2024年12月11日

在对另一起网络事件的分析过程中，DoctorWeb公司反病毒分析师发现一场黑客活动正在暗中进行，并且此次进攻所采用的技术出现了不少新动向。

一家客户怀疑其计算机设施遭到黑客攻击后联系我公司进行调查。在对客户数据进行分析的过程中，我公司反病毒分析师发现多起类似的感染病例，由此我们确认，一场恶意进攻正在积极活动。黑客的活动主要针对东南亚地区，在攻击过程中使用了一系列分别在不同阶段起作用的恶意软件。遗憾的是，我们未能完全确定黑客是如何获得被感染计算机的初始访问权的，但我们复原重建了后续攻击的整个过程。此次攻击最值得注意的是使用了eBPF技术（extended Berkeley Packet Filter——可扩展数据包过滤器）。

开发eBPF技术的目的是加强对Linux操作系统网络子系统和进程操作的控制。这一展现出了相当大的潜力，吸引了大型IT公司的关注：几乎从出现的那一刻起，就包括了谷歌、华为、英特尔和Netflix等巨头就加入了eBPF基金会，参与技术的进一步研发。然而，黑客也对eBPF产生了兴趣。

攻击者将EBPF所提供的广泛功能用于隐藏网络活动和进程、收集敏感信息，并可绕过防火墙和入侵检测系统。检测此类恶意软件难度极高，因此在ART定向攻击中使用可长期掩盖黑客的活动。

我们所分析的事件中攻击者正是利用了这项技术，同时将两个Rootkit下载到了被感染的计算机。第一个安装的是eBPFrootkit，用于隐藏了另一个rootkit的运行，而第二个rootkit是内核模块，接下来就是将远程访问木马安装到系统。该木马的特点是支持多种流量隧道技术，使其能够与处于隐网的攻击者进行通信并掩盖命令传输。

2023年以来，eBPF恶意软件一直在增加，出现了基于该技术的多个恶意软件家族，包括Boopkit、BPFDoor和Symbiote。而eBPF技术漏洞也时有出现，这让情况变得更糟。目前已知的eBPF漏洞有217个，其中对约100个漏洞的识别发生在2024年。

此次黑客进攻的另一个不寻常特征是使用了一种相当有创意的木马设置存储方法。之前大多是使用专用服务器来存储木马设置，现在则越来越多的情况是恶意软件的配置存储在公共平台上的公共访问区域。我们所分析的木马软件访问的就是Github平台，甚至还有一个中文博客的页面。采用这种方法可以减少被感染计算机因流量而引起用户的怀疑，因为与之交互的是安全的网络节点，而且攻击者也不用再操心维护对保存木马配置的控制服务器的访问。应该是使用可公开访问的服务来控制木马的做法并不新鲜，黑客此前曾使用过Dropbox、GoogleDrive、OneDrive，还有Discord。然而，这些服务在许多国家（首先是在中国）被区域封锁，对黑客的吸引力也相应降低。而大多数网络供应商都提供对Github的访问，因此也就受到了进攻者的青睐。

存储在Gitlab和网络安全博客页面的设置。出奇的是，攻击者是在这个博客页面请求帮助解密第三方代码，而实际上这个代码是发送给木马的一个命令参数。

此次黑客进攻还有一个特殊之处是将木马作为后运作框架的一部分，后运作框架就是在获得计算机访问权限后进一步进行攻击的阶段所使用的软件包。此类框架本身并不禁止使用，提供安全审计服务的公司也在使用。最常见的工具是CobaltStrike和Metasploit，可自动执行大量检查并具有内置的漏洞数据库。

CobaltStrike构建的网络示例（来源：开发者网站）

当然，框架的这种能力大受黑客欢迎。2022年，CobaltStrike软件的黑客版本开始被广泛使用，导致黑客活动激增。CobaltStrike大部分基础设施的位于中国。需要指出的是，制造商正在努力监控框架的安装，并且执法机构也在不断封锁具有黑客版本的服务器。因此，目前不法分子开始转向使用开源码框架，用于扩展和修改被感染设备与控制服务器之间的网络活动。对于进攻者而言，这种策略的可取之处还在于可减少攻击者所用基础设施被发现的可能性。

所有在分析此次安全事件中识别的威胁均已添加至我公司恶意软件数据库；此外，eBPF恶意程序的行为特征也已添加至启发式算法。

Trojan.Siggen28.58279更多详情]

失陷指标