FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

近期，网络安全公司Group-IB披露了一起由顶级黑客组织LightBasin（又名UNC2891）发起的、堪称教科书级别的混合式攻击。这不只是一篇技术警报，更是一次对所有企业安全体系的深度拷问。

第一幕：一个“不该出现”的4G信号

故事的起点，是银行内网中一缕异常的流量。经过专业的威胁狩猎，调查人员最终定位到一个物理实体——一个被藏匿在银行某网点、并直接插在ATM网络交换机上的4G树莓派。它如同一颗植入动脉的炸弹，让攻击者完全绕过了银行的边界防火墙，在内网建立了一个隐蔽的指挥所。

第二幕：教科书式的横向移动

这个小小的树莓派，是攻击者精心策划的“零号病人”。其后的每一步，都体现了顶级的战术素养：

[物理渗透] 4G树莓派
↓
[内网跳板] 网络监控服务器 (利用其广泛访问权限)
↓
[持久化后门] 邮件服务器 (利用其直连互联网特性)

攻击者选择“网络监控服务器”作为第一跳板，是因为它能“看”到网络的大部分角落；选择“邮件服务器”作为备用据点，是因为它能“说”话给外网，确保了控制通道的韧性。

第三幕：魔鬼在细节：极致的隐身术

LightBasin之所以能横行多年，靠的是其对“隐身”的极致追求：

• 进程伪装 其后门程序被命名为lightdm，在进程列表中与Linux合法的显示管理器别无二致。
• 反取证技术 这招极为高明。我们知道，在Linux中，/proc目录是一个虚拟文件系统，存放着运行中进程的实时信息。取证人员常用ls -l /proc/[进程ID]/exe来查看进程对应的可执行文件。LightBasin通过mount --bind命令，将一个无害的文件（如/bin/true）挂载到其恶意进程的/proc/[进程ID]路径上。如此一来，即使安全人员检查这个恶意进程，看到的也是一个合法程序的路径，从而被完美欺骗。

其最终目的，是在银行的Oracle Solaris核心系统上部署内核级“大杀器”Caketap，通过篡改HSM硬件安全模块的验证逻辑，让ATM凭空吐钱。

对所有企业的四点核心启示

幸运的是，这场攻击的最后一环被成功阻止。但其过程给我们留下了宝贵的教训：

1. 物理安全是网络安全的第一道防线 机房、网点、乃至一个无人看管的网口，都可能成为入口。必须将物理巡检与网络审计相结合，并高度警惕“内鬼”风险——毕竟，一个被收买的员工比任何0-day漏洞都更具破坏力。
2. 网络隔离必须“微粒化” 即使设备被带入内网，严格的“微隔离”策略也能限制其活动范围。ATM网络、办公网络、服务器网络之间应有严格的访问控制，让攻击者无法轻易“横跳”。
3. 监控所有“出向流量” 攻击者总要与外界联系。对内网向互联网的异常连接（尤其是来自非服务器区域的、长时间、有规律的连接）进行监控和分析，是发现此类隐蔽通道的关键。
4. 假设你已被渗透，并为此部署工具 传统的杀毒软件很难发现lightdm和/proc挂载这类高级技巧。企业需要部署先进的端点检测与响应（EDR）和网络检测与响应（NDR）方案，它们能基于行为而非签名来发现异常。

结语 LightBasin的这次攻击虽然失败，但它雄辩地证明：在今天的网络攻防中，边界已死，物理与虚拟的界线日益模糊。企业需要的不再是高墙，而是一个能感知、响应、并能从每一次攻击中学习和进化的“免疫系统”。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）