勇礪商業(yè)評(píng)論 曾憲勇

最近，卡巴斯基全球研究與分析團(tuán)隊(duì)（GReAT）發(fā)現(xiàn)了一種基于開源工具的新后門，稱為GhostContainer。

這種以前未知的高度定制化惡意軟件是在一次事件響應(yīng)（IR）案例中發(fā)現(xiàn)的，目標(biāo)是政府環(huán)境中的Exchange基礎(chǔ)設(shè)施。該惡意軟件可能是針對(duì)亞洲高價(jià)值目標(biāo)（包括高科技公司）的高級(jí)持續(xù)威脅（APT）活動(dòng)的一部分。

被卡巴斯基檢測(cè)為 App_Web_Container_1.dll 的文件被證明是一種復(fù)雜、多功能的后門，它利用了幾個(gè)開源項(xiàng)目，并且可以通過(guò)下載額外模塊來(lái)動(dòng)態(tài)擴(kuò)展其任意功能。

一旦加載，該后門就會(huì)為攻擊者提供對(duì)Exchange服務(wù)器的完全控制權(quán)，使他們能夠進(jìn)行廣泛的惡意活動(dòng)。為了避免被安全解決方案檢測(cè)到，它使用了多種規(guī)避技術(shù)，并將自己偽裝成一個(gè)合法的服務(wù)器組件，以便與正常操作融為一體。此外，它還可以作為代理或隧道，可能將內(nèi)部網(wǎng)絡(luò)暴露給外部威脅，或者促進(jìn)從內(nèi)部系統(tǒng)中泄露敏感數(shù)據(jù)。因此，人們懷疑該活動(dòng)的目標(biāo)可能是網(wǎng)絡(luò)間諜活動(dòng)。

“通過(guò)對(duì)攻擊事件的深入分析，我們認(rèn)為攻擊者在滲透Exchange系統(tǒng)方面非常老練，能熟練利用各種開源項(xiàng)目滲透IIS和Exchange環(huán)境，他們還能夠基于開源代碼開發(fā)增強(qiáng)版的復(fù)雜間諜工具。我們將繼續(xù)監(jiān)測(cè)他們的活動(dòng)，以及這些攻擊的范圍和規(guī)模，以便更好地了解威脅趨勢(shì)?！?卡巴斯基全球研究與分析團(tuán)隊(duì)（GReAT）亞太及中東和阿拉伯地區(qū)負(fù)責(zé)人 Sergey Lozhkin這樣評(píng)論道。

卡巴斯基大中華區(qū)總經(jīng)理鄭啟良表示：“GhostContainer 后門程序的出現(xiàn)再次敲響了網(wǎng)絡(luò)安全的警鐘，攻擊者利用開源工具的熟練程度與定制化惡意軟件的開發(fā)能力令人警惕。這要求企業(yè)不僅要提升技術(shù)防護(hù)能力，更需構(gòu)建從端點(diǎn)到網(wǎng)絡(luò)、從人員意識(shí)到安全運(yùn)營(yíng)的全維度防御體系?？ò退够鶎⒊掷m(xù)通過(guò)威脅情報(bào)共享、前沿技術(shù)培訓(xùn)和定制化安全解決方案，助力大中華區(qū)客戶應(yīng)對(duì)日益復(fù)雜的 APT 攻擊威脅?！?/p>

據(jù)悉，該惡意軟件整合了多個(gè)可公開訪問(wèn)的開源項(xiàng)目代碼，這些代碼可能被全球的黑客或APT團(tuán)體利用。在我們掌握的攻擊活動(dòng)中攻擊者尚未暴露任何基礎(chǔ)設(shè)施，暫時(shí)無(wú)法將GhostContainer歸因于任何已知的威脅行為者或者團(tuán)體。值得注意的是，截至2024年底，已經(jīng)在開源項(xiàng)目中發(fā)現(xiàn)了總計(jì)14,000個(gè)惡意包，這比2023年底增加了48%，突出了這一領(lǐng)域日益增長(zhǎng)的威脅?？稍赟ecurelist.com上閱讀完整報(bào)告。

為了避免成為已知或未知威脅行為者的目標(biāo)攻擊受害者，卡巴斯基研究人員建議實(shí)施以下措施：

一、為您的安全運(yùn)營(yíng)中心（SOC）團(tuán)隊(duì)提供最新的威脅情報(bào)（TI）訪問(wèn)權(quán)限，幫助他們掌握最及時(shí)的威脅信息?？ò退够{情報(bào)平臺(tái)是一站式解決方案，提供了20多年來(lái)卡巴斯基收集的網(wǎng)絡(luò)攻擊數(shù)據(jù)和見解。

二、通過(guò)卡巴斯基在線培訓(xùn)提升您的網(wǎng)絡(luò)安全團(tuán)隊(duì)的技能，幫助他們應(yīng)對(duì)最新的定向威脅。這些培訓(xùn)課程由GReAT專家開發(fā)，能夠提供最前沿的威脅應(yīng)對(duì)知識(shí)。

三、為了在端點(diǎn)級(jí)別實(shí)現(xiàn)實(shí)時(shí)檢測(cè)、調(diào)查和緩解事件，建議實(shí)施端點(diǎn)檢測(cè)和響應(yīng)（EDR）解決方案，例如卡巴斯基端點(diǎn)檢測(cè)和響應(yīng)。

四、除了基本的端點(diǎn)保護(hù)外，建議實(shí)施企業(yè)級(jí)的安全解決方案，以便在網(wǎng)絡(luò)級(jí)別上盡早檢測(cè)和應(yīng)對(duì)高級(jí)威脅，例如卡巴斯基反定向攻擊平臺(tái)。

五、由于許多定向攻擊都是從釣魚或其他社會(huì)工程技術(shù)開始的，建議引入安全意識(shí)培訓(xùn)，教會(huì)員工識(shí)別和防范這些攻擊的方法?？ò退够詣?dòng)化安全意識(shí)平臺(tái)可以幫助您實(shí)現(xiàn)這一目標(biāo)。（曾憲勇）