「高地行動」解密：天鵝絨蟻如何潛伏在 Linux 登入系統中長達十年

這項置換動作僅透過單一植入物就提供了兩種能力：

1. 萬能密碼後門：被植入後門的模組內含了一組硬編碼（Hardcoded）的密碼。任何使用者帳號只需輸入此密碼即可登入，完全繞過正常的驗證機制。也就是說，即使管理員輪換了所有使用者的密碼，攻擊者依然能從正門大搖大擺地走進去 。
2. 無聲憑證側錄：每次合法的登入事件都會被即時捕捉。所有驗證中的使用者明文密碼，都會被寫入一個隱藏在 /usr/share/awk/nullfile.awk 路徑下的檔案。這讓「天鵝絨蟻」能收集整個使用者群的合法憑證，且完全不會在橫向移動時產生多餘的雜音 。

為何標準清除程序失效

傳統的資安事件應變程序，根本不是為了應對已重新編譯你作業系統登入二進位檔的敵人而設計的。Sygnia 的報告清楚說明了前幾次的清除嘗試為何會失敗：

• 清除盲點：標準的處理流程——移除可疑檔案、砍掉惡意程序、輪換所有密碼——對攻擊者的主要持續潛伏機制毫無效果。木馬化的 pam_unix.so 和 SSH 二進位檔，除了其編譯邏輯外，各方面看來都是合法的系統檔案 。
• 中繼資料偽裝：攻擊者保留了原始的檔案名稱、路徑、時間戳記，以及大致相同的檔案大小。任何僅依賴檔案中繼資料（Metadata）進行的檔案完整性檢查——在許多企業環境中相當常見——根本看不出任何異狀 。
• 密碼輪換的徒勞：由於那組萬能密碼內嵌在身分驗證模組本身之中，因此重設所有使用者的密碼，完全無法將敵人鎖在門外 。
• 自我重建的設計：調查中收集的證據顯示，該後門被設計成能在部分清除後存活。如果資安團隊清理了部分主機，卻仍有其他主機的驗證堆疊受到感染，該組織就能再次橫向移動，重新滲透已重建的機器 。

Sygnia 最終的補救步驟毫不含糊：整個網路必須從已知安全的唯讀媒體，對所有受影響的主機進行完整的作業系統重建。選擇性刪除檔案或部分重新映像都不足以解決問題 。

作案手法歸納

「天鵝絨蟻」的成功，並非仰賴奇特的攻擊鏈。相反地，該組織展現的是一套成熟的作戰手冊，聚焦於耐心與身分驗證層的偽裝。

攻擊歸因與相關活動

Sygnia 將「高地行動」高度確信地歸因於「天鵝絨蟻」，並將該組織與中國國家支持的間諜活動目標連結起來 。該組織主要鎖定東亞地區的大型機構，特別是電信營運商與關鍵基礎設施 。

先前的與平行的攻擊行動提供了更多背景資訊。在另一起案件中，「天鵝絨蟻」在 Sygnia 調查揭露其活動之前，將舊版的 F5 BIG-IP 設備用作命令與控制（C2）的代理伺服器，長達至少三年 。該組織在早期的入侵行動中，也曾被觀察到部署 PlugX 和 ShadowPad 惡意軟體，顯示其擁有涵蓋自製與公開工具的廣泛武器庫 。

防禦者現在該怎麼做

「高地行動」帶來的最重要防禦教訓是：當身分驗證堆疊本身已不可信任時，傳統的端點防護和憑證輪換策略將遠遠不足。

防禦者應優先實施檔案完整性監控，將關鍵系統二進位檔——包括 /lib/security/pam_unix.so 和 SSH 服務（Daemon）的二進位檔——的密碼學雜湊值（Cryptographic Hashes），與已知的安全基準進行比對，而非僅比對檔案中繼資料。同時，將所有身分驗證事件集中記錄到一個不可變更的外部系統，也同樣至關重要，因為擁有足夠權限的攻擊者可以竄改主機上的日誌。多因子驗證（MFA）仍是極有價值的屏障，但它無法直接防護一個完全繞過驗證檢查的 PAM 後門服務。

「高地行動」展示了一種最危險的持續潛伏手法，它看起來一點也不像惡意軟體——它看起來就像你每天信任的那個登入提示畫面。