微步在线 对数据库严防死守,数据却从PC上偷偷流走 四川 成都 科汇科技 分销服务商——成都科汇科技有限公司

近年来,数据泄露事件屡见不鲜,甚至个人敏感信息已经成为某些APT团伙的切入口,APT团伙可以通过快递数据轻易溯源到目标单位的相关人员,再根据人员身份、工作环境等信息,展开高度针对性的网络攻击。
而安全人员正在面临新的难题:虽然大力搞数据安全建设,对数据库严防死守,但窃取数据的黑产已经不止有“拖库”一种攻击手法,他们正在采取更隐蔽而持续的手段:
将木马广泛传播在小型分支机构的电脑等缺少防护的终端上,通过“分布式 ”攻击的方式,不用拖库即可持续静默窃取和收集各类敏感数据。
微步情报局长期持续跟进和分析一个用上述手段大规模攻击物流行业的黑产团伙。针对该组织特点,微步情报局取“窥一斑而知全豹”之义,将该组织命名为“花斑豹”。
“花斑豹”至少从2022年开始活跃,通过在打印电脑上安装木马,实现了长时间的静默数据采集和窃取。这种攻击手法已经给今天的安全攻防对抗和企业安全建设带来了新的冲击。本文将分析花斑豹应用的恶意软件和对抗手法,并从攻击者的手法出发,反向思考:作为防守者的我们要如何重新调整企业安全建设方向和投入?

01

“花斑豹”所用的木马是如何运行的?

我们利用微步终端安全平台OneSEC完整呈现了此次攻击用到的恶意软件执行过程如下图:

其执行过程中,主要分成两个部分:

a. 安装运行一个重新打包的远控工具RustDesk以实现控制终端的能力;

b. 安装一个打印机处理器实现用户打印文件信息的窃密工作。

02

“花斑豹” 用到了哪些隐藏和对抗技术? 

“花斑豹”用到了*多的绕过和伪装技术,以实现大范围的投毒和大量数据的窃取。主要对抗技术包括:

1. 攻击对象专挑物流企业防护薄弱环节,如快递站点、物流中心等

此次攻击主要控制的都是日常终端安全建设比较薄弱的环节,包括大量的快递站点和物流中心的机器。这些地方通常被认为不具备较多的应用访问和操作,终端安全和网络安全建设较为薄弱。
2. 利用合法签名进行伪装,绕过杀软

本次攻击中除母体样本之外,所有可执行文件均带有合法签名,可以有效躲避杀毒软件的检测:

图1. 释放的可执行文件签名信息
3. 静默安装第三方远控工具RustDesk,应用RustDesk中继服务器功能实现自建“远控”

该组织恶意利用了远程控制工具RustDesk,通过静默安装的方式让用户无感知,又通过RustDesk配置中继服务器功能来实现对攻击者服务端的连接。

图2. OneSEC检测RustDesk远程桌面软件被恶意利用
4. 恶意利用合法打印程序MonPrinter,既实现了伪装,又成功实现了数据窃密

MonPrinter为国内某公司开发的合法打印模块,攻击者利用该模块的打印内容提取和传输功能,成功监控打印内容,并将监控内容存储为加密的EPL格式后,上传到配置文件中指定的FTP服务器中。

图3. OneSEC检测到利用恶意的MonPrinter模块被安装

03

微步对企业安全建设的建议 

1. 办公网的薄弱环节和风险点需要被重视,被攻破造成的损失不亚于数据中心被攻破

安全团队工作挑战越来越大,过去只需重点关注业务服务和数据中心的安全性,而当前随着黑产、APT攻击越来越多地攻击办公网,特别是安全建设薄弱的分支机构,企业安全管理者需重新审视该部分的安全建设。本次的事件就是一个薄弱环节被大量入侵后造成海量数据窃取的典型,为企业办公网安全敲响了警钟。
2. 攻击者对抗技术越发多样、复杂,在办公网中引入EDR和NDR技术可有效应对

本次攻击中基本利用合法工具、正常签名来进行隐藏和对抗,传统的安全产品容易被绕过,但在流量和终端侧可以引入新安全技术予以有效防范和检测。以终端安全为例,在微步OneSEC中,有多达12个检测点来有效发现花斑豹的攻击行为,这是EDR技术可应对新型威胁*有力的证明。

图4. OneSEC产品中检测风险点示例
此外,微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,微步威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、终端安全管理平台 OneSEC、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。
3. 网络安全为数据安全保驾护航
数据安全是一个复杂的课题。企业想有效*数据安全,就必须在建设数据安全体系的同时,建设更完善的网络安全运营体系,通过边界防护、访问控制、风险管理、暴露面收敛、网络威胁检测响应等手段,有效保障企业的整体数据安全。
网络流量检测的威胁感知平台TDP、主机威胁检测与响应平台OneEDR、互联网安全接入服务OneDNS、安全情报网关OneSIG、终端安全管理平台OneSEC,以及威胁情报管理平台TIP等产品,能够全面提升威胁检测与防护的“精准能力”。
微步也具备*的技术专家团队提供专业安全服务。涵盖红队评估、攻防演练、溯源分析、攻击面梳理、渗透测试、应急响应、托管检测与响应等6大安全服务类别,14大安全服务项。
成都科汇科技有限公司( 微步在线 专注 威胁情报 四川经销商 )
地址:四川省成都市武侯区人民南路四段一号时代数码大厦18楼A5
电话咨询热线:400-028-1235
QQ咨询热线: 1325383361
24小时咨询热线:180 8195 0517(微信同号)
联系我们

联系我们

400-028-1235 工作时间:周一至周五,9:00-18:00,节假日休息
关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部