從前線：解碼中國威脅行為者的策略和技術

隨著新冠疫情的到來，我們見證了很多變化。對於客戶來說，世界已經改變。一夜之間，每個人都回到家裡，試圖繼續進行他們的工作。我們看到許多公司不得不完全重新配置他們的網路，我們看到員工改變了他們的工作方式，當然，我們看到我們的威脅執行者對所有這些做出了回應。

例如，當居家工作政策首次推出時，許多組織不得不允許從許多不同地點存取一些非常敏感的系統和資源，而這些系統和資源通常無法在公司辦公室之外可用。然後，我們看到威脅執行者試圖混水摸魚，假扮成遠端工作者，並存取這些資源。

當新冠疫情首次發生時，必須快速建立企業環境的存取策略，有時這些策略是在沒有時間研究和審查最佳實踐的情況下完成的。自首次推出以來，許多組織並未重新審視這些策略，因此我們看到今天的威脅執行者試圖尋找和利用錯誤配置和弱點。

將惡意軟體放在桌面上不再那麼值得。現在是關於獲取密碼和安全性權杖，以便以與遠端工作者相同的方式訪問敏感性系統。

我不知道威脅執行者是否住家工作，但我們確實有資料可以提供有關 COVID 封城如何影響他們在所居住城市的活動的一些深入解析。無論他們在哪裡工作，他們的生活都會受到影響——就像大家一樣。

有時，我們可以從缺乏計算機上活動而看到封城的影響。從我們的資料中看到所有這些全區範圍內滾動停工的影響，真的很有趣。

我有一個很好的例子——我們追蹤的威脅執行者之一，Nylon Typhoon。Microsoft 於 2021 年 12 月對該組織採取了行動，並破壞了用於針對歐洲、拉丁美洲和中美洲的基礎結構。

在我們的評量中，一些犧牲者活動可能涉及情報收集作業，旨在深入了解參與中國「一帶一路」倡議（BRI）的合作夥伴，以了解中國政府在全球執行的基礎結構專案。我們知道，中國國家支持的威脅執行者從事傳統的間諜活動和經濟間諜活動，我們的評量是，這種活動可能跨越了兩者。

我們不能 100% 確定，因為我們沒有確鑿的證據。在 15 年後，我可以告訴你，找到確鑿證據真的很難。然而，我們能做的是分析資訊，引入執行內容，然後說，『我們以這種信賴等級評估，認為這很有可能，原因如是。』

最大的趨勢之一是將重點從用戶端點和自定義惡意軟體轉移到真正鋌而走險的執行者，集中資源利用邊緣設備並保持持久性。這些裝置很有趣，因為如果有人獲得存取許可權，他們可能會在那裡逗留很長時間。

一些群組對這些裝置進行了令人印象深刻的深入研究。他們知道自己的韌體是如何工作的。他們知道每個裝置都有弱點，並且知道許多裝置不支援防毒程式或粒度記錄。

當然，執行者們知道像 VPN 這樣的裝置現在堪比是王國的金鑰。隨著多個組織添加安全性權杖、多重要素驗證 （MFA） 和存取策略等安全層，執行者在規避和繞過防禦方面變得越來越聰明。

我認為很多執行者已經意識到，如果他們能夠通過像 VPN 這樣的裝置保持長期持久性，他們就無需在任何地方部署惡意軟體。他們只需授予自己存取許可權，即可以任何使用者身份登入。

他們基本上通過破壞這些邊緣裝置在網路上給予自己「上帝模式」。

我們還看到一種趨勢，即執行者正在使用 Shodan、Fofa 或任何類型的資料庫來掃描互聯網、對裝置進行編目並識別不同的補丁等級。

我們還看到，執行者對互聯網的大片區域自行掃描，有時來自預先存在的目標清單，以尋找可利用的事物。當他們發現某些事物時，會進行另一次掃描以實際利用裝置，然後稍後返回，存取網路。

兩者兼有。這取決於執行者。一些執行者對特定國家/地區負責。這是他們設定的目標，所以他們關心的只是那個國家/地區的裝置。但其他執行者有函式目標集，因此他們將專注於金融、能源或製造業等特定行業。幾年內，他們將建立其關注公司的目標清單，這些執行者確切地知道其目標正在運行的裝置和軟體。因此，我們觀察到一些執行者掃描預定義的目標清單，以查看目標是否針對特定弱點進行了修補。

執行者可以非常有針對性、有條不紊和精確，但有時也會碰運氣。我們必須記住他們也是人。當他們使用商業產品進行掃描或獲取資料時，從一開始就獲得了正確的資訊集，幫助其啟動作業。

就是這樣。但正確的防禦不僅僅是修補。最有效的解決方案聽起來很簡單，但在實作中卻非常困難。組織必須了解和清點暴露在互聯網上的裝置。他們必須了解自己的網路邊界，我們知道這在具有雲端和內部部署的混合環境中尤其難以做到。

管理裝置並不容易，我也不想假裝這很容易，但了解網路上的裝置以及每個裝置的補丁等級是您可以採取的第一步。

了解自己的擁有物后，您可以增加事件記錄功能和來自這些裝置的遙測數據。力求達到記錄的細微性。這些裝置很難防禦。網路防禦者保護這些裝置的最佳選擇是記錄和查找異常情況

我希望我有一個水晶球，能了解中國政府的方案。遺憾的是，我沒有。但我們能看到的可能是對存取資訊的胃口。

每個國家/地區都有這種胃口。

我們也喜歡自身的資訊。我們喜歡自身的資料。

Judy 是我們的「一帶一路」倡議專家和地緣政治專家。當我們關注趨勢時，我們依賴她的洞察力，尤其是在定位目標方面。有時我們會看到一個新的目標出現，而且這真的解釋不通。這與他們之前的工作不符，所以我們會把這交給 Judy，她會告訴我們，『哦，這個國家/地區正在召開一個重要的經濟會議，或者正在就這個地方建造新工廠進行談判。』

Judy 為我們提供了寶貴的背景資訊即基本背景資訊，關於威脅行為者為什麼會這樣做的。我們都知道如何使用 Bing 翻譯，也知道如何查找新聞報導，但是當某些內容完全沒頭緒時，Judy 可以告訴我們，『嗯，翻譯實際上是這個意思』，這可能是完全不同的。

追蹤中國威脅執行者需要了解其政府結構以及公司和機構如何運作的文化知識。Judy 的工作有助於理清這些組織的結構，讓我們了解它們是如何運作的，即它們如何營利以及與中國政府互動。

就像 Sarah 說的，這是溝通。我們一律開啟了 Teams 聊天狀態。我們一直在分享我們可能從遙測中看到的深入解析，這些見解有助於我們得出可能的結論。

我有什麼訣竅？ 花很多時間在互聯網上沖浪和讀取。不過，說真的，我認為最值得的事情之一就是知道如何使用不同的搜尋引擎。

我對 Bing 得心應手，對百度和 Yandex 也是。

這是因為不同的搜尋引擎提供不同的結果。我並沒有做任何特別的事情，但我知道要從不同的來源尋找不同的結果，這樣我就可以從中分析資料。

團隊中的每個人都知識淵博。每個人都有超能力——只是知道該問誰而已。我們在一個團隊中工作，每個人都能隨意地互相提問，這真是太好了，對吧？ 我們總是說沒有愚蠢的問題。

這個地方的動力來自愚蠢的問題。

現在正是進入 IT 安全性領域的絕佳時機。當我剛開始的時候，沒有很多課程、資源或方法可以探索。現在有本科和碩士課程！現在有很多方式可以進入這個行業。是的，有些路徑可能要花費不菲，但也有成本更低和免費的路徑。

一個免費的安全培訓資源是由我們在 Microsoft 威脅情報部門的同事 Simeon Kakpovi 和 Greg Schloemer 開發的。這個名為 KC7的工具使任何人都可以進入 IT 安全性領域，了解網路和主機事件以及搜尋執行者。

現在，也可以接觸到各種不同的主題。當我剛剛開始的時候，你需要在一家擁有數百萬美元預算的公司工作，才能負擔得起這些工具。對許多人來說，這是入行的一個障礙。但現在，任何人都可以分析惡意軟體樣本。過去很難找到惡意軟體樣本和封包擷取。但這些障礙正在減少。今天，有了這麼多免費的線上工具和資源，你可以按照自己的節奏自學。

我的建議是找出激發您興趣的優勢。想從事惡意軟體研究嗎？ 數位取證？ 威脅情報？ 專注於您最喜歡的主題，利用公開可用的資源，並盡可能多地學習這些資源。

最重要的是要有好奇心，對吧？ 除了好奇心以外，你還得與他人合作良好。別忘了，這是一項團隊運動，沒有人可以獨自完成網路安全。

能夠團隊合作很重要。保持好奇心和對學習持開放態度很重要。你必須能自在地提出問題並找到與隊友合作的方法。

這絕對正確。我想強調的是，Microsoft 威脅情報部門與 Microsoft 的許多合作夥伴團隊合作。我們高度依賴同事的專長，來幫助我們了解執行者在做什麼以及他們為什麼要這樣做。沒有他們，我們就無法完成工作。