黑VPN服务商“兵马俑”威胁情报分析

      黑VPN服务商“兵马俑”威胁情报分析无评论

议题来源:《兵马俑VPN》,演讲者:RSA威胁情报分析
本文作者:FreeBuf专栏/月尽西楼

黑VPN服务商“兵马俑”威胁情报分析

0×01什么是兵马俑VPN

VPN的基础设施和服务面向中国大陆消费者,使用场景:游戏加速,翻墙,用户匿名访问等等。而“兵马俑VPN”的特殊之处是,它通过入侵漏洞服务器获得世界各地的网络结点。

“兵马俑”是中国的一个VPN服务商,在全球有1500多个节点,绝大部分位于中国、韩国、美国和东欧。有意思的是,这些VPN节点大多是由被黑客入侵的Windows服务器搭建而成。这些服务器的主人大多是小型公司和机构,因为小公司没有专门的安全人员进行维护,因而惨为“肉鸡”。

“兵马俑”VPN以不同的名义将这些节点出售给中国用户,同时RSA研究员还惊奇的发现,某些中国APT攻击组织如Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)也曾利用“兵马俑”VPN网络发动网络间谍活动。

2013年美国劳工部入侵事件就和深渊熊猫有关。

详细Freebuf有过报道,RSA在今年的Black Hat大会上发布了议题 没有证据说明兵马俑归属于某个APT组织运作,然而,兵马俑是一个商业服务在中国有很多品牌。类似的服务网上有很多,普遍价格低廉。议题的发布也许会刺激一些利用兵马俑的攻击组织改变策略

0×02兵马俑如何被发现的

在Derusbi木马的服务器后门(Shell——Crew一直利用着Derusbi木马家族在企业网络中建立后门)
经ram dump 确认找到了Shell_Crew/Axiom 在敏感目标服务器上的后门,Derusbi服务器装载了一个携带防火墙钩取的客户驱动,允许监听任意端口,和其他的相同端口网络服务共存(例如80端口)

0×03目标web服务器

观察使用者从合法机构(不是中国)控制后门,观察了几个月后
显然,兵马俑从某种程度上来讲很成功,看起来是合法的用户合法的遍历了网络,这种结合的手法更增加了APT组织的迷惑性。

此时被黑的“肉鸡”服务器会成为“兵马俑”VPN网络的一部分,这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。

这些合法的orgs的共同点:

全是Windows 服务器  安装了Windows RRAS 特性,利用网络策略认证抵御中国的RADIUS服务器  VPN账户包括VPN的品牌名  泄漏了兵马俑VPN的品牌  允许列出详细结点  牵连到更多的受害者

0×04兵马俑征召的服务器

黑VPN服务商“兵马俑”威胁情报分析

0×05一个兵马俑VPN结点月统计数据

新的成功连接  118948  新的客户端IPPP地址 9053  中国大陆客户端IP地址  8903(98%)  新的客户端账户名    723(大多数连接用的试用账户)  新的客户主机名       3640

0×06兵马俑的VIP用户们

VPN日志显示出了一个通用账户,兵马俑客户端不需要的

Wang Jia “testwj”是其中之一,入侵成功后总是第一个登录,专用于测试受害服务器的配置。

一些其他的VIP账户像“dgweikunping”则因为一直通过家中同一台电脑名登录而泄漏了他们的地理位址,通常是通过VPN链

登录。

黑VPN服务商“兵马俑”威胁情报分析

0×07招募兵马俑结点过程

招募VPN新结点的过程看起来没有任何的花费,这样扩张的结果就是方便了APT组织们

调查研究发现,攻击者发现目标windows服务器后,会使用暴力破解的方式获得管理员的账号密码并登陆服务器,关闭windows防火墙。接下来
攻击者会关闭服务器上所有的反恶意程序软件,安装一个远程访问木马(远控程序)。部署好上述几步之后,攻击者会创建一个新的账户,安装VPN服务。

受害者Windows服务器通常都将TCP的135或3389端口暴露在网络中

兵马俑会瞄准有漏洞的Windows服务器,因为这个平台的VPN服务几分钟就能配置好。

0×08兵马俑VPN的工作流程

黑VPN服务商“兵马俑”威胁情报分析

用户浏览兵马俑网站—>下载客户端注册帐户—>用户客户端软件认证—>软件上传结点信息—>用户选择VPN结点,云端取回编码的凭证,初始化连接—>VPN结点认证用户—>通道建立
15日中国关停了很多VPN,但兵马俑还安然无恙。

0×09所有的VPN都在中国封锁了吗?

企业专属的VPN没有封锁

公开的VPN协议被封锁了 (#######openvpn############)

Windows 上创建VPN的协议普遍没有封锁

——PPTP 点对点隧道协议  ——L2TP 双层隧道协议  ——SSTP 安全套接字隧道协议

0x0A新的发现

默认情况,所有的Windows VPN协议使用MS-CHAPv2认证,但是太多例子表明它们实在不安全

关于MS-CHAPv2安全性的分析

http://www.docin.com/p-382315274.html

但是事情更加的糟糕

潜在的监听者对兵马俑甚至都不用破译。RSA研究证实兵马俑结点明文传输用户凭证。

黑VPN服务商“兵马俑”威胁情报分析

* 议题PDF地址,FreeBuf专栏作者/月尽西楼 投稿,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论