2015年末,卡巴斯基實(shí)驗(yàn)室的全球研究和分析團(tuán)隊(duì)(GReAT)對未來的威脅環(huán)境趨勢變化進(jìn)行了一系列預(yù)測。其中一個關(guān)鍵趨勢是針對性攻擊將變得更為簡單和高性價(jià)比。包括使用(循環(huán)使用)現(xiàn)成的惡意軟件、合法的免費(fèi)軟件或商業(yè)軟件,利用企業(yè)IT安全部署的失誤進(jìn)行攻擊。不幸的是,盡管IT安全供應(yīng)商和整個安全社區(qū)付出了很多努力,但企業(yè)安全失誤情況仍然沒有下降。
最常見的用于入侵企業(yè)防御系統(tǒng)的手段中有一種是使用軟件中的漏洞,而且根本不需要是最新的零日漏洞。甚至一些允許在目標(biāo)端點(diǎn)上執(zhí)行代碼,未被修復(fù)并且危害程度為“嚴(yán)重”的安全漏洞,也能夠?yàn)榫W(wǎng)絡(luò)罪犯和數(shù)字間諜開啟入侵系統(tǒng)的大門。如果企業(yè)沒有部署多層級安全系統(tǒng),沒有采取高效的基于不同基礎(chǔ)設(shè)施層面的檢測機(jī)制,那這種攻擊更容易實(shí)現(xiàn)。有些漏洞的補(bǔ)丁在發(fā)布后的數(shù)月甚至數(shù)年,仍然被網(wǎng)絡(luò)罪犯用來進(jìn)行攻擊。因?yàn)槿绻芎φ呶葱扪a(bǔ)這些漏洞,其仍然能夠帶來良好的攻擊效果。
例如,有一種較老的漏洞就非常受網(wǎng)絡(luò)罪犯和網(wǎng)絡(luò)間諜攻擊者的青睞,即CVE-2015-2545。這是一種MSOffice漏洞,允許通過使用特殊的Encapsulated PostScript (EPS)圖形文件任意執(zhí)行代碼。這種漏洞于2015年3月被發(fā)現(xiàn),漏洞未修補(bǔ)情況持續(xù)了4個月。之后,微軟發(fā)布了修復(fù)補(bǔ)丁(MS15-099),解決了這一安全問題。但是,這段時(shí)間內(nèi),這種漏洞為黑客提供了絕佳的攻擊機(jī)會。
2015年8月,我們發(fā)現(xiàn)了首個試圖使用CVE-2015-2545漏洞進(jìn)行針對性攻擊的Platinum (TwoForOne) 網(wǎng)絡(luò)犯罪組織。9月,這一漏洞終于被微軟所修補(bǔ),有效阻止了Platinum攻擊組織使用這種漏洞進(jìn)行攻擊。但是其他黑客開始想盡辦法對未修補(bǔ)這一漏洞的用戶進(jìn)行攻擊,并且開發(fā)自己的技術(shù)利用這種漏洞。根據(jù)推測,這些黑客應(yīng)該是對補(bǔ)丁進(jìn)行了逆向工程,獲取到關(guān)于該漏洞的詳細(xì)信息,之后創(chuàng)建最新的針對這種漏洞的漏洞利用程序。
11月至12月期間,又有兩個網(wǎng)絡(luò)被稱為APT16(FireEye分類)和EvilPost(由卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn))的間諜攻擊組織開始利用這種漏洞對目標(biāo)進(jìn)行攻擊。如果系統(tǒng)沒有修復(fù)這一漏洞,那遭遇的風(fēng)險(xiǎn)更為嚴(yán)重,因?yàn)楝F(xiàn)在攻擊者們已經(jīng)對這一漏洞了如指掌,知道如何才能最有效的利用這種漏洞進(jìn)行攻擊。
所有情況下,攻擊過程都非常簡單:利用包含附件(偽裝成MS Word文件的網(wǎng)絡(luò)檔案文件,其中嵌入了EPS圖片,內(nèi)部包含漏洞利用程序)的釣魚郵件,激活下載,從命令和控制服務(wù)器下載其它惡意軟件組件到受感染系統(tǒng)。之后,又有多個攻擊組織如SPIVY使用不同的漏洞利用程序版本入侵系統(tǒng),而且還很成功。
在這些網(wǎng)絡(luò)攻擊中,卡巴斯基實(shí)驗(yàn)室最近發(fā)現(xiàn)了一些有趣的攻擊。其中的一項(xiàng)攻擊同之前未被報(bào)道過的Danti攻擊組織(基于卡巴斯基實(shí)驗(yàn)室命名法)和其他攻擊組織有關(guān),盡管他們使用的惡意軟件架構(gòu)很相似,但仍然需要單獨(dú)進(jìn)行描述,對其命名也基于其使用的惡意軟件名稱:SVCMONDR。目前,Danti網(wǎng)絡(luò)間諜攻擊組織的攻擊目標(biāo)似乎是印度外交機(jī)構(gòu),但是我們還在多個亞太地區(qū)國家檢測到該組織的活動跡象,包括哈薩克斯坦、吉爾吉斯斯坦、烏茲別克斯坦、緬甸、尼泊爾和菲律賓。
同其他攻擊組織不同,Danti(和SVCMONDR)所使用的初始入侵工具包中嵌入.EPS文件的DOC文檔(假冒的)只能夠還包括一個打包的惡意軟件下載器二進(jìn)制文件。同時(shí),該組織使用的工具表明其攻擊非常簡單,并且具有高性價(jià)比,同卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)對2016年威脅環(huán)境的變化趨勢預(yù)測不謀而合。
我們再一次發(fā)現(xiàn)了利用同樣手段的攻擊,即利用早就被修補(bǔ)的漏洞進(jìn)行攻擊。而且很明顯,這種攻擊手段非常成功。
在每個案例中,我們都發(fā)現(xiàn)攻擊者使用的攻擊機(jī)制都非常簡單,而且攻擊情景也很相似,即用戶沒有及時(shí)安裝漏洞補(bǔ)丁,導(dǎo)致系統(tǒng)的大門向攻擊者敞開。
有很多因素造成企業(yè)或組織沒有及時(shí)修復(fù)系統(tǒng)中的安全漏洞。通常,發(fā)生這種情況,企業(yè)的IT安全部署肯定出現(xiàn)了失誤。但是,這種失誤往往會由于企業(yè)IT安全的復(fù)雜性而被放大,因?yàn)槠髽I(yè)沒有足夠的資源其處理這些問題。很多企業(yè)根本就無法承擔(dān)雇傭?qū)iT的IT安全員工,就算是有足夠的資金,很多企業(yè)的IT管理人員也會發(fā)現(xiàn)自己被很多不同的軟件解決方案所擾,因?yàn)槊總€方案都有不同的控制臺和管理原則。
解決這一問題的最好手段是選擇一款能夠?qū)Σ煌琁T安全層面提供統(tǒng)一管理的解決方案,包括自動化漏洞管理。這樣能夠有效減少這一任務(wù)的復(fù)雜性。
幸運(yùn)的是,卡巴斯基網(wǎng)絡(luò)安全解決方案高級版就是基于這種思路而設(shè)計(jì)的。在其眾多的功能中,有一項(xiàng)系統(tǒng)管理組件[1],包括自動漏洞評估和補(bǔ)丁管理工具。這一功能意味著企業(yè)的軟件,不管是操作系統(tǒng)還是應(yīng)用軟件,都能夠自動保持更新,為IT管理人員節(jié)省大量時(shí)間從事其它企業(yè)IT安全管理工作。另一個非常重要的優(yōu)勢是多層級安全保護(hù)能夠提供附加的主動保護(hù)技術(shù),全面攔截漏洞利用程序。這種自動漏洞入侵防護(hù)功能能夠識別漏洞利用程序特征,攔截其行為。網(wǎng)絡(luò)攻擊攔截功能則可以攔截基于網(wǎng)絡(luò)的漏洞利用程序。
卡巴斯基實(shí)驗(yàn)室解決方案能夠檢測出使用CVE-2015-2545漏洞進(jìn)行攻擊的惡意軟件,而且目前只有上述安全廠商的產(chǎn)品能夠做到這一點(diǎn)。我們產(chǎn)品的檢測結(jié)果為:
§ Exploit.MSOffice.CVE-2015-2545.a
漏洞利用程序釋放的后門程序檢測結(jié)果為:
§ Backdoor.Win32.Danti.b
§ Backdoor.Win32.Danti.d