信息來源:賽迪網(wǎng)
賽迪網(wǎng)訊 2016年8月,F(xiàn)orcepoint發(fā)布了一個APT攻擊的追蹤報告。該報告由Forcepoint安全實驗室特別調(diào)查小組長期獨立追蹤完成。該調(diào)查小組隸屬于Forcepoint安全實驗室,由優(yōu)秀的惡意軟件逆向工程師和分析師組成,其職責是專門深入研究僵尸網(wǎng)絡和APT攻擊。他們與全球眾多值得信賴的機構(gòu)協(xié)作,以提供切實可見的決策為宗旨,向大眾、客戶以及合作伙伴等利益相關(guān)者傳遞相關(guān)信息,針對網(wǎng)絡安全問題,警醒全球用戶。
圖 誘餌文檔標題組成的詞云
Forcepoint安全實驗特別小組這次發(fā)布的APT攻擊跟蹤報告被命名為MONSOON。 調(diào)查表明,這些攻擊活動主要針對中國的各個行業(yè),以及南亞地區(qū)的一些國家政府機構(gòu)。MONSOON從2015年12月開始發(fā)起攻擊,截至2016年7月攻擊活動仍在持續(xù)。在調(diào)查MONSOON過程中所收集到的證據(jù)里,有一些指標表明MONSOON和OPERATION HANGOVER存在高度相似。這些指標包括相同的攻擊架構(gòu),類似的戰(zhàn)術(shù)、技術(shù)與規(guī)程(即TTP),人口統(tǒng)計學意義上相似的受害者,以及都在印度次大陸進行的地理屬性。
總體來看, MONSOON所用的惡意軟件一般通過附有“武器化”文檔的電子郵件發(fā)送給特定目標。這些文檔的主題幾乎都與政治相關(guān),大多選自近期的熱門政治事件。其所使用的惡意軟件包括Unknown Logger Public, TINYTYPHON, BADNEWS和AutoIt后門。其中非常獨特的是,BADNEWS利用RSS訂閱、GitHub、論壇、博客和動態(tài)DNS主機向遠程C&C服務器進行通信。調(diào)查所收集到的證據(jù)表明, OPERATION HANGOVER這個團體操縱MONSOON至少自2010年開始活躍,在跟蹤的時間內(nèi),他們使用了至少72個誘餌文件中,大多數(shù)使用了當前熱門新聞主題詞,并高度契合受害者的興趣,其中,用的最多的誘餌文件名為China_Military_PowerReport(中國軍事力量報告)。MONSOON的受害者遍布 110多個國家,被攻擊的IP地址多達6300多個,其中,61%的受害者來自中國,而攻擊則來自印度次大陸。
該報告的追蹤調(diào)查采用的是Forcepoint公司獨特的APT攻擊七步曲方法論。具體分析攻擊全過程如下:
一、 偵測
Forcepoint安全實驗室特別調(diào)查組在跟蹤調(diào)查中發(fā)現(xiàn),APT攻擊者起初通過對當下中國和南亞地區(qū)關(guān)注的時事進行分析,并針對受害人的關(guān)注點,偽造相關(guān)“時事新聞”及報告誘使他們?nèi)c擊查看。在相關(guān)樣本的分析過程中,我們還發(fā)現(xiàn)APT攻擊者對受害者可能使用的防病毒軟件進行猜測(例如360 Total Security)并通過Virus Total網(wǎng)站對惡意文件進行防病毒軟件繞過檢測。
二、釣魚
為了吸引受害者的注意,APT攻擊者采用第三方郵件服務器向受害者發(fā)送魚叉式釣魚郵件,并偽裝郵件發(fā)送者,其釣魚郵件的主題多與中國時事政治相關(guān),以吸引受害者查看閱讀郵件及相關(guān)連接。與此同時,攻擊者通過建立多個虛假新聞網(wǎng)站、操控多個發(fā)布虛假新聞的社交軟件(FACEBOOK、TWITTER、Google Plus)發(fā)布虛假新聞以引誘受害者點擊和注冊等。
三、再定向
通過對釣魚郵件的分析,我們發(fā)現(xiàn)APT攻擊者會在郵件中附加一個或多個惡意連接,這些鏈接指向惡意文檔的下載地址,以此利用受害者的好奇心誘使他們?nèi)ラ喿x和下載惡意文檔。
四、漏洞攻擊包
通過分析相關(guān)惡意文檔的樣本,我們發(fā)現(xiàn),這些文檔均包含了多個已知的微軟Office漏洞(具體參看相關(guān)報告中涉及CVE編號)。 同時,惡意站點還會探測受害者的計算機是否安裝了Silverlight軟件,并對該關(guān)鍵漏洞進行滲透。
五、木馬下載
一旦受害者訪問了包含漏洞的惡意文檔,攻擊者將會利用漏洞將多個木馬及后門程序植入到目標計算機中。然后這些惡意程序會通過偽裝系統(tǒng)進程、軟件加密、隱藏免殺、DLL注入、修改注冊表等多種技術(shù)在受害者計算機中駐留。
六、回傳通信
通過對惡意軟件的逆向分析,我們獲取了大量包含惡意C&C服務器的地址及指令。其中包括:RSS訂閱、GitHub、論壇、博客及動態(tài)DNS等。攻擊者在這些渠道發(fā)布加密的惡意指令,以控制受害者的計算機,并同時更新升級惡意軟件。
七、數(shù)據(jù)竊取
攻擊者通過C&C方式控制受害者的計算機,并利用本地惡意軟件對受害者的資料實施檢索、鍵盤記錄、截屏等操作,最終將獲取的機密文檔上傳至遠程惡意C&C服務器中。據(jù)初步估計,我們所掌握的C&C服務器中就有上千份被竊取的文檔,大部分為政府機構(gòu)文檔,還有一些高度涉秘文檔,如海關(guān)清關(guān)文檔、金融數(shù)據(jù)、技術(shù)說明文檔等。
來自印度的針對中國和南亞國家的大規(guī)模APT攻擊的調(diào)查追蹤分析表明,OPERATION HANGOVER這個團體所采用的攻擊方案更加隱蔽,攻擊技術(shù)不斷升級,用戶畫像越來越精準,所以,用戶在使用網(wǎng)絡時應該時刻防范惡意軟件的加載和攻擊。Forcepoint安全實驗室會持續(xù)提供安全的見解、技術(shù)和專業(yè)知識,使客戶專注于自己的核心業(yè)務發(fā)展,而不必太過在安全性上花費時間和精力。Forcepoint也會不斷加強和主流機構(gòu)的合作,繼續(xù)追蹤和調(diào)查各種攻擊的狀況,努力識別新出現(xiàn)的網(wǎng)絡威脅并對其進行深入了解,并提供實用的決策方案,向包括客戶、合作伙伴及大眾等在內(nèi)的廣大利益相關(guān)者傳遞有用的安全警醒信息,為廣大網(wǎng)絡用戶保駕護航。