调查报告 | 兵马俑VPN 高级威胁中的匿名性
作者: 日期:2015年08月25日 阅:2,162

RSA于8月初发布了一份技术分析报告,报告称中国一家VPN服务提供商入侵了百台Windows服务器,并充当其匿名基础网络设施的一部分。安全牛组织译者将篇报告翻译成中文。下面是报告的主要内容:

兵马俑是什么?

兵马俑VPN是一个拥有多个VPN“品牌”,并对之进行实时维护的集团。其旗下各个品牌的网站十分相似。

兵马俑VPN系统包含网站、客户端程序、客户端程序认证、一般VPN节点和用户认证等五个关键组件。

兵马俑节点

在兵马俑使用的1500多个普通VPN节点中,不可否认,确实有一些服务器及相关设备是通过合法租用得到的。然而研究人员发现,仅仅三台设备就有557个相关IP地址。所以基于以下两点判断是否为合法的VPN节点:

  • 是否使用多宿主技术
  • 只使用PPTP公共服务

确认入侵

已经确认的有包括财富500强连锁酒店等23家组织、31种Windows服务器系统被入侵并收编进兵马俑的VPN网络。据初步分析,之所以选择Windows服务器作为入侵对象的主要原因是其操作系统本身可以在极短的时间内配置好VPN服务。

640.webp (8)

兵马俑VPN的工作原理

兵马俑VPN背后的经济学

为什么一家企业需要在VPS如此便宜的情况下入侵服务器,将其纳入自己的生态系统呢?目前,使用高质量VPS作为VPN节点的租价在美国可以低至5美元每月。不过,VPN属于流量密集型,而不是CPU密集型服务。由于很多VPS解决方案只是提供基本带宽,而使用额外带宽需要加价,这会明显增加如兵马俑这样的VPN服务商的运营成本。即使不计算长期使用VPS服务器的带宽成本,管理和国内外VPS供应商的大量合同也会显著增加经营负担。

假设服务器都是合法的,为了维护网络,每个月至少要进行300笔国际转账。更有利可图且更简单的模型是诱捕网络上无穷无尽、存在漏洞的服务器。研究人员提出,兵马俑VPN提供商入侵并收割VPN节点,因为这种方式不仅便宜,从逻辑上来讲也比维护一个拥有超过1500个节点,需要定期转账的复杂VPN生态系统更加方便。

兵马俑VPN的用户

RSA的研究人员在一个月时间内研究了某个兵马俑VPN受害者服务器的MSRAS

640.webp (9)

被编入兵马俑网络节点的单月日志

显然,多数兵马俑用户来自中国大陆,用例包括进行APT攻击、翻墙、实现匿名性、P2P文件共享和游戏加速。考虑到兵马俑提供的匿名性,除APT之外的其它犯罪活动是可 能存在的,但目前并没有被观察到。兵马俑的客户可能对该组织获取服务器和带宽的手段毫不知情。

兵马俑VPN节点分布

最近对兵马俑VPN节点地址的分析表明,大多数节点位于中国,其后则是美国、韩国。其余地点的节点数量分配较为平均。

640.webp (10)

Shell_Crew

据调查,Shell_Crew小组的威胁源在几个月时间内持续进行着针对某敏感网络的入侵行动。在该小组入侵目标时使用的13个IP地址中,其中11个与兵马俑VPN节点有关,占总数的85%。在该高级威胁源于本月进行的长期行动中,分析人员观察到其使用了兵马俑VPN设施掩盖源地址和足迹。

检测节点是否被兵马俑收编

如果一台主机被编入兵马俑VPN网络,服务器会响应如下URL,因为服务器会向VPN服务认证用户:

  1. 8800free.info (IP地址目前归属于河南省郑州市)
  2. 8800free.info (IP地址目前归属于浙江省杭州市)

检测节点是否被用于攻击

为了探测兵马俑VPN节点在攻击中起到的作用,需要注意审查主机节点发出和接收的连接。对这些节点的访问意味着存在来自兵马俑网络的匿名化活动。

检测兵马俑VPN资源调用情况

要探测使用兵马俑服务的用户,应当监控“客户端认证域”。对这些域的访问意味着终端用户正在使用下载的VPN客户端选择即将使用的节点。另外,对 “客户端销售域”的访问意味着终端用户正在购买该VPN服务。

利用RSA Security Analytics和RSA ECAT检测兵马俑

RSA Security Analytics是一套威胁情报自动收集与分发系统,又被称为RSA Live。受怀疑VPN节点订阅源中提供了更新过的兵马俑节点IP地址,可根据客户要求提供。

640.webp (11)

 

RSA ECAT控制台显示的可疑Gh0st幕后域连接

供Security Analytics使用的兵马俑标识已经加载到如下的RSA Live订阅源:

  • RSA Firstwatch APT Threat Domains
  • RSA Firstwatch Command and Control Domains
  • RSA Firstwatch Criminal VPN Exit IPs
  • RSA Firstwatch Insider Threat Domains

预防

采取以下加强步骤中的任何一种都足以帮你防护任何一种已知的攻击方式:

1. 在外部路由器和/或防火墙上屏蔽端口号135

  1. 目前没有任何已知的商务应用会使用端口号135
  2. 建议:启用硬件防火墙,配置“例外情况下允许接入”策略

2. 使用数字与字母组合的方式重命名所有Windows系统上的管理员账户

3. 启用超过15位的强密码,包括大小写字母、数字、多个特殊字符,不使用键盘上的字母排布

  1. 利用键盘上的字母排布图案设置的密码几乎存在于所有破解字典中
  2. 建议:定期更换密码

防止服务器被收编到兵马俑VPN节点生态系统很容易,但探测那些使用兵马俑VPN节点进行匿名攻击的高级威胁源则相对复杂。万无一失的防御是不可能实现的,因此检测成了关键。使用不基于特征检测的网络分析和端点分析,比如RSA Security Analytics和RSA ECAT所提供的功能。它们能够进行主动检测,并在信息资产被入侵前挫败攻击者的尝试。

结论

兵马俑VPN系统建立了一个灰色市场上的匿名生态系统,其运作方式至少部分基于被入侵的服务器。APT小组会使用兵马俑VPN作为攻击支点,隐藏源地址。这制造了一批新型受害者,让合法公司和政府机构变成了大规模APT攻击事件的跳转节点。兵马俑节点生态系统看上去能够为高级威胁源提供更好的匿名性,否则后者就会转而使用那些具有合法、透明节点结构的传统VPN服务。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!

上一篇

术有专攻|金融机构如何防范商业间谍?

下一篇

定位高级威胁和内部威胁的新趋势——持续监测

相关文章