这可能是今年某不可说的大型行动中最***、最精彩的一次交锋。
如果发生在真实的对抗中,攻击方利用这一套“核弹级”的攻击,甚至有机会控制上亿终端——而且全程可以做到无感知。就问你害不害怕,紧不紧张?
而防守方竟然道高一丈,从发现到掐死这场蓄谋已久的精准制导攻击,只用了48小时。
事情发生在8月15日14点,正在客户侧驻场的我,突然被微步的终端安全产品OneSEC弹出的一则EDR告警打断,这是来自某分支机构的一台员工终端的报警:
疑似 WPS 中有恶意DLL进程和远控类软件启动!几分钟内,基于OneSEC,我完成了快速封禁与隔离终端的操作。
WPS进程启动exe,你看到这个报警是什么反应?我的***反应是:”安全培训都白做了,说了不要点来历不明的文件,怎么就不听呢?”然后,打算走一遍正规流程,安排处置组的同事联系终端持有人,让他协助排查,并且再次进行安全警告,不要点击陌生文件。
然后,诡异的事情就发生了。
人不在场,电脑却自己运行了!
电脑的持有人反馈,事情发生的时候,她根本就不在电脑前,13点就出门了,电脑一直锁屏没人动过。
“这不是扯淡么,难道WPS是自己点击运行的?”我连标点符号都不信,在安全行业时间长了真是什么妖魔鬼怪都见过,怕处罚就编瞎话啊?”别跟她废话,调她工位监控录像。” 我头都不抬,跟妹子所在的单位安全管理员说。
“这不合适吧。”对方有点紧张。
“有脸编瞎话,没脸承认啊,去调监控。”我坚持还原真相。
过了一会儿,我听到了那句现在想起来都汗毛倒竖的话:”我们看了,她真的不在工位”。我抢过录像看了一遍,分秒都对了下,真的不在工位。卧槽…..
也就是说,在她出门,电脑锁屏,没人操作的情况下,WPS自己运行起来,而且还运行了一个恶意程序。
恶意程序哪儿来的?是电脑提前被黑了,设置了定时运行?还是被劫持了?或者多个程序组合0day?
疑问席卷而来。
高危攻击,扑朔迷离
带着疑问,我召集了团队里全部精兵强将,开始了进一步排查:
流量侧,没有***异常;网关告警,没有***异常;被攻击电脑的木马均由WPS相关进程创建和执行,但是这台机器的WPS前序没有其他异常。我们对这个机器hunting之后,也发现除了告警的恶意进程由WPS执行起来外,并没有其他异常的进程。
没有异常,本身就是***的异常。
强烈的危机感袭来,直觉告诉我,***,现在是一次高危攻击事件,第二,WPS大概率“出了问题”。
我突然灵光一闪:
如果真是攻击者利用了WPS的机制,可以向WPS用户推送恶意代码的话,***时候、任意终端都可以在无感的情况下被控制。
可以确信的是,对方用了一些手段实现了0交互的远控,隐藏很深,那些没被OneSEC覆盖的终端,说不定已经悄悄沦陷。
那没有部署OneSEC的单位呢?我不敢继续往下想,眼下最急的是要做三件事:
***,快速告知WPS疑似事件,等待WPS的自查结果;
第二,赶快把这次攻击相关的IP、域名、Hash等情报快速下发到微步的全产品线,进行全网检测和封堵。
第三,溯源,溯源,还是特么的溯源。
因为我们的每一个动作,都是在和攻击者赛跑。
真相,浮出水面
线索越理越多。
很快,我们的进一步溯源就有了结果:
攻击者利用WPS云服务进程创建了2个恶意文件和WPS云服务,又利用WPS云服务的更高system权限,通过dll劫持,加载了恶意dll,最终,成功安装并执行了伪装为阿里云助手的木马。
在获取的其他更多信息后,我们基本判断攻击路径可能为:
攻击者通过CDN流量劫持了部分用户的流量,导致用户的电脑通过WPS的云服务进程下载,并创建了恶意的代码,结果恶意代码执行使得阿里云助手上线,攻击者又利用阿里云助手控制用户电脑,进而开展后续的攻击行为。
要知道在此次攻击射程范围内的WPS个人版,用户量可是高达上亿,好在因为该攻击活动受到了管控,所以范围被限定在了特定的企业和特定的终端,如果攻击者真的是坏人用了类似手法,那么几秒钟内,这些终端可能都将被全部拿下。
这是什么概念呢?横扫全球的WannaCry蠕虫,最终受攻击的用户数也只有30万。
拉锯,直到最后一秒
我们在全网下发***的情报预警通知、情报数据、封禁和处置策略后,本次攻击的整体态势马上展现出来:
攻击者敏锐地察觉留给自己的时间不多了,开始疯狂寻找更多的攻击突破口。仅从微步安全网关防护产品OneDNS的封堵情况看,攻击者尝试反连的远控链接次数就多达上万次。
好家伙,我直呼一个好家伙,攻击者的野心不小啊!
面对铺天盖地的攻势,我们决定:在我们的客户侧,帮助客户回溯从8月14日起微步流量检测平台TDP和云安全网关OneDNS的所有告警和日志,把这次攻击事件的全貌完整呈现。
果然,除事发企业外,我们还发现7家其他企业遭受了攻击,攻击范围也有进一步扩大的趋势。
这是最后的拉锯战了。安全服务团队迅速介入这些企业的应急响应,研究团队不断进行回溯结果的持续分析和聚合,而所有人都在紧张地期待着WPS封堵攻击入口。
终于,在8月16日晚,WPS传来消息:修复完成。
紧接着,与此次供应链攻击所有的相关告警都停了下来。
结束,但警钟长鸣
在帮助企业修复被紧急隔离的几十台终端时,我心中竟有种战火熄灭、硝烟未尽之感:
失陷的那台电脑丧失控制权的1分钟内,可以发生太多事情。电光火石间,甚至可以决定一家企业的生死存亡,也能让一个承载特殊职责的机构地动山摇。
如果今天不只是一场攻防演练、如果没有EDR做行为检测和发现、如果不能及时hunting封堵,如此迅猛的全网供应链攻击事件,又会造成什么样的后果呢?可能是上亿用户在一夜间被无感控制,这是***漏洞、***新型病毒和蠕虫都不能达到的效果!
随着终端安全技术的进步和产品的迭代,像OneSEC这样真正具备行为检测能力的EDR技术指向了一个可行的未来:让威胁止步于起点。