“1月的第一个星期，的月活用户超过了5亿，在那之后数字还在不断增长：仅刚刚过去的72小时内，就有2500万用户加入。”1月12日，帕维尔·杜罗夫在自己的频道中写道，“比之去年，这是重大增长，当时每天的新注册用户约为150万人。”

从杜罗夫信息发布时间往前推72小时，互联网世界刚刚发生了两件刷新全民认知的大事：其一是当地时间1月6日特朗普支持者强攻国会山以后，从推特到及后者旗下的一众社交媒体平台宣布封锁特朗普的账号，并威胁（也最终实施了）永久封禁；其二，则是同样属于旗下的即时通讯软件在1月8日修改其用户隐私政策，称将把用户数据提供给所有系列的应用平台。

●杜罗夫在自己上发布的消息 / 网页截图

两件事的影响都十分明显：国会山事件后在美国地区下载量冲上应用程序榜单次席，超过50万美国人成为新注册用户。而在12日杜罗夫公布的数据中，涌进的新用户已不限于北美，而来自世界各地：其中的38%位于亚洲，27%位于欧洲，21%位于拉丁美洲。

1月14日，杜罗夫再次更新了自己的频道，在最新一则消息中他写道，“我们或许正在目睹人类历史上最大一次数字移民。”他提到，已有越来越多的国家领导人开始选择。在这一行列当中，最新两位加入者是土耳其总统埃尔多安和巴西总统波索纳罗。

从不吝于攻击自己美国同行的杜罗夫对此评论道：“我听说有一个单独的部门在试图研究为什么如此受到欢迎，我很高兴帮助省下这笔支出并免费分享我们的秘密：尊重你的用户。”

在互联网巨头已能轻易左右选举走向、制裁美国总统、并依靠规模优势和平台垄断地位对任何对手形成“降维打击”的时代，再次充当了一个异类。作为创始人，出生于1984年的杜罗夫似乎生来是个挑战者。只是几年前他的对手是国家权力监控，如今则是已异化成为某几个公司Logo的“主流互联网”本身。

向“双头垄断”宣战

这不是杜罗夫第一次表露对于美国互联网巨头公司的强烈不满。2020年7月9日，杜罗夫曾发表一篇署名长文，呼吁监管机构和从业人员一起，在移动应用市场上向由苹果和谷歌构成的“双头垄断”斗争到底。

●杜罗夫7月9日发表的长贴截图：苹果如何消灭全球创业公司，以及如何阻止它 / 网页截图

在杜罗夫的叙事里，苹果和谷歌两大巨头由于掌控了主要的移动应用市场，已经成为整个世界的垄断托拉斯。他透露，曾在2016年试图为东欧游戏开发者创建一个业内平台，但计划宣告夭折。因为苹果威胁他们，如果不停止就要在苹果商店里下架。“这是集权和失衡的史无前例的例子，”杜罗夫写道，“当整个数字经济部门因过高的税费而导致失血过多，这只有在全无竞争的情况下才有可能。”他认为，依靠向移动应用收取30%的收入作为平台费用，这两家公司正在抽干全球科技行业。

“十多年来，我们一直处于一种自相矛盾的局面，两家硅谷公司完全控制着全球数十亿用户，决定了他们可以在自己的手机上安装哪些应用程序。”这一局面的结果则是，“当苹果和谷歌的离岸账户累积数十亿美元财富，全世界数以万计的本土开发者公司正徘徊在财务破产的边缘。”

杜罗夫呼吁这种情况应该得到改变，而面对垄断，首先需要发力的是监管机构：“欧盟委员会已经对苹果在自己品牌的手机上强制预装苹果商店一事展开反垄断调查，这是积极的一步。”他提议，各国应推动本国移动应用商店的本地化，而不是坐视本国开发者30%的利润被自动输送到美国加州。“阻止两个超国家公司对全人类征税并非易事……但我们需要直面当前的危机——它们对数十亿用户、数十万开发人员、各国国民经济和全球进步有害。”

尽管杜罗夫言辞恳切，但在全球范围内，这次发声其实并未引起太多注意。在此之后，杜罗夫还数次呼吁用户应放弃苹果改用安卓系统，因为苹果的系统设计可以完全限制用户对于特定应用程序的访问。但与之前的尝试一样，这些表态也没有在大众媒体上激起太大的水花。

●为了绕开应用商店，称其正在开发网页版客户端 / 网络

这还不够，少数跟进报道了他动向的行业媒体还给出了恐怕并不符合杜罗夫期待的评论。俄罗斯互联网行业媒体“Kod”就此评论道：事实是苹果和谷歌这样提供平台的巨头公司提供了IT行业发展的主要推动力，“这些公司除了从自己的应用商店中收取销售佣金外，还创建最重要的东西——各种编程语言，SDK和API形式的开发人员工具。iOS的客户端就是用这些语言之一（即Swift）编写的。”在这一意义上，也可以说这些巨头公司承担着基础建设工作。

而杜罗夫的提议看上去可能比两家巨头公司更值得警惕：是否每个国家都有意愿和能力承担平台维护和应用程序审核需要的巨额金钱和工作量？这种引入国家权力的做法，会不会变成另一种国家控制的资源，和对IT行业施加压力的另一个杠杆？

尽管杜罗夫以同俄罗斯政府的决裂闻名，出走后也向来淡化俄罗斯色彩而坚持用英语更新自己的个人频道，但七月的这一次，他看上去空前地“俄罗斯”——这篇帖子以俄语写成，也发布在杜罗夫在的俄语频道上。事实上，杜罗夫点名“监管机构”语出有因。这篇文章发表的同时，副总裁别列康普斯基正在俄罗斯鞑靼斯坦共和国伊诺波利斯出席一场线下的互联网企业家论坛，讲话内容正是杜罗夫这篇文章的缩略简化版本，台下他的听众不止有俄罗斯IT和互联网行业高管，还有俄罗斯总理米哈伊尔·米舒斯金。

与俄罗斯的危险和解

改变是静悄悄地发生的，但的确已经发生：出走五年以后，杜罗夫与俄罗斯政府达成了和解。

至少从表面看来，这场几乎持续十年的对峙以俄罗斯政府的有限让步为结局，最后一幕则是从2018年到2020年让俄罗斯政府颇为尴尬的“封禁”闹剧：尽管通过了立法，也发布了公文，还引爆了多场抗议，但是由于技术短板，所谓的封禁从未成功。

●解封时的俄罗斯网络笑话，上图“被封”，下图“解封”/ 网络

2020年6月18日，俄罗斯网监局正式推枰认输，宣布解封。其实早在这之前很久，俄罗斯全国上下就已无法抵抗的诱惑，从国家媒体到政府高官，纷纷注册并公布自己的账号以争取更多粉丝，媒体在报道中引用公众人物的频道更早已是常规操作。而在网监局发布的解封说明中，只提及“我们感谢的创始人愿意反对恐怖主义和极端主义”，对于此前导致冲突和封禁的真正原因——要求开放后台访问权限并移交特定用户数据——只字未提。

但正式解封依然有其意义：二十天后，就有了伊诺波利斯的会议和杜罗夫的署名长文。

7月9日的这次会议或许可以列入俄罗斯互联网产业史：除了总理米舒斯金，其他与会官员还包括多位政府副总理、鞑靼斯坦共和国几乎全部领导层、以及大众通讯、教育和健康三个部的政府部长。在互联网公司方面，与会代表则囊括了Yandex、Mail.ru、卡巴斯基实验室、VK和等几乎所有出自俄罗斯的顶级互联网公司高管。

●出席会议的副总裁伊利亚·别列康普斯基 / 网络

会前，米舒斯金刚刚按照普京要求，为俄罗斯互联网产业准备了无限期税收优惠，其中所得税税率将从20%下调到3%。参与会议的俄罗斯副总理切尔尼申科则在讲话中向伸出橄榄枝，称“这一具有俄罗斯血统的全球通讯应用对于俄罗斯的IT企业家和投资者来说都是一个好兆头”。

没有人重提用户数据和国家安全问题，也没有人再回顾此前的冲突。杜罗夫本人在6月22日的媒体采访中称，在俄罗斯的两年封禁期间，是成千上万的俄罗斯工程师帮助完成了“数字抵抗”，并且，“考虑到世界政治局势正在变得更加不可预测，数字抵抗运动并没有随着在俄罗斯的停火而告终。”

至于与俄罗斯政府的和解，杜罗夫将之解释为，在与“双头垄断”的战争当中“需要比同行开发者更有影响力的盟友”。

从解封后的半年来看，至少在自己“传统”领域的表现并未出现什么变化：俄罗斯解封后仅两个月，随着白俄罗斯局势骤然紧张，再一次成为新一场“数字抵抗运动”的主战场。尽管白俄罗斯政府对本国互联网公司采取了多次暴力措施，也多次向俄罗斯寻求支持，似乎战火从未波及到。

但与此同时，当杜罗夫越来越多地将苹果这样的“互联网暴君”视为自己的主要敌人，另一个更为复杂的问题越来越难于绕开：在全球国家权力、垄断资本、企业扩张需求和大数据监视之间，真的还有杜罗夫口中“自由的互联网”的容身之处吗？或者，即使真有可能，就会是那个寄托理想之地吗？

理想与现实

2020年6月，在俄罗斯宣布解封之际，塔斯社在一篇相关的专家访谈文章中提出，在俄罗斯解除封锁之后，的下一步将会是变现：“杜罗夫无法启动自己的区块链项目TON，因此现在需要寻找其他方式来获取利润。”

尽管未必与俄罗斯的解封相关，但这一预言不可谓不准确：12月23日，杜罗夫发出公开信息称，将从明年开始寻求变现。

在此之前所有服务均属免费，自我定位甚至是“非盈利项目”——杜罗夫对外透露，此前六年里的所有运营费用是依靠他个人存款来支付的。对于俄罗斯最年轻的亿万富翁来说，这句话并不特别令人意外，但如果事情涉及到的是一个正在成长中、并且极富野心的互联网公司，它所面临的问题其实并不像听上去那么凡尔赛。

盈利成为问题的直接背景是杜罗夫创业生涯中迄今为止最严重的一次失败：区块链平台TON和与之相伴而生的虚拟货币Gram的彻底破产。

●杜罗夫设想中的区块链平台TON最终宣告流产 / 网络

比起目前在做的事，TON和Gram的构想更为野心勃勃：打破美元垄断，挑战现有的国际金融支付规则。按照当初杜罗夫对外透露的设计思路，Gram最终将颠覆各国央行的货币发行垄断地位。不料美国证券委员会从2019年秋天开始启动对于杜罗夫以及TON平台项目的调查，这一划时代的项目最终于2020年5月被正式放弃。

在那篇声明中，杜罗夫依然强调美国法院的判决并不公平，但由于世界依靠着美国的金融和技术，自己也没有能力与美国国家权力相抗衡：“今天，我们处于一个恶性循环中：您不能为平衡一个过于集权的世界做太多，这恰恰是因为它是如此集权。”

而当颠覆货币体系的尝试宣告失败，盈利问题成了头号大事：杜罗夫在放弃TON项目的声明中承诺，将向所有投资人返还其投资金额的72%。这是因为已有一部分资金在开发过程中用掉了，但这部分钱也会在其后返还——他提出，会在2021年4月前向所有投资人以其投资金额的110%还清债务。

即使从杜罗夫宣布寻求变现的2020年12月23日开始计算，留给杜罗夫和的时间也仅有四个月零一周。

●2020年10月的月活排名榜单，未计入苹果公司 / 网页截图

尽管已有5亿月活用户，在全球市场的角度依然是个不那么大众的通讯软件：去年十月的统计结果显示全球前三即时通讯软件分别为、 和微信，只能排到第六，而这份统计并未列入苹果公司旗下的（月活用户约9亿），如果加入后者，即使以最新数据参加排名，也很难冲进前五。

而变现之路如何开始？杜罗夫已经排除出售的可能性，同时暗示可能会考虑在频道中开放广告位，但承诺不会以牺牲用户个人数据的方式进行。然而，如果考虑到等第一代互联网巨头牺牲用户数据的第一步正是广告投放，担心只不过是还未发展到相应阶段的的看法听上去十分不讨人喜欢，但并非杞人忧天。

投身于与恶龙的搏斗之中的勇士，最终会变成恶龙吗？（责编 / 权文武）

点击图片直达往期精选

最近邻居攻击：X 罗斯 APT 如何利用附近的 Wi-Fi 网络进行隐秘访问

The Nearest Attack How A Russian APT Nearby Wi-Fi for Covert Access

关键要点

在 2022 年 2 月初，恰逢X 罗斯入侵乌 X 兰之前， 发现了一项发现，这导致了 进行的最引人入胜和复杂的事件调查之一。调查始于 在客户现场（“组织 A”）部署的自定义检测签名发出的警报，表明威胁行为者已入侵客户网络上的一台服务器。虽然 迅速调查了威胁活动，但由于一个非常有动机且技术娴熟的高级持续威胁（APT）行为者使用了一种 之前未曾遇到的新型攻击向量，提出的问题比答案还要多。在调查结束时， 将此次泄露与其追踪的 X 罗斯威胁行为者 （公众称为APT28、Forest 、Sofacy、Fancy Bear 等）联系在一起。 进一步确定 正在积极针对组织 A，以收集与乌 X 兰相关的专家和项目的数据。

长达一个半月的调查揭示， 最终通过连接到组织 A 的企业 Wi-Fi 网络成功入侵了组织 A 的网络。威胁行为者通过串联其方法，入侵了多个与目标组织 A“近距离”的组织。这个威胁行为者与受害者相隔数千英里，跨越了一片海洋。 不知道有任何术语来描述这种攻击方式，并将其称为最近邻居攻击。

最近邻居攻击

考虑到假定的物理距离，您可能会想知道这个威胁行为者是如何能够认证到组织 A 的企业 Wi-Fi 网络的。首先也是最明显的需求是有效的凭据。这是通过对组织 A 网络上一个面向公众的服务进行密码喷洒攻击来验证凭据实现的。虽然凭据可以被验证，但由于实施了多因素认证（MFA），这些凭据无法用于组织 A 的公共服务。

然而，企业 Wi-Fi 网络并不需要 MFA，只需用户的有效域用户名和密码即可进行认证。与此同时，威胁行为者身处世界另一端，无法实际连接到组织 A 的企业 Wi-Fi 网络。为了克服这一障碍，威胁行为者努力入侵其他位于组织 A 办公室附近建筑内的组织。他们的策略是入侵另一个组织，然后在该组织内部横向移动，寻找可以访问的双网系统（即同时具有有线和无线网络连接的系统）。

一旦在这一努力中取得成功，找到一台通过有线以太网连接到网络的系统，威胁行为者将访问该系统并使用其 Wi-Fi 适配器。此时，他们将连接到组织 A 的企业 Wi-Fi 的 SSID 并进行认证，从而获得组织 A 网络的访问权限。

最近邻居攻击的结构如下所示。

在这一点上，如果您认为这听起来有些牵强，那也是可以理解的。然而， 发现 成功入侵了_多个_与组织 A 近距离的组织。他们能够找到并入侵一个附近组织的双网系统，从而允许他们从该被入侵的系统连接到组织 A 的企业 Wi-Fi 网络。

认为这代表了一种新型攻击类别，之前未曾描述，其中威胁行为者入侵一个组织并执行凭据填充攻击，以便通过其 Wi-Fi 网络入侵其他物理上近距离的组织。重申一下，仅凭这些凭据的入侵并未获得客户环境的访问权限，因为所有面向互联网的资源都要求使用多因素认证（MFA）。然而，Wi-Fi 网络并未受到 MFA 的保护，这意味着接近目标网络和有效凭据是连接的唯一要求。

这篇博客文章旨在阐明 在事件调查中观察到的战术、技术和程序（TTP），并详细介绍最近邻居攻击的工作原理及其缓解方法。

幽灵的窥视

这个故事始于 2022 年 2 月 4 日，当时 在其客户组织 A 的网络上检测到可疑活动。这一检测是在 开发的自定义签名触发警报后进行的，该签名旨在查找写入并从C:\目录根目录执行的文件。在 调查时，可以看到以下活动发生：

这立即使 的威胁检测与响应团队高度警觉，因为他们可以看到敏感的注册表蜂巢正在被导出并压缩成 ZIP 文件。调查的下一步变得清晰：团队立即扩大了对系统 EDR 事件历史的深入调查，并准备部署 Surge Collect Pro以收集系统内存（RAM）和关键磁盘工件。

对 EDR 日志的审查提供了一些有趣的见解，关于在上述活动之前和之后立即发生的活动。 发现，在上述活动发生之前，系统上发生了以下情况：

急于收集这些文件作为事件响应调查的一部分。不幸的是，团队遇到了两个主要问题。第一个问题是，在收集系统内存的过程中，系统被关闭。这并不理想，因为这导致了可能对调查有用的易失性数据的丢失。这些文件的某些组件可能仍然驻留在内存中，允许其恢复和分析。尽管遇到这一挫折， 还是能够重新启动服务器，并仍然收集到支持调查的取证工件。然而，第二个问题是， 发现攻击者已删除所有已识别的文件和文件夹。不仅文件消失了， 还发现攻击者运行了一个名为Cipher.exe的本地 实用程序，通过安全删除文件来掩盖他们的踪迹。虽然这并不是 第一次遇到攻击者使用反取证方法掩盖自己的踪迹，但这是 第一次看到使用Cipher.exe实用程序进行此操作。

调查死胡同

在初始事件之后，攻击者暂时保持低调。在此期间， 利用其收集的各种取证工件继续进行调查。在此过程中遇到了一些挑战。首先， 能够识别出一个连接到受害者服务器的 IP 地址，但不清楚它与什么相关，并且该地址不再在线。此外， 在组织 A 的办公室部署了一个网络安全传感器，但几乎没有记录攻击者的活动。通常可以立即提供清晰度和调查下一步的几个步骤令人沮丧地无果而终。

调查在一段时间内陷入僵局，直到攻击者再次出现。当攻击者返回时， 能够获得_一些_答案。 了解到攻击者所来自的 IP 地址段与组织 A 的企业 Wi-Fi 网络相关，并且网络上的一个域控制器充当 DHCP 服务器。然而，在检查 DHCP 日志后，没有记录 与攻击者关联的 IP 地址。另一个可能的线索又是一个死胡同。

无线救赎

在调查的进一步过程中， 了解到该组织有一个无线控制器，用于管理其无线网络、接入点和所有相关基础设施。该控制器还保留了与信号强度、连接设备、认证用户帐户等相关的详细日志。 获得了对无线控制器的访问，并在调查中取得了第一次重大突破。在获得无线控制器的访问后不久， 能够找到攻击者的 IP 地址，并将其与一个经过认证的域用户和一个 MAC 地址关联起来。

凭借这一新信息， 能够检查组织 A 的 RADIUS 日志，并找到与刚刚发现的用户和 MAC 地址相关的认证事件。这个相同的 MAC 地址和用户帐户出现在与初始泄露重叠的旧日志中。然而， 发现有额外的认证事件，使用相同的 MAC 地址和不同的用户名，追溯到 2022 年 1 月底。 了解到，1 月份观察到的帐户的密码已过期并被用户更新。这显然使攻击者无法访问该帐户，但他们能够在 2 月初使用从无线控制器观察到的帐户重新进入。

这一新信息促使 检查组织 A 的系统日志，该系统提供可以进行认证的面向互联网的 Web 服务。该服务本身受到 MFA 保护，但可以用来验证凭据是否有效。在检查这些日志时， 发现，在 1 月和 2 月期间，对该服务进行了密码喷洒攻击，攻击者成功入侵了三个帐户。识别出的三个帐户中有两个是 从无线控制器和 RADIUS 日志中识别出的。第三个帐户尚未使用。

现在确定攻击者是通过从面向互联网的服务中暴力破解的无线凭据连接到网络的。然而，尚不清楚攻击者在物理上位于何处，使他们能够首先连接到企业 Wi-Fi。对组织 A 的无线控制器提供的数据的进一步分析显示，攻击者连接的具体无线接入点，并将其叠加在一张建筑物和特定楼层的布局图上。 可以看到攻击者连接到位于建筑物远端靠近街道窗户的会议室的同三个无线接入点。这使 首次获得证据，表明“呼叫并不是来自建筑内部。”这可能是攻击者在街道外进行的近距离访问操作吗？没有什么被排除，但 离发现真正的答案并不远。

不要信任任何人，尤其是你的邻居

在此次调查过程中， 与组织 A 合作采取了各种补救措施，实施对策，并改善了日志记录和网络可见性不佳的各个领域。这样做最终使 在调查中取得了重大突破，准确弄清楚发生了什么。

尽管重置了各种凭据，包括从密码喷洒攻击中识别出的三个帐户，攻击者仍然拥有有效的域凭据。攻击者再次重新获得了对组织 A 企业 Wi-Fi 的访问权限，但由于现在有了可见性和日志记录， 迅速采取了行动。 现在能够从组织 A 网络中所有涉及 Wi-Fi 连接系统的活动中提取完整的数据包捕获，无论它们在内部连接到哪里。对该数据包捕获的分析显示，攻击者的系统发送了 NetBIOS 名称服务（NBNS）查询，揭示了其计算机名称和其加入的活动目录域。这个活动目录域准确揭示了攻击者的连接来源，结果发现是位于_街对面_的一个组织（“组织 B”）。

能够与组织 B 取得联系，并与他们合作进一步调查此事。在这里， 最终揭示了攻击者的操作方式，以及最近邻居攻击的工作原理。在与组织 B 的协调下， 能够找到连接到组织 A Wi-Fi的系统。对该系统的分析显示，它在攻击者使用特权凭据通过RDP从组织B网络内的另一台系统连接后被入侵。该系统是双网的，通过有线以太网连接到互联网，但它也有一个可以同时使用的Wi-Fi网络适配器。攻击者找到该系统，并使用自定义脚本检查其无线网络范围内的可用网络，然后使用他们已入侵的凭据连接到组织A的企业Wi-Fi。自定义脚本中嵌入的C#代码的删减副本可在此处找到。

对组织 B 系统的进一步分析显示，入侵者对其网络有两种访问模式。第一种是使用允许他们连接到其 VPN 的凭据，该 VPN 未受到 MFA 保护。 还发现攻击者曾从另一个属于附近组织（“组织 C”）的网络连接到组织 B 的 Wi-Fi。攻击者不遗余力地入侵多个组织，以便能够串联 Wi-Fi 和/或 VPN 连接，最终到达组织 A 的网络。 团队感到震惊，但也松了一口气，因为他们现在有了对这一攻击发生方式的解释和证据。

能够根据 MAC 地址和 SSID 信息分析确定组织 C 的身份并与他们联系。然而，组织 C 选择不向 提供进一步调查所需的关键数据。无论如何，所有这些发现使 全面了解了攻击者的操作，并使团队能够自信地向组织 A 推荐进一步的缓解和补救措施。此时，攻击者的访问权限已被切断，未再观察到他们连接到组织 A 的企业 Wi-Fi。

最后的狂欢：访客 Wi-Fi

在最后一次观察到的威胁行为者活动一个多月后，经过各种补救措施， 再次收到警报，指示其客户组织 A 的网络中存在可疑活动。在调查该活动时， 发现同一威胁行为者设法重新进入网络，并通过多个内部系统进行代理。幸运的是， 能够迅速调查此事件，并追溯到其起源：组织 A 的访客 Wi-Fi 网络上的一台系统。

虽然访客 Wi-Fi 网络被认为与存储高价值目标数据的企业有线网络完全隔离，但有一台系统可以同时从 Wi-Fi 网络和企业有线网络访问。凭借未重置的帐户凭据，以及 Wi-Fi 网络并未完全隔离的事实，攻击者能够重新进入企业有线网络，并最终重新获得对高价值目标数据的访问。

为了实现这一转变，攻击者使用 Windows 实用程序netsh设置了一系列端口转发，使他们能够访问目标系统。以下是用于此的示例命令：

cmd.exe /C netsh advfirewall firewall add rule name="Remote Event Log Management SMB" dir=in action=allow protocol=tcp localport=12345 > C:\Windows\Temp\MSI28122Ac.LOG 2>&1cmd.exe /C netsh interface portproxy add v4tov4 listenaddress=172.33.xx.xx listenport=12345 connectaddress=172.20.xx.xx connectport=445 > C:\Windows\Temp\MSI2cBfA24.LOG 2>&1

通过分析网络流量和组织 A 无线控制器的日志，再次可以确定连接到发起此活动的源系统。 发现攻击者这次是从组织 C 连接的。 再次联系组织 C，并与组织 A 合作采取新的补救措施，以解决这一新入侵。

自这次与访客 Wi-Fi 网络相关的最终活动以来， 未观察到任何与攻击者利用最近邻居攻击相关的活动。

技术细节笔记

在入侵过程中主要采用了“Living-of-the-land”的方法，利用标准的 协议并进行横向移动。接下来的部分详细描述了一些观察到的事件，这些事件可以用来潜在地检测 或其他使用类似行为或技术的威胁行为者。

使用 Cipher.exe

在入侵过程中，攻击者删除了他们创建的文件，利用了每个现代版本 Windows 中自带的工具Cipher.exe：

以下功能用于覆盖特定文件夹中已删除的数据：

cmd.exe /c cipher /W:C

文档对此的描述如下：

其效果是，攻击者能够使用本地 Windows 功能安全地删除他们的工具，而无需引入新工具或编写自己的代码，从而使取证分析师更难恢复攻击者的工具。

在这种情况下，攻击者在使用此工具时非常细致， 识别的每个写入磁盘的文件都被该工具随后删除。值得注意的是，在其众多事件响应参与中， 之前未曾识别出攻击者使用此技术进行自我清理。

通过 转储 Ntds.dit

另一个观察到的战术是通过创建卷影副本来窃取活动目录数据库。这是一种常见的技术， 已经观察到多年。该工作流程已被公开详细记录，包括在此次事件中看到的以下关键组件：

vssadmin create shadow /for C: /quiet

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit [dest]copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM [dest]

powershell -c "& { Add-Type -Assembly 'System.IO.Compression.FileSystem'; [IO.Compression.ZipFile]::CreateFromDirectory($path1', '$path2');}" > C:\Windows\Temp\b2rMBPL.tmp 2>&1

防病毒和端点检测与响应（EDR）产品可能自然会将此行为检测为潜在恶意。然而，为了提供额外的检测机会，组织可以创建自定义 EDR 签名，以查找表现出以下行为的特权帐户：

数据外泄的准备

此次事件中的大部分数据被复制回连接到 Wi-Fi 的攻击者系统。然而，在少数情况下， 观察到攻击者在面向公众的 Web 服务器的目录中准备数据。这些文件随后通过外部下载被外泄。

这是 在各种泄露中观察到的攻击者使用的常见技术。监控此活动可能很困难，但如果组织能够监控 Web 服务器上意外文件或不寻常的大文件传输，则可以检测到此行为。如果没有其他办法，确保 Web 日志正常工作并被保存可以帮助后续调查。

归属

最初， 无法将此次入侵归因于已知的威胁行为者。攻击者主要使用“Living-of-the-land”的技术，他们使用的任何工具或 IP 地址使 难以锁定可能的罪犯。然而，一旦 能够确定内部目标是谁和什么，它立即怀疑这是 X 罗斯威胁行为者的活动，但具体是哪一个？

然后，在 2024 年 4 月，发布了研究关于_森林暴风雪_， 将其追踪为 ，详细介绍了威胁行为者使用的名为 的后渗透工具。该工具在CVE-2022-38028的零日利用中被利用，这是 Windows 打印后台处理程序服务中的特权升级漏洞。在其报告中， 详细列出了框架使用的几个关键文件名、文件夹路径和命令，特别包括以下内容：

这些确切的文件名和路径在 调查的事件中被观察到。 的报告还显示了.bat文件中的命令，这些命令与 在初始入侵活动中看到的将注册表蜂巢保存并压缩到名为out.zip的文件中的命令完全相同。然而，正如在技术细节笔记部分中记录的那样，这些文件已使用Cipher.exe工具安全删除。

的帖子指出， 自“至少 2020 年 6 月，可能早至 2019 年 4 月”以来一直在使用。 可以确认该工具在 2022 年 2 月被明确使用。CVE-2022-38028的利用也为初始受害者系统可能如何被入侵提供了解释。基于该工具的使用， 指出该工具是该威胁行为者独有的， 高度自信地评估本帖中描述的活动可以归因于 。

结论

的调查揭示了一个创造性、足智多谋且有动机的威胁行为者为实现其网络间谍目标所愿意付出的代价。最近邻居攻击实际上相当于一种近距离访问操作，但被物理识别或拘留的风险已被消除。这种攻击具有与目标近距离接触的所有好处，同时允许操作员身处数千英里之外。

组织需要更加关注 Wi-Fi 网络可能对其操作安全构成的风险。在过去几年中，已经投入了大量精力来减少攻击面，确保面向互联网的服务得到 MFA 保护或完全移除。然而，Wi-Fi 网络并未得到同样程度的关注。也许是时候以与其他远程访问服务（如虚拟专用网络（VPN））相同的关注和重视来对待企业 Wi-Fi 网络的访问。

这种攻击之所以可能，是因为针对 Wi-Fi 系统的安全控制水平低于其他资源，如电子邮件或 VPN。在这种情况下，攻击者找到了滥用这些控制的方法，即使他们远远超出了地理范围，使用以下工作流程：

通过最近邻居攻击方法，攻击者能够从一个组织串联到另一个组织，而无需部署恶意软件，仅使用有效的用户凭据作为访问方法。攻击者随后专注于使用“Living-of-the-land”的技术，以避免部署恶意软件并逃避 EDR 产品的检测。

为了普遍防止或检测类似于本博客中讨论的攻击， 建议如下：

致谢

感谢其客户允许公开分享有关此次调查的信息。