文章总结： 威胁者利用FortigateSniffer工具对全球超43万台FortiGate防火墙发起凭证窃取行动，窃取逾1.1亿条凭证。该工具滥用内置诊断命令被动嗅探认证流量，并利用时区与工作时间规避检测。攻击包含暴力破解、嗅探部署与横向移动阶段，主攻中小企业。建议排查设备异常进程、更换凭证并加强边界监控。 综合评分： 86 文章分类： 威胁情报,漏洞预警,数据泄露,内网渗透

黑客利用 FortigateSniffer 工具将入侵的防火墙变成密码收集器

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月23日 19:12 北京

在小说阅读器读本章

去阅读

一个受经济利益驱使的威胁行为者在全球超过 43 万台 FortiGate 防火墙上部署了一款名为 FortigateSniffer 的基于 Golang 的定制工具，自 2026 年 2 月以来，悄无声息地窃取了超过 1.1 亿条凭证，其中包括已确认的从一家北约盟军国防承包商处窃取的数据。

此次活动被命名为 FortiBleed，由 SOCRadar 的威胁研究部门 (STRU) 进行调查，是迄今为止记录在案的针对网络边界设备的最大规模的凭证窃取行动之一。

经评估，该威胁行为者为以经济利益为目的的初始访问代理（IAB），其活动持续至2026年6月中旬，共进行了659次独立的攻击周期，其基础设施在撰写本文时仍部分处于活动状态。工具中包含西里尔字母注释，表明其可能源自俄罗斯，并可能与勒索软件组织或国家支持的攻击者存在关联。

CISA发布紧急咨询，警告各组织机构保护其Fortinet设备，此前有报道称发生了大规模凭证泄露事件。

FortigateSniffer 工具入侵防火墙

核心武器是 FortigateSniffer（也称为 FortigateSniffer fg_sniffer），这是一个基于 Golang 的工具，同时支持 Linuxfg_sniffer_linux_amd64和 Windows 系统fg_sniffer_windows_amd64.exe。它的整个界面都是俄语的。

该工具不部署恶意软件，而是滥用 FortiOS 内置的诊断命令， diagnose sniffer packet被动拦截通过受损防火墙的 24 种身份验证流量，包括 RADIUS、NTLM、Kerberos、LDAP、RDP、SMB、MSSQL、FTP、Telnet 和 WinRM 等协议。

一旦嗅探到原始 SSH 终端输出，SNIFTRAN 引擎会将其转换为特定格式.pcapng，然后通过 PCAP 深度分析工具包 (v5.0) 进行处理，提取明文凭据、NTLMv2 哈希值、Kerberos TGS/ASREP 票据和会话 cookie。

该工具还采用了两种规避技术：基于 GeoIP 的过滤（使用二分搜索优化算法ipgeo.csv）和工作时间调度，将主动嗅探限制在莫斯科时间 07:00–18:00，以最大限度地减少非工作时间的异常警报。

该操作遵循一套严谨的五阶段生命周期：

1. 第一阶段——侦察与凭证获取：攻击者使用 Masscan 进行大范围端口扫描，使用 Shodan_Recon 通过 SSL/证书元数据进行被动信息增强，并使用 FortiProbe-fast 将目标分类为 FortiGate/非 FortiGate/已失效。自定义脚本（match_corps.py，，merge_revenue.py）build_report.py随后根据企业收入对目标进行排名，然后再开始任何攻击——这体现了攻击者有意识地以经济价值为导向，而非盲目地进行机会主义攻击。
2. 第二阶段——配对与初始访问：该工具gen_rotator生成主机凭证笛卡尔积组合文件。这些文件mpbrute2.bin用于对 FortiGate 管理员帐户发起 SSH 暴力破解攻击（使用 16 个产品特定的字典），以及forticheck（最多 25,000 个线程）用于 SSLVPN 门户凭证填充攻击。
3. 第三阶段——嗅探器部署与数据收集：攻击者利用有效的 SSH 凭证登录到每台被攻破的 FortiGate 设备，并注入 FortigateSniffer 嗅探器，将设备变成被动监听器。在观察到的部署中，共加载了 6,127 台设备，SSH 验证成功率达 90%。行动结束时，ssh.txt共收集到 237,330 条有效的 FortiGate SSH 凭证。
4. 第四阶段——破解与横向移动：利用 Hashtopolis 管理的 Hashcat GPU 集群破解收集到的哈希值（NTLM、Kerberos、RADIUS），该集群通过从 vast.ai 动态租用的容量进行增强，并通过一个专用的 Telegram 机器人进行协调，该机器人动态分配一到六个 GPU，并提供实时破解遥测数据。横向移动工具（包括spray_da.py、smb_test.py、spider.py等）ad_full_audit.py随后在 Active Directory 环境中进行移动。
5. 第五阶段——数据窃取：backup_dfs.py攻击者通过 SMB 协议递归提取完整的 DFS 共享文件，并将其直接传输到攻击者的 SSH 服务器，无需本地暂存。2026 年 6 月 15 日，在离线破解 172 个 Kerberos RC4 哈希值后，攻击者针对一家北约盟军国防承包商执行了有针对性的 DFS 备份数据窃取攻击。

根据 SOCRadar 威胁研究部门的数据，此次攻击活动暴露了 80,553 台 FortiGate 设备上的 23,406 个独立域名。66% 的受害者企业员工人数少于 200 人，员工人数在 51 至 200 人之间的企业占所有受影响域名的 42.3%。这些企业规模虽足以部署 FortiGate，但通常缺乏专门的安全运营团队。

IT 服务行业是主要受害者群体（占 8.4%），这是攻击者蓄意选择的目标，旨在最大限度地获取下游客户环境的访问权限。印度（11.4%）和美国（10.1%）在地域分布上位居前列，其次是台湾、墨西哥和土耳其。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客利用 FortigateSniffer 工具将入侵的防火墙变成密码收集器》