過去一年，全球網(wǎng)絡空間經(jīng)歷了一場漫長的網(wǎng)絡戰(zhàn)，核心參與國是俄羅斯和烏克蘭，其他西方國家因各種原因，也參與了這場網(wǎng)絡戰(zhàn)。從攻擊頻率、攻擊范圍、攻擊影響、參與者角度看，俄烏網(wǎng)絡戰(zhàn)無疑是2022年的重磅網(wǎng)絡攻擊事件。弄清其中使用的網(wǎng)絡武器和數(shù)字技術，有助于幫助我們提前識別風險并合理規(guī)避風險，以免在面臨網(wǎng)絡攻擊時深陷網(wǎng)絡泥潭，防患于未然。

俄烏網(wǎng)絡戰(zhàn)的標志性開端是2022年2月24日，俄羅斯軍事情報部門攻擊Viasat衛(wèi)星通信網(wǎng)絡。這次攻擊時間恰恰是俄羅斯軍隊越過烏克蘭邊境的前一小時，達到了阻礙烏克蘭通訊信號的目的，同時也影響了附近幾個歐洲國家的通訊，該事件被視為一次重大的網(wǎng)絡攻擊事件，是俄烏網(wǎng)絡戰(zhàn)的開端。

政府基礎設施是網(wǎng)絡攻擊者的主要目標。根據(jù)攻擊者使用的惡意軟件類型可以劃分為2種攻擊線：破壞性攻擊和間諜攻擊。破壞性攻擊旨在破壞數(shù)據(jù)并使目標系統(tǒng)無法運行。間諜攻擊旨在建立立足點并從目標系統(tǒng)中竊取數(shù)據(jù)。

攻擊中使用的惡意軟件通常為攻擊者提供后門訪問，包括網(wǎng)絡攝像頭和麥克風捕獲、鍵盤記錄以及下載和安裝其他組件。竊取的數(shù)據(jù)包括操作系統(tǒng)信息、文檔、圖片以及來自 Web 瀏覽器和其他軟件的存儲密碼。本文，我們盤點了俄烏網(wǎng)絡戰(zhàn)中最常用的10款秘密武器，了解沖突中使用了哪些數(shù)字技術和工具。

1、滲透工具Cobalt Strike

Cobalt Strike最初是為了訓練網(wǎng)絡防御者而創(chuàng)建的滲透測試工具，在這場沖突中被攻擊者濫用。它允許攻擊者在目標機器上部署名為“Beacon”的后門代理。雖然它主要是為紅隊設計的，但勒索軟件運營商和APT組織都利用它來下載和執(zhí)行惡意有效載荷。

Beacon植入是無文件的，它由無階段或多階段的殼代碼組成，通過利用漏洞或執(zhí)行殼代碼加載器來加載。它與C&C服務器的通信支持多種協(xié)議，包括HTTP、HTTPS、DNS、SMB、命名管道以及經(jīng)過廣泛修改的正向和反向TCP，還可以通過連鎖信標建立連接。一旦攻擊者獲得了受損網(wǎng)絡內(nèi)單個系統(tǒng)的訪問權，就可以利用它在內(nèi)部移動至其他系統(tǒng)。

Cobalt Strike被用于針對烏克蘭政府組織的大規(guī)模網(wǎng)絡釣魚活動。

2、惡意擦除器：HermeticWiper、IsaacWiper、CaddyWiper、DoubleZero

HermeticWiper

HermeticWiper是一個Windows可執(zhí)行文件，通過禁用負責數(shù)據(jù)備份的卷影復制服務（VSS），并濫用EaseUS分區(qū)主機的合法驅動程序以破壞數(shù)據(jù)。它不僅會損壞主引導記錄（MBR）和卷引導記錄，還會通過碎片整理擦除文件，導致數(shù)據(jù)無法恢復。HermeticWiper特別針對Windows注冊表文件ntuser.dat和Windows事件日志，以盡量減少可用的取證文物。最后，系統(tǒng)重啟被觸發(fā)，使目標主機無法運行。

值得注意的是，HermeticWiper的編譯時間戳是2021年12月28日。這表明，至少從12月開始，2月的襲擊已在籌備中。

斯洛伐克網(wǎng)絡安全公司ESET稱，HermeticWiper被用于針對烏克蘭高知名度組織的大規(guī)模網(wǎng)絡攻擊。

IsaacWiper

IsaacWiper存在于沒有Authenticode簽名的Windows DLL或EXE中，執(zhí)行時會枚舉所有物理和邏輯驅動器和卷標，用隨機字節(jié)覆蓋現(xiàn)有內(nèi)容。該工具還會將不能訪問的文件重命名為臨時名稱，然后擦拭新重命名的文件。IsaacWiper創(chuàng)建了一個日志文件C:\ProgramData\log.txt.其中保存了破壞活動的進度。

CaddyWiper

CaddyWiper動態(tài)地解決了大部分用于使檢測和分析更具挑戰(zhàn)性的API。如果機器是一個域控制器，CaddyWiper的執(zhí)行會立即停止，否則惡意軟件會試圖破壞 "C:\Users "上的文件，然后擦除從D:\到Z:\的所有驅動器。這意味著任何連接到系統(tǒng)的網(wǎng)絡映射驅動器也可能被擦除。擦除器試圖清空每個物理驅動器，破壞主引導記錄（MBR）和有關驅動器分區(qū)的擴展信息。CaddyWiper被用于針對烏克蘭能源供應商的網(wǎng)絡攻擊。

DoubleZero

DoubleZero是一種用C語言開發(fā)的惡意破壞程序，攻擊者使用該軟件發(fā)起魚叉式網(wǎng)絡釣魚攻擊，目前該活動已被跟蹤為UAC-0088。DoubleZero擦除文件使用兩種方法破壞文件：用4096字節(jié)的零塊覆蓋其內(nèi)容或使用API調(diào)用NtFileOpen、NtFsControlFile。惡意軟件會在關閉受感染的系統(tǒng)之前刪除以下Windows注冊表HKCU、HKU、HKLM、HKLM\BCD。DoubleZero用于對烏克蘭企業(yè)的網(wǎng)絡攻擊。

3、勒索軟件HermeticRansom

HermeticRansom用Go語言編寫的勒索軟件，與HermeticWiper同時部署。它列舉了可用的驅動器，收集了除Windows和Program Files文件夾之外的目錄和文件列表。HermeticRansom將對選定的文件類別使用勒索軟件運營商的電子郵件地址和.encryptedJB擴展名重新命名，然后使用AES算法對文件內(nèi)容進行加密。勒索軟件還在桌面文件夾中創(chuàng)建了一個read_me.html文件，其中包含一個帶有攻擊者聯(lián)系方式的勒索說明。

4、SMB spreader

SMB spreader傳播器由開發(fā)者命名的romance.dll，采用與WMI傳播器相同的兩個參數(shù)。它的內(nèi)部名稱可能是對EternalRomance漏洞利用的引用。它會嘗試連接到遠程SMB共享（端口 445）的管道，然后通過NTLMSSP對SMB共享進行身份驗證，如果連接成功，會嘗試將-s參數(shù)引用的文件放到目標ADMIN$共享中。

5、AcidRain（酸雨）

AcidRain（酸雨）可以在不需要簽名驗證或完全升級固件的情況下安裝任意二進制文件。它利用Skylogic的VPN設備遠程訪問KA-SAT的網(wǎng)絡管理段。攻擊者橫向移動到用于操作網(wǎng)絡的特定段部分，并同時在大量住宅調(diào)制解調(diào)器上執(zhí)行合法的、有針對性的管理命令。這些破壞性命令覆蓋了SurfBeam調(diào)制解調(diào)器上閃存中的關鍵數(shù)據(jù)。

6、后門：GraphSteel 、GrimPlant、LoadEdge

GraphSteel

GraphSteel后門旨在從受感染的機器中竊取數(shù)據(jù)。它與C&C服務器的通信使用443端口，并使用AES密碼進行加密。GraphQL查詢語言被用于通信。從文檔、下載、圖片、桌面文件夾和所有可用的驅動器（從D:/到Z:/）中竊取數(shù)據(jù)。GraphSteel還滲透了基本的系統(tǒng)信息、IP配置、wifi配置文件，并使用powerhell從密碼庫中竊取證書。

GrimPlant

GrimPlant是用Go語言編寫的一個簡單后門，允許遠程執(zhí)行PowerShell命令。它與C2服務器的通信使用80端口，并基于gRPC （一種開源RPC框架）。通信是用TLS加密的，其證書在二進制中是硬編碼。GrimPlant每10秒發(fā)送一次包含基本主機信息的心跳，使用PowerShell執(zhí)行從C2服務器接收到的命令，并報告返回的結果。

GraphSteel & GrimPlant被用于對烏克蘭政府組織的電子郵件釣魚攻擊。

LoadEdge（InvisiMole）

LoadEdge類似于InvisiMole的TCP下載組件的升級版本，用于下載進一步的后門模塊RC2FM和RC2CL，通常作為新受損計算機上的第一個有效載荷部署。InvisiMole的RC2FM和RC2CL后門提供了擴展的監(jiān)視功能，如屏幕、網(wǎng)絡攝像頭和麥克風捕捉、文檔竊取、收集網(wǎng)絡信息以及有關已安裝軟件的信息。LoadEdge用于對烏克蘭政府組織的電子郵件網(wǎng)絡釣魚攻擊。

7、Industroyer2

Industroyer2是一個針對工業(yè)控制系統(tǒng)（ICS）的復雜惡意軟件。它濫用了電力控制系統(tǒng)中使用的IEC 60870-5-104（IEC 104）協(xié)議。與其前身Industroyer不同，Industroyer2是一個獨立的可執(zhí)行文件，由一個后門、加載器和幾個有效載荷模塊組成。它的獨特之處是可以通過擾亂輸電變電站運行從而導致停電。industrroyer2被用于針對烏克蘭能源供應商的定向網(wǎng)絡攻擊。

8、DarkCrystal RAT（黑暗水晶）

DarkCrystal RAT（也稱DCRat）是一個商業(yè)化的俄羅斯.NET后門，可在地下論壇購買，主要用于監(jiān)視受害者并從被攻擊的主機中竊取數(shù)據(jù)。DCRat支持監(jiān)視屏幕、網(wǎng)絡攝像頭捕捉、鍵盤記錄以及文件和憑證盜竊。其他功能還包括竊取剪貼板內(nèi)容、命令執(zhí)行和DOS攻擊功能。DCRat被用于對烏克蘭電信運營商和媒體機構的的電子郵件釣魚攻擊。

DCRat最早于2019年初出現(xiàn)，由于其多功能性和價格便宜，十分受攻擊者青睞。該軟件以訂閱的方式發(fā)布：兩個月600盧布（約9.5美元），一年2500盧布（約39美元），終身訂閱則需要4500盧布（約70美元）。

9、CredoMap

CredoMap是威脅行為者APT28使用的一個.NET憑證竊取器。它從Chrome、Edge和Firefox瀏覽器中竊取cookies和存儲密碼。根據(jù)不同的版本，被盜的數(shù)據(jù)會通過電子郵件或HTTP POST請求滲出到網(wǎng)絡后端。CredoMap被用于電子郵件釣魚攻擊。

10、AwfulShred、SoloShred

AwfulShred和SoloShred是旨在破壞Linux系統(tǒng)的惡意外殼腳本。這兩個腳本的破壞活動都依賴于帶有一個覆蓋通道的shred命令，該命令會增加數(shù)據(jù)破壞。

AwfulShred的功能有些復雜。在清除數(shù)據(jù)之前，它禁用并破壞了Apache、HTTP和SSH服務，禁用交換文件并清除bash歷史記錄。 最后，它會觸發(fā)系統(tǒng)重啟使目標主機無法運行。

AwfulShred和SoloShred被用于針對烏克蘭能源供應商的定向網(wǎng)絡攻擊。

毫無疑問，先進的網(wǎng)絡武器是現(xiàn)代軍隊武器庫中的關鍵工具，未來全球網(wǎng)絡戰(zhàn)的數(shù)量可能會增加。

網(wǎng)絡戰(zhàn)有其不可替代的三大優(yōu)勢。首先，隨著連接到網(wǎng)絡的設備數(shù)量不斷增加，攻擊面變得越來越大，增加了網(wǎng)絡戰(zhàn)的潛在用例。其次，網(wǎng)絡戰(zhàn)不受常規(guī)戰(zhàn)爭的領土限制，提供了滲透和破壞遠遠離前線目標的機會。最后，與傳統(tǒng)戰(zhàn)爭相比，網(wǎng)絡戰(zhàn)是肉眼看不見的，侵略者乙方?jīng)]有生命危險，而且成本效益高。

隨著俄烏戰(zhàn)火的蔓延，我們可以看到，即使是合法的滲透測試工具也可能被劫持并用作武器。了解沖突中使用了哪些數(shù)字技術和工具，有助于在損害發(fā)生之前提前識別并減輕未來的威脅。人通常是網(wǎng)絡安全鏈中最薄弱的環(huán)節(jié)，無意點開的惡意附件或鏈接往往會導致攻擊發(fā)生。有效的預防策略例如培訓計劃，可以確保人員能夠識別和減輕威脅。