技战法模板之运营人员视角下的ORB的网络"风险"
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
笔者在HVV前期,苦逼的准备"技战法"的时候,突然国外某大厂的安全运营中心的一篇博客进入了我的视野,“ORB 网络”(操作中继盒网络)成为在进行APT活动的新宠儿,这篇文章成功的引起了我的注意和兴趣(大家可以参考一下,利用我这篇文章形成一篇不错的技战法)。
那什么是ORB网络呢?
答:ORB网络类似于僵尸网络,由虚拟专用服务器 (VPS) 以及受感染的物联网 (IoT) 设备、智能设备和路由器组成,这些设备通常已停产或不受制造商支持。
为啥会选择ORB网络进行攻击呢?
答:APT组织通过构建受感染设备的ORB网络,可以有效的遮蔽自己的行踪,与此同时能够很轻松的构建出大规模的"僵尸网络",以此来很好的隐藏APT组织的恶意行为。 通过使用这些网状网络(物联网、智能化设备、肉鸡......)开展APT活动,APT组织可以非常有效的掩盖命令和控制 (C2) 基础设施与目标环境(例如:通过零日漏洞利用的易受攻击的边缘设备...)之间的外部流量。
早在ORB网络流行的前期,互联网上的安全攻防也在一直持续进行;早期由于处于互联网发展的发展阶段,用户数量和网站飞速发展,必将导致安全问题被隐藏。这段时期的网络安全建设处于起步阶段,就导致了大部分黑客可以利用0day甚至于Nday漏洞,批量获取网站的权限,并以此为跳板针对其他高价值目标进行攻击,从而达到隐藏自己真实信息的目的。
但是,随着人们的安全意识越来越强,国家也陆续发布了《网络安全法》与《个人信息保护法》,等保建设也开始步入正轨。攻击者口中的"肉鸡"也逐渐变少,这个时候万物互联的IOT,就被攻击者利用,当作跳板机对其感兴趣的高价值目标进行攻击。正如当年一样。IOT设备凭借着巨大的数量,和相较于传统WEB网站更容易入侵(例如:弱口令、未授权访问......)这两个优势形成的ORB网络,给网络安全的防御机制带来了不小的麻烦。ORB网络的构建是将匿名的VPS节点与IOT设备当中的恶意软件结合,有效的增加了受感染网络内中继流量的设备数量。
通过上述方法,攻击者利用ORB网络有效的降低了攻击成本,并以此逃避威胁情报的检测。ORB网络创建网络接口,管理受感染节点网络,并将这些网络的访问权限交由攻击者使用,攻击者会使用ORB网络进行对攻击目标进行探测和扫描。具体的ORB网络的通用结构如下所示:
对手控制操作服务器:攻击者通过控制改服务器,用于管理ORB网络内的节点。
中继节点:节点允许ORB网络用户进行身份验证,并通