RSA于8月初發(fā)布了一份技術(shù)分析報(bào)告，報(bào)告稱(chēng)中國(guó)一家VPN服務(wù)提供商入侵了百臺(tái)Windows服務(wù)器，并充當(dāng)其匿名基礎(chǔ)網(wǎng)絡(luò)設(shè)施的一部分。安全牛組織譯者將篇報(bào)告翻譯成中文。下面是報(bào)告的主要內(nèi)容：

兵馬俑是什么？

兵馬俑VPN是一個(gè)擁有多個(gè)VPN“品牌”，并對(duì)之進(jìn)行實(shí)時(shí)維護(hù)的集團(tuán)。其旗下各個(gè)品牌的網(wǎng)站十分相似。

兵馬俑VPN系統(tǒng)包含網(wǎng)站、客戶(hù)端程序、客戶(hù)端程序認(rèn)證、一般VPN節(jié)點(diǎn)和用戶(hù)認(rèn)證等五個(gè)關(guān)鍵組件。

兵馬俑節(jié)點(diǎn)

在兵馬俑使用的1500多個(gè)普通VPN節(jié)點(diǎn)中，不可否認(rèn)，確實(shí)有一些服務(wù)器及相關(guān)設(shè)備是通過(guò)合法租用得到的。然而研究人員發(fā)現(xiàn)，僅僅三臺(tái)設(shè)備就有557個(gè)相關(guān)IP地址。所以基于以下兩點(diǎn)判斷是否為合法的VPN節(jié)點(diǎn)：

是否使用多宿主技術(shù)只使用PPTP公共服務(wù)

確認(rèn)入侵

已經(jīng)確認(rèn)的有包括財(cái)富500強(qiáng)連鎖酒店等23家組織、31種Windows服務(wù)器系統(tǒng)被入侵并收編進(jìn)兵馬俑的VPN網(wǎng)絡(luò)。據(jù)初步分析，之所以選擇Windows服務(wù)器作為入侵對(duì)象的主要原因是其操作系統(tǒng)本身可以在極短的時(shí)間內(nèi)配置好VPN服務(wù)。

 

兵馬俑VPN的工作原理

兵馬俑VPN背后的經(jīng)濟(jì)學(xué)

為什么一家企業(yè)需要在VPS如此便宜的情況下入侵服務(wù)器，將其納入自己的生態(tài)系統(tǒng)呢？目前，使用高質(zhì)量VPS作為VPN節(jié)點(diǎn)的租價(jià)在美國(guó)可以低至5美元每月。不過(guò)，VPN屬于流量密集型，而不是CPU密集型服務(wù)。由于很多VPS解決方案只是提供基本帶寬，而使用額外帶寬需要加價(jià)，這會(huì)明顯增加如兵馬俑這樣的VPN服務(wù)商的運(yùn)營(yíng)成本。即使不計(jì)算長(zhǎng)期使用VPS服務(wù)器的帶寬成本，管理和國(guó)內(nèi)外VPS供應(yīng)商的大量合同也會(huì)顯著增加經(jīng)營(yíng)負(fù)擔(dān)。

假設(shè)服務(wù)器都是合法的，為了維護(hù)網(wǎng)絡(luò)，每個(gè)月至少要進(jìn)行300筆國(guó)際轉(zhuǎn)賬。更有利可圖且更簡(jiǎn)單的模型是誘捕網(wǎng)絡(luò)上無(wú)窮無(wú)盡、存在漏洞的服務(wù)器。研究人員提出，兵馬俑VPN提供商入侵并收割VPN節(jié)點(diǎn)，因?yàn)檫@種方式不僅便宜，從邏輯上來(lái)講也比維護(hù)一個(gè)擁有超過(guò)1500個(gè)節(jié)點(diǎn)，需要定期轉(zhuǎn)賬的復(fù)雜VPN生態(tài)系統(tǒng)更加方便。

兵馬俑VPN的用戶(hù)

RSA的研究人員在一個(gè)月時(shí)間內(nèi)研究了某個(gè)兵馬俑VPN受害者服務(wù)器的MSRAS

 

被編入兵馬俑網(wǎng)絡(luò)節(jié)點(diǎn)的單月日志

顯然，多數(shù)兵馬俑用戶(hù)來(lái)自中國(guó)大陸，用例包括進(jìn)行APT攻擊、翻墻、實(shí)現(xiàn)匿名性、P2P文件共享和游戲加速。考慮到兵馬俑提供的匿名性，除APT之外的其它犯罪活動(dòng)是可 能存在的，但目前并沒(méi)有被觀(guān)察到。兵馬俑的客戶(hù)可能對(duì)該組織獲取服務(wù)器和帶寬的手段毫不知情。

兵馬俑VPN節(jié)點(diǎn)分布

最近對(duì)兵馬俑VPN節(jié)點(diǎn)地址的分析表明，大多數(shù)節(jié)點(diǎn)位于中國(guó)，其后則是美國(guó)、韓國(guó)。其余地點(diǎn)的節(jié)點(diǎn)數(shù)量分配較為平均。

 

Shell_Crew

據(jù)調(diào)查，Shell_Crew小組的威脅源在幾個(gè)月時(shí)間內(nèi)持續(xù)進(jìn)行著針對(duì)某敏感網(wǎng)絡(luò)的入侵行動(dòng)。在該小組入侵目標(biāo)時(shí)使用的13個(gè)IP地址中，其中11個(gè)與兵馬俑VPN節(jié)點(diǎn)有關(guān)，占總數(shù)的85%。在該高級(jí)威脅源于本月進(jìn)行的長(zhǎng)期行動(dòng)中，分析人員觀(guān)察到其使用了兵馬俑VPN設(shè)施掩蓋源地址和足跡。

檢測(cè)節(jié)點(diǎn)是否被兵馬俑收編

如果一臺(tái)主機(jī)被編入兵馬俑VPN網(wǎng)絡(luò)，服務(wù)器會(huì)響應(yīng)如下URL，因?yàn)榉?wù)器會(huì)向VPN服務(wù)認(rèn)證用戶(hù)：

8800free.info （IP地址目前歸屬于河南省鄭州市）8800free.info （IP地址目前歸屬于浙江省杭州市）

檢測(cè)節(jié)點(diǎn)是否被用于攻擊

為了探測(cè)兵馬俑VPN節(jié)點(diǎn)在攻擊中起到的作用，需要注意審查主機(jī)節(jié)點(diǎn)發(fā)出和接收的連接。對(duì)這些節(jié)點(diǎn)的訪(fǎng)問(wèn)意味著存在來(lái)自兵馬俑網(wǎng)絡(luò)的匿名化活動(dòng)。

檢測(cè)兵馬俑VPN資源調(diào)用情況

要探測(cè)使用兵馬俑服務(wù)的用戶(hù)，應(yīng)當(dāng)監(jiān)控“客戶(hù)端認(rèn)證域”。對(duì)這些域的訪(fǎng)問(wèn)意味著終端用戶(hù)正在使用下載的VPN客戶(hù)端選擇即將使用的節(jié)點(diǎn)。另外，對(duì) “客戶(hù)端銷(xiāo)售域”的訪(fǎng)問(wèn)意味著終端用戶(hù)正在購(gòu)買(mǎi)該VPN服務(wù)。

利用RSA Security Analytics和RSA ECAT檢測(cè)兵馬俑

RSA Security Analytics是一套威脅情報(bào)自動(dòng)收集與分發(fā)系統(tǒng)，又被稱(chēng)為RSA Live。受懷疑VPN節(jié)點(diǎn)訂閱源中提供了更新過(guò)的兵馬俑節(jié)點(diǎn)IP地址，可根據(jù)客戶(hù)要求提供。

 

RSA ECAT控制臺(tái)顯示的可疑Gh0st幕后域連接

供Security Analytics使用的兵馬俑標(biāo)識(shí)已經(jīng)加載到如下的RSA Live訂閱源：

RSA Firstwatch APT Threat DomainsRSA Firstwatch Command and Control DomainsRSA Firstwatch Criminal VPN Exit IPsRSA Firstwatch Insider Threat Domains

預(yù)防

采取以下加強(qiáng)步驟中的任何一種都足以幫你防護(hù)任何一種已知的攻擊方式：

1. 在外部路由器和/或防火墻上屏蔽端口號(hào)135

目前沒(méi)有任何已知的商務(wù)應(yīng)用會(huì)使用端口號(hào)135建議：?jiǎn)⒂糜布阑饓Γ渲?ldquo;例外情況下允許接入”策略

2. 使用數(shù)字與字母組合的方式重命名所有Windows系統(tǒng)上的管理員賬戶(hù)

3. 啟用超過(guò)15位的強(qiáng)密碼，包括大小寫(xiě)字母、數(shù)字、多個(gè)特殊字符，不使用鍵盤(pán)上的字母排布

利用鍵盤(pán)上的字母排布圖案設(shè)置的密碼幾乎存在于所有破解字典中建議：定期更換密碼

防止服務(wù)器被收編到兵馬俑VPN節(jié)點(diǎn)生態(tài)系統(tǒng)很容易，但探測(cè)那些使用兵馬俑VPN節(jié)點(diǎn)進(jìn)行匿名攻擊的高級(jí)威脅源則相對(duì)復(fù)雜。萬(wàn)無(wú)一失的防御是不可能實(shí)現(xiàn)的，因此檢測(cè)成了關(guān)鍵。使用不基于特征檢測(cè)的網(wǎng)絡(luò)分析和端點(diǎn)分析，比如RSA Security Analytics和RSA ECAT所提供的功能。它們能夠進(jìn)行主動(dòng)檢測(cè)，并在信息資產(chǎn)被入侵前挫敗攻擊者的嘗試。

結(jié)論

兵馬俑VPN系統(tǒng)建立了一個(gè)灰色市場(chǎng)上的匿名生態(tài)系統(tǒng)，其運(yùn)作方式至少部分基于被入侵的服務(wù)器。APT小組會(huì)使用兵馬俑VPN作為攻擊支點(diǎn)，隱藏源地址。這制造了一批新型受害者，讓合法公司和政府機(jī)構(gòu)變成了大規(guī)模APT攻擊事件的跳轉(zhuǎn)節(jié)點(diǎn)。兵馬俑節(jié)點(diǎn)生態(tài)系統(tǒng)看上去能夠?yàn)楦呒?jí)威脅源提供更好的匿名性，否則后者就會(huì)轉(zhuǎn)而使用那些具有合法、透明節(jié)點(diǎn)結(jié)構(gòu)的傳統(tǒng)VPN服務(wù)。