美國網路安全和基礎設施安全局(CISA)、國家安全局(NSA)與加拿大網路中心(CNC)近期聯合發布了一項極為重要的安全建議,針對一個被命名為「磚風暴」(Brickstorm)的複雜後門程式發出警報。該惡意軟體被證實與中華人民共和國政府支持的駭客組織有關聯,主要目標是政府部門、機構以及IT產業的關鍵基礎設施營運商。Brickstorm的威脅程度在於其高度隱蔽的命令與控制(C2)通訊機制、針對VMware vSphere等高價值資產的特定能力,以及其內建的持久化和橫向移動功能。本次聯合警報敦促營運商必須緊急評估系統是否被入侵,並立即採取包含系統更新、網路分段與最小權限原則在內的五項關鍵緩解措施。
「磚風暴」後門程式的發現與官方警報
此次跨國警報凸顯了針對西方關鍵基礎設施的高級持續性威脅(APT)的緊迫性。
美國網路安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和加拿大網路中心聯合發布警告,提醒關鍵基礎設施營運商注意「磚風暴」(Brickstorm) 後門程序,該程序與中華人民共和國政府支持的駭客組織有關。聯合發布的安全建議敦促營運商立即進行系統評估、快速採取緩解措施,並及時向 CISA 報告事件。該報告提供了入侵指標、偵測特徵以及建議的防禦措施,以幫助營運商判斷其係統是否已被入侵,並應對正在進行的攻擊活動。
官方的警告不僅提供了對抗該惡意軟體的技術細節,更強調了關鍵部門需主動防禦的必要性。Brickstorm的出現標誌著國家級駭客組織在隱蔽性與目標選擇上的策略升級。
惡意軟體的技術特徵與隱蔽通訊機制
Brickstorm後門程式的技術複雜性主要體現在其命令與控制(C2)流量的設計上,旨在最大程度地躲避傳統的安全監控與深度封包檢測(DPI)系統:
為了實現命令與控制,此後門程式堆疊了多層加密,包括 HTTPS、WebSocket 和巢狀 TLS,以隱藏其流量。它還依賴 DNS over HTTPS,並模仿合法 Web 伺服器的行為以融入其中。
這種多層加密和協定包裝(例如在HTTPS中嵌入WebSocket,再利用巢狀TLS進行加密)使得資安人員難以識別C2通訊的真實目的。更進一步,該惡意軟體利用了日益普及的DNS over HTTPS (DoH) 技術,這是一種將傳統的DNS查詢封裝在加密的HTTPS連線中的協定。攻擊者利用此機制,將惡意網域名稱解析隱藏在大量的合法加密流量中,從而規避基於傳統DNS監控的威脅情報偵測。同時,它模仿合法Web伺服器的行為,進一步增加了其在網路中的隱蔽性,使其能夠在網路防禦設施中「融為一體」。
目標系統與攻擊能力分析
Brickstorm的目標選擇具有高度的戰略價值,主要針對能夠提供廣泛網路控制權限的系統:
Brickstorm惡意軟體主要針對VMware vSphere環境(包括vCenter伺服器)以及Windows系統。受害機構主要集中在政府部門、機構和IT產業。該惡意軟體還整合了長期持久化機制,例如自我監控功能,一旦中斷,該功能會自動重新安裝或重新啟動惡意軟體,從而確保其持續運作。
vCenter伺服器作為VMware虛擬化基礎設施的核心管理平台,一旦被入侵,攻擊者便可獲得對整個虛擬環境的全面控制權,包括虛擬機器的建立、修改、遷移,以及對底層作業系統的存取。這種對基礎設施虛擬化層面的控制,遠比單一端點入侵更具破壞性。
此後門程式提供互動式 shell 存取權限,允許操作者瀏覽、修改或移動系統中的檔案。某些變種還包含 SOCKS 代理功能,可實現橫向移動,並幫助攻擊者存取其他系統。
SOCKS代理功能的加入,使得駭客能夠輕鬆地將受害系統轉換為跳板,在受害者的內部網路中建立加密通道,進行「橫向移動」(Lateral Movement),尋找並滲透更多高價值資產。同時,其自我監控的持久化機制確保了即使系統管理員試圖手動清除或重新啟動,惡意軟體也能迅速恢復運作,極大地增加了移除難度。
針對關鍵基礎設施的強化建議與緩解措施
為了應對Brickstorm這類複雜的APT威脅,CISA、NSA和加拿大網路中心敦促各組織必須基於跨部門網路安全績效目標(CPG)採取積極的防禦策略:
美國網路安全與基礎設施安全局 (CISA)、美國國家安全局 (NSA) 和加拿大網路中心敦促各組織根據跨部門網路安全績效目標 ( CPG ) 加強防禦,包括:
- 將 VMware vSphere 伺服器更新到最新版本,並根據 VMware 發布的指南強化這些環境,包括 UNC3944 報告中重點介紹的關於保護 vSphere 環境的記錄和設定建議。
- 維護網路邊緣設備的準確清單,並密切監控源自這些設備的異常連接。
- 實施嚴格的網路分段,防止流量從DMZ自由流入內部系統,並停用DMZ和DMZ區域之間的RDP和SMB協定。
- 透過最小權限原則限制存取權限,尤其是服務帳戶的存取權限,並密切監控這些帳戶的任何異常行為。
- 限制未受監控的通訊路徑,建議封鎖未經授權的DNS over HTTPS供應商和外部DoH流量。
這些措施共同構成了一套多層次的防禦體系,從強化虛擬化平台、監控網路邊緣,到實施嚴格的內部存取控制與通訊限制。尤其值得注意的是,限制未受監控的DoH流量成為對抗現代加密C2機制的核心手段之一。
人工智慧與OT系統安全的協同指南
在發布Brickstorm警報的同時,相關機構也將注意力投向了關鍵基礎設施的未來安全挑戰。
週三(12/3),美國網路安全和基礎設施安全局 (CISA) 與澳洲信號局下屬的澳洲網路安全中心 (ACSC) 聯合聯邦和國際合作夥伴發布了一份網路安全指南,旨在指導關鍵基礎設施所有者和營運商如何將人工智慧 (AI)整合到其營運技術 (OT) 系統中。該文件概述了所有者和運營商可以遵循的四個關鍵原則,以在降低風險的同時,充分發揮人工智慧整合到營運技術系統中的優勢。
這份同步發布的AI/OT安全指南,雖然主題與Brickstorm攻擊的緩解措施不同,但其涵義在於強調,在應對當前複雜威脅的同時,關鍵基礎設施營運商必須策略性地為下一代技術(如AI)的整合做好安全規劃。安全不再僅是修補漏洞,而是如何在持續進化的數位化環境中,以安全為前提實現技術效益的最大化。
註:
Brickstorm 是一款基於 Go 語言的客製化 ELF 後門程序,旨在實現靜默且持久的存取。經評測的樣本在具體功能上有所不同,但都支援發起、持久化和加密命令與控制。雖然分析的變種主要針對 VMware vSphere 環境,但有報告顯示也存在 Windows 版本。 資料來源:https://industrialcyber.co/cisa/cisa-nsa-sound-alarm-on-brickstorm-backdoor-used-by-china-linked-actors-targeting-vmware-windows-systems/
美國CISA、NSA與加拿大網路中心聯合發布關於「磚風暴」(Brickstorm)後門程式的緊急警告。此份深度研究報告分析了與中國政府有關的駭客如何利用巢狀加密與DNS over HTTPS(DoH)等複雜技術,鎖定VMware vCenter與Windows系統。報告整合了官方發布的入侵指標與五項關鍵的系統強化與緩解措施,以協助關鍵基礎設施營運商應對此高級持續性威脅。