卡巴斯基实验室目前正在跟踪100多名威胁行为者和针对80多个国家的商业和政府机构的复杂恶意行动。 2017年第一季度,我们已经向情报服务订阅者发布了33份私人报告,其中包含“攻击指标”(IOC)数据和YARA规则,来协助相关人员进行取证和恶意软件搜索工作。
我们还发现国家支持的网络攻击行为的复杂性正在急剧上升,以及APT行为者和利益驱动的网络犯罪分子之间的战术、技术和流程(Tactics、Techniques和 Procedures,TTPs)正在不断融合。中东已经成为主要的网络战场之一。同时,2017年第一季度发现的一类专门摧毁硬碟资料的恶意程式“wiper”,也把业务从中东地区扩展至欧洲大陆。
在本次报告中,我们将对2017年第一季度出现的尤为突出的针对性攻击事件,以及一些需要立即关注的新型趋势进行讨论。
表现突出的定向攻击
Wipers进化:APT攻击者的新武器
在过去几个月中,出现了新一波针对中东多个目标的磁盘擦除器攻击(wiper attacks),此次攻击使用的恶意代码就是臭名昭著的Shamoon蠕虫的变种,Shamoon恶意代码曾在2012年攻击过沙特阿拉伯Aramco国家石油公司和卡塔尔Rasgas天然气公司。
在调查这些攻击事件时,我们发现了一种名为“StoneDrill”的新型Wipers,发现它与Shamoon样本存在多处类似,如利用多种技术和方法来逃避检测。
u=2193381240,3896872162&fm=170&s=0FD328DE568E32E86E0550440300D0F1&w=639&h=513&img.PNG&access=215967316.png
【StoneDrill和Shamoon2.0比较】
此外,我们还发现StoneDrill与Charming Kitten使用的恶意软件(NewsBeef)之间存在许多相似之处,包括代码、C&C命名规范、后门命令和功能,以及Winmain签名等。从这一点来看,StoneDrill也可能是Charming Kitten恶意软件的演变版。
【StoneDrill和NewsBeef样本中用于C2通信的凭据(用户名和密码)相同】
【StoneDrill和Shamoon2.0以及NewsBeef之间的异同比较】
对于StoneDrill、Shamoon以及Charming Kitten三个恶意软件之间的关系有以下三种假设:
StoneDrill是Shamoon攻击者部署的另一种Wiper?
StoneDrill和Shamoon是否为两个不同的恶意软件,或攻击组织毫不相关,只是同时针对沙特阿拉伯的组织机构发起攻击?
两个组织是独立的,只是目标一致?
卡巴斯基实验室全球研究与分析小组高级安全研究员Mohamad Amin Hasbini认为,威胁背后有两个独立的小组,它们具有相同的目标。因为报告显示:
“虽然Shamoon中嵌入了阿拉伯—也门语资源语言段,但StoneDrill嵌入了大多数波斯语资源语言段。当然,我们不能排除这些Artifact(指软件开发过程的中间或最后工作产品,包括文档、模型和程序)故意伪装的可能性。”
近日,我们在欧洲发现了第一例StoneDrill受害者,该受害者属于能源行业,这意味着这种攻击威胁正在从中东往欧洲蔓延。尤其是在我们认为该威胁行为可能来自国家支持的攻击组织后,这一事实更为令人担忧,这可能意味着网络破坏行为正以地缘政治动机(geopolitically-motivated)进行扩展。当然,目前为止这种假设尚未得到确认。
概要:
Wipers正在扩大他们的地理辐射;
Wipers目前已经成为APT组织武器库的一部分。它们可以被用于破坏性行为,以及在进行网络间谍活动后删除痕迹;
最新的Shamoon攻击浪潮中使用的模块之一包含勒索软件功能,这可能被认为是“不那么明显的擦拭(not-so-obvious wiping)”的另一种形式;
针对能源公司的这些破坏行为可能与一些政府支持的APT组织有关的事实绝对令人担忧,超越了典型的间谍活动。
BlueNoroff/Lazarus:银行劫案的演变
针对波兰银行的大规模水坑攻击于2017年2月3日被公开披露。攻击者在波兰金融监管机构的网站上植入了一种病毒,然后等待银行在访问该网站期间不经意地下载它。
攻击者对银行展开的就是所谓的水坑攻击——得名于攻击者在目标经常出没之处进行伏击的做法;这个案例中,“水坑”是金融监管机构的网站。当名单上的银行访问该网站时,它们会被重定向至会试图下载恶意软件的软件。除了波兰银行,攻击者也对墨西哥财政部门采取了非常类似的战术,虽然没有其他受害者被公开披露出来,但是有可能更多的银行也受到了同样的影响。
据悉,在目标名单上,波兰银行的数量最多,紧随其后的则是美国的银行,其中包括德意志银行美国分行。为农业和农村项目提供贷款的CoBank也被列为攻击目标。俄罗斯、委内瑞拉、墨西哥、智利和捷克的央行都在名单上。唯一一个与中国有关的目标,是中国银行在香港和美国的分支机构。
我们分析发现这些攻击事件与Lazarus 旗下代号为 Bluenoroff 的黑客组织有关,他们专门从事金融犯罪,包括著名的孟加拉国银行大劫案,攻击目标遍及全球十余个国家的银行、赌场、加密货币公司。此次针对全球金融机构的水坑攻击中虽然没有使用任何零日漏洞,但是Flash Player和Silverlight漏洞已经足够瓦解银行机构运行的过时软件。
事实上,我们从很久以前就开始跟踪BlueNoroff组织。刚开始,该组织主要针对东南亚地区的银行机构,后来进行重新分组并转战至新的国家,选取目标主要为贫穷、较不发达地区,因为这些目标显然更容易得手。
BlueNoroff开发了一套可以在目标组织内部横向移动的定制工具,并通过篡改SWIFT系统来实现攻击。这种技术与去年的孟加拉国央行劫案存在很大联系,当时攻击者试图从中窃取9亿美元。在2月份的“波兰劫案”中,我们发现该组织重新利用这些已知的横向移动工具,发动了新一轮的金融攻击。这让我们相信,这些攻击事件与Bluenoroff 黑客组织有关。
有趣的是,BlueNoroff组织在代码中种植了俄语词汇,扰乱了研究人员的方向。据悉,该代码中包含的俄语存在以俄语为母语的开发者不会犯的语法错误,怀疑可能是使用了在线翻译工具处理的句子。
概要:
我们认为,BlueNoroff是针对金融机构实施攻击最活跃的团体之一,并且试图在多个地区积极地感染不同的受害者。
我们认为他们的业务仍在继续,事实上,2017年3月我们发现了其最近的恶意软件样本。
目前,我们认为BlueNoroff可能是对全球银行机构最严重的威胁。
无文件恶意软件:增加了检测和追溯难度
无文件恶意软件是一种不需要在文件系统中存放恶意可执行文件的软件。对于许多APT攻击者而言,避免归因是非常重要的目标之一,特别是近年来攻击者的大量业务被不断曝光。对于最复杂的团体来说,他们自身存在很多无法被人忽视的因素。
但是对于那些不是那么醒目的攻击者而言,使用无文件恶意软件来避免归因就足够了。不需要创建和使用自己的工具,他们只需要使用通用的工具就可以完成操作,不仅具有明显的经济优势,而且还为攻击者提供分析事件和逃避归因的附加价值。
现在有许多不同的框架为攻击者提供更多选择,特别是横向移动。这些类别包括Nishang、Empire、Powercat以及Meterpreter等。有趣的是,这些软件大多数都是基于Powershell的,且允许使用无文件后门。
fileless_3n-1024x650.png
【受害区域分布图,40个国家的140多个企业组织受到影响】
我们发现,这些技术在过去几个月得到了广泛运用。我们在针对东欧银行的Shamoon攻击使用的横向移动工具中发现了一些例子,这些技术被不同的APT攻击者使用,例如CloudComputating、Lungen或HiddenGecko,以及像Hikit这样的旧后门的演变,Hikit已经演变成新的无文件版本。这种趋势使传统的取证分析变得更加困难,它有助于逃避大部分的日志活动。
另一方面,攻击者通常需要升级权限或窃取管理员凭据,因为他们通常不具备在想要感染的机器中重启生存机制的能力,所以在重新连接受感染的网络时,他们需要依赖于访问它们。目前这种新的趋势仍在继续,从防御角度来看,还没有最好的防御方式。但是,我们将在本末提供我们的相关建议。
概要:
使用标准和开源工具,结合不同的技巧,使检测和归因变得几乎不可能。
确定隐藏其活动的攻击者以及检测和事件响应变得越来越困难,这也是内存取证对于分析恶意软件及其功能变得至关重要的原因。
在这种情况下,事件响应是关键。
如何保护自身安全?
利用漏洞仍然是感染系统的关键方法,因此及时修补是至关重要的——作为最繁琐的IT维护任务之一,运用自动化可以很好的实现目标。卡巴斯基高级商务端点安全和卡巴斯基全面安全解决方案中包括漏洞和补丁管理组件,为打补丁提供便利易操作的工具,帮助IT员工降低时耗,提高效率。
鉴于使用基于Powershell的技术(包括无身份恶意软件场景)的趋势,您需要确保您的安全解决方案了解这些细节。卡巴斯基终端安全解决方案以及卡巴斯基虚拟化安全解决方案拥有最广泛的机器学习检测技术,包括专门处理使用Powershell技术的恶意软件。我们的行为系统监视器(System Watcher)技术也可以识别特定的Wiper活动,如大量文件删除行为;在阻止恶意软件后,其“Rollback”功能会将重要的用户文件从已删除状态中恢复。
但是,我们还是有必要正确认识定向攻击行为的危险性,不仅因为它们非常复杂(有时并非如此),而且因为它们通常是做好准备的,并尝试利用与其目标无明显相关性的安全漏洞实施攻击。
因此,强烈建议您不仅要做好预防(如端点保护)工作,还可以运行主动地检测功能,特别是可以检测整个网络正在进行的活动中的异常情况,并对用户端点上可能存在的可疑文件进行更深层次的仔细检查。
卡巴斯基反定向攻击(Anti Targeted Attack)是一个智能检测平台,用于匹配来自不同基础设施级别的事件,识别异常并将其聚合进事件中,同时在沙箱的安全环境中研究相关工件。与大多数卡巴斯基产品一样,卡巴斯基反定向攻击由HuMachine Intelligence提供支持,帮助我们实时了解威胁情报大数据的情况。
防止攻击者发现和利用安全漏洞的最佳方法就是摆脱所有这些漏洞,包括涉及不正确的系统配置或专有应用程序中的错误。对此,卡巴斯基渗透测试和应用安全评估服务就是这样一套方便高效的解决方案,不仅提供了发现漏洞的数据,还提供了如何解决这个问题的方法,进一步加强企业安全。
