亚洲中文字幕乱码亚洲-蜜桃成熟视频在线观看-免费中文字幕视频在线-中国五十路熟妇洗澡视频-亚洲av伊人啪啪c-国产精品成人一区二区-国产自拍视频一区在线观看-成人一区不卡二区三区四区-亚洲情精品中文字幕99在线

網(wǎng)易首頁 > 網(wǎng)易號 > 正文 申請入駐

APT41把云服務器變成"密碼收割機":3大云平臺同時中招,檢測率卻為0

0
分享至


2024年,一家中國網(wǎng)絡安全廠商在VirusTotal上傳了一個Linux樣本。72小時后,全球61家殺毒引擎集體沉默——檢測數(shù):0。

這個"幽靈文件"后來被證實是APT41的最新武器。它不會鎖你的硬盤,不會彈勒索信,只是安靜地躺在AWS、谷歌云、微軟Azure和阿里云的實例里,把云憑證當成提款機。

云原生攻擊的"隱身衣"

傳統(tǒng)殺毒軟件的設計邏輯是:看到可疑行為就報警。但APT41這次玩的是"環(huán)境擬態(tài)"——惡意代碼長得越像正常業(yè)務,越能穿透防線。

Breakglass Intelligence的分析顯示,這個Winnti家族后門完全針對Linux云工作負載構建。它不修改系統(tǒng)內核,不創(chuàng)建異常進程,而是把自己塞進正常的云流量里。取證人員如果只看CPU占用或網(wǎng)絡連接列表,幾乎不可能發(fā)現(xiàn)異常。

更棘手的是它的持久化機制。不同于常見的定時任務或啟動項,該后門深度綁定云實例的生命周期。即便管理員重啟服務器、更換鏡像,只要配置數(shù)據(jù)還在,它就能跟著復活。

「樣本在報告時VirusTotal零檢測,這凸顯了傳統(tǒng)端點防御與云原生威脅之間的鴻溝。」Breakglass Intelligence分析師在報告中寫道。

這個"零檢測"不是運氣。APT41花了至少三年打磨Linux工具鏈——從早期的PWNLNX到KEYPLUG變種,再到現(xiàn)在的云定制版本,代碼血緣清晰可溯。他們懂Linux,更懂云廠商的"默認安全"有多脆弱。

SMTP:被忽視的"后門高速公路"

大多數(shù)企業(yè)防火墻對HTTPS流量嚴防死守,卻對25端口睜一只眼閉一只眼。畢竟,郵件服務器總要發(fā)郵件,對吧?

APT41把這個心理盲區(qū)變成了命令控制通道(C2)。后門不用加密隧道,不碰443端口,而是直接走SMTP協(xié)議——在互聯(lián)網(wǎng)基礎設施里,郵件流量的"免檢"程度堪比機場貴賓通道。

具體操作上,惡意代碼將C2指令封裝成郵件格式,目標域名是一組精心設計的阿里云山寨站點:aliyun?sec.com、aliyun?cloud?sdk.net……全部托管在新加坡阿里云節(jié)點,IP段和正常業(yè)務流量高度重疊。

注冊記錄暴露了攻擊者的節(jié)奏感:三個仿冒域名——兩個冒充阿里云、一個冒充中國安全廠商奇安信——在24小時內通過NameSilo批量注冊,WHOIS隱私全開。這種"閃電注冊"不是業(yè)余選手的手筆,而是APT41標志性的基礎設施籌備模式。

云環(huán)境的網(wǎng)絡可視化工具通常按"東西向/南北向"流量分類,SMTP outbound被歸類為"正常業(yè)務通信"。攻擊者賭的就是這個分類邏輯——只要看起來像郵件,就不會被深度包檢測(DPI)盯上。

四大云平臺的"憑證地圖"

這個后門的核心模塊是一個云憑證收割引擎,對四大平臺的"藏寶點"了如指掌。

AWS實例上,它首先查詢169.254.169.254——這個鏈路本地地址是實例元數(shù)據(jù)服務(IMDS)的入口,能直接獲取IAM角色臨時憑證。同時掃描~/.aws/credentials文件,把開發(fā)者本地配置的長期密鑰一并打包。

谷歌云(GCP)的路徑類似:向元數(shù)據(jù)服務器請求服務賬號令牌,再檢查應用默認憑證(ADC)的存儲位置。Azure則針對托管身份(Managed Identity)下手,從IMDS端點拉取令牌,并遍歷~/.azure目錄下的配置文件。

阿里云作為"主場",待遇更"精細":后門專門讀取ECS實例的元數(shù)據(jù)獲取RAM角色憑證,同時解析本地aliyun CLI的配置文件。所有收割到的密鑰經(jīng)過壓縮加密,通過SMTP通道分批外傳。

這里的危險在于"橫向移動"的自動化。傳統(tǒng)入侵需要人工摸索內網(wǎng)拓撲,而云憑證一旦泄露,攻擊者可以直接調用API枚舉整個組織的資源——存儲桶、數(shù)據(jù)庫、Kubernetes集群、無服務器函數(shù),全部變成透明櫥窗。

Breakglass Intelligence注意到一個細節(jié):后門代碼中包含對多云環(huán)境的適配邏輯,能根據(jù)/etc/resolv.conf或實例標簽自動判斷當前運行在哪個平臺。這不是"碰巧兼容",是專門針對混合云架構的狩獵設計。

檢測盲區(qū):為什么云安全工具集體失效

VirusTotal的零檢測只是一個癥狀。更深層的病灶在于,云工作負載的安全模型仍在沿用本地數(shù)據(jù)中心的思維。

端點檢測與響應(EDR)代理在物理服務器上表現(xiàn)良好,因為環(huán)境可控、行為基線穩(wěn)定。但云實例的生命周期以小時甚至分鐘計,容器和函數(shù)計算更是秒級啟停。安全工具還沒學會"正常"長什么樣,實例已經(jīng)銷毀了。

元數(shù)據(jù)服務(IMDS)的設計初衷是簡化憑證管理,卻無意中創(chuàng)造了"單點失陷、全局淪陷"的風險。169.254.169.254這個地址在任何云實例內部都能訪問,不需要身份驗證,響應速度極快——對攻擊者來說,這是完美的API端點。

云廠商并非沒有防護手段。AWS的IMDSv2要求會話令牌和PUT請求,GCP支持元數(shù)據(jù)隱藏選項,Azure有托管身份的細粒度控制。但默認配置往往保持向后兼容,而"兼容"意味著"漏洞可利用"。

APT41的SMTP C2策略還戳中了另一個盲點:云安全態(tài)勢管理(CSPM)工具擅長檢查存儲桶公開訪問、安全組規(guī)則過寬等"配置錯誤",卻對"看起來像正常郵件的惡意流量"毫無感知。網(wǎng)絡流量分析(NTA)產(chǎn)品在云原生環(huán)境里部署困難,很多團隊干脆放棄。

結果就是,攻擊者在云網(wǎng)絡內部建立了"合法"通信通道,而防守方的日志里只有一行行無害的"SMTP outbound to aliyun-sec.com"。

Winnti的進化史:從游戲外掛到國家背景

APT41的雙重身份在情報界不是秘密。同一套基礎設施,既用于針對游戲公司的經(jīng)濟利益驅動攻擊,也用于對準政府、醫(yī)療、高科技目標的國家背景行動。這種"公私兩用"模式讓他們擁有遠超普通犯罪組織的資源和技術深度。

Linux工具鏈的成熟尤其值得關注。早期Winnti以Windows后門聞名,2019年前后開始系統(tǒng)性投入Linux ELF植入體。PWNLNX首次展示了他們對開源工具的改造能力,KEYPLUG增加了模塊化插件架構,而現(xiàn)在的云定制版本則完成了"云原生"轉型。

代碼層面的連續(xù)性給了歸因信心。Breakglass Intelligence發(fā)現(xiàn)的字符串加密方式、配置文件結構、C2通信的編碼邏輯,都能追溯到已知樣本。這不是"疑似APT41",是"APT41的下一個版本"。

基礎設施的選址也有講究。新加坡阿里云節(jié)點服務于東南亞市場,流量混雜度高,地緣政治敏感度低。仿冒域名選擇阿里云和奇安信,既利用了目標用戶(中國企業(yè)出海、跨國公司在華業(yè)務)的信任慣性,也為后續(xù)釣魚或供應鏈攻擊埋下伏筆。

一個值得玩味的細節(jié):后門對阿里云的配置解析最為詳盡,包括多個未公開文檔化的文件路徑。這暗示開發(fā)環(huán)境可能包含阿里云內部視角,或者長期針對阿里云用戶進行滲透測試。

防守方的"云原生"補課

面對這種級別的對手,傳統(tǒng)"補丁+殺毒"的組合拳已經(jīng)不夠。Breakglass Intelligence在報告中提出的建議,本質上是在呼吁安全架構的范式轉移。

元數(shù)據(jù)服務加固是首要任務。啟用IMDSv2、限制元數(shù)據(jù)訪問的跳數(shù)(hop limit)、為實例角色綁定最小權限策略——這些配置調整不需要購買新產(chǎn)品,卻能直接封堵后門的核心數(shù)據(jù)源。

網(wǎng)絡分段需要重新設計。云環(huán)境的"微分段"不能停留在VPC層面,要細化到實例級別的出站流量審計。25端口的SMTP outbound是否必要?哪些實例真的需要訪問外部郵件服務器?這些問題在大多數(shù)云賬戶里從未被認真回答過。

憑證生命周期管理是另一塊短板。臨時憑證的自動輪換、長期密鑰的定期審計、多因素認證(MFA)對API調用的強制覆蓋——這些功能云廠商都提供,但啟用率參差不齊。APT41的收割引擎專門針對"配置即遺忘"的懶惰場景。

檢測能力需要"云原生化"。這意味著把安全代理塞進容器鏡像、在CI/CD管道里掃描基礎設施即代碼(IaC)、用云廠商自身的API審計日志替代傳統(tǒng)的網(wǎng)絡流量鏡像。成本更高,但面對零檢測的ELF植入體,這是少數(shù)可行的選項。

最后,情報共享的機制需要升級。VirusTotal的零檢測持續(xù)了多久?Breakglass Intelligence沒有給出確切天數(shù),但"at the time of reporting"這個措辭暗示窗口期可能以周計算。在此期間,全球有多少云實例被感染?有多少憑證已經(jīng)泄露?這些問題沒有公開答案。

APT41的SMTP服務器還在新加坡的某個IP上運行嗎?那些仿冒域名是否已經(jīng)被 sinkhole,還是換了新的馬甲?下一個版本的Winnti后門,會不會把C2通道搬到更不起眼的協(xié)議上——比如DNS查詢,或者區(qū)塊鏈交易的備注字段?

特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相關推薦
熱點推薦
沒想到吧?曼聯(lián)是本賽季英超唯一沒遭遇過兩連敗的球隊

沒想到吧?曼聯(lián)是本賽季英超唯一沒遭遇過兩連敗的球隊

懂球帝
2026-04-20 01:58:15
光明“新鮮牧場”擦邊鮮牛奶,網(wǎng)友稱被誤導

光明“新鮮牧場”擦邊鮮牛奶,網(wǎng)友稱被誤導

新浪財經(jīng)
2026-04-19 12:44:38
活久見,廣東某工廠寧愿花幾十萬請人調整薪酬方案,也要降薪!

活久見,廣東某工廠寧愿花幾十萬請人調整薪酬方案,也要降薪!

黯泉
2026-04-19 16:50:40
英超爭冠徹底亂了:哈蘭德制勝,曼城2-1阿森納,少賽一場差榜首3分

英超爭冠徹底亂了:哈蘭德制勝,曼城2-1阿森納,少賽一場差榜首3分

側身凌空斬
2026-04-20 01:25:51
摸景甜胸側,抱李雪琴胳膊,31歲的他綜藝翻車,為何如此沒分寸感

摸景甜胸側,抱李雪琴胳膊,31歲的他綜藝翻車,為何如此沒分寸感

草莓解說體育
2026-04-15 04:23:51
知名港星癌細胞擴散至腦部,聞到身上有尸臭味,剩四分之一條人命

知名港星癌細胞擴散至腦部,聞到身上有尸臭味,剩四分之一條人命

叨嘮
2026-03-15 17:36:49
為了留住非洲最后一根救命稻草,賴清德拼了!結果大陸早布好了局

為了留住非洲最后一根救命稻草,賴清德拼了!結果大陸早布好了局

軒逸阿II
2026-04-20 01:05:31
好消息!獨生子女證2026可補辦!6類家庭速辦,補貼早領早安心

好消息!獨生子女證2026可補辦!6類家庭速辦,補貼早領早安心

復轉這些年
2026-04-18 12:27:49
人形機器人半馬前三均打破人類世界紀錄,工程師:不意外,很激動

人形機器人半馬前三均打破人類世界紀錄,工程師:不意外,很激動

新京報
2026-04-19 12:25:11
“當老師讓學生幫忙投票……”哈哈哈哈哈被回復笑死!!

“當老師讓學生幫忙投票……”哈哈哈哈哈被回復笑死!!

脆皮先生
2026-04-19 19:35:58
打入制勝球,哈蘭德當選曼城vs阿森納全場最佳球員

打入制勝球,哈蘭德當選曼城vs阿森納全場最佳球員

懂球帝
2026-04-20 01:58:15
為什么全國人民都在拒接電話?

為什么全國人民都在拒接電話?

黯泉
2026-04-18 17:00:56
萬字長文!黃仁勛:DeepSeek深度耦合華為,對美國來說將是災難

萬字長文!黃仁勛:DeepSeek深度耦合華為,對美國來說將是災難

財通社
2026-04-19 17:42:25
世界臺聯(lián)一心促成中國德比?趙心童:我與暉哥比賽會刷新收視紀錄

世界臺聯(lián)一心促成中國德比?趙心童:我與暉哥比賽會刷新收視紀錄

楊華評論
2026-04-20 00:51:00
布蘭妮又進康復中心:自由三年后的"產(chǎn)品迭代"困境

布蘭妮又進康復中心:自由三年后的"產(chǎn)品迭代"困境

影視情報室
2026-04-18 22:52:03
新加坡已經(jīng)成功預測中美沖突,一旦爆發(fā),美稱中國不能攻打美本土

新加坡已經(jīng)成功預測中美沖突,一旦爆發(fā),美稱中國不能攻打美本土

起喜電影
2026-04-16 01:05:59
5月1日起,10類行為全國嚴查!誰碰誰倒霉

5月1日起,10類行為全國嚴查!誰碰誰倒霉

石辰搞笑日常
2026-04-19 01:06:37
全新款奔馳GLS曝光 內飾大改 配主動懸架

全新款奔馳GLS曝光 內飾大改 配主動懸架

沙雕小琳琳
2026-04-19 11:58:40
負債60億!年銷8.4萬臺豪車的百億巨頭破產(chǎn),浙商大佬全被套牢

負債60億!年銷8.4萬臺豪車的百億巨頭破產(chǎn),浙商大佬全被套牢

青眼財經(jīng)
2026-04-16 22:01:48
中方接到消息,高市通告時機已到,日本掀桌,5500枚核彈原料就位

中方接到消息,高市通告時機已到,日本掀桌,5500枚核彈原料就位

南宗歷史
2026-04-15 02:46:17
2026-04-20 02:27:00
報錯免疫體
報錯免疫體
一名在需求評審和數(shù)據(jù)異常中反復橫跳的產(chǎn)品運營。
1542文章數(shù) 14關注度
往期回顧 全部

科技要聞

50分26秒破人類紀錄!300臺機器人狂飆半馬

頭條要聞

半年下沉22厘米 女子家中坐擁價值上億別墅卻沒法住人

頭條要聞

半年下沉22厘米 女子家中坐擁價值上億別墅卻沒法住人

體育要聞

湖人1比0火箭:老詹比烏度卡像教練

娛樂要聞

何潤東漲粉百萬!內娛隔空掀桌第一人

財經(jīng)要聞

華誼兄弟,8年虧光85億

汽車要聞

29分鐘大定破萬 極氪8X為什么這么多人買?

態(tài)度原創(chuàng)

藝術
本地
教育
數(shù)碼
公開課

藝術要聞

超模施特洛耶克寫真曝光,簡直美到窒息,別錯過!

本地新聞

12噸巧克力有難,全網(wǎng)化身超級偵探添亂

教育要聞

655家單位、1.29萬個崗位,湖南用心幫大學生找工作

數(shù)碼要聞

華為新機發(fā)布前瞻:闊折疊X Max+影像旗艦Pura 90,都沒懸念了

公開課

李玫瑾:為什么性格比能力更重要?

無障礙瀏覽 進入關懷版