自 2016 年 1 月起,利用Trojan.Odinaff恶意软件所进行的网络攻击活动,已将全球众多金融机构作为攻击目标。这些攻击主要集中在银行、贸易和薪酬管理等领域的企业。同时,为这些企业提供支持的企业与机构同样面临攻击风险。
Odinaff通常部署在攻击活动的第一阶段,目标在于尽快占据网络中的据点,进而在目标网络中长期存在并安装附加工具。值得一提的是,这些附加工具均具备Carbanak高级攻击组织的攻击特征。Carbanak恶意软件从2013年就已将金融行业作为攻击目标。此次Odinaff的新一轮攻击同样使用了Carbanak活动中曾使用过的部分基础设施。
Odinaff攻击需要大量的手动操作,并在目标计算机的系统中部署大量轻量级后门病毒和用于特定目的的工具。攻击期间,攻击者需要对这些工具进行大量的协调、开发、部署和操作等。与此同时,定制化恶意软件工具同样会部署于计算机系统中,例如专门用于秘密通信 (Backdoor.Batel)、发现网络、盗取证书和监控员工等活动。
尽管这类针对银行的攻击难以实施,但回报十分可观,由Carbanak组织发起的网络攻击所造成的总损失高达数千万,甚至上亿万美元。
全球威胁
赛门铁克安全团队发现Odinaff攻击活动从 2016 年 1 月便已出现,并对多个国家地区的企业展开攻击。其中,美国是主要受到攻击的国家,其他主要攻击目标依次为中国香港、澳大利亚、英国和乌克兰。
图 1.Odinaff的攻击行业分布图
赛门铁克安全团队在深入了解遭遇攻击的企业业务本质后发现,金融机构是受到攻击最严重的行业,占攻击数量的34%。与此同时,部分攻击将安全、司法、医疗、政府及政府服务等行业作为攻击目标。赛门铁克尚未了解此类攻击是否出于牟利动机。
大约60%的攻击目标行业尚未清晰识别,但赛门铁克发现,主要遭遇攻击的电脑都曾运行金融类软件应用,这意味着,此类攻击背后以金融目标为导向。
攻击方法
Odinaff攻击者利用多种手段入侵目标企业的网络,其中最常见的方法便是通过含有恶意宏病毒的诱惑性文档感染目标企业。如果接收者选择启用宏,该病毒便会在计算机上安装Odinaff 木马。
图 2.含有Word宏启用方式指令的诱惑性文档
为了诱使受害者在计算机中安装Odinaff,攻击者还会使用受密码保护的RAR 文件进行攻击。尽管尚未清楚这些恶意文档或链接的传播方式,但赛门铁克安全团队认为,此类文档或链接极有可能通过鱼叉式网络钓鱼电子邮件来实现传播。
此外,Trojan.Odinaff还可通过僵尸网络进行传播。该木马能够植入到已感染其他恶意软件的计算机中,例如Andromeda (Downloader.Dromedan) 和 Snifula (Trojan.Snifula))。Andromeda 恶意软件是被植入木马的AmmyyAdmin安装程序。AmmyyAdmin是一种合法的远程管理工具,该安装程序可从官方网站进行下载,但官方网站最近频遭攻击,已被植入许多不同的恶意软件。
恶意软件工具包
Odinaff是一种相对轻量级的后门木马,能够连接到远程主机,并每五分钟寻求一次命令。Odinaff具有两项主要功能:下载 RC4 加密文件并执行;发布shell命令,并将这些命令写入批处理文件中并执行。
鉴于攻击的专业程度,攻击者需要实施大量的手动干预。因此,Odinaff组织始终谨慎管理攻击活动,尽量在企业网络中保持低调,并仅在需要时下载和安装新工具。
攻击者主要利用Trojan.Odinaff实施初期入侵,并辅助其他工具完成攻击。他们所使用的另一种恶意软件被称为Batle(Backdoor.Batel),主要用于对目标计算机实施攻击。它能够完全在内存中运行负载,因此可秘密隐藏于受感染的计算机中。
攻击者通过使用大量不同的轻量黑客工具和合法软件工具入侵目标网络并识别关键计算机。这些工具包括:
Mimikatz :一种开源密码恢复工具Ps_exec: 一种来自SysInternals的流程执行工具Netscan: 一种网络扫描工具Ammyy Admin (Remacc.Ammyy)和Remote Manipulator System变体 (Backdoor.Gussdoor)Runas :一种可使用其他用户身份运行流程的工具。PowerShell
此外,该攻击组织很可能已经开发出用于入侵特定计算机的恶意软件。这些工具的创建时间与部署时间非常接近。这些工具中,含有每间隔5-30秒便可捕获屏幕截图的组件。
针对SWIFT用户的攻击证据
赛门铁克安全团队已经掌握Odinaff组织针对SWIFT用户进行攻击的证据 ——使用恶意软件隐藏与欺诈交易相关的 SWIFT用户信息。同时使用工具监控SWIFT用户的本地信息日志,并搜索与特定交易相关的关键词。不仅如此,攻击者还会将这些日志从用户本地的SWIFT软件环境中移出。目前,尚无迹象表明SWIFT网络已感染病毒。
“suppressor”组件是写入 C 盘的小型可执行文件,主要用于监控包含特定文本字符串文件的特定文件夹。赛门铁克发现,这些字符串均提及日期与特定的国际银行账号 (IBAN) 。这些系统中的文件夹结构大部分为用户定义和专有。这表明,每个可执行文件都专门面向一个目标系统。
在与suppressor共同发现的文件中,其中包括一个可覆盖硬盘前 512B 数据的小型磁盘格式化工具。该工具包含主引导记录 (MBR),攻击者无需使用特殊工具便可访问硬盘。赛门铁克认为,每当攻击者弃用系统或阻止调查时,便会使用该工具掩盖其行踪。
继Lazarus组织抢劫孟加拉国央行之后,Odinaff攻击已经成为另一组织从事此类攻击活动的一大案例。Odinaff攻击与Lazarus的SWIFT攻击无明显联系,且Odinaff团伙所使用的SWIFT恶意软件与 Lazarus相关攻击使用的恶意软件 Trojan.Banswift 无任何相似性。
与 Carbanak的潜在联系
赛门铁克发现Odinaff相关攻击与Carbanak组织存在某种联系。Carbanak组织的攻击活动于 2014年年底为公众所知,该组织擅长对金融机构发起高价值攻击,并涉及多起针对银行的攻击和销售点(PoS)入侵攻击。
除了相似的作案手法外,Odinaff 和 Carbanak之间同样存在许多其他关联:
3个命令和控制 (C&C) IP地址都与之前暴露的Carbanak活动有关;Odinaff使用的其中一个IP地址与Carbanak组织造成的Oracle MICROS数据泄露事件有关;Backdoor.Batel曾多次出现在Carbanak的相关攻击活动中。
尽管Carbanak所使用的主要木马 Anunak(Trojan.Carberp.B和Trojan.Carberp.D)从未在Odinaff的攻击活动中被发现,但赛门铁克安全团队仍然认为,该组织使用了多种隐蔽传播方法来入侵金融机构。
虽然 Odinaff可能从属于更大的攻击组织,但基础设施的交叉并不具有典型性。因此它也有可能是一个相似的组织或攻击团体。
银行面临严重威胁
Odinaff 攻击的发现表明,银行面临的攻击风险正在不断加大。在过去几年间,网络攻击者已经对银行所使用的内部金融系统进行深入了解,获知银行内部所采用的多种系统,并投入大量时间研究运行原理和员工的操作方式。由于某些攻击组织具有较高的专业技术水平,赛门铁克认为,任何被列入潜在攻击目标的企业与机构都面临着重大的安全威胁。
赛门铁克安全防护
赛门铁克和诺顿产品可检测出以下威胁:
防病毒程序
Trojan.OdinaffTrojan.Odinaff!g1Trojan.Odinaff!gmBackdoor.BatelRemacc.AmmyyBackdoor.Gussdoor
入侵防御系统
受感染的系统:Trojan.Odinaff 活动
Bluecoat
Bluecoat产品能够:
拦截违规网络流量检测并拦截使用Backdoor.Batel & Trojan. Odinaff的恶意软件
Odinaff droppers
f7e4135a3d22c2c25e41f83bb9e4ccd12e9f8a0f11b7db21400152cd81e89bf5 c122b285fbd2db543e23bc34bf956b9ff49e7519623817b94b2809c7f4d31d14
Odinaff document droppers
102158d75be5a8ef169bc91fefba5eb782d6fa2186bd6007019f7a61ed6ac990 60ae0362b3f264981971672e7b48b2dda2ff61b5fde67ca354ec59dbf2f8efaa
Odinaff samples
22be72632de9f64beca49bf4d17910de988f3a15d0299e8f94bcaeeb34bb8a962503bdaeaa264bfc67b3a3603ee48ddb7b964d6466fac0377885c6649209c098
SWIFT log suppressors
84d348eea1b424fe9f5fe8f6a485666289e39e4c8a0ff5a763e1fb91424cdfb8
Backdoor.Batel RTF document dropper
21e897fbe23a9ff5f0e26e53be0f3b1747c3fc160e8e34fa913eb2afbcd1149f
Backdoor.Batel stagers
001221d6393007ca918bfb25abbb0497981f8e044e377377d51d82867783a7461d9ded30af0f90bf61a685a3ee8eb9bc2ad36f82e824550e4781f7047163095a
Older Batel *.CPL droppers
1710b33822842a4e5029af0a10029f8307381082da7727ffa9935e4eabc0134d298d684694483257f12c63b33220e8825c383965780941f0d1961975e6f74ebd
Cobalt Strike, possible ATM implants
429bdf288f400392a9d3d6df120271ea20f5ea7d59fad745d7194130876e851e44c783205220e95c1690ef41e3808cd72347242153e8bdbeb63c9b2850e4b579
Cobalt Strike implants
1341bdf6485ed68ceba3fec9b806cc16327ab76d18c69ca5cd678fb19f1e048648fb5e3c3dc17f549a76e1b1ce74c9fef5c94bfc29119a248ce1647644b125c7
Backdoor.Batel loaders
0ffe521444415371e49c6526f66363eb062b4487a43c75f03279f5b58f68ed24174236a0b4e4bc97e3af88e0ec82cced7eed026784d6b9d00cc56b01c480d4ed
Stagers (MINGW)
d94d58bd5a25fde66a2e9b2e0cc9163c8898f439be5c0e7806d21897ba8e14553cadacbb37d4a7f2767bc8b48db786810e7cdaffdef56a2c4eebbe6f2b68988e
Disk wipers
72b4ef3058b31ac4bf12b373f1b9712c3a094b7d68e5f777ba71e9966062af17c361428d4977648abfb77c2aebc7eed5b2b59f4f837446719cb285e1714da6da
Keylogger
e07267bbfcbff72a9aff1872603ffbb630997c36a1d9a565843cb59bc5d97d90
Screengrabbers
a7c3f125c8b9ca732832d64db2334f07240294d74ba76bdc47ea9d4009381fdcae38884398fe3f26110bc3ca09e9103706d4da142276dbcdba0a9f176e0c275c
Command shells
9041e79658e3d212ece3360adda37d339d455568217173f1e66f291b5765b34ae1f30176e97a4f8b7e75d0cdf85d11cbb9a72b99620c8d54a520cecc29ea6f4a
HTTP Backconnect
b25eee6b39f73367b22df8d7a410975a1f46e7489e2d0abbc8e5d388d8ea7bec
Connection checkers
28fba330560bcde299d0e174ca539153f8819a586579daf9463aa7f86e3ae3d5d9af163220cc129bb722f2d80810585a645513e25ab6bc9cece4ed6b98f3c874
PoisonIvy loaders
25ff64c263fb272f4543d024f0e64fbd113fed81b25d64635ed59f00ff2608da91601e3fbbebcfdd7f94951e9b430608f7669eb80f983eceec3f6735de8f260c
Ammyy Admin remote administration tools
0caaf7a461a54a19f3323a0d5b7ad2514457919c5af3c7e392a1e4b7222ef687295dd6f5bab13226a5a3d1027432a780de043d31b7e73d5414ae005a59923130
Ammyy Admin, Trojanized
cce04fa1265cbfd61d6f4a8d989ee3c297bf337a9ee3abc164c9d51f3ef1689f
RemoteUtilities remote administration tools
2ba2a8e20481d8932900f9a084b733dd544aaa62b567932e76620628ebc5daf13232c89d21f0b087786d2ba4f06714c7b357338daedffe0343db8a2d66b81b51
Runas
170282aa7f2cb84e023f08339ebac17d8fefa459f5f75f60bd6a4708aff11e20
Mimikatz
7d7ca44d27aed4a2dc5ddb60f45e5ab8f2e00d5b57afb7c34c4e14abb78718d4e5a702d70186b537a7ae5c99db550c910073c93b8c82dd5f4a27a501c03bc7b6
Kasidet
c1e797e156e12ace6d852e51d0b8aefef9c539502461efd8db563a722569e0d2cee2b6fa4e0acd06832527ffde20846bc583eb06801c6021ea4d6bb828bfe3ba
本文出处:畅享网
本文来自云栖社区合作伙伴畅享网,了解相关信息可以关注vsharing.com网站。