随着网络安全威胁日益复杂化,传统硬件设备的安全防护面临巨大挑战。近期,谷歌威胁情报团队(GTIG)发布报告指出,名为UNC6148的攻击组织针对SonicWall Secure Mobile Access(SMA)100系列设备实施了一系列高度隐蔽且持久的攻击行为,成功在这些已打全补丁且处于生命周期末端的设备中植入了一款用户态Rootkit后门——OVERSTEP。此攻击事件不仅凸显了攻防双方博弈的新趋势,也暴露了边缘网络设备在今后安全防护中的薄弱环节。SonicWall SMA 100系列作为远程安全访问的关键硬件设备,因其部署广泛、重要性高,一旦被攻破,攻击者便可利用其作为跳板窃取企业内部重要数据,甚至发起后续勒索和持续渗透。根据GTIG的调查,UNC6148攻击活动可追溯至2024年10月,涉足目标设备数量虽“有限”,但攻击手法极其隐蔽且技术成熟。分析显示,攻击组织主要依赖于先前渗透中窃取的管理员凭证和一次性密码(OTP)密钥,这使得即便目标组织完成了安全更新,攻击者仍能通过利用已泄露的认证信息重获访问权限。
更令人忧虑的是,网络流量元数据表明,凭证的首次渗透时间甚至可追溯到2025年1月。尽管具体的初始入侵手段尚不明确,但有迹象显示攻击者可能通过利用包括多项已知漏洞在内的远程代码执行或越权漏洞入侵,如CVE-2021-20035、CVE-2021-20038、CVE-2021-20039、CVE-2024-38475和CVE-2025-32819。同时,GTIG也提出另一种假设,即恶意方可能通过信息窃取日志或暗网凭证市场获取了管理员账号信息,但该推测目前未获实证支持。攻击者入侵后,首要行为为建立SSL-VPN连接并启动反向Shell,这一点极为异常,因为依照设计,SMA 100系列应严格限制Shell访问,这暗示攻击者可能利用了某种零日漏洞以实现Shell访问权限。通过该反向Shell,攻击者执行侦察、文件操作及设备配置导入导出等多项操作。值得关注的是,攻击组织将设备导出的配置文件带回离线环境恶意篡改,插入新的访问规则,确保自身操作不被网络访问网关阻断。
最终,攻击者部署了名为OVERSTEP的高级Rootkit后门,该后门能够修改设备启动流程,在设备重启后仍能保持持久访问。OVERSTEP通过劫持标准库函数如open和readdir实现文件系统隐藏,从而掩盖自身及相关攻击工件,防止被用户或安全软件检测到。此外,OVERSTEP通过劫持write函数接收控制服务器下发的命令,其中包括启动反向Shell和批量打包敏感认证文件以备下载等恶意操作。这类用户态Rootkit的设计极具技术含量,使得传统日志分析难以揭示攻击轨迹。针对持久性,UNC6148篡改了系统的启动脚本“/etc/rc.d/rc.fwboot”,确保OVERSTEP后门程序在系统重启时自动加载并运行。完成部署后,攻击者会清理各类日志文件,包括httpd.log、http_request.log和inotify.log,借助OVERSTEP具备的选择性日志删除功能,极大程度地隐藏了攻击和指令执行的痕迹。
这种反取证能力显著增加了事件响应和溯源的难度。GTIG对UNC6148利用零日漏洞植入OVERSTEP的可能性持中度信心,认为其攻击动机主要指向数据窃取、勒索以及可能的勒索软件部署。值得注意的是,部分被攻击组织的资料曾出现在与“猎人国际”(Hunters International)勒索团伙相关联的泄密网站上,该团伙近期已解散,但显示了UNC6148与勒索软件运营者之间可能存在的关联或协作。过去对SonicWall SMA设备的攻击活动,也曾被指与其他高级攻击团伙相关,使用过网络Shell和隐蔽手段确保设备固件升级时的持久性,甚至链接到如Abyss勒索软件一类的勒索攻击。此次事件深刻揭示出网络边缘设备的安全风险正在被攻击者充分利用,这些设备通常缺乏终端检测响应(EDR)或主流杀毒软件的保护,成为网络防御链中的薄弱环节。对于企业和组织来说,只有提升对边缘设备的安全监控和检测能力,才能有效抵御类似高级持续性威胁。
安全专家建议,受影响组织在事件响应阶段应尽快获取设备的磁盘镜像进行法证分析,以规避Rootkit带来的反取证干扰。鉴于Rootkit深层隐藏攻击脚本和行为,传统的日志收集和分析已难以全面揭露攻击全过程,只有通过低层次数据采集才能窥见真相。此外,组织还需与SonicWall官方紧密配合,利用厂商支持获取相关固件和安全补丁,以及及时掌握官方公告的安全建议。对于SonicWall而言,此事件促进其加速了SMA 100系列设备的生命周期终止计划,并鼓励用户向其更新的Cloud Secure Edge服务和SMA 1000系列产品迁移。新一代产品采用了更先进的安全架构和云服务模型,能够更好适应现今分布式网络和远程办公等趋势所带来的安全需求。业界普遍趋势显示,包括思科、Palo Alto Networks等领先厂商,也在积极推动客户弃用传统硬件安全设备,转向基于云的安全解决方案。
这种转变不仅提升了灵活性,还降低了本地设备被攻破后的风险。综合来看,UNC6148利用OVERSTEP Rootkit攻击SonicWall SMA 100系列设备的事件,再次强调了网络边缘设备安全的重要性和紧迫性。企业在构建网络安全防线时,应提升对该类设备的风险评估和实时监控能力,强化身份认证机制,及时更新安全补丁,并制定完善的事件响应和取证方案。同时,加强供应链安全意识,防止凭证泄露或暗网交易带来的威胁,成为保障整体信息安全体系稳固的关键。未来,随着攻击者攻击手法的不断升级,单一的安全产品或补丁更新已难以独自应对复杂威胁,构建多层防御和整合智能检测响应方案将成为行业最佳实践。唯有如此,才能有效遏制高级持续性威胁组织如UNC6148的恶意图谋,保护企业网络资产的安全与稳定。
。
![The breakthrough proof bringing mathematics closer to a grand unified theory [pdf]](/images/C1436EA2-B409-41AA-A8BB-CB652CFFD98C)
