过去一年,全球网络空间经历了一场旷日持久的网络战。核心参与国是俄罗斯和乌克兰。由于各种原因,其他西方国家也参与了这场战斗。网络战。从攻击频率、攻击范围、攻击影响、参与者等方面来看,俄乌网络战无疑是2022年的一次重大网络攻击事件。了解其中使用的网络武器和数字技术,有助于我们提前识别风险,合理规避风险,避免在面临网络攻击时深陷网络泥潭,防患于未然。2022年2月24日,俄罗斯-乌克兰网络战争的象征性开始,当时俄罗斯军事情报部门攻击了Viasat卫星通信网络。这次袭击的时间恰好是俄军越过乌克兰边境前一小时,达到了阻断乌克兰通讯信号的目的,同时也影响了附近几个欧洲国家的通讯。这起事件被视为重大网络攻击。俄乌网络战的开始。政府基础设施是网络攻击者的主要目标。根据攻击者使用的恶意软件类型,可分为破坏性攻击和间谍攻击两条攻击路线。破坏性攻击旨在破坏数据并使目标系统无法运行。间谍攻击旨在建立立足点并从目标系统窃取数据。攻击中使用的恶意软件通常为攻击者提供后门访问权限,包括网络摄像头和麦克风捕获、键盘记录以及下载和安装其他组件。被盗数据包括操作系统信息、文档、图片以及来自网络浏览器和其他软件的存储密码。在这篇文章中,我们盘点了俄乌网络战中最常用的10种秘密武器,了解在冲突中使用了哪些数字技术和工具。一、渗透工具CobaltStrikeCobaltStrike最初是作为训练网络防御者的渗透测试工具而创建的,在这次冲突中被攻击者滥用。它允许攻击者在目标机器上部署一个名为“Beacon”的后门代理。虽然它主要是为红队设计的,但勒索软件运营商和APT组织都利用它来下载和执行恶意负载。Beacon植入是无文件的,由无阶段或多阶段shellcode组成,通过利用漏洞或执行shellcode加载程序来加载。它与C&C服务器的通信支持多种协议,包括HTTP、HTTPS、DNS、SMB、命名管道和广泛修改的正向和反向TCP,还可以通过链信标建立连接。一旦攻击者获得对受感染网络中单个系统的访问权限,就可以利用它在内部移动到其他系统。CobaltStrike被用于针对乌克兰政府组织的大规模网络钓鱼活动。2.恶意擦除器:HermeticWiper、IsaacWiper、CaddyWiper、DoubleZeroHermeticWiperHermeticWiper是一个Windows可执行文件,它通过禁用负责数据备份的卷影复制服务(VSS)和滥用EaseUS分区主机的合法驱动程序来破坏数据。它不仅会破坏主引导记录(MBR)和卷引导记录,还会通过碎片整理擦除文件,使数据无法恢复。HermeticWiper专门针对Windows注册表文件ntuser.dat和Windows事件日志,以最大限度地减少可用的取证工件。最后,触发系统重启,导致目标主机无法运行。值得注意的是,HermeticWiper的编译时间戳是2021年12月28日。这表明2月的攻击至少从12月就开始了。斯洛伐克网络安全公司ESET表示,HermeticWiper被用于针对乌克兰知名组织的大规模网络攻击。IsaacWiperIsaacWiper存在于未经Authenticode签名的WindowsDLL或EXE中,执行时它会枚举所有物理和逻辑驱动器和卷标,用随机字节覆盖现有内容。该工具还将无法访问的文件重命名为临时名称,然后擦除新重命名的文件。IsaacWiper创建一个日志文件C:\ProgramData\log.txt。它可以节省破坏活动的进度。CaddyWiperCaddyWiper动态解析了大部分用于使检测和分析更具挑战性的API。如果机器是域控制器,CaddyWiper的执行会立即停止,否则恶意软件会尝试破坏“C:\Users”上的文件,然后擦除从D:\到Z:\的所有驱动器。这意味着连接到系统的任何网络映射驱动器也可能被擦除。擦拭器会尝试清空每个物理驱动器,破坏主引导记录(MBR)和有关驱动器分区的扩展信息。CaddyWiper被用于针对乌克兰能源供应商的网络攻击。DoubleZeroDoubleZero是一个用C编写的恶意程序,攻击者使用它来发起鱼叉式网络钓鱼攻击,目前被跟踪为UAC-0088。DoubleZeroEraseFile使用两种方法销毁文件:用4096字节的零块覆盖其内容或使用API调用NtFileOpen、NtFsControlFile。在关闭受感染的系统之前,恶意软件会删除以下Windows注册表HKCU、HKU、HKLM、HKLM\BCD。DoubleZero被用于针对乌克兰企业的网络攻击。3、勒索病毒HermeticRansomHermeticRansom是一款用Go语言编写的勒索病毒,与HermeticWiper同时部署。它枚举可用驱动器,收集Windows和ProgramFiles文件夹以外的目录和文件列表。HermeticRansom会将所选文件类别重命名为勒索软件运营商的电子邮件地址和.encryptedJB扩展名,然后使用AES算法对文件内容进行加密。勒索软件还会在桌面文件夹中创建一个read_me.html文件,其中包含带有攻击者详细联系信息的赎金票据。4.SMBspreaderSMBspreader被开发者命名为romance.dll,使用与WMIspreader相同的两个参数。它的内部名称可能是对EternalRomance漏洞的引用。它会尝试连接到远程SMB共享的管道(端口445),然后通过NTLMSSP验证SMB共享,??如果连接成功,它会尝试将-s参数引用的文件放入目标ADMIN$分享。5.AcidRain(酸雨)AcidRain(酸雨)可以安装任意二进制文件,无需签名验证或完整的固件升级。它利用Skylogic的VPN设备远程访问KA-SAT的网络管理网段。攻击者横向移动到用于操作的网络的特定部分,并同时在大量住宅调制解调器上执行合法的、有针对性的管理命令。这些破坏性命令会覆盖SurfBeam调制解调器闪存中的关键数据。6.后门:GraphSteel、GrimPlant、LoadEdgeGraphSteelGraphSteel后门旨在从受感染的机器中窃取数据。它与C&C服务器的通信使用端口443,并使用AES密码进行加密。GraphQL查询语言用于通信。从文档、下载、图片、桌面文件夹和所有可用驱动器(从D:/到Z:/)中窃取数据。GraphSteel还渗透了基本系统信息、IP配置、wifi配置文件,并使用powershell从密码库中窃取凭据。GrimPlantGrimPlant是一个用Go编写的简单后门,允许远程执行PowerShell命令。它使用端口80与C2服务器通信,并基于gRPC(一种开源RPC框架)。通信使用TLS加密,其证书硬编码在二进制文件中。GrimPlant每10秒发送一次包含基本主机信息的心跳,使用PowerShell执行从C2服务器收到的命令,并报告结果。GraphSteel和GrimPlant被用于针对乌克兰政府组织的电子邮件网络钓鱼攻击。LoadEdge(InvisiMole)LoadEdge类似于InvisiMole的TCP下载组件的升级版本,用于下载更多后门模块RC2FM和RC2CL,通常作为第一个有效负载部署在新受感染的计算机上。InvisiMole的RC2FM和RC2CL后门提供扩展的监视功能,例如屏幕、网络摄像头和麦克风捕获、文件盗窃以及收集网络信息和有关已安装软件的信息。LoadEdge被用于针对乌克兰政府组织的电子邮件网络钓鱼攻击。7.Industroyer2Industroyer2是一种针对工业控制系统(ICS)的复杂恶意软件。它滥用了电源控制系统中使用的IEC60870-5-104(IEC104)协议。与其前身Industroyer不同,Industroyer2是一个独立的可执行文件,由后门、加载程序和多个有效负载模块组成。它的独特之处在于它可以通过扰乱输电变电站的运行而导致停电。Industroyer2被用于针对乌克兰能源供应商的有针对性的网络攻击。8.DarkCrystalRAT(暗水晶)DarkCrystalRAT(又名DCRat)是一种商业化的俄罗斯.NET后门程序,可以在地下论坛购买,主要用于监控受害者和窃取被攻击主机的数据。DCRat支持屏幕监控、网络摄像头捕获、键盘记录以及文件和凭据盗窃。其他功能包括窃取剪贴板内容、命令执行和DOS攻击功能。DCRat被用于针对乌克兰电信运营商和媒体组织的电子邮件网络钓鱼攻击。DCRat于2019年初首次出现,由于其多功能性和低廉的价格而在攻击者中非常受欢迎。该软件以订阅形式发布:两个月600卢布(约合9.50美元),一年2,500卢布(约合39美元),终身订阅费4,500卢布(约合70美元)。9.CredoMapCredoMap是威胁参与者APT28使用的.NET凭据窃取程序。它从Chrome、Edge和Firefox浏览器窃取cookie并存储密码。根据版本的不同,被盗数据会通过电子邮件或HTTPPOST请求渗入Web后端。CredoMap用于电子邮件网络钓鱼攻击。10.AwfulShred、SoloShredAwfulShred和SoloShred是旨在破坏Linux系统的恶意shell脚本。这两个脚本的破坏活动都依赖于shred命令以及增加数据损坏的覆盖通道。AwfulShred的功能有点复杂。它会禁用和崩溃Apache、HTTP和SSH服务,禁用交换文件并在擦除数据之前清除bash历史记录。最后,它会触发系统重启,使目标主机无法运行。AwfulShred和SoloShred被用于针对乌克兰能源供应商的有针对性的网络攻击。毫无疑问,先进的网络武器是现代军队武器库中的重要工具,未来全球网络战的数量很可能会增加。网络战具有三个不可替代的优势。首先,随着连接到网络的设备数量不断增加,攻击面变得更大,从而增加了网络战的潜在用例。其次,网络战不受常规战争的领土限制,为渗透和破坏远离前线的目标提供了机会。最后,与传统战争相比,网络战是肉眼看不见的,侵略者乙方的生命没有危险,性价比高。随着俄罗斯和乌克兰之间的战争蔓延,我们可以看到即使是合法的渗透测试工具也可以被劫持并用作武器。了解在冲突中使用了哪些数字技术和工具有助于在造成损害之前识别和减轻未来的威胁。人往往是网络安全链中最薄弱的环节,恶意附件或无意打开的链接往往会导致攻击。有效的预防策略,例如培训计划,可以确保人员能够识别和减轻威胁。
