信息來(lái)源：比特網(wǎng)

        近日，卡巴斯基實(shí)驗(yàn)室公開(kāi)了一項(xiàng)耗時(shí)超過(guò)一年的針對(duì)Lazarus黑客組織的調(diào)查結(jié)果。Lazarus黑客組織臭名昭著，曾經(jīng)于2016年從孟加拉中央銀行盜竊8100萬(wàn)美元的資金。該組織在東南亞以及歐洲銀行都留下過(guò)攻擊痕跡，卡巴斯基實(shí)驗(yàn)室對(duì)這些遺留的痕跡進(jìn)行取證分析后，掌握了該黑客組織所使用的惡意工具以及其在針對(duì)全球范圍內(nèi)金融機(jī)構(gòu)、賭場(chǎng)、投資企業(yè)軟件開(kāi)發(fā)商以及加密貨幣企業(yè)進(jìn)行攻擊時(shí)的運(yùn)營(yíng)方式。這些發(fā)現(xiàn)幫助我們終止了至少兩次類似的攻擊。黑客發(fā)動(dòng)攻擊的目的只有一個(gè)，既從金融機(jī)構(gòu)竊取大量資金。

        2016年2月，一個(gè)黑客組織(當(dāng)時(shí)還未被命名)試圖從孟加拉中央銀行竊取8.51億美元，但最后只成功轉(zhuǎn)出了8100萬(wàn)美元。這次攻擊是有史以來(lái)規(guī)模最大，最為成功的一次盜竊事件。來(lái)自多個(gè)不同IT安全企業(yè)(包括卡巴斯基實(shí)驗(yàn)室)的研究人員在進(jìn)行深入調(diào)查后認(rèn)為，這次攻擊的幕后組織很可能是Lazarus——一個(gè)臭名昭著的網(wǎng)絡(luò)間諜和破壞組織。該黑客組織曾經(jīng)進(jìn)行過(guò)多次毀滅性攻擊，而且從2009年開(kāi)始，至少在全球18個(gè)國(guó)家進(jìn)行過(guò)攻擊行動(dòng)，目標(biāo)包括制造企業(yè)、媒體和金融機(jī)構(gòu)。

        針對(duì)孟加拉中央銀行的攻擊過(guò)后，Lazarus黑客組織沉寂了幾個(gè)月，但是仍然在活躍。他們一直在為新的攻擊行動(dòng)做準(zhǔn)備，目標(biāo)是從其它銀行竊取資金。當(dāng)他們準(zhǔn)備好時(shí)，已經(jīng)成功入侵了一家東南亞銀行。但是，他們的行動(dòng)被卡巴斯基實(shí)驗(yàn)室產(chǎn)品和相關(guān)調(diào)查所打斷。他們只好推遲了幾個(gè)月再進(jìn)行行動(dòng)，并且決定將目標(biāo)轉(zhuǎn)向歐洲。但是，他們的攻擊企圖再一次被卡巴斯基實(shí)驗(yàn)室的軟件檢測(cè)到，還有卡巴斯基實(shí)驗(yàn)室頂級(jí)研究人員提供的快速事故響應(yīng)、取證分析和逆向工程支持服務(wù)。

Lazarus的攻擊方法

        基于對(duì)這些攻擊的取證分析結(jié)果，卡巴斯基實(shí)驗(yàn)室研究人員還原了這些網(wǎng)絡(luò)罪犯的犯罪手法。

        · 初始入侵：利用遠(yuǎn)程可訪問(wèn)漏洞代碼(既網(wǎng)頁(yè)服務(wù)器)或水坑式攻擊(通過(guò)良性網(wǎng)站植入漏洞利用程序)，入侵銀行的一臺(tái)計(jì)算機(jī)系統(tǒng)。一旦用戶訪問(wèn)被植入漏洞的網(wǎng)站，受害者(銀行員工)的計(jì)算機(jī)就會(huì)被惡意軟件感染，這種惡意軟件會(huì)下載其它額外組件。

        · 站穩(wěn)腳跟：之后，黑客會(huì)入侵其它的銀行主機(jī)，并且部署持久的后門(mén)程序。這些后門(mén)程序能夠讓黑客隨時(shí)進(jìn)入受攻擊銀行的網(wǎng)絡(luò)。

        · 內(nèi)部偵察：黑客會(huì)花費(fèi)幾天或幾周了解入侵的網(wǎng)絡(luò)，尋找有價(jià)值的資源。這些資源可以是備份服務(wù)器，因?yàn)槠渲?/span>存儲(chǔ)著驗(yàn)證。也可以是郵件服務(wù)器或整體域名控制器，其中包含通向受害企業(yè)所有“大門(mén)”的要是。此外，還包括存儲(chǔ)或處理金融交易記錄的服務(wù)器。

        · 實(shí)施盜竊：最后，他們會(huì)部署特殊的能夠繞過(guò)金融軟件內(nèi)部安全檢測(cè)的惡意軟件，以銀行的名義進(jìn)行假冒的銀行轉(zhuǎn)賬。

攻擊的地理分布和網(wǎng)絡(luò)罪犯歸屬

        卡巴斯基實(shí)驗(yàn)室調(diào)查的攻擊持續(xù)了數(shù)周。但是，攻擊者可能在未被發(fā)現(xiàn)的情況下進(jìn)行了多個(gè)月的攻擊。例如，在對(duì)東南亞事件分析過(guò)程中，安全專家發(fā)現(xiàn)攻擊者早在銀行安全團(tuán)隊(duì)請(qǐng)求事故響應(yīng)之前至少七個(gè)月就已經(jīng)入侵了銀行的網(wǎng)絡(luò)。事實(shí)上，孟加拉銀行失竊案中，網(wǎng)絡(luò)犯罪組織也是早就可以訪問(wèn)銀行的網(wǎng)絡(luò)。

        根據(jù)卡巴斯基實(shí)驗(yàn)室記錄，從2015年12月開(kāi)始，同Lazarus黑客組織活動(dòng)相關(guān)的惡意軟件樣本出現(xiàn)在眾多國(guó)家的金融機(jī)構(gòu)、為投資公司開(kāi)發(fā)賭場(chǎng)軟件的開(kāi)發(fā)商以及加密貨幣企業(yè)。其中包括韓國(guó)、孟加拉、印度、越南、印度尼西亞、哥斯達(dá)黎加、馬來(lái)西亞、波蘭、伊拉克、埃塞俄比亞、肯尼亞、尼日利亞、烏拉圭、加蓬、泰國(guó)和其它國(guó)家?？ò退够鶎?shí)驗(yàn)室發(fā)現(xiàn)的最新樣本于2017年3月被檢測(cè)到，表明攻擊者根本沒(méi)有停止攻擊的打算。

        盡管攻擊者很小心，會(huì)盡量消除攻擊痕跡，但他們?cè)诹硪淮喂粜袆?dòng)中犯了一個(gè)嚴(yán)重的錯(cuò)誤，留下了一個(gè)重要的證據(jù)。為了準(zhǔn)備實(shí)施攻擊，黑客將服務(wù)器配置為惡意軟件的命令和控制中心。首次連接發(fā)生于配置完成大量，連接來(lái)源為幾個(gè)VPN/代理服務(wù)器，表明網(wǎng)絡(luò)罪犯正在對(duì)命令和控制服務(wù)器進(jìn)行測(cè)量。但是，當(dāng)天還出現(xiàn)一個(gè)短暫的連接，來(lái)自一個(gè)非常罕見(jiàn)的來(lái)自朝鮮的IP地址。

研究人員認(rèn)為，有以下可能：

        · 攻擊者使用了朝鮮的IP地址進(jìn)行連接

        · 這是一次精心設(shè)計(jì)的偽旗行動(dòng)

        · 朝鮮的某個(gè)用戶無(wú)意間訪問(wèn)到命令和控制服務(wù)器的地址

        Lazarus黑客組織投入大量資源開(kāi)發(fā)最新的惡意軟件樣本。幾個(gè)月來(lái)，他們一直試圖制作出能夠不被安全解決方案檢測(cè)到的惡意工具。但是，每次都被卡巴斯基實(shí)驗(yàn)室的專家識(shí)別出來(lái)，從而讓卡巴斯基實(shí)驗(yàn)室的產(chǎn)品能夠追蹤最新的樣本。目前，攻擊者已經(jīng)進(jìn)入沉寂狀態(tài)，這表明他們可能已經(jīng)暫停開(kāi)發(fā)最新的攻擊工具。

        “我們確定攻擊者將會(huì)卷土重來(lái)。通過(guò)Lazarus黑客組織實(shí)施的攻擊來(lái)看，任何微小的不當(dāng)配置，都可能導(dǎo)致嚴(yán)重的安全入侵事故，給企業(yè)造成數(shù)千萬(wàn)美元的損失。我們希望全球的銀行、賭場(chǎng)和投資公司的主管人員能夠記住Lazarus這個(gè)名字，”卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)負(fù)責(zé)人Vitaly Kamluk說(shuō)。

卡巴斯基實(shí)驗(yàn)室產(chǎn)品能夠成功檢測(cè)和攔截Lazarus黑客組織使用的惡意軟件，檢測(cè)名稱如下：

        · HEUR:Trojan-Banker.Win32.Alreay*,

        · Trojan-Banker.Win32.Agent*

        公司還發(fā)表了重要感染痕跡(IOC)和其它，幫助企業(yè)和組織在自己的企業(yè)網(wǎng)絡(luò)中查找攻擊痕跡。更多信息，請(qǐng)參見(jiàn)Securelist.com

        我們建議所有組織和企業(yè)仔細(xì)掃描自己的網(wǎng)絡(luò)，查找是否存在Lazarus惡意軟件樣本。如果發(fā)現(xiàn)有，請(qǐng)盡快消除干擾，并將相關(guān)情況上報(bào)給執(zhí)法機(jī)關(guān)和事故響應(yīng)團(tuán)隊(duì)。

        想要了解更多Lazarus黑客組織發(fā)動(dòng)的金融攻擊詳情，請(qǐng)瀏覽Securelist.com上的相關(guān)博文。