[分享]UNC2891银行攻防战：ATM物理后门与Linux反取证揭秘

原文信息
发布地址：abbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Y4M7X3!0#2M7q4)9J5k6r3W2T1i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8Y4g2F1j5K6t1^5z5e0q4Q4x3X3c8T1j5h3&6C8i4K6u0V1K9r3g2A6M7%4c8Q4x3V1j5`.
发布标题：UNC2891 Bank Heist: Physical ATM Backdoor & Linux Forensic Evasion Evasion
发布日期：2025年7月3日
一、内容概要在调查网络入侵时，重点通常放在有效载荷、横向移动或影响上。但在许多现实案例中，初始访问既是公共研究也是内部事后分析中的盲点。这篇博客揭示了一个由经济利益驱动的威胁行为者集团用来破坏关键银行基础设施的独特而隐秘的方法。它揭示了一种之前未被记录的反取证技术（现在已被MITRE ATT&CK收录），一种对进程列表不可见的后门存在，以及使用嵌入式硬件进行物理网络攻击的罕见实例。二、攻击者介绍（一）UNC28911、首次出现日期UNC2891 是一个自 2017 年 11 月起活跃的网络威胁组织，其主要动机是获取经济利益。该组织以针对银行关键基础设施的高级持续性攻击而闻名。他们在 Linux、Unix 和 Oracle Solaris 等多种操作系统环境中具备深厚的技术能力，并使用一套自研的恶意软件工具，如 CAKETAP、TINYSHELL 和 SLAPSTICK，来实施攻击。2、近期的攻击行动Group-IB 是全球首家发现 UNC2891 使用物理手段入侵银行网络的安全机构。他们发现，该组织将一台树莓派（Raspberry Pi）设备直接安装在银行内部网络中，连接到与 ATM 相同的网络交换机，并通过 4G 调制解调器实现远程控制。这种攻击方式极为隐蔽，能够完全绕过传统的防火墙和边界安全防护。此外，UNC2891 还使用了多种反取证技术来隐藏其踪迹。例如，他们利用 Linux 系统中的“挂载绑定”（bind mount）技术（在 MITRE ATT&CK 框架中编号为 T1564.013），将恶意进程伪装起来，使其在常规系统检查中无法被发现。这使得攻击者能够在银行内部网络中长期潜伏，悄悄横向移动，最终访问如 ATM 交易交换服务器等关键系统。技能集Oracle SolarisLinuxUnix工具集CAKETAP — 一种用于操纵硬件安全模块（HSM）并伪造金融交易的 Rootkit，可绕过关键安全验证机制。TINYSHELL — 轻量级后门程序，提供远程命令执行能力，常用于建立隐蔽的命令与控制（C2）通道。SLAPSTICK — 用于窃取用户凭证（如用户名和密码）的恶意工具，支持从内存或配置文件中提取敏感信息。SUN4ME — 一套针对 Unix/Linux 系统的勘探与漏洞利用工具包，用于侦察目标环境并实现系统入侵。STEELCORGI — 自定义加壳工具，通过加密和混淆技术对恶意代码进行封装，以逃避安全检测。WINGHOOK 和 WINGCRACK — 一组配套工具：WINGHOOK 是 Unix/Linux 平台上的键盘记录器，用于捕获用户输入；WINGCRACK 是其对应的解码器，用于解析和还原窃取的数据。MIGLOGCLEANER — 日志清理工具，可篡改系统 Shell 命令历史记录和日志文件，掩盖攻击者的操作痕迹，实现反取证。目标行业银行业动机经济利益驱动作案手法UNC2891 是一个以谋取经济利益为目的的网络攻击组织，长期专注于针对银行关键基础设施的攻击。该组织在 Linux 和各类 Unix 系统上具备深厚的技术能力，能够熟练利用这些系统的特性进行隐蔽入侵和持久化控制。三、事件分析细节（一）ATM 网络中被植入的物理后门这个案例最不同寻常之处在于，攻击者通过物理接触的方式，在银行网络中安装了一台树莓派（Raspberry Pi）设备。这台设备被直接连接到与ATM相同的网络交换机上，相当于将其接入了银行的内部网络核心区域。更关键的是，该树莓派还配备了一个4G调制解调器，使得攻击者可以通过移动蜂窝网络远程访问该设备，从而绕过传统的防火墙和网络边界防护。图1. UNC2891的工作流程。攻击者利用 TINYSHELL 后门，通过动态DNS（Dynamic DNS）域名建立了一个向外连接的命令与控制（C2）通信通道。这种配置使攻击者能够持续访问银行的ATM网络，且所有通信均以“合法”出站流量的形式进行，从而完全绕过了防火墙、入侵检测系统等传统的外围网络安全防护措施。（二）网络取证揭露隐藏的信标行为尽管攻击者将设备部署得极为隐蔽，但通过对网络监控服务器进行深入的网络取证分析，调查人员仍发现了多项异常行为。其中最显著的是：每隔600秒（即每10分钟），系统就会向外发起一次规律性的“心跳”通信（称为“信标”），并且持续尝试连接到那台Raspberry Pi设备的929端口。然而，在初步的系统排查（即“取证初步评估”）过程中，却未能发现与这些网络活动相关联的任何进程ID（PID）或可疑进程。这一反常现象引起了调查团队的高度警觉。这引发了一个关键问题：常规的取证工具在系统处于睡眠或空闲状态时，是否仍能准确捕获进程的运行状态？由于初步排查未发现异常，调查人员怀疑攻击可能利用了系统状态的盲区来隐藏恶意活动，因此决定进一步研究系统运行状态对取证数据采集的影响。为解答这一疑问，调查团队部署了一个自定义监控脚本。该脚本被设计为在10分钟内每秒轮询一次系统的Socket连接状态，从而实现对网络活动的高频率、细粒度监控。这种持续密集的采集方式，有助于发现那些短暂运行、定时触发或依赖特定系统状态的隐蔽恶意行为。（三）发现后门的取证挑战虽然网络连接清晰可见，但却无法找到与之对应的进程ID（PID），这一异常现象引发了调查人员的怀疑：系统中可能存在Rootkit或某种反取证技术，正在刻意隐藏恶意进程。更令人担忧的是，在常规的进程列表检查中，完全没有任何可疑进程的踪迹。这种“有连接却无进程”的矛盾情况，表明攻击者可能已深入操作系统底层，干扰了正常的系统信息展示。为了突破这一盲区，调查人员决定对系统进行内存转储（Memory Dump），通过分析内存中的实时运行数据，寻找在磁盘或进程列表中无法察觉的隐蔽恶意活动。图2. 取证初步分析工具无法获取与该Socket关联的进程名称或进程ID。（四）后门进程的伪装在内存审查过程中出现了两个可疑进程：
lightdm --session 11 19
表面上，这个过程看起来是合法的。但它的地点却很异常：
/tmp/lightdm (PID 8239)
/var/snap/.snapd/lightdm (PID 8914)
故意通过进程伪装来混淆后门进程。具体来说，二进制文件名为“lightdm”，模仿了Linux系统上常见的合法LightDM显示管理器。为了增强欺骗性，进程执行时使用的命令行参数看起来像是合法参数——例如，lightdm –session child

...(已截断)

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-287860.htm