1月14日下午消息,国内安全威胁情报创业公司微步在线今日对外宣传,2015年圣诞前夕,Adobe公司旗下Flash播放器的修复漏洞被黑客利用。目前,名为DarkHotel的国际黑客组织,从2015年12月24日开始一直持续到现在,始终持续在攻击中国、俄罗斯和朝鲜。
微步在线还表示,部分样本已经可以被少部分安全厂商查杀,但依然有一些样本至今不能被检出。
以下为微步在线报告全文:
源起:
2015年圣诞节前夕,Adobe公司宣布修复旗下Flash播放器的多个漏洞进行了修复。但该事件却没有随着漏洞的修复而结束。经调查,其中一个漏洞已经被他人“利用”过。这个漏洞编号为:CVE-2015-8651。
Adobe安全响应中心公告
Adobe官方安全公告中,值得注意的是:该漏洞已经被用于针对性的定向攻击。
威胁情报中的猛料:
微步在线借助广泛的数据和威胁来源,监控到了攻击者所使用的工具:一个word文档。攻击模式为:此word文档内附带一个链接,该链接指向一段Flash视频,在攻击目标观看视频时,攻击者利用Flash播放器漏洞自动向电脑里植入木马。
从文档内容可以看出,黑客对攻击对象非常熟悉,文档的内容和逻辑也合情合理,很容易让攻击对象做出打开文末链接的举动。然而不幸的是,一旦文中的链接被点开,就相当于落入了黑客的圈套。
本次事件的锁定对象并非一般个人,而是特定的公司或组织成员。因此,受窃信息也并非一般网络钓鱼所窃取的个人资料,而是具有高度敏感性的资料,如智慧财产权及商业机密等。这种攻击模式就是所谓的鱼叉式网络钓鱼攻击。
通过对木马样本进行分析,可以发现此次攻击手段有如下高深之处:
此木马会对电脑上的所有杀毒软件做详尽排查。从逆向生成的代码分析,此木马内含有一份包括国内外近百个主流杀毒软件的名单。如果检测到了名单上的任何一个杀毒软件,木马都会选择蛰伏,不会主动进行攻击。
此木马会对运行环境进行“沙箱测试”。所谓沙箱,就是安全软件在面对可疑文件时,为了辨别文件是否含有木马病毒,而模拟出一个对可疑文件进行隔离测试的运行环境。该木马一旦发现自己运行在沙箱之中,就不会再进行任何攻击动作。
此木马的攻击行为调用了微软1999年引入的一个极其冷门的HTA格式文件。从这一点上可以看出,木马的制作者对于微软系统做过非常深入的分析。
团伙已被锁定,攻击仍在持续:
通过对这个样本文件的关联分析,锁定到该团伙正是在亚洲活跃了九年的著名境外黑客组织。这个组织曾被卡巴斯基的研究员命名为DarkHotel(暗黑客栈)。可以基本确定,该组织最迟从2007年开始逐渐活跃,采用多种老练的手段以及行人追踪技术引诱受害者上钩。他们进攻的主要目标都集中在亚洲,而且以中国为主,并零星分布在日本、韩国和东南亚。此次DarkHotel发起的威胁攻击从2015年12月24日开始一直持续到现在,被攻击的国家和地区包括:中国、俄罗斯和朝鲜。
虽然国内安全公司已发布了通告,Adobe也发布了安全补丁,但通过微步在线的最新威胁情报表明,2016年1月4日又有中国企业被攻陷。说明了这种手法极其隐秘,并且充分利用了人性的特点。仅从本次攻击来看,他们的目标非常明确——中国企业。通过对比以往的资料可以看出,他们有可能一直在攻击中国企业,并且截止到1月13日,部分样本已经可以被少部分安全厂商查杀,但依然有一些样本至今不能被检出。
从背景上分析,虽然历次攻击都是针对商业公司,但本次攻击中所采用的Flash播放器0day漏洞在市场上的价格大约为20-60万人民币。如果这个漏洞是DarkHotel自己挖掘的,那么他们需要有相当强的技术实力。如果这个漏洞是他们购买得来的,则需要雄厚的资金实力。微步在线的安全分析师判断,想要做到DarkHotel的成绩,至少需要数百万的资金投入。
情报驱动,马上行动:
针对本次事件的特殊性,微步在线已经第一时间向公司客户及国内安全企业分享了本次事件相关信息。现阶段,面对越来越高级别的攻击行为,国内企业不仅需要做好基础防护,更需要做到快速发现威胁和迅速响应,才能防患于未然。未来我们中国的企业是否能做的更好?
本文转自d1net(转载)