維爾維特蟻（Velvet Ant）十年潛伏揭秘：點解重置密碼都趕唔走黑客？

後門程式點樣運作

Velvet Ant冇投放嗰啲檔案掃描器同端點偵測會發現到嘅客製惡意軟件，而係選擇去顛覆作業系統自己嘅信任架構 。喺幾十部主機上面，佢哋有系統咁將Linux核心嘅驗證組件，換咗做木馬化版本。具體嚟講，就係 pam_unix.so 可插拔驗證模組同埋幾個OpenSSH執行檔 。

就係呢個簡單嘅替換動作，一個植入物就提供咗兩個功能：

1. 萬能密碼繞過驗證：木馬化嘅模組入面，寫死咗一個秘密嘅「萬能密碼」。任何人，只要用呢個密碼，就可以登入任何帳戶，完全繞過晒正常嘅身份驗證流程。就算管理員將全部用戶嘅密碼都改晒，攻擊者一樣可以大搖大擺咁行正門入嚟 。
2. 無聲無息竊取憑證：每一個合法嘅登入活動，都會俾人喺背後實時記錄低。所有驗證用戶嘅明碼密碼，都會俾人偷偷寫入一個叫 /usr/share/awk/nullfile.awk 嘅隱蔽檔案入面。咁樣，Velvet Ant就可以唔使做額外嘅橫向移動動作（呢啲動作會產生網絡噪音），就收集晒全公司上下所有用戶嘅有效憑證 。

點解標準清理步驟完全冇用

傳統嘅資安事故應變手冊，係設計嚟對付嗰啲會「安裝惡意軟件」嘅敵人，而唔係對付嗰啲將你成個作業系統嘅登入程式重新編譯嘅敵人。Sygnia份報告解釋得好清楚，點解頭幾次嘅清理嘗試全部都失敗：

• 清理盲點：標準流程——移除可疑檔案、終止惡意程序、全部密碼重設——對攻擊者最主要嗰個持續控制機制，係完全冇影響嘅。因為被木馬化嘅pam_unix.so同SSH執行檔，除咗編譯邏輯唔同之外，佢哋表面上同真正嘅系統檔案係冇分別嘅 。
• 元數據偽裝：攻擊者保留咗同原本一模一樣嘅檔名、路徑、時間戳，檔案大細都差唔多。好多企業環境常見嗰種淨係靠檢查檔案元數據嚟判斷檔案完整性嘅系統，見到呢啲檔案，係唔會覺得有任何問題 。
• 密碼重設無效：因為嗰個萬能密碼係寫死咗喺驗證模組入面，所以就算你將全世界用戶嘅密碼都重設晒，都冇辦法將攻擊者鎖喺出邊 。
• 自我修復設計：調查收集到嘅證據顯示，呢個後門程式係設計到頂得住局部修復嘅。就算保安團隊清乾淨咗幾部主機，但只要內部網仲有其他主機嘅驗證組件未清理乾淨，攻擊者就可以用呢啲倖存嘅據點再次做橫向移動，重新感染嗰啲啱啱重建好嘅機器 。

Sygnia最後一步嘅補救措施講得好清楚：個網絡需要由已知係乾淨嘅唯讀媒體上面，重建每一部受影響主機嘅成個作業系統。選擇性嘅檔案刪除，或者局部重新映像，都係唔夠徹底嘅 。

攻擊戰術模式

Velvet Ant之所以成功，唔係靠啲咩新奇嘅攻擊鏈，而係展示出一套好成熟嘅行動手冊，重點放喺耐性同埋驗證層偽裝上面 。

攻擊歸屬同相關活動

Sygnia有高度信心，將「高原行動」歸屬俾Velvet Ant，並將呢個組織同由國家資助嘅中國間諜活動扯上關係 。呢個組織嘅主要目標係東亞嘅大型機構，特別係電訊服務供應商同關鍵基礎設施 。

之前同同期嘅行動，可以提供更多背景畀我哋參考。喺另一單案件入面，Velvet Ant利用舊款嘅F5 BIG-IP裝置做命令與控制（C2）嘅代理伺服器，時間長達至少三年，先俾Sygnia嘅調查人員揭發出嚟 。喺過往啲入侵行動入面，呢個組織亦都俾人發現佢哋用緊PlugX同ShadowPad呢啲惡意軟件，顯示佢哋個武器庫好廣泛，同時有客製同公開嘅工具 。

網絡防禦人員要即刻做啲咩

由「高原行動」學到最重要嘅一課防禦教訓就係：當成個驗證架構本身都唔可靠嘅時候，傳統嘅端點防護同密碼輪換，係完全唔夠嘅。

防禦方應該優先引入「檔案完整性監控」，唔係只係檢查檔案元數據，而係要攞關鍵系統二進位檔案嘅加密雜湊值（包括/lib/security/pam_unix.so同SSH守護進程執行檔），同已知乾淨嘅基準值做比對。將所有驗證事件集中記錄到一個唔可以篡改嘅外部系統，都係好關鍵嘅一步，因為一個擁有足夠權限嘅攻擊者，絕對有能力篡改主機上面嘅日誌。多重因素驗證（MFA）依然係一道有價值嘅防線，但佢冇辦法直接防禦到一個完全繞過晒驗證檢查嘅木馬化PAM服務。

「高原行動」清楚咁話畀我哋知：最危險嘅持續控制，根本唔似惡意軟件——佢睇起上嚟，就同你每日都信賴住嘅登入畫面一模一樣。