過(guò)去一年，全球網(wǎng)絡(luò)空間經(jīng)歷了一場(chǎng)漫長(zhǎng)的網(wǎng)絡(luò)戰(zhàn)，核心參與國(guó)是俄羅斯和烏克蘭，其他西方國(guó)家因各種原因，也參與了這場(chǎng)網(wǎng)絡(luò)戰(zhàn)。從攻擊頻率、攻擊范圍、攻擊影響、參與者角度看，俄烏網(wǎng)絡(luò)戰(zhàn)無(wú)疑是2022年的重磅網(wǎng)絡(luò)攻擊事件。弄清其中使用的網(wǎng)絡(luò)武器和數(shù)字技術(shù)，有助于幫助我們提前識(shí)別風(fēng)險(xiǎn)并合理規(guī)避風(fēng)險(xiǎn)，以免在面臨網(wǎng)絡(luò)攻擊時(shí)深陷網(wǎng)絡(luò)泥潭，防患于未然。

俄烏網(wǎng)絡(luò)戰(zhàn)的標(biāo)志性開(kāi)端是2022年2月24日，俄羅斯軍事情報(bào)部門(mén)攻擊Viasat衛(wèi)星通信網(wǎng)絡(luò)。這次攻擊時(shí)間恰恰是俄羅斯軍隊(duì)越過(guò)烏克蘭邊境的前一小時(shí)，達(dá)到了阻礙烏克蘭通訊信號(hào)的目的，同時(shí)也影響了附近幾個(gè)歐洲國(guó)家的通訊，該事件被視為一次重大的網(wǎng)絡(luò)攻擊事件，是俄烏網(wǎng)絡(luò)戰(zhàn)的開(kāi)端。

政府基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊者的主要目標(biāo)。根據(jù)攻擊者使用的惡意軟件類(lèi)型可以劃分為2種攻擊線：破壞性攻擊和間諜攻擊。破壞性攻擊旨在破壞數(shù)據(jù)并使目標(biāo)系統(tǒng)無(wú)法運(yùn)行。間諜攻擊旨在建立立足點(diǎn)并從目標(biāo)系統(tǒng)中竊取數(shù)據(jù)。

攻擊中使用的惡意軟件通常為攻擊者提供后門(mén)訪問(wèn)，包括網(wǎng)絡(luò)攝像頭和麥克風(fēng)捕獲、鍵盤(pán)記錄以及下載和安裝其他組件。竊取的數(shù)據(jù)包括操作系統(tǒng)信息、文檔、圖片以及來(lái)自 Web 瀏覽器和其他軟件的存儲(chǔ)密碼。本文，我們盤(pán)點(diǎn)了俄烏網(wǎng)絡(luò)戰(zhàn)中最常用的10款秘密武器，了解沖突中使用了哪些數(shù)字技術(shù)和工具。

1、滲透工具Cobalt Strike

Cobalt Strike最初是為了訓(xùn)練網(wǎng)絡(luò)防御者而創(chuàng)建的滲透測(cè)試工具，在這場(chǎng)沖突中被攻擊者濫用。它允許攻擊者在目標(biāo)機(jī)器上部署名為“Beacon”的后門(mén)代理。雖然它主要是為紅隊(duì)設(shè)計(jì)的，但勒索軟件運(yùn)營(yíng)商和APT組織都利用它來(lái)下載和執(zhí)行惡意有效載荷。

Beacon植入是無(wú)文件的，它由無(wú)階段或多階段的殼代碼組成，通過(guò)利用漏洞或執(zhí)行殼代碼加載器來(lái)加載。它與C&C服務(wù)器的通信支持多種協(xié)議，包括HTTP、HTTPS、DNS、SMB、命名管道以及經(jīng)過(guò)廣泛修改的正向和反向TCP，還可以通過(guò)連鎖信標(biāo)建立連接。一旦攻擊者獲得了受損網(wǎng)絡(luò)內(nèi)單個(gè)系統(tǒng)的訪問(wèn)權(quán)，就可以利用它在內(nèi)部移動(dòng)至其他系統(tǒng)。

Cobalt Strike被用于針對(duì)烏克蘭政府組織的大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

2、惡意擦除器：HermeticWiper、IsaacWiper、CaddyWiper、DoubleZero

HermeticWiper

HermeticWiper是一個(gè)Windows可執(zhí)行文件，通過(guò)禁用負(fù)責(zé)數(shù)據(jù)備份的卷影復(fù)制服務(wù)（VSS），并濫用EaseUS分區(qū)主機(jī)的合法驅(qū)動(dòng)程序以破壞數(shù)據(jù)。它不僅會(huì)損壞主引導(dǎo)記錄（MBR）和卷引導(dǎo)記錄，還會(huì)通過(guò)碎片整理擦除文件，導(dǎo)致數(shù)據(jù)無(wú)法恢復(fù)。HermeticWiper特別針對(duì)Windows注冊(cè)表文件ntuser.dat和Windows事件日志，以盡量減少可用的取證文物。最后，系統(tǒng)重啟被觸發(fā)，使目標(biāo)主機(jī)無(wú)法運(yùn)行。

值得注意的是，HermeticWiper的編譯時(shí)間戳是2021年12月28日。這表明，至少?gòu)?2月開(kāi)始，2月的襲擊已在籌備中。

斯洛伐克網(wǎng)絡(luò)安全公司ESET稱(chēng)，HermeticWiper被用于針對(duì)烏克蘭高知名度組織的大規(guī)模網(wǎng)絡(luò)攻擊。

IsaacWiper

IsaacWiper存在于沒(méi)有Authenticode簽名的Windows DLL或EXE中，執(zhí)行時(shí)會(huì)枚舉所有物理和邏輯驅(qū)動(dòng)器和卷標(biāo)，用隨機(jī)字節(jié)覆蓋現(xiàn)有內(nèi)容。該工具還會(huì)將不能訪問(wèn)的文件重命名為臨時(shí)名稱(chēng)，然后擦拭新重命名的文件。IsaacWiper創(chuàng)建了一個(gè)日志文件C:\ProgramData\log.txt.其中保存了破壞活動(dòng)的進(jìn)度。

CaddyWiper

CaddyWiper動(dòng)態(tài)地解決了大部分用于使檢測(cè)和分析更具挑戰(zhàn)性的API。如果機(jī)器是一個(gè)域控制器，CaddyWiper的執(zhí)行會(huì)立即停止，否則惡意軟件會(huì)試圖破壞 "C:\Users "上的文件，然后擦除從D:\到Z:\的所有驅(qū)動(dòng)器。這意味著任何連接到系統(tǒng)的網(wǎng)絡(luò)映射驅(qū)動(dòng)器也可能被擦除。擦除器試圖清空每個(gè)物理驅(qū)動(dòng)器，破壞主引導(dǎo)記錄（MBR）和有關(guān)驅(qū)動(dòng)器分區(qū)的擴(kuò)展信息。CaddyWiper被用于針對(duì)烏克蘭能源供應(yīng)商的網(wǎng)絡(luò)攻擊。

DoubleZero

DoubleZero是一種用C語(yǔ)言開(kāi)發(fā)的惡意破壞程序，攻擊者使用該軟件發(fā)起魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，目前該活動(dòng)已被跟蹤為UAC-0088。DoubleZero擦除文件使用兩種方法破壞文件：用4096字節(jié)的零塊覆蓋其內(nèi)容或使用API調(diào)用NtFileOpen、NtFsControlFile。惡意軟件會(huì)在關(guān)閉受感染的系統(tǒng)之前刪除以下Windows注冊(cè)表HKCU、HKU、HKLM、HKLM\BCD。DoubleZero用于對(duì)烏克蘭企業(yè)的網(wǎng)絡(luò)攻擊。

3、勒索軟件HermeticRansom

HermeticRansom用Go語(yǔ)言編寫(xiě)的勒索軟件，與HermeticWiper同時(shí)部署。它列舉了可用的驅(qū)動(dòng)器，收集了除Windows和Program Files文件夾之外的目錄和文件列表。HermeticRansom將對(duì)選定的文件類(lèi)別使用勒索軟件運(yùn)營(yíng)商的電子郵件地址和.encryptedJB擴(kuò)展名重新命名，然后使用AES算法對(duì)文件內(nèi)容進(jìn)行加密。勒索軟件還在桌面文件夾中創(chuàng)建了一個(gè)read_me.html文件，其中包含一個(gè)帶有攻擊者聯(lián)系方式的勒索說(shuō)明。

4、SMB spreader

SMB spreader傳播器由開(kāi)發(fā)者命名的romance.dll，采用與WMI傳播器相同的兩個(gè)參數(shù)。它的內(nèi)部名稱(chēng)可能是對(duì)EternalRomance漏洞利用的引用。它會(huì)嘗試連接到遠(yuǎn)程SMB共享（端口 445）的管道，然后通過(guò)NTLMSSP對(duì)SMB共享進(jìn)行身份驗(yàn)證，如果連接成功，會(huì)嘗試將-s參數(shù)引用的文件放到目標(biāo)ADMIN$共享中。

5、AcidRain（酸雨）

AcidRain（酸雨）可以在不需要簽名驗(yàn)證或完全升級(jí)固件的情況下安裝任意二進(jìn)制文件。它利用Skylogic的VPN設(shè)備遠(yuǎn)程訪問(wèn)KA-SAT的網(wǎng)絡(luò)管理段。攻擊者橫向移動(dòng)到用于操作網(wǎng)絡(luò)的特定段部分，并同時(shí)在大量住宅調(diào)制解調(diào)器上執(zhí)行合法的、有針對(duì)性的管理命令。這些破壞性命令覆蓋了SurfBeam調(diào)制解調(diào)器上閃存中的關(guān)鍵數(shù)據(jù)。

6、后門(mén)：GraphSteel 、GrimPlant、LoadEdge

GraphSteel

GraphSteel后門(mén)旨在從受感染的機(jī)器中竊取數(shù)據(jù)。它與C&C服務(wù)器的通信使用443端口，并使用AES密碼進(jìn)行加密。GraphQL查詢(xún)語(yǔ)言被用于通信。從文檔、下載、圖片、桌面文件夾和所有可用的驅(qū)動(dòng)器（從D:/到Z:/）中竊取數(shù)據(jù)。GraphSteel還滲透了基本的系統(tǒng)信息、IP配置、wifi配置文件，并使用powerhell從密碼庫(kù)中竊取證書(shū)。

GrimPlant

GrimPlant是用Go語(yǔ)言編寫(xiě)的一個(gè)簡(jiǎn)單后門(mén)，允許遠(yuǎn)程執(zhí)行PowerShell命令。它與C2服務(wù)器的通信使用80端口，并基于gRPC （一種開(kāi)源RPC框架）。通信是用TLS加密的，其證書(shū)在二進(jìn)制中是硬編碼。GrimPlant每10秒發(fā)送一次包含基本主機(jī)信息的心跳，使用PowerShell執(zhí)行從C2服務(wù)器接收到的命令，并報(bào)告返回的結(jié)果。

GraphSteel & GrimPlant被用于對(duì)烏克蘭政府組織的電子郵件釣魚(yú)攻擊。

LoadEdge（InvisiMole）

LoadEdge類(lèi)似于InvisiMole的TCP下載組件的升級(jí)版本，用于下載進(jìn)一步的后門(mén)模塊RC2FM和RC2CL，通常作為新受損計(jì)算機(jī)上的第一個(gè)有效載荷部署。InvisiMole的RC2FM和RC2CL后門(mén)提供了擴(kuò)展的監(jiān)視功能，如屏幕、網(wǎng)絡(luò)攝像頭和麥克風(fēng)捕捉、文檔竊取、收集網(wǎng)絡(luò)信息以及有關(guān)已安裝軟件的信息。LoadEdge用于對(duì)烏克蘭政府組織的電子郵件網(wǎng)絡(luò)釣魚(yú)攻擊。

7、Industroyer2

Industroyer2是一個(gè)針對(duì)工業(yè)控制系統(tǒng)（ICS）的復(fù)雜惡意軟件。它濫用了電力控制系統(tǒng)中使用的IEC 60870-5-104（IEC 104）協(xié)議。與其前身Industroyer不同，Industroyer2是一個(gè)獨(dú)立的可執(zhí)行文件，由一個(gè)后門(mén)、加載器和幾個(gè)有效載荷模塊組成。它的獨(dú)特之處是可以通過(guò)擾亂輸電變電站運(yùn)行從而導(dǎo)致停電。industrroyer2被用于針對(duì)烏克蘭能源供應(yīng)商的定向網(wǎng)絡(luò)攻擊。

8、DarkCrystal RAT（黑暗水晶）

DarkCrystal RAT（也稱(chēng)DCRat）是一個(gè)商業(yè)化的俄羅斯.NET后門(mén)，可在地下論壇購(gòu)買(mǎi)，主要用于監(jiān)視受害者并從被攻擊的主機(jī)中竊取數(shù)據(jù)。DCRat支持監(jiān)視屏幕、網(wǎng)絡(luò)攝像頭捕捉、鍵盤(pán)記錄以及文件和憑證盜竊。其他功能還包括竊取剪貼板內(nèi)容、命令執(zhí)行和DOS攻擊功能。DCRat被用于對(duì)烏克蘭電信運(yùn)營(yíng)商和媒體機(jī)構(gòu)的的電子郵件釣魚(yú)攻擊。

DCRat最早于2019年初出現(xiàn)，由于其多功能性和價(jià)格便宜，十分受攻擊者青睞。該軟件以訂閱的方式發(fā)布：兩個(gè)月600盧布（約9.5美元），一年2500盧布（約39美元），終身訂閱則需要4500盧布（約70美元）。

9、CredoMap

CredoMap是威脅行為者APT28使用的一個(gè).NET憑證竊取器。它從Chrome、Edge和Firefox瀏覽器中竊取cookies和存儲(chǔ)密碼。根據(jù)不同的版本，被盜的數(shù)據(jù)會(huì)通過(guò)電子郵件或HTTP POST請(qǐng)求滲出到網(wǎng)絡(luò)后端。CredoMap被用于電子郵件釣魚(yú)攻擊。

10、AwfulShred、SoloShred

AwfulShred和SoloShred是旨在破壞Linux系統(tǒng)的惡意外殼腳本。這兩個(gè)腳本的破壞活動(dòng)都依賴(lài)于帶有一個(gè)覆蓋通道的shred命令，該命令會(huì)增加數(shù)據(jù)破壞。

AwfulShred的功能有些復(fù)雜。在清除數(shù)據(jù)之前，它禁用并破壞了Apache、HTTP和SSH服務(wù)，禁用交換文件并清除bash歷史記錄。 最后，它會(huì)觸發(fā)系統(tǒng)重啟使目標(biāo)主機(jī)無(wú)法運(yùn)行。

AwfulShred和SoloShred被用于針對(duì)烏克蘭能源供應(yīng)商的定向網(wǎng)絡(luò)攻擊。

毫無(wú)疑問(wèn)，先進(jìn)的網(wǎng)絡(luò)武器是現(xiàn)代軍隊(duì)武器庫(kù)中的關(guān)鍵工具，未來(lái)全球網(wǎng)絡(luò)戰(zhàn)的數(shù)量可能會(huì)增加。

網(wǎng)絡(luò)戰(zhàn)有其不可替代的三大優(yōu)勢(shì)。首先，隨著連接到網(wǎng)絡(luò)的設(shè)備數(shù)量不斷增加，攻擊面變得越來(lái)越大，增加了網(wǎng)絡(luò)戰(zhàn)的潛在用例。其次，網(wǎng)絡(luò)戰(zhàn)不受常規(guī)戰(zhàn)爭(zhēng)的領(lǐng)土限制，提供了滲透和破壞遠(yuǎn)遠(yuǎn)離前線目標(biāo)的機(jī)會(huì)。最后，與傳統(tǒng)戰(zhàn)爭(zhēng)相比，網(wǎng)絡(luò)戰(zhàn)是肉眼看不見(jiàn)的，侵略者乙方?jīng)]有生命危險(xiǎn)，而且成本效益高。

隨著俄烏戰(zhàn)火的蔓延，我們可以看到，即使是合法的滲透測(cè)試工具也可能被劫持并用作武器。了解沖突中使用了哪些數(shù)字技術(shù)和工具，有助于在損害發(fā)生之前提前識(shí)別并減輕未來(lái)的威脅。人通常是網(wǎng)絡(luò)安全鏈中最薄弱的環(huán)節(jié)，無(wú)意點(diǎn)開(kāi)的惡意附件或鏈接往往會(huì)導(dǎo)致攻擊發(fā)生。有效的預(yù)防策略例如培訓(xùn)計(jì)劃，可以確保人員能夠識(shí)別和減輕威脅。