近年来针对技术公司与法律服务机构的网络间谍活动频繁曝光,而被谷歌威胁情报团队(GTIG)披露的Brickstorm恶意软件及其背后组织UNC5221,凸显了针对边界设备与虚拟化平台的长期隐蔽渗透带来的严重风险。了解Brickstorm的技术细节、攻击链、报告中的关键观察点以及实际可行的防御建议,对企业安全团队、IT管理员与高管决策者具有重要意义。 什么是Brickstorm及其威胁画像 Brickstorm是一款用Go语言编写的后门程序,首次被谷歌在2024年4月的相关事件中发现。它具备多功能模块,既可以作为轻量级的Web服务器,也能充当文件操作工具、dropper、SOCKS代理以及执行shell命令的远程工具。Brickstorm的设计注重隐蔽性与命令控制(C2)通道的伪装,使其通信流量看起来像合法的Cloudflare、Heroku等服务,从而降低检测概率。 谷歌的研究表明,攻击者借助Brickstorm在受害网络中潜伏的平均时间高达393天,这种长期驻留带来的后果严重。
长期访问允许攻击者窃取邮件、账户凭证、内部代码与敏感文档,进而扩展到供应链下游目标,甚至开发针对性0-day漏洞利用。谷歌将这些活动关联到被称为UNC5221的攻击集群,该集群此前与Ivanti等产品的零日利用以及Spawnant和Zipline等定制化恶意软件有关联。 攻击链与关键技术点解析 虽然分析者由于对手使用反取证脚本而无法明确初始入侵向量,但证据显示攻击者可能利用了边界设备或虚拟化管理平台上的0-day漏洞作为突破口。受影响设备主要包括未部署端点检测与响应(EDR)的Linux和BSD系统,以及管理类虚拟化组件如VMware vCenter与ESXi。 一旦获得初始访问,Brickstorm会在机器上建立与C2服务器的持久通信,并利用伪装手段隐藏流量特征。攻击者还部署了名为Bricksteal的恶意Java Servlet Filter,用于在vCenter环境中截取凭证,实现凭证搜集。
另一个典型手法是克隆Windows Server虚拟机并从克隆中提取秘密信息,这种方法规避了对运行中系统的直接监测。被窃取的凭证随后用于横向移动、启用ESXi的SSH服务以获取更高层级访问权,并通过修改init.d或systemd启动脚本实现持久化。 Brickstorm的一个重要目标是通过Microsoft Entra ID中的Enterprise Apps窃取电子邮件与身份验证凭证。攻击者利用SOCKS代理将内部流量跳转到外部控制节点,方便在内部系统与代码仓库之间建立隐藏通道。操作结束后,恶意代码通常被清除以增加取证难度,且UNC5221很少复用域名或样本,进一步增加检测和溯源难度。 为什么法律与技术组织成为高价值目标 技术与法律机构持有大量敏感数据:研发资料、漏洞信息、客户合同、知识产权、法律顾问通信等均具备高情报价值。
对国家级或有国家利益关联的攻击者而言,这些信息可以用于开发0-day、影响外交与商业谈判,或作为对其他高价值目标的跳板。法律公司往往还管理客户的关键业务信息与合规数据,一旦被渗透,破坏面广且影响深远。 UNC5221的行为模式显示其特别关注研发与行政管理人员,以及与经济和国防利益相关的联系人。通过侵入供应商或SaaS提供商,攻击者可以在不到显眼注意的情况下横向转移到下游客户,放大影响范围。 检测难点与常见误区 Brickstorm的隐蔽性来自多个层面。首先,使用Go语言构建使得二进制便于跨平台部署;其次,C2流量伪装成Cloudflare或Heroku等受信任服务的通信,增加了流量分析的复杂度;再次,攻击者倾向于只在未部署EDR的主机上活动,避开传统检测点;此外,反取证脚本会删除操作痕迹,并且每次行动通常更换域名与样本,阻碍基于静态IoC的检测策略。
对许多组织而言,单纯依赖签名或已知样本的YARA规则可能无法覆盖变种。而Mandiant虽发布了免费的扫描脚本与YARA规则帮助寻找Brickstorm,但也明确提示该工具并不能覆盖所有变体,且不会检查系统中的持久化机制或脆弱设备。 可行的防御与检测策略 要抵御Brickstorm类长期渗透与持久化攻击,需要从预防、检测、响应与恢复四个层面综合施策。首先,尽可能对边界设备与关键管理平台优先进行风险评估与补丁管理,特别是虚拟化管理工具与远程访问产品。对于无法立即修补的系统,应采取网络隔离、最小权限与主机级加固措施以降低可达性。 部署并维护端点检测与响应(EDR)与网络流量分析能力可以显著提高发现恶意活动的概率。
EDR能够在进程行为、动态命令执行或异常持久化机制出现时触发告警。网络层面,借助基于行为的检测与SSL/TLS流量的异常模式识别,可以发现伪装为Cloudflare/Heroku的异常C2通信。对出站连接的策略化限制以及对SaaS与第三方供应商访问的严格审查也能减少侧移机会。 强制实施多因素认证(MFA)并监控特权凭证的异常使用是防止凭证滥用的核心措施。对于vCenter、ESXi等关键管理平台,应启用基于角色的访问控制、审计日志与临时凭据策略,同时对虚拟机操作(如克隆、导出)进行严格审批与审计。启用并监控SSH配置变更的完整性检查可以帮助发现攻击者试图启用或修改SSH服务以持久化的行为。
积累与利用威胁情报也很关键。订阅可信威胁情报源并将其集成到SIEM与防护体系中,可以在攻击者更换域名或样本时仍有检测线索。与此同时,组织应定期运行自检扫描,使用YARA规则结合行为检测方法,以覆盖静态与动态特征。 事件响应与取证建议 当怀疑受Brickstorm或类似长驻型后门感染时,快速而有序的应急响应至关重要。建议立即隔离可疑主机并对受影响系统做内存转储与磁盘镜像,记录网络连接快照与现有进程列表。由于攻击者可能在痕迹被发现前清理证据,及早获取取证资料有助于还原攻击路径。
在无法马上进行完整法证分析的情况下,优先识别横向移动通道、已被窃取的凭证与被植入的持久化机制,防止进一步蔓延。对受影响的企业而言,通知受影响客户与合作方、评估法律与合规影响并与执法机构或第三方专家协同调查,是控制危害的重要步骤。 对供应链与第三方风险的管理 Brickstorm事件再次证明供应链与第三方服务的薄弱环节可以让攻击者吃到"甜头"。企业应对关键SaaS供应商、托管服务及外包合作伙伴实施更严格的安全评估。合同中应明确安全责任、日志审计要求与事件通知义务。对关键合作方实施最小权限与分段网络访问,减少单点失陷导致的大规模侧移风险。
长期安全规划与组织治理 面对UNC5221等高级威胁组织,单次事件响应不足以根治风险。需要把安全建设纳入长期战略,通过安全运营中心(SOC)建设、红队演练、蓝队对抗、渗透测试与代码审计,持续提升发现与响应能力。高层管理应理解关键资产清单、风险承受能力与安全投入回报,以便在预算分配上优先保障对边界设备、虚拟化平台与身份管理系统的防护。 结语:从侦测到康复的整体防御观 Brickstorm及其运营团伙UNC5221展示了现代网络攻击在隐蔽性、持久性与针对性上的高度成熟。企业若只关注传统防护而忽视边界设备、虚拟化管理与身份系统的安全,无疑为长期渗透留下了可乘之机。通过补丁管理、EDR部署、身份保护、网络分段、持续威胁猎捕与完善的应急响应流程,组织才能有效降低被Brickstorm类恶意软件侵害的概率,并将潜在损失控制在可管理范围内。
面对不断演进的威胁,采用多层次、可验证与以事件驱动改进的安全策略是组织稳健防御的必然选择。 。
