卡巴斯基实验室正在跟踪100多个恶意攻击者以及覆盖超过80国家的针对政府/企业的恶意攻击行为。2017第一季度,共有33份针对我们情报订阅者的私享报告,包括威胁观测指示(IOC)数据以及用于取证及识别恶意软件的YARA(恶意软件模式匹配工具)规则。
我们持续关注到有国家支持背景的网络犯罪复杂度的提升,以及恶意工作者和盈利性质恶意攻击之间策略、技术、程序的结合(TTPs)。我们发现中东开始成为你网络攻击的一个主战场。2017第一季度,欧洲磁盘擦除恶意程序受害者的发现意味着这些破坏性攻击已走出中东。报告中,我们会讨论2017第一季度针对性攻击两点以及一些需要马上关注的趋势。
针对性攻击亮点/磁盘擦除器的演变:
APT攻击者的新武器
过去几个月主要针对沙特的新一波磁盘擦除攻击让许多国家敲起了警钟。新一波Shamoon攻击显然依赖于活动文件夹在内部分发阶段的凭证窃取。对这些攻击的调查帮助我们发现了一种名为StoneDrill的新型磁盘擦除器。
我们认为Shamoon和StoneDrill背后的团体具有同样的利益诉求,但是这是两个不同的组织,或许这意味着两个不同组织正在协同工作。我们在对StoneDrill的技术分析中新的StoneDrill样本与我们之前于2014年收录的其他样本使用同一基础代码。有趣的是,这些旧的样本经分析属于NewsBeef(Charming Kitten)小组。样本之间的相似之处包括使用同一用于C2通信的凭证(用户名和密码),它们之间建立了非常强的链接。
图1. StoneDrill和NewsBeef样本中用于C2通信的凭据
我们认为StoneDrill可能是一个基于NewsBeef的新版本磁盘擦除器,这让已知APT攻击与最新一波的磁盘擦除攻击产生了关联。此外,在Shamoon攻击方面,我们收集了在攻击的第一阶段可能曾被恶意攻击者使用的残留材料。整个恶意攻击的第一阶段至关重要,在该阶段凭据会被窃取,此后恶意攻击者会以此传播分发恶意软件。
Ismdoor是一个目前已知的与Shamoon攻击有关的后门,很好的帮助恶意攻击者发动攻击。该工具常见于沙特阿拉伯,为石油和能源行业所使用。该分析揭露了一些攻击者在横向渗透中使用其他工具的非常有趣的细节,这些工具主要基于基于Powershell的开发框架,并贯彻了将于后面介绍的无文件通用恶意软件趋势。
最后,我们发现了StoneDrill的第一个欧洲受害者。受害者属于能源行业,这可能意味着该病毒已在中东蔓延。此前,我们认为这些磁盘擦除器背后组织是由国家政府资助支持,目前的新发现开始让我们担忧这可能表明网络破坏行动经由地缘政治动机而传播。后一个假设尚未确认。
概要:
NO.1:磁盘擦除器正在扩大攻击的目标地理范围
NO.2:磁盘擦除器现在是APT系列攻击的一部分。它们可用于破坏性操作,以及删除破坏攻击痕迹。
NO.3:最近一波Shamoon攻击中使用的一些模块具有勒索软件功能,这被认为是一种更为隐蔽的磁盘擦除方式。
NO.4:对能源公司的这些破坏性行动可能与一些政府赞助的APT行为有关,这令人担忧,这种行为性质已经超过了一般间谍活动。
BlueNoroff /Lazarus:银行抢劫,演变针对波兰银行的大规模水坑袭击于2017年2月3日公开披露。该攻击入侵了波兰金融监管机构(www.knf.gov.pl)的网络服务器并将用户重定向到一个恶意套件。类似攻击也曾发生在墨西哥财政部。遭受此类攻击影响的银行数可能远不止于目前已公开的数据。
经我们分析,此次攻击应与BlueNoroff / Lazarus集团有关。BlueNoroff / Lazarus集团曾对多家银行发起攻击,包括著名孟加拉银行抢劫案。这个水坑攻击首次暴露了BlueNoroff追对目标攻击对象的切入点策略。尽管本次攻击并没有利用任何零日漏洞,利用Flash Player和Silverlight漏洞似乎就足以对付大量仍采用过时软件的银行。
事实上,我们很久以前就开始跟踪BlueNoroff。我们最初看到该集团恶意攻击者试图感染东南亚地区的银行。 BlueNoroff在目标组织内部开发了一套用于横向渗透的特征工具,并且在若干情况下,试图篡改SWIFT软件来窃取资金。在孟加拉国中央银行抢劫案中,袭击者企图窃取9亿多美元,本次攻击足可见识到该技术的巨大前路。
在二月份的“波兰案”中,我们看到该组织继续利用这些已知的横向渗透手段,攻击新的受害者。这给我们高度的信心断定本次攻击由该组织所为。有趣的是,BlueNoroff团队在代码中植入俄语词汇,用于误导研究分析人员。这些俄语内容包含了一些俄语母语者不会犯的语法错误,很可能是通过在线翻译工具生成的。
概要:
NO.1:我们认为,BlueNoroff目前最活跃的针对金融组织的网络恶意攻击组织之一,并且试图攻击来自几个地区的不同受害者。
NO.2:我们认为他们的业务仍在继续,事实上,他们最近的恶意软件样本发现日期是2017年3月发现。
NO.3:目前我们认为BlueNoroff可能是对银行最严重的威胁。
无文件恶意软件:有效避免查出归属
避免查验归属是许多APT恶意攻击者的主要目标之一,尤其是在近年来大量业务发生暴露的背景下。对于那些复杂的团体来说,他们已经拥有完善的程序,特制工具和培训,但这一切却并不是总能有效保证他们的隐蔽性。
对于那些规模或者名声并不是很大的恶意攻击者呢?他们并没有使用特制工具,采用通用工具足够很好的完成一次攻击,还能很好的节约经济成本,同时这也令分析事件及查出攻击归属方更加困难。
如今在框架方面,恶意攻击者拥有很多选择,特别是在横向渗透领域,这其中包括Nishang,Empire,Powercat,Meterpreter等。有趣的是,这些框架都是基于Powershell,并允许使用无文件后门程序。
我们看到这些技术在过去几个月开始流行。我们在Shamoon攻击及针对东欧银行的攻击中使用的横向渗透工具里都有发现相关案例,例如CloudComputating,Lungen及HiddenGecko这样的APT恶意攻击组织皆有采用这些技术,而如Hikit这样的老牌后门程序Hikit也开始演变成新的无文件版本。
这种技术趋势令传统的分析方式更难获取成果,如文件散列这样的IOCs开始失效过时,应用白名单更加困难,防病毒逃避更容易。它也有助于恶意攻击逃避大部分日志记录活动。
另一方面,由于攻击者通常在目标机器中并不具备重启保活机制,因此需要升级权限或窃取管理员凭据用于重连受感染网络。在受害者环境中使用标准工具会另行为受限。这种新的作案手法开始逐渐流行,而从防御角度来看,目前并没有特别有效的防范方法。不过,我们会在文档的最后一部分提供一些相关建议。
概要:
NO.1:使用通用及开源程序,配合一定技巧,令检测归属几乎不可能成功。
NO.2:最近关于反代码剖析技术和基于内存的恶意软件的趋势令检测、事件响应及识破恶意攻击者隐藏活动日益困难。而这正是内存取证对于恶意软件及其功能的分析起的作用非常重要的原因。
NO.3:此类场景,事件响应是关键。
如何保护系统免于攻击
利用漏洞仍然是感染系统的关键方法。因此及时修补漏洞,同时作为最繁琐的IT维护任务之一,格外重要。而实现自动化能很好的完成该项工作。青松WAF能及时修补漏洞,提供方便的工具,使修补更容易,减少IT人员工作量。
防治攻击者发现和利用安全漏洞最好的方法是消灭漏洞。这些漏洞涉及不正确的系统配置或专有应用程序中的错误。这时,青松渗透测试和应用安全评估服务不失为一种方便而高效的解决方案,不仅提供了漏洞相关数据,还提供漏洞修复方法,进一步加强企业安全。
▌本文由青松云安全原创编译,如需转载,请署名出处。
青 松 之 道,解 决 之 道
您 可 信 赖 的 互 联 网 安 全 服 务 提 供 商
