FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

0X00 前言

笔者在HVV前期，苦逼的准备"技战法"的时候，突然国外某大厂的安全运营中心的一篇博客进入了我的视野，“ORB 网络”（操作中继盒网络）成为在进行APT活动的新宠儿，这篇文章成功的引起了我的注意和兴趣(大家可以参考一下，利用我这篇文章形成一篇不错的技战法)。

那什么是ORB网络呢？

答：ORB网络类似于僵尸网络，由虚拟专用服务器 (VPS) 以及受感染的物联网 (IoT) 设备、智能设备和路由器组成，这些设备通常已停产或不受制造商支持。

为啥会选择ORB网络进行攻击呢？

答：APT组织通过构建受感染设备的ORB网络，可以有效的遮蔽自己的行踪，与此同时能够很轻松的构建出大规模的"僵尸网络"，以此来很好的隐藏APT组织的恶意行为。 通过使用这些网状网络（物联网、智能化设备、肉鸡......）开展APT活动，APT组织可以非常有效的掩盖命令和控制 (C2) 基础设施与目标环境（例如：通过零日漏洞利用的易受攻击的边缘设备...）之间的外部流量。

0X01 ORB网络的攻击

早在ORB网络流行的前期，互联网上的安全攻防也在一直持续进行；早期由于处于互联网发展的发展阶段，用户数量和网站飞速发展，必将导致安全问题被隐藏。这段时期的网络安全建设处于起步阶段，就导致了大部分黑客可以利用0day甚至于Nday漏洞，批量获取网站的权限，并以此为跳板针对其他高价值目标进行攻击，从而达到隐藏自己真实信息的目的。

但是，随着人们的安全意识越来越强，国家也陆续发布了《网络安全法》与《个人信息保护法》，等保建设也开始步入正轨。攻击者口中的"肉鸡"也逐渐变少，这个时候万物互联的IOT，就被攻击者利用，当作跳板机对其感兴趣的高价值目标进行攻击。正如当年一样。IOT设备凭借着巨大的数量，和相较于传统WEB网站更容易入侵（例如：弱口令、未授权访问......）这两个优势形成的ORB网络，给网络安全的防御机制带来了不小的麻烦。ORB网络的构建是将匿名的VPS节点与IOT设备当中的恶意软件结合，有效的增加了受感染网络内中继流量的设备数量。

通过上述方法，攻击者利用ORB网络有效的降低了攻击成本，并以此逃避威胁情报的检测。ORB网络创建网络接口，管理受感染节点网络，并将这些网络的访问权限交由攻击者使用，攻击者会使用ORB网络进行对攻击目标进行探测和扫描。具体的ORB网络的通用结构如下所示：

对手控制操作服务器：攻击者通过控制改服务器，用于管理ORB网络内的节点。

中继节点：节点允许ORB网络用户进行身份验证，并通

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022