来源:《兵马俑 VPN》,演讲者:RSA 威胁情报分析
0×01 什么是兵马俑 VPN
VPN 的基础设施和服务面向中国大陆消费者,使用场景:游戏加速,翻墙,用户匿名访问等等。而“兵马俑 VPN”的特殊之处是,它通过入侵漏洞服务器获得世界各地的网络结点。 “兵马俑”是中国的一个 VPN 服务商,在全球有 1500 多个节点,绝大部分位于中国、韩国、美国和东欧。有意思的是,这些 VPN 节点大多是由被黑客入侵的 Windows 服务器搭建而成。这些服务器的主人大多是 2SA 研究员还惊奇的发现,某些中国 APT 攻击组织如 Deep Panda(深渊熊猫)和 Shell_Crew(Shell 战队)也曾利用“兵马俑”VPN 网络发动网络间谍活动。
2013 年美国劳工部入侵事件就和深渊熊猫有关。
详细,RSA 在今年的 Black Hat 大会上发布了议题 没有证据说明兵马俑归属于某个 APT 组织运作,然而,兵马俑是一个商业服务在中国有很多品牌。类似的服务网上有很多,普遍价格低廉。议题的发布也许会刺激一些利用兵马俑的攻击组织改变策略
*** 墙遁所有服务器全部为自用机房服务器 ***
0×02 兵马俑如何被发现的
在 Derusbi 木马的服务器后门(Shell — — Crew 一直利用着 Derusbi 木马家族在企业网络中建立后门) 经 ram dump 确认找到了 Shell_Crew/Axiom 在敏感目标服务器上的后门,Derusbi 服务器装载了一个携带防火墙钩取的客户驱动,允许监听任意端口,和其他的相同端口网络服务共存(例如 80 端口)
0×03 目标 web 服务器
观察使用者从合法机构(不是中国)控制后门,观察了几个月后 显然,兵马俑从某种程度上来讲很成功,看起来是合法的用户合法的遍历了网络,这种结合的手法更增加了 APT 组织的迷惑性。
此时被黑的“肉鸡”服务器会成为“兵马俑”VPN 网络的一部分,这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。
这些合法的 orgs 的共同点:
全是 Windows 服务器 安装了 Windows RRAS 特性,利用网络策略认证抵御中国的 RADIUS 服务器 VPN 账户包括 VPN 的品牌名 泄漏了兵马俑 VPN 的品牌 允许列出详细结点 牵连到更多的受害者
*** 墙遁所有服务器均为 Linux 系统,并不存储任何用户数据,加密所有连接 ***
0×04 兵马俑征召的服务器
0×05 一个兵马俑 VPN 结点月统计数据
新的成功连接 118948 新的客户端 IPPP 地址 9053 中国大陆客户端 IP 地址 8903(98%) 新的客户端账户名 723(大多数连接用的试用账户) 新的客户主机名 3640
0×06 兵马俑的 VIP 用户们
VPN 日志显示出了一个通用账户,兵马俑客户端不需要的
Wang Jia “testwj”是其中之一,入侵成功后总是第一个登录,专用于测试受害服务器的配置。
一些其他的 VIP 账户像“dgweikunping”则因为一直通过家中同一台电脑名登录而泄漏了他们的地理位址,通常是通过 VPN 链登录。
0×07 招募兵马俑结点过程
招募 VPN 新结点的过程看起来没有任何的花费,这样扩张的结果就是方便了 APT 组织们
调查研究发现,攻击者发现目标 windows 服务器后,会使用暴力破解的方式获得管理员的账号密码并登陆服务器,关闭 windows 防火墙。接下来 攻击者会关闭服务器上所有的反恶意程序软件,安装一个远程访问木马(远控程序)。部署好上述几步之后,攻击者会创建一个新的账户,安装 VPN 服务。
受害者 Windows 服务器通常都将 TCP 的 135 或 3389 端口暴露在网络中
兵马俑会瞄准有漏洞的 Windows 服务器,因为这个平台的 VPN 服务几分钟就能配置好。
0×08 兵马俑 VPN 的工作流程
用户浏览兵马俑网站-下载客户端注册帐户-用户客户端软件认证 — 软件上传结点信息 — 用户选择 VPN 结点,云端取回编码的凭证,初始化连接 — VPN 结点认证用户 — 通道建立
15 日中国关停了很多 VPN,但兵马俑还安然无恙。
0×09 所有的 VPN 都在中国封锁了吗?
企业专属的 VPN 没有封锁
公开的 VPN 协议被封锁了 (#######openvpn############)
Windows 上创建 VPN 的协议普遍没有封锁 — — PPTP 点对点隧道协议 — — L2TP 双层隧道协议 — — SSTP 安全套接字隧道协议
0x0A 新的发现
默认情况,所有的 Windows VPN 协议使用 MS-CHAPv2 认证,但是太多例子表明它们实在不安全
https://www.docin.com/p-382315274.html
但是事情更加的糟糕
潜在的监听者对兵马俑甚至都不用破译。RSA 研究证实兵马俑结点明文传输用户凭证。
Originally published at www.dun.im on November 25, 2015.