信息來(lái)源:比特網(wǎng)
卡巴斯基實(shí)驗(yàn)室率先發(fā)現(xiàn)了一系列使用合法軟件開(kāi)展的“隱形”針對(duì)性攻擊�,波及全球40個(gè)國(guó)家超過(guò)140家包括銀行��、電信和政府機(jī)構(gòu)等組織�,大多數(shù)受害者位于美國(guó)��、法國(guó)、厄瓜多爾�����、肯尼亞�����、英國(guó)和俄羅斯等西方國(guó)家��,然而中國(guó)也位列其中。
受攻擊組織的地理分布趨勢(shì)
攻擊中使用的軟件包括使用廣泛的滲透測(cè)試攻擊以及管理攻擊,同時(shí)還包括用于Windows任務(wù)自動(dòng)化的PowerShell框架�����。這種攻擊不會(huì)在計(jì)算機(jī)磁盤(pán)上釋放惡意軟件文件���,而是隱藏在內(nèi)存中。該攻擊技術(shù)能夠躲避白名單技術(shù)的檢測(cè)����,同時(shí)幾乎不會(huì)給取證分析人員留下任何證據(jù)或惡意軟件樣本,以進(jìn)行分析���。攻擊者會(huì)在受感染系統(tǒng)中停留一段時(shí)間以確保收集���,并在系統(tǒng)重啟后清除所有痕跡。
在2016年末���,多家位于獨(dú)聯(lián)體的銀行聯(lián)系卡巴斯基實(shí)驗(yàn)室����,聲稱在他們的服務(wù)器內(nèi)存中發(fā)現(xiàn)了一種名為Meterpreter的滲透測(cè)試軟件�����。這種軟件現(xiàn)在經(jīng)常被用于惡意目的�����,并且不應(yīng)該在這些服務(wù)器中出現(xiàn)?��?ò退够鶎?shí)驗(yàn)室檢測(cè)后發(fā)現(xiàn)這些Meterpreter軟件中的代碼包含一些合法PowerShell腳本和其他應(yīng)用程序。這一攻擊整合了惡意代碼���,能夠隱藏在內(nèi)存中運(yùn)行,盜竊手機(jī)系統(tǒng)管理員密碼����,讓攻擊者可以遠(yuǎn)程控制受攻擊系統(tǒng)。罪犯實(shí)施攻擊的目的似乎是要訪問(wèn)金融交易流程�����。
目前尚不清楚這起攻擊的幕后元兇�。攻擊中使用了開(kāi)源的漏洞利用程序代碼,常用的Windows工具以及未知域名���,所以很難判斷到底是哪個(gè)網(wǎng)絡(luò)攻擊組織實(shí)施的攻擊��,也無(wú)法判斷是否是多個(gè)攻擊組織共同發(fā)起的攻擊��。攻擊手段最相似的已知網(wǎng)絡(luò)攻擊組織為GCMAN 和 Carbanak���。
攻擊中使用的工具讓分析攻擊詳情變得更為困難���。通常進(jìn)行事故響應(yīng)的常規(guī)步驟是調(diào)查人員對(duì)攻擊者在網(wǎng)絡(luò)中留下的攻擊痕跡和樣本進(jìn)行分析。攻擊者在硬盤(pán)中留下的可以長(zhǎng)期保存�����,但是隱藏在內(nèi)存中的攻擊痕跡在計(jì)算機(jī)重啟后就會(huì)消失�����。幸運(yùn)的是���,在這次攻擊事件中���,我們的專家及時(shí)截獲到了攻擊��。
卡巴斯基實(shí)驗(yàn)室首席安全研究員Sergey Golovanov表示:“現(xiàn)在的攻擊者會(huì)盡量隱藏自己的攻擊行為���,讓攻擊檢測(cè)和事故響應(yīng)變得更為困難����。這正是反取證技術(shù)和基于內(nèi)存的惡意軟件的最新趨勢(shì)��。所以,內(nèi)存取證對(duì)于分析惡意軟件及其功能非常重要����。在這次攻擊事件中,攻擊者使用了所有可用的反取證技術(shù)���,顯示了網(wǎng)絡(luò)罪犯可以不使用惡意軟件文件��,就可以從網(wǎng)絡(luò)中成功竊取數(shù)據(jù)�����,并且利用合法和開(kāi)源工具進(jìn)行攻擊,讓攻擊定性變得幾乎不可能”
目前這些攻擊者仍然活躍,所以需要警惕��,只能在內(nèi)存��、網(wǎng)絡(luò)和注冊(cè)表中檢測(cè)這類攻擊��?��;赮ara規(guī)則的惡意文件檢測(cè)技術(shù)對(duì)此類攻擊無(wú)效。
該攻擊的第二階段是利用獨(dú)特的技巧從ATM機(jī)中竊取資金,相關(guān)詳情將在于2017年4月2日-6日召開(kāi)的安全分析專家峰會(huì)上���,由Sergey Golovanov和Igor Soumenkov進(jìn)行演示。
卡巴斯基實(shí)驗(yàn)室的產(chǎn)品能夠成功檢測(cè)使用上述攻擊策略和技巧實(shí)施的攻擊行動(dòng)��。更多有關(guān)這次攻擊的詳情以及取證分析Yara規(guī)則詳情�����,請(qǐng)參閱Seurelist.com上的相關(guān)博文���?�?ò退够閳?bào)服務(wù)客戶還可以獲取更多關(guān)于這次攻擊的技術(shù)詳情以及感染痕跡等內(nèi)容。
對(duì)抗GCMAN或Carbanak這樣的網(wǎng)絡(luò)攻擊組織所發(fā)起的攻擊,需要安全專業(yè)人員的特殊技術(shù)���。2017年安全分析專家峰會(huì)期間�����,卡巴斯基實(shí)驗(yàn)室的頂級(jí)安全專業(yè)人員將舉辦獨(dú)家培訓(xùn)�,幫助安全人員檢測(cè)和分析復(fù)雜的針對(duì)性攻擊��。
