许多政府机关或是企业,对于极为机密的应用环境,可能认为采用实体隔离(Air-Gapped)的网络环境,与互联网隔绝,就能防范黑客入侵,但其实不然,因为,信息人员留下的资料发送渠道,攻击者也可能利用相同的渠道窃取。在HITCON 2020上,趋势科技网络威胁研究员Joey Chen,就对于锁定菲律宾军方发动的USB设备窃密攻击,披露黑客组织使用的工具USBferry,来呼吁构建这种网络隔离环境的单位,不能只是完全依赖现有的防护机制,来确保进入隔离网络环境的资料无害。
一般来说,员工需要将文件带入这种封闭环境,企业采取的做法,很可能是通过所谓的“检疫机”,来扫描U盘的文件,确认其中的内容无害,才允许这个设备连接封闭环境里的计算机,甚至有些企业会要求员工必须使用具备指纹识别功能的存储设备,来确保文件是由该名员工经手。而根据USBferry的命名,黑客显然就是针对这种资料访问的渠道下手。
Joey Chen进一步指出,滥用这个攻击工具的黑客组织是Tropic Trooper,也被称为Pirate Panda或是KeyBoy,主要的活动范围在亚洲,曾对台湾、菲律宾、越南,以及图博等发动攻击,他们最早在2011年发现这个组织的踪迹。而此起滥用USBferry的攻击行动,该组织是锁定菲律宾军方窃取机密,不过,虽然是目标是军事单位,但是Joey Chen说,黑客的攻击途径,是先从安全意识较为薄弱的军医院下手,然后再辗转渗透到军方的隔离网络环境。
为何黑客称他们的工具为USB“ferry”?Ferry这个字是来自中国的“摆渡攻击”,意思就是针对隔离网络来窃取机密资料的手段,利用外置存储设备来当作“渡船”,进而达到取得隔离网络资料的目的。
这种把USBU盘当做资料渡船的攻击手法,Joey Chen表示是在2014年开始出现,前身是名为“炮灰之王(PaoHuiKing)”的后门下载工具。但为何他们会发现USBferry和炮灰之王有所关联?Joey Chen说,因为两者有共同的特征,包含了使用相同的C&C中继站连接端口,还有都会在用户字符串(User Agent)标示攻击目标的对象信息等。再者,Tropic Trooper也在上述2种恶意程序里,注记详细的版本信息,这也与许多黑客组织的做法明显不同。
在趋势科技的观察中,USBferry攻击的途径是从发送钓鱼信给军医开始,进而让相关工具经由U盘发送到隔离网络环境,窃得机密文件后,再回传到黑客手上。
由于钓鱼信里附件文件看起来也很像军方文件,军医便很可能不疑有他就中招。更何况,经手U盘的人员还可能没有依照标准作业程序,跳过检测的步骤,让USBferry直接进入到隔离网络环境。
该恶意程序为了检查是否被携入到隔离网络,它会Ping特定的网址。一旦发现抵达这种网络环境里的计算机,USBferry会收集该计算机的系统信息,并复制特定格式的文件文件到U盘(例如,C磁盘机里所有DOC文件),再伺机准备把资料发送到外部。
但为何USBferry能够躲过进入隔离网络的检测机制?Joey Chen说,因为黑客采用罕见的规避侦测手法,例如复制恶意程序到系统恢复文件夹(Recovery)路径,而对于窃得的机密文件,他们则是存放于U盘上的资源回收筒(Recycler)文件夹,由于一般人并不会特别留意这些文件夹里面的内容,因此也很难发现有所异状。再者,趋势在UF-1.0 20160226版的USBferry上,发现攻击者将恶意程序注入于受害计算机的RUNDLL32.EXE,光是从任务管理器的内容,企业几乎无从发现这个攻击行动的踪迹。
当USBferry成功窃得机密文件,并发送到能够对外连接的网络环境后,后续又是如何接应的呢?趋势发现,Tropic Trooper利用了Web Shell来创建后门,以便在受害单位无声无息将资料发送出去,而这系列的后门,后续发展出来就是该公司在今年台湾安全大会上披露的Welcome Server系列。至于企业应当如何防范这种APT攻击手法?Joey Chen表示,相关人员应该无论U盘携入或是携出隔离网络环境,都要检查其中的内容,并比对文件的散列值与大小,以免发生资料被黑客篡改,或是加入没有要携出的文件等情况。
