華為安全大咖談 | 論道攻防第3期：遠(yuǎn)程控制之暗度陳倉(cāng)

本文以楚漢名帥韓信“暗度陳倉(cāng)”之計(jì)為切入點(diǎn)，深入剖析攻防演練中攻擊者“以奇隱正，以迂蔽直”的遠(yuǎn)控攻擊和躲避檢測(cè)手段。

“明修棧道，暗度陳倉(cāng)”是指在表面上用某一行動(dòng)迷惑對(duì)方，但在暗中卻采取另一種行動(dòng)達(dá)到目的。

高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）是一種復(fù)雜的、持續(xù)的網(wǎng)絡(luò)攻擊，它通常由高度組織的攻擊者發(fā)起，目的是竊取敏感信息或破壞目標(biāo)系統(tǒng)。APT攻擊通常會(huì)使用遠(yuǎn)程控制木馬（Remote Access Trojan，RAT）作為其中的一種手段，利用表面?zhèn)窝b吸引注意，暗中使用隱蔽手段在目標(biāo)系統(tǒng)中建立持久性控制，明修棧道，暗度陳倉(cāng)，威脅用戶的網(wǎng)絡(luò)安全。

RAT是一種惡意軟件，黑客可以利用它監(jiān)控用戶的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備甚至整個(gè)網(wǎng)絡(luò)。RAT通過(guò)偽裝成正常的doc、exe可執(zhí)行程序、web網(wǎng)站、郵件等進(jìn)行釣魚(yú)，當(dāng)用戶不小心被“明”面上的偽裝所釣中，只要輕輕雙擊執(zhí)行惡意文件或程序，RAT便會(huì)通過(guò)惡意程序迅速滲透用戶主機(jī)，在用戶的客戶端進(jìn)程中“暗”中潛伏。更有甚者會(huì)通過(guò)休眠數(shù)月來(lái)隱藏自身，躲避用戶殺毒軟件檢測(cè)。在用戶放松警惕之時(shí)，RAT便開(kāi)始遠(yuǎn)程控制受害者主機(jī)，通過(guò)C&C（Command and Control，命令與控制）達(dá)成偷竊用戶數(shù)據(jù)、賬戶密碼和隱私資料的目的，破壞用戶主機(jī)，甚至利用用戶主機(jī)傳播病毒。

Cobalt Strike（CS）是一款業(yè)界主流的滲透、遠(yuǎn)控工具。CS具備隱藏自身的能力，支持掛載其他惡意載荷（攻擊指令等）以及支持使用多種協(xié)議遠(yuǎn)控通信手段。CS最著名的特點(diǎn)是“團(tuán)伙作案”，“明”面上可能只有一臺(tái)活躍的C&C服務(wù)器，但“暗”中實(shí)際上可能有十?dāng)?shù)人的團(tuán)伙對(duì)成千上萬(wàn)的用戶主機(jī)進(jìn)行攻擊。

據(jù)現(xiàn)網(wǎng)統(tǒng)計(jì)，2022年網(wǎng)絡(luò)中的C&C遠(yuǎn)控滲透工具，CS占比達(dá)46.9%，可見(jiàn)其在遠(yuǎn)控滲透領(lǐng)域的絕對(duì)霸主地位。CS工具可以和勒索軟件聯(lián)動(dòng)，帶來(lái)遠(yuǎn)控、勒索、泄密三重危害。在攻防演練行動(dòng)中，CS工具以其優(yōu)越的性能和團(tuán)伙作戰(zhàn)的特點(diǎn)，成為紅隊(duì)滲透攻擊的必勝法寶，而應(yīng)對(duì)CS的遠(yuǎn)控滲透，也成為防守方藍(lán)隊(duì)的必備能力。下面我們通過(guò)CS的攻擊實(shí)例來(lái)解析RAT是如何遠(yuǎn)程控制用戶主機(jī)，繼而造成危害的。

圖1-12022年網(wǎng)絡(luò)環(huán)境C&C滲透工具使用分布

（來(lái)源：2022年華為HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)惡意家族樣本統(tǒng)計(jì)）

滲透軟件成功滲透后，為了防止各種邊界設(shè)備，軟/硬件防火墻的檢測(cè)，“明”面上會(huì)采用邊界設(shè)備允許通信的協(xié)議，在“暗”中實(shí)則進(jìn)行傳遞控制命令、信息泄漏的行為。例如，通過(guò)DNS、ICMP、HTTP協(xié)議來(lái)下發(fā)遠(yuǎn)程控制命令，竊取用戶的關(guān)鍵信息，并利用SSL加密協(xié)議對(duì)竊取內(nèi)容進(jìn)行加密，使常規(guī)的異常端口檢測(cè)和異常端口封堵手段難以奏效。

DNS隧道是一種隱蔽信道，它通過(guò)將其他協(xié)議封裝在DNS協(xié)議中傳輸來(lái)建立通信。由于DNS是網(wǎng)絡(luò)世界中必不可少的服務(wù)，大部分防火墻和入侵檢測(cè)設(shè)備很少會(huì)過(guò)濾DNS流量，這就為攻擊者利用DNS作為隱蔽信道提供了條件。攻擊者可以利用它實(shí)現(xiàn)諸如遠(yuǎn)程控制、文件傳輸?shù)炔僮鳌?/span>

下面的案例展示了C&C服務(wù)器是如何“明”中發(fā)送DNS域名查詢求，“暗”則泄漏用戶數(shù)據(jù)的。滲透軟件將偷取的數(shù)據(jù)編輯成DNS域名，向黑客控制的C&C服務(wù)器進(jìn)行域名請(qǐng)求。C&C服務(wù)器接收到請(qǐng)求的域名后，進(jìn)行解析和拼接，即可獲取用戶數(shù)據(jù)。

華為網(wǎng)絡(luò)流量智能檢測(cè)方案利用大數(shù)據(jù)算法，能夠檢測(cè)DNS傳出域名以及包的時(shí)空特征，捕捉妄圖利用DNS隧道逃逸檢測(cè)的泄密活動(dòng)。

RAT成功滲透受害者用戶主機(jī)后，會(huì)定期向C&C服務(wù)器進(jìn)行HTTP請(qǐng)求，通過(guò)自加密、增加偽裝等手段躲避檢測(cè)?！懊鳌敝邢蛲庹?qǐng)求HTTP資源，“暗”中則接受C&C服務(wù)器下發(fā)的控制指令。

以下是一個(gè)木馬利用郵件誘騙用戶下載鏈接的文件后，掛載CobaltStrike通信后門的案例。

在受害者主機(jī)和C&C服務(wù)器通信中，CS會(huì)將主機(jī)信息進(jìn)行魔法數(shù)字加工及非對(duì)稱加密，偽裝成HTTP請(qǐng)求的cookie內(nèi)容，并利用key-value形式進(jìn)行一層包裝，導(dǎo)致檢測(cè)難度大大增加。C&C服務(wù)器在收到客戶端發(fā)來(lái)的“泄漏”請(qǐng)求后，對(duì)需要下發(fā)的命令進(jìn)行對(duì)稱加密，偽裝成響應(yīng)體的數(shù)據(jù)。該交互過(guò)程表面上只是一次正常的HTTP請(qǐng)求和應(yīng)答，但實(shí)際上用戶已被暗中控制，數(shù)據(jù)已遭到泄露。

華為網(wǎng)絡(luò)流量智能檢測(cè)方案能夠?qū)阂夤ぞ呒用芰髁窟M(jìn)行"破譯"，識(shí)別出與惡意C&C通信的信息內(nèi)容。

加密C&C是指在C&C攻擊的基礎(chǔ)上，在RAT和C&C服務(wù)器通信的過(guò)程中增加一層SSL（Secure Socket Layer，安全套接層）協(xié)議，以規(guī)避針對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)。成熟的SSL協(xié)議能夠?qū)Ψ?wù)器下發(fā)的C&C攻擊命令或者從客戶端回傳的用戶信息進(jìn)行加密，讓常規(guī)檢測(cè)手段無(wú)法檢測(cè)到明文內(nèi)容。經(jīng)過(guò)SSL協(xié)議加密后的信息，可用于檢測(cè)的明文內(nèi)容非常少，導(dǎo)致檢測(cè)難度大大增加。

從2022年攻防演練的真實(shí)案例來(lái)看，CS嘗試請(qǐng)求黑客控制的C&C服務(wù)器，對(duì)HTTP通信包裹了一層SSL安全協(xié)議，這導(dǎo)致幾乎沒(méi)有明文內(nèi)容可用于檢測(cè)。

華為網(wǎng)絡(luò)流量智能檢測(cè)方案基于智能算法對(duì)百萬(wàn)級(jí)惡意報(bào)文進(jìn)行學(xué)習(xí)，以提供對(duì)流量的智能檢測(cè)和分析能力。華為Hisec Insight安全態(tài)勢(shì)感知系統(tǒng)集成了該方案，可以在沒(méi)有明文內(nèi)容及無(wú)需解密的場(chǎng)景下，檢測(cè)出加密通信攻擊，對(duì)惡意家族進(jìn)行分類，并給予處置建議。