网络隔离攻击事件概述 从PC感染到U盘




      对于隔离网络上的攻击事件(本文中隔离网攻击事件特指使用USB可存储设备进入隔离网络)

,相对于常规攻击事件,它具有独特的攻击属性。它的攻击目标主要是传统制造业、能源工业

、化工工业、军事工业等;隔离网络中布局的生产环境涵盖了目标单位最核心的设备资产,在

绝大多数隔离网络环境下都架设了与生产有关的工控网络,基于这种特殊环境,攻击方的攻击

目的包括窃取核心生产机密、工控设备攻击、隔离内网勒索等;隔离网络的物理隔离特性和内

部环境的复杂性给攻击方带来了巨大的挑战,因此一般情况下,攻击方拥有强大的武器储备,

攻击侦察阶段会有足够的社会力量投入,而且整个攻击过程持续很长。
 
 
 
DArckHotel-Rynsay
 
 
2020年5月,国外安全机构ESET发现了一个名为Rynsay的具有隔离网络攻击能力的攻击组件

,经过关联分析,这个组件属于DArckhotel组织,现阶段现已有好几个优化版本。Rynsay组

件是一个带有蠕虫模块的打包程序,它通过USB移动存储设备来摆渡因特网主机和独立的因

特网主机之间的信息,最终实现内部网络渗透、文件窃密、恶意模块执行、外壳执行等功能。
 
 
当PC主机落下后,伪装为7z安装包的PE文件将在地面上执行,Rynsay打包器程序将在此过

程中执行。Rynsay是一种复杂的蠕虫类木马,它以模块为基础设计,在确保预期的白色使用

侧装入环境和借助rootkit模块实现的木马组件隐藏起来后,再装入核心模块执行。该核心模

块有两个(根据PC环境选择释放32位/64位模块),一个用于PE文件感染,一个用于感染系统

盘以外的PE文件(包括共享目录),被感染的PE文件与原始7z打包器程序结构一致,然后设

置与原始PE相同的时间信息,该模块通过感染USB可存储设备中的PE文件摆渡进入隔离网

络;另一个用于内网渗透和信息收集,该模块收集隔离网主机系统信息,磁盘信息,加密存

储为本地日志,通过永恒之蓝系列payload扫描局域网各个主机漏洞,横向渗透,采用正则

匹配模式收集PC上Office文件和txt文件的内容文本信息,并对其进行压缩存储;另外一个

模块用于通过U盘等设备以文件追加方式带出隔离网络,该模块还检测U盘设备中被感染的

文件是否携带C&C下发指令及相应资源,如有,解析执行。
分享:

相关推荐