侵襲臺灣高科技產業的外國 APT：Operation Skeleton Key 攻擊手段分析

‍

今年 Black Hat 大會中，奧義智慧研究團隊發表了有關臺灣半導體產業遭 APT 攻擊的相關研究演說，該研究自今年四月發表白皮書以來收穫許多回應，演講後更引起海內外媒體報導，以下這篇文章將分享奧義團隊研究時的發現，以及介紹 Skeleton Key 攻擊手法。

Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry
臺灣資安新創業者揭露：臺灣至少有7家半導體業者遭中國駭客鎖定

根據 2019 年 7 月的報導，臺灣以約 21.1% 成長率與總計 123.1 億美元的市場規模，成為世界最大且成長最快速的半導體設備製造市場。儘管對於產業發展來說，2019 是個代表豐收的年度，但在經濟好轉的同時，整個 2019 年，臺灣高科技業界有多家公司成為 APT 攻擊的受害者，不可見的安全威脅如同一隻兇惡的巨獸，正從內而外慢慢啃蝕著整體產業。

APT 潛伏在各式網路間諜行動中扮演著重要角色，且經常有國家勢力隱身其後給予指點與資源，一般來說，APT 以擁有高價值機敏資訊的組織作為攻擊目標，包含國防單位、金融、能源及製造業等機構。由於這批新的 APT 攻擊的行為特徵（如技術、策略、程序與 TTP 等）互相相似，且也與過去已被記載的某些網路攻擊類似，因此，我們高度地懷疑這些新攻擊是來自相同境外攻擊者的行動。

在調查的過程中，我們以「Chimera」（意即奇美拉，是傳說中一種由許多動物部位組合而成的怪獸）代稱這些攻擊行為背後的 APT Group，研究發現該駭客組織曾使用包含了提取自 Dumpert、Mimikatz 等開源程式碼的 Skeleton Key 惡意程式，而這種駭客工具就像奇美拉嵌合體一樣由各種部件組合在一起，這也是為何我們以奇美拉來做為攻擊者代稱。

對於奇美拉的威脅行動，包含從 2018 年末到 2019 年末所有利用 Skeleton Key 攻擊的新攻擊，在我們的研究中以 Operation Skeleton Key 來代稱之。這些攻擊意圖使受攻擊對象的智慧資產遭到洩漏，如 IC 設計文件、軟體開發套件 (SDK)、程式碼等，而它們背後的動機，很有可能是源自競爭對手（從攻擊的先進程度來看甚至可能是國家組織）意圖要在競爭之中取得優勢。

閱讀我們對奇美拉 Operation Skeleton Key 攻擊的完整報告。

重點發現

前段最後附上的報告中，我們針對奇美拉採用的技術、策略、程序與客製化的惡意程式進行了全面性的分析，並發現以下幾個值得注意的項目：

1. SkeletonKeyInjector — 這個惡意程式結合了從 Dumpert、Mimikatz 所提取的程式碼，並被用作帳號操控 (Account Manipulation) 的工具。這項惡意程式改變了 Kerberos 的身分驗證程式並植入 Skeleton Key，使攻擊者可以在不需密碼的狀況下登入系統。如此一來，由於網域伺服器的認證程序記憶體遭到修改，即便重新設置了密碼，攻擊者也仍可進入遭駭的機器。成功植入 Skeleton Key 後，攻擊者便可以在相同網域內橫向移動、順利連進其他的機器，這種移動在行為上與合法登入相同，故而在系統內執行各種行動時不會被阻止，並且有助於攻擊者掩蓋自己的持續性惡意行為。
2. Counterfeit Google RAT — 攻擊者利用 Cobalt Strike 作為主要的遠端存取木馬 (Remote-access Trojan, RAT)，後門程式偽裝成 Google Chrome 瀏覽器的更新檔案，藉以混淆視聽使用戶難以察覺。另外，為了進一步掩蓋惡意行為、提升防護方調查根因的困難度，攻擊者也將大部分的 C2 伺服器建置在 Google Cloud Platform 上。
3. ChimeRAR — Chimera 使用了一個已被替換的舊版 RAR，並修改利用來洩漏資料。

關於 Skeleton Key 攻擊

在 2014 年時，Dell SecureWorks 的 Counter Threat 部門察覺第一個 Skeleton Key 的案例，該 Skeleton Key 能夠繞過 Active Directory 的單因素驗證，並藉此對服務進行遠端存取。然而，Chimera 的 Skeleton Key 則是提取自 Mimikatz 與 Dumpert 的鑰匙，並嘗試著透過調用 syscall 自行實作高層次API，來繞過常被運用在防毒軟體及端點偵測產品上的 API 監控。

下載我們對奇美拉 Operation Skeleton Key 攻擊的惡意程式逆向分析報告。

初步調查

在調查 Operation Skeleton Key 攻擊的期間，我們一共分析了超過 30,000 個來自臺灣高科技供應鏈中不同公司的端點，接下來我們將挑出兩個較具代表性的案例，進行更深入的分享。

我們將整年度之中分析的案例歸納成兩種，分別代表不同的檢測方式，案例 A 在常態的安全監測下發現 Operation Skeleton Key 攻擊，而案例 B 則在攻擊發生後許久，才透過 IR 服務開始調查的期間才發現曾受到 Chimera 攻擊的影響。

‍

‍

奧義智慧的 MDR 服務

步驟一：在您的系統端點上部署奧義的 MDR 及 NGAV 鑑識掃描器
步驟二：掃描器持續回傳監測數據
步驟三：奧義的資安專家攜手 AI 人工智能分析數據，產生即時告警及掃描報告，包含針對所有惡意行為的全站式用戶與實體行為分析 (User and Entity Behavior Analytics, UEBA)、威脅分析、MITRE ATT&CK® 分類、事件根因案情脈絡，以及修復相關建議。

在偵測時間的部分，可以看到案例 A 的組織在受攻擊前就已經使用了奧義提供的 MDR 方案。奧義提供的防護方案有主、被動兩種類型，在這些方案內，企業的端點將受到 AI 掃描器的監測，針對已知惡意程式與可疑的行為進行掃描。主動方案是我們的 24/7 全天候 AI MDR 服務，而案例 A 選用的方案則是定期提供端點與企業網路完整檢測報告的被動做法（案例 A 的報告週期為每日提供）。

我們從案例 A 中挑選出一個能看出更多細節、較具有代表性的樣本；另外，案例 B 則是在系統已偵測出異常活動後，才提出開始導入我們的 IR 服務。接下來我們可以看到，已經過匿名處理的 Situation Graph 和 Storylines 等資料。

案例 A 客戶的代表性樣本

‍

‍

在攻擊行動開始的第一個小時內，Chimera 並未實際侵害到重要的伺服器，因此系統並未立刻通報，而是暫時允許攻擊者的行為，藉此針對該攻擊蒐集更多的情資，如新型惡意程式、惡意行為與行為動機等。在 NB-CLAIR 端點發生第一起可疑行為後，在這個案例 A 的代表性樣本情況下，企業的資安監控中心 (Security Operations Center, SOC) 立刻產生告警，通知系統管理者關於可疑行為與其潛在風險的資訊。假如案例 A 的組織當下已有訂閱過我們的 24/7 全天候 MDR 服務，那麼從 NB-CLAIR 遭攻擊的當下，我們就能輕易地協助阻止攻擊行動。

‍

Chimera 最初的存取是透過 VPN 使用了有效的 ID。

許多的企業常會忽視 VPN 連線的風險，並且預設保持對對 VPN 連線的信賴、方便用戶進到企業網路內部。Chimera 是我們所見過，擅長技術性利用此 VPN 政策缺陷的攻擊團體，從 NB-CLAIR 的情況來看，攻擊者透過遠端桌面協議 (Remote Desktop Protocol, RDP) 成功獲得存取權，並放置了第一個 Cobalt Strike 後門程式。

‍

‍

Cobalt Strike 是 Chimera 主要用作 RAT 用途的工具，為了防止被偵測，他們將 RAT 木馬程式偽裝成 Google 更新的可執行檔，作為 Cobalt Strike 的 Beacon 來將 Payload 注入其他程序。這類型的操作顯然非常可疑，由於程式經過變種、或專為此次攻擊設計。VirusTotal 上並未有此惡意程式的資料，而我們的 AI 偵測服務則會立刻開始追蹤攻擊足跡。

利用遠端桌面程式進入 NB-CLAIR 後，攻擊者在六分鐘內便成功把 Cobalt Strike 透過 schtask utility 複製到另一個端點 Server-LAUREN 上。如果您有導入我們的持續性 MDR 服務，也就是前述的主動型防護方案，那麼安裝在端點上的 agent 就能在這個階段，偵測出攻擊者在系統中的橫向移動，並且進一步阻止攻擊。

而 GoogleUpdate.exe 這個惡意程式為了躲避追蹤、增加防守方追蹤的難度，利用建置在 GCP 的 C2 來連線；當然，這個行為逃不過我們 AI 數位鑑識的法眼，再一次，案例 A 組織的 SOC 能在攻擊發生當下就收到告警。

‍

‍

整個攻擊行動到這邊，距離 Chimera 首次成功存取其實才過 18 分鐘而已，一旦 C2 與系統完成連接，RecordedTV.ms 這個惡意檔案便會被放入 Server-LAUREN，並開始竊取資料；也就是說，即便沒有 .exe 執行檔，攻擊者依然能夠竊取目標的數據等資料。後來我們發現，RecordedTV.ms 事實上是由舊版 RAR 修改而來，它與原本的 RAR 軟體僅僅只有一個 Byte 的差距（與 rar.exe v3.6 版本相較）。

‍

‍

除了 RecordedTV.ms，我們也在幾台機器中找到以不同名字存在的相同二進位檔案，例如 uncheck.dmp、jucheck.exe 等，這些惡意檔案也同樣地，被我們的 AI 驅動鑑識掃描器一一抓出。為了探勘整個網路系統，攻擊者也透過 Server-LAUREN 發出了多次「net user」指令，並將相應結果儲存在 RecordedTV_lib.log 這個檔案內；此外，Server-LAUREN 還利用 wmic 遠端執行了一些其他指令，用以確認其它的端點是否有網路連線，而我們將此行為標記為 MITRE ATT&CK 框架下的 discovery events。

‍

‍

Server-LAUREN 還儲存了 Windows 的登錄檔及其他主機的 ntds.dit 檔案，而不管是 Active Directory 資料庫、ntsa.dit 等，裡面都包含了許多關於主機、使用者的重要資訊，例如 ID、名稱、密碼雜湊值等，Windows 登錄檔內更是有加密檔案 ntds.dit 的金鑰，Chimera 利用這些資訊還解鎖檔案，或者暴力破解密碼雜湊。只要 AD 不慎遭受到攻擊，SkeletonKeyInjector 惡意程式 d3dll.dll 就能注入一把 Skeleton Key 進去，讓駭客得以於同樣網域內的主機中自由地橫向移動。

所幸案例 A 在 SkeletonKeyInjector 開始運作前，就以得到告警並對此資安事件做出應變。案例 B 可就沒有這麼幸運了。

和我們的所有客戶一樣，案例 A 的組織會收到有事件前後完整信息且可參照執行的報告，這份報告內會針對先前曾產生高嚴重性告警的事件，提供包含攻擊流程與來源等上下文內容的詳細資訊，並給客戶一份對於他們所有端點、檔案、網路、身分識別與存取管理系統的可操作情資。

透過自動化鑑識調查，我們就不需要再反覆猜測嘗試，可以最快找出問題所在，並且分析得到有效可執行的步驟來阻止駭客的攻擊、修復受損的系統。

提交給案例 A 組織的報告中，具體告知那些檔案應刪除、哪些程序須停止、哪些是惡意程式應該移除，甚至是哪一個使用者帳號受到影響而建議重設，以及該封鎖哪一些網址、網域與 IP 地址。案例 A 的組織原本使用我們的被動防護方案，經歷上述這個樣本事件的處理後，他們現在已決定升級成主動方案，並且在奧義 MDR 服務的保護之下享受安全的網路環境。

‍

‍

Skeleton Key 注入器

這個惡意軟體是一種帳號操縱的工具，它更改了 NTLM 身分驗證的程式並且植入一把 Skeleton Key，透過這把 Skeleton Key，Chimera 得以在沒有有效憑證的情況下，繞過驗證程序並登入其他機器，而一旦內存記憶體中的程式碼遭到竄改，Chimera 便能夠存取該網域中的任何系統與機器。由於 AD 主機通常不太會重啟，Chimera 很有可能得以長期潛伏操縱機器，而不被系統擁有者察覺。

這也就是為甚麼我們主張需對每一台電腦、包含網域伺服器，進行全面的記憶體鑑識掃描。

在 Operation Skeleton Key 的調查過程之中，我們發現有一些半導體廠商使用白名單的方式來做資安管控。然而，雖然 AD 只能執行白名單內的軟體，使白名單在某些狀況下不失為一個好方法，但根據我們的調查，即使設定了白名單，Chimera 依舊能透過離地攻擊 (Living off the Land) 的技巧成功發動攻勢。

點擊閱讀我們對 Operation Skeleton Key 所做的完整逆向分析報告。

代表性案例 B

‍

去年十一月的時候，當案例 B 的組織升級他們的網路基礎架構時，他們發現了一些異常的網路活動，並找上奧義要透過我們的 IR 服務進行相關調查。因此，在案例 B 的事件中，奧義智慧解決方案和對方的日常 SecOps 是完全無關的，我們僅從事件發生後開始參與。

奧義智慧的 IR 服務

步驟一：部署我們的 IR 鑑識掃描器至您的端點
步驟二：掃描器回傳數據，奧義的資安專家攜手 AI 人工智能進行分析
步驟三：24 小時之內我們將提交包含完整的駭客工具與行為分析的報告，並為您制定合適的威脅根除計畫
步驟四：您依照根除計畫處理後，我們將協助您再次掃描、確認威脅已被完全清除

回到案例 B，當時我們掃描了案例 B 組織的端點，並且很快地從攻擊行為中發現，他們所遭遇的網路攻擊正是前述所說的 Operation Skeleton Key 攻擊。

A 與 B 兩個案例之間，以及與我們先前曾調查的許多案件有著明顯的共通點。例如它們全都使用了 SkeletonKeyInjector，也都將 Cobalt Strike RAT 偽裝成 Google 更新檔案，甚至也在 TTP 使用方式等行為上十分類似，因此，我們認為這些相同方式的攻擊均是來自相同的攻擊者。

然而，在這大量的案例之中，很明顯並不是所有組織都像案例 A 這般幸運，我們調查發現到，大多類似的攻擊行為都成功在系統中潛伏了很長一段時間，有些甚至超過一年。Chimera 廣泛地使用下方圖示的 PowerShell 腳本，直接將 Paylaod 注入到系統記憶體內，藉以避開針對檔案的偵測機制。

我們在包含兩台網域管理者的多個端點內，都發現了 Cobalr Strike 後門，並且多數是植入到 svchost.exe，攻擊者透過這個後門來進入到其他的系統程序中。

‍

‍

與案例 A 十分類似，Chimera 將他們的 C2 伺服器建置在合法的雲端服務上，以此來逃避威脅的根因追蹤，同時，他們透過命名看似無害的 RAR 程式（RecordedTV.ms、jucheck.exe、vmware.log 等）來存取與洩漏系統內的資料。

在案例 B 之中，Chimera 成功地取得了密碼並利用 d3d11.dll 這個 .dll 檔案將 Skeleton Key 部署至系統中，得到自由橫向移動、存取網域中所有機器的能力。Chimera 發動 Skeleton Key 攻擊的最終目的，是為了要獲取目標組織的智慧財產，如 IC 設計文件、SDK、程式原始碼等。

‍

‍

在接下案例 B 組織的案子，開始執行掃描與根除計劃的不久後，我們順利修復了由 Chimera 所造成的全部系統損壞、並清除惡意程式。為了確保根除計劃後的系統安全性與韌性，奧義智慧為所有 IR 服務的客戶提供三個月的免費 MDR 服務，當然也包含了案例 B 的組織。而經過三個月的體驗，他們高度信賴奧義的服務品質並且決定要繼續使用我們的 MDR 服務。

MITRE ATT&CK

‍

‍

我們用 MITRE ATT&CK 框架，來總結一下 Operation Steleton Key 攻擊所使用到的各種技巧，請參照上方圖片內的顏色標示。

‍

‍

閱讀我們對 2019 年臺灣發生的 Operation Skeleton Key 攻擊的完整報告。