边缘设备正在成为企业安全最薄弱的环节。微软Defender安全研究团队近日披露了一起多阶段入侵事件:攻击者利用一台暴露在互联网的F5 BIG-IP负载均衡器作为入口,最终渗透至企业内部的Active Directory环境。这起攻击揭示了一个被长期忽视的风险模式——那些被视为安全边界的防火墙、VPN网关和负载均衡设备,正被攻击者系统性 repurposing 为初始入侵跳板。
边缘设备的危险在于其结构性矛盾:对外高度暴露,对内却享有极高信任。一旦失守,攻击者不仅获得持久、隐蔽的立足点,还能直接获取设备上存储的凭据、证书和身份集成配置。微软指出,这类设备往往监控薄弱,使其成为"低可见度、高价值"的攻击目标。
入侵起点:一台EOL的F5 BIG-IP
攻击者的第一步是建立SSH通道。根据设备清单溯源,入侵源被锁定为一台托管于Azure的F5 BIG-IP Virtual Edition虚拟机,运行版本15.1.201000。该版本通过Azure ARM模板和Terraform模块广泛部署,已于2024年12月31日到达生命周期终点(end-of-life)。
攻击者使用特权账户通过SSH认证至第一台Linux主机,并全程保持"手动键盘操作"(hands-on keyboard)模式。值得注意的是,整个过程中未发现显式的持久化机制部署——攻击者完全依赖过度授权的sudo权限账户维持访问,这凸显了特权身份管理失控的风险。
横向侦察:从Nmap到自定义工具
立足后,攻击者立即展开激进的内网侦察。首先通过shell脚本执行水平Nmap扫描,枚举存活主机;随后进行垂直扫描,识别开放服务。工具链中出现了gowitness——一款用于抓取HTTP/HTTPS服务截图和指纹的工具,通过SOCKS5代理隧道传输数据。
针对发现的Windows服务器,攻击者尝试使用开源工具包进行NTLM横向移动,包括enum4linux、netexec、smbclient、rpcclient、timeroast、ldapsearch、kerbrute和responder。尽管这些尝试未能成功,但工具选择显示出攻击者对Windows域环境的熟悉程度。
随后,攻击者从C2服务器206.189.27[.]39通过wget拉取了一款自定义扫描工具,被微软标记为HackTool:Linux/MalPack.B。该工具专门探测组织的Web应用和移动服务(包括Firebase和GCM),以枚举访问控制策略。
枢纽突破:内网Confluence的致命漏洞
侦察发现了一个关键目标:一台存在未修补漏洞的内部Atlassian Confluence服务器。这台服务器并未暴露在互联网,但在攻击者获得内网 foothold 后变得完全可达。利用该漏洞,攻击者实现了远程代码执行。
实时防护机制多次拦截了payload投递,迫使攻击者调整战术。假设网络层已被封锁,他们在Linux staging主机上通过Python的ftplib模块搭建匿名FTP服务器,转而使用curl将工具传输至/dev/shm目录——一个驻留于内存的临时文件系统,可规避磁盘层面的安全检测。
成功控制Confluence后,攻击者从server.xml和confluence.cfg.xml等配置文件中提取凭据,随即将这些凭据用于针对Windows基础设施的下一步行动。攻击链条至此完成了从边缘设备到核心身份系统的关键跨越。
热门跟贴