概述
UTG-Q-008、UTG-Q-009等多个攻击团伙对政企构成了重大威胁。其中,UTG-Q-008是唯一一个专门针对Linux平台进行攻击的组织,背后拥有庞大的僵尸网络。经过长达一年的高强度跟踪,我们最终证实了UTG-Q-008利用僵尸网络资源对国内科研教育领域进行窃密活动的证据。本文详细分析了UTG-Q-008的攻击手法和基础设施,揭示了其高达70%的基础设施为跳板服务器,并且每次开展新活动时都会更换新的跳板。攻击者掌握的域名中,最早的在十年前就已开始活跃,其对抗强度远超主流APT组织。攻击流程图如下:
目标
UTG-Q-008针对国内的攻击活动拥有多个攻击列表,我们只拿到了其中一个,包含国内五千多个网段:
网络资源分布
我们对ssh登录的源IP的数量和地区进行了简单的统计,中国被控节点最多,美国次之。
武器组件
攻击者的武器一般都以tar的格式打包存储在跳板服务器上,基础设施与上述僵尸网络的节点没有重叠,被控的服务器所挂载的正常服务较为杂乱,能够识别出来的只有wordpress框架并且大部分跳板服务器带有域名,其中有一个国内的合法域名距今已经有14年之久,所以攻击者一般都使用跳板域名进行活动。跳板服务器所在国家占比如下:
Nanobot组件
攻击者拿到服务器权限后一般会通过wget或者Curl从跳板服务器上下载Nanobot组件,组件启动流程如下:
攻击者在注释中称启动的Run64为Nanobot,经过分析该ELF可执行文件由Python打包,核心逻辑与开源的Perlbot非常相似。
从连续的流量中我们可以确认当Nanobot的C2建立连接之后,攻击者选择启动新的反弹shell或者SSH反向隧道的方式来下载后续的插件,这种临时shell所连接的跳板C2与上述僵尸网络节点和存储武器的跳板服务器均没有重叠,并且shell只持续2-3分钟,很难对其进行捕获和分析,反弹shell的跳板IP对应类型占比如下,包含 Ubiquiti路由器、未知的智能家居设备、exchange服务器等。
内网探测组件
UTG-Q-008拥有多种类型的内网扫描器,一般用于扫描内网中的B段机器的指定端口是否开放。
攻击者收集完内网的网段后会下发横向移动组件。
横向移动组件
横向移动组件流程如下:
步骤较多大体上分为两段,第一段的实际上是在B段扫描器生成的结果基础上对目标内网的linux服务器进行ssh端口测绘,将测绘出的结果banner.log与工具包中内置的exclude.lst进行比较,删掉特定SSH Banner的linux服务器,攻击者的爆破程序可能对有些SSH版本做了优化:
第二段的主要功能是调用pfile读取linux服务器的etc/passwd文件获取用户名,在用户名后面添加弱口令的方式来生成额外的密码本。例如《root+“1234”》,将新生成的密码本添加到工具包中内置的pass文件中。
原始的Pass文件是UTG-Q-008针对中国地区的目标特别设计的密码本,内置4000多个账密,大部分为汉语拼音:
经过详细的分析,我们认为这些账密绝非随机生成,而是攻击者在国内多年的攻击活动中积累所得,保守估计国内有上千台服务器曾经在UTG-Q-008的历史活动中被入侵,最终启动parse开始爆破内网服务器,首先会发起Http请求读取内置的跳板URL的数据来验证lan脚本中传入的参数是否合法,网络验证成功后才会进行爆破。
启动后会发起Http请求读取内置的跳板URL的数据来验证lan脚本中传入的参数是否合法,网络验证成功后才会进行爆破。
攻击者可能觉得工具包中六个golang编写的ELF太过于繁琐,在其他机器的横向过程中释放了一个轻量化python脚本,舍弃了SSH Banner测绘的流程,仅保留了第二段的逻辑。
得益于UTG-Q-008在国内“深耕”多年的努力,其设计的这套组件在linux服务器区的内网横向移动中取得了不俗的成果。
FRP组件
当攻击者想要登录内网机器时,一般会在边界服务器上启动FRP反向代理,执行流程如下:
FRP还有一个用处:当内网横向移动组件没有起到太大的效果时,可以利用FRP隧道调用外部僵尸网络的算力针对内网重要机器进行爆破。
窃密插件
深入到内网到一定程度后,攻击者会选择在重要的服务器上安装窃密插件,ELF启动后会执行内置的Bash脚本,Bash文件包含大量的正则表达式用于收集linux服务器上存储的敏感信息,从功能上分有6部分,每部分下有十条左右的匹配规则,我们挑选出部分规则做介绍。
1、对linux上各种历史文件和隐藏文件进行解析,匹配出潜在的ssh、ftp等包含敏感信息的命令。
2、寻找VNC凭证并下载解密插件进行解密
3、提取sshpass凭证、github凭证和其他类型的凭证文件
4、搜索多个符合条件的文件,并使用对应的正则表达式提取文件中的敏感信息,例如搜索特定目录下的.gitconf文件,提取邮箱信息。
5、分析系统日志和代码,例如在/usr/include/目录下的文件中搜索明文账密。
在分析过程中发现UTG-Q-008针对postech目录下小于15k的文件内容做了独立的过滤条件,经过搜索postech似乎是韩国一所研究型的大学,暂不清楚为什么在针对国内的科研体系攻击者中使用该规则,可能是攻击者忘记删除,也可能是想要获取postech与国内合作项目的信息。
总之,这套复杂的窃密脚本给攻击者带来了巨大的正向收益,获取git凭证后,直接从内网的代码服务器拉去源代码并和服务器上的科研数据一起打包传到跳板服务器上。
xmrig
没有任何一个攻击者能够拒绝在一台装有五张RTX4090或者八张RTX3090显卡的linux服务器上安装挖矿组件,尽管我们的研究团队并不是满脑子只有地缘政治的民族主义者,但是这种行为不得不让我们思考攻击者是否想要阻碍我国科学技术的发展,从结果上看xmrig组件的存在能够很好的掩盖UTG-Q-008的真实目的,毕竟上述介绍的各种组件在实际攻击过程中最多只在受害机器上停留五分钟,而xmrig组件则会一直运行到我们上门取证为止。
受害范围
最近三年的受害IP(能够定位出具体单位)数量高达1500+,教育网(CER)占比最高,符合UTG-Q-008攻击列表中的内容。
一些境外的受害IP重要单位:
境外受害行业包含教育承包商、大学、联合国组织、研究所和信息技术公司等。
文章来源:红雨滴团队
https://ti.qianxin.com/blog/articles/Operation-Veles-Decade-Long-Espionage-Targeting-the-Global-Research-and-Education-Sector-EN/
原文始发于微信公众号(Khan安全攻防实验室):APT Operation Veles:针对全球科研教育领域长达十年的窃密活动
