【潛行攻擊】中國黑客大舉入侵台機構 多重方法低調刺探軍情
Microsoft 安全研究員最新捕獲到一個中國黑客組織 Flax Typhoon,指這個組織專門針對台灣機構進行間諜活動,由於黑客使用了受感染電腦內的帳戶權限、本身存在的系統功能及軟硬件漏洞,因此幾乎難以發現它的入侵!
雖然 Microsoft 發現了新的國家級黑客組織,不過,原來安全研究員已追蹤他們的活動一段頗長時間,最遠更可追溯至 2021 年中。
Flax Typhoon 採用離地攻擊
研究員指 Flax Typhoon 的特點是不著重開發惡意軟件或透過惡意軟件感染目標電腦,而是偏愛採用離地攻擊(living-off-the-land,又稱寄生攻擊),即利用受感染電腦內的合法工具來執行入侵工作,讓電腦內的安全工具認為是合法行為,然後不著痕跡地執行惡意指令。多年來網絡安全研究員更已為離地攻擊作更精細的分類,包括可按黑客使用的可執行檔案、程式碼或程式庫,歸結出 LoLBins、LoLScript 及 LoLLib 等方式。
根據 Microsoft 研究員的報告,這次 Flax Typhoon 入侵可分為多個階段。首先,黑客會先調查目標組織所採用的 VPN、資料庫等面向互聯網的應用工具,如發現存在已知漏洞,便會發動攻擊在內部取得立足點。其次,黑客便會注入一個容量僅 4KB 的 web shell 下載器 China Chopper,遙距執行惡意程序,如有需要更會利用 Juicy Potato 及 BadPotato 等開源工具提升帳戶權限。
順帶一提,China Chopper 雖然出現於 2012 年,但因其容量之小及惡意編碼被高度混淆化,因此很容易避過安全工具的檢測,深受黑客喜愛。
入侵活動低調難偵測
之後黑客便會利用權限關閉網絡級身分驗證(NLA)及濫用 Windows Sticky Keys 輔助服務功能,令他們可以毋須經過身分驗證便可進入 Windows 登錄頁面,以及將修改設定動作變成一般帳戶操作行為,減少安全工具的偵測,更容易長時間匿藏在目標電腦內。
最後,黑客會濫用 Windows 的預裝工具,讓黑客可以在電腦內安裝合法的 VPN 軟件如 SoftEther VPN,並將它改名為其他系統功能常用名稱,以掩飾傳送的數據,令活動更難被偵測。當成功落腳,黑客便會使用間諜軟件 Mimikatz,從作業系統盜取本地安全機構子系統服務(LSASS)進程內存和安全帳戶管理器(SAM)註冊表配置單元的敏感資訊。
由於入侵活動極為低調,Microsoft 現階段亦未能掌握 Flax Typhoon 的入侵目的,但就建議各機構應提升對外開放的設備及應用工具安全性,例如保持安全更新、啟用多重因素驗證(MFA)。另外,監控系統登錄表也有助發現可疑活動。
資料來源:https://www.bleepingcomputer.com/news/security/microsoft-stealthy-flax-typhoon-hackers-use-lolbins-to-evade-detection 及 https://www.securityweek.com/chinese-backed-apt-flax-typhoon-hacks-taiwan-with-minimal-malware-footprint