPN服務(wù)商的運(yùn)營成本。即使不計(jì)算長期使用VPS服務(wù)器的帶寬成本,管理和國內(nèi)外VPS供應(yīng)商的大量合同也會顯著增加經(jīng)營負(fù)擔(dān)。
假設(shè)服務(wù)器都是合法的,為了維護(hù)網(wǎng)絡(luò),每個月至少要進(jìn)行300筆國際轉(zhuǎn)賬。更有利可圖且更簡單的模型是誘捕網(wǎng)絡(luò)上無窮無盡、存在漏洞的服務(wù)器。研究人員提出,兵馬俑VPN提供商入侵并收割VPN節(jié)點(diǎn),因?yàn)檫@種方式不僅便宜,從邏輯上來講也比維護(hù)一個擁有超過1500個節(jié)點(diǎn),需要定期轉(zhuǎn)賬的復(fù)雜VPN生態(tài)系統(tǒng)更加方便。
兵馬俑VPN的用戶
RSA的研究人員在一個月時間內(nèi)研究了某個兵馬俑VPN受害者服務(wù)器的MSRAS
被編入兵馬俑網(wǎng)絡(luò)節(jié)點(diǎn)的單月日志
顯然,多數(shù)兵馬俑用戶來自中國大陸,用例包括進(jìn)行APT攻擊、翻墻、實(shí)現(xiàn)匿名性、P2P文件共享和游戲加速。考慮到兵馬俑提供的匿名性,除APT之外的其它犯罪活動是可 能存在的,但目前并沒有被觀察到。兵馬俑的客戶可能對該組織獲取服務(wù)器和帶寬的手段毫不知情。
兵馬俑VPN節(jié)點(diǎn)分布
最近對兵馬俑VPN節(jié)點(diǎn)地址的分析表明,大多數(shù)節(jié)點(diǎn)位于中國,其后則是美國、韓國。其余地點(diǎn)的節(jié)點(diǎn)數(shù)量分配較為平均。
Shell_Crew
據(jù)調(diào)查,Shell_Crew小組的威脅源在幾個月時間內(nèi)持續(xù)進(jìn)行著針對某敏感網(wǎng)絡(luò)的入侵行動。在該小組入侵目標(biāo)時使用的13個IP地址中,其中11個與兵馬俑VPN節(jié)點(diǎn)有關(guān),占總數(shù)的85%。在該高級威脅源于本月進(jìn)行的長期行動中,分析人員觀察到其使用了兵馬俑VPN設(shè)施掩蓋源地址和足跡。
檢測節(jié)點(diǎn)是否被兵馬俑收編
如果一臺主機(jī)被編入兵馬俑VPN網(wǎng)絡(luò),服務(wù)器會響應(yīng)如下URL,因?yàn)榉?wù)器會向VPN服務(wù)認(rèn)證用戶:
8800free.info (IP地址目前歸屬于河南省鄭州市)8800free.info (IP地址目前歸屬于浙江省杭州市)檢測節(jié)點(diǎn)是否被用于攻擊
為了探測兵馬俑VPN節(jié)點(diǎn)在攻擊中起到的作用,需要注意審查主機(jī)節(jié)點(diǎn)發(fā)出和接收的連接。對這些節(jié)點(diǎn)的訪問意味著存在來自兵馬俑網(wǎng)絡(luò)的匿名化活動。
檢測兵馬俑VPN資源調(diào)用情況
要探測使用兵馬俑服務(wù)的用戶,應(yīng)當(dāng)監(jiān)控“客戶端認(rèn)證域”。對這些域的訪問意味著終端用戶正在使用下載的VPN客戶端選擇即將使用的節(jié)點(diǎn)。另外,對 “客戶端銷售域”的訪問意味著終端用戶正在購買該VPN服務(wù)。
利用RSA Security Analytics和RSA ECAT檢測兵馬俑
RSA Security Analytics是一套威脅情報(bào)自動收集與分發(fā)系統(tǒng),又被稱為RSA Live。受懷疑VPN節(jié)點(diǎn)訂閱源中提供了更新過的兵馬俑節(jié)點(diǎn)IP地址,可根據(jù)客戶要求提供。
RSA ECAT控制臺顯示的可疑Gh0st幕后域連接
供Security Analytics使用的兵馬俑標(biāo)識已經(jīng)加載到如下的RSA Live訂閱源:
RSA Firstwatch APT Threat DomainsRSA Firstwatch Command and Control DomainsRSA Firstwatch Criminal VPN Exit IPsRSA Firstwatch Insider Threat Domains預(yù)防
采取以下加強(qiáng)步驟中的任何一種都足以幫你防護(hù)任何一種已知的攻擊方式:
1. 在外部路由器和/或防火墻上屏蔽端口號135
目前沒有任何已知的商務(wù)應(yīng)用會使用端口號135建議:啟用硬件防火墻,配置“例外情況下允許接入”策略2. 使用數(shù)字與字母組合的方式重命名所有Windows系統(tǒng)上的管理員賬戶
3. 啟用超過15位的強(qiáng)密碼,包括大小寫字母、數(shù)字、多個特殊字符,不使用鍵盤上的字母排布
利用鍵盤上的字母排布圖案設(shè)置的密碼幾乎存在于所有破解字典中建議:定期更換密碼防止服務(wù)器被收編到兵馬俑VPN節(jié)點(diǎn)生態(tài)系統(tǒng)很容易,但探測那些使用兵馬俑VPN節(jié)點(diǎn)進(jìn)行匿名攻擊的高級威脅源則相對復(fù)雜。萬無一失的防御是不可能實(shí)現(xiàn)的,因此檢測成了關(guān)鍵。使用不基于特征檢測的網(wǎng)絡(luò)分析和端點(diǎn)分析,比如RSA Security Analytics和RSA ECAT所提供的功能。它們能夠進(jìn)行主動檢測,并在信息資產(chǎn)被入侵前挫敗攻擊者的嘗試。
結(jié)論
兵馬俑VPN系統(tǒng)建立了一個灰色市場上的匿名生態(tài)系統(tǒng),其運(yùn)作方式至少部分基于被入侵的服務(wù)器。APT小組會使用兵馬俑VPN作為攻擊支點(diǎn),隱藏源地址。這制造了一批新型受害者,讓合法公司和政府機(jī)構(gòu)變成了大規(guī)模APT攻擊事件的跳轉(zhuǎn)節(jié)點(diǎn)。兵馬俑節(jié)點(diǎn)生態(tài)系統(tǒng)看上去能夠?yàn)楦呒壨{源提供更好的匿名性,否則后者就會轉(zhuǎn)而使用那些具有合法、透明節(jié)點(diǎn)結(jié)構(gòu)的傳統(tǒng)VPN服務(wù)。