解析APT-进阶持续性渗透攻击

“LURID Downloader”,通常被称为“Enfal”。是一个众所皆知的恶意软件家族,不过它并不是一般网络犯罪分子可以买得到的犯罪工具包。这个恶意软件家族在过去被用来针对美国的政府机构和非政府组织(NGO)。然而,现在这次特殊的攻击网络似乎和过去的攻击活动之间没有直接关连。

APT-进阶持续性渗透攻击越来越频繁。当目标收到一封电子邮件,诱导他或她去打开附加文件。这个攻击者所附加的文件包含了恶意程序代码,可以去攻击常用软件的漏洞,像是Adobe Reader(例如PDF)和微软Office(例如DOC )。

安全厂商最近发现了一个正在进行中的连续APT-进阶持续性渗透攻击APT ,将之命名为LURID。它已经成功入侵了位在61个不同国家的1465台电脑。趋势科技可以从中识别出47个受害者,包括外交单位,政府各部会,和太空工程相关的政府机构和公司,还有些研究机构。

受危害最深的国家是俄罗斯、哈萨克、越南还有其他许多国家 – 主要是独立国协的国家那些前苏联加盟国。

这次特别的APT-进阶持续性渗透攻击 APT攻击事件,包括超过300次恶意的目标攻击,攻击者在攻击用的恶意软件里嵌入了一个独特的识别特征以供监视。趋势科技对于这次攻击事件的分析显示,攻击者所选择的对象具有特定的地域性,也是针对某些特定的团体。总的来说,攻击者透过一个命令和控制僵尸网络,用了15个域名和10个活跃的IP位址,以确保能持久的控制1465个受害者的命令和控制僵尸网络/傀儡网络 Botnet。

这些漏洞攻击的目的就是偷偷地在目标电脑上执行恶意软件。这样就可以让攻击者可以获得电脑的控制权,并且取得资料。攻击者可能会接着去入侵目标所处的整个网络,而且通常可以保持长时间的控制受害者的电脑。最终,攻击者会找到并且取得受害者所处的网络内部的敏感资料。

解析攻击

进阶:这是一个正在进行的连续目标攻击,会使用各种针对Adobe Reader漏洞的恶意程序代码,包括CVE – 2009 – 4324,CVE – 2010 – 2883,以及利用RAR压缩文件来夹带恶意的屏幕保护程序。

除了攻击进入的手段外,“LURID”恶意软件会在受害者的电脑上执行,并且连接到命令和控制(C&C)服务器的网络上。攻击者并不总是利用零日弱点攻击,很多时候是利用旧的、可靠的漏洞。而保留零日弱点攻击去针对那些有定时更新跟强化的目标。当我们要找出那些被用在零日弱点攻击的样本,攻击者在这攻击活动中用来做识别的特征就可以当作指标了。

持续性:在趋势科技的研究中,我们发现恶意软件用了两种不同的持续性设计。一个版本会将自己安装成Windows服务以确保持续性,另外一个版本则会将自己复制到系统文件夹,并且将一般的启动程序文件夹变成它所建立的文件夹。接着它会将所有常用的自动启动项目和自己复制到这文件夹以确保会被启动。此外,我们已经可以将恶意软件和受害者根据事件给组织起来(恶意软件进行通讯时会带有一定特征,就跟宣传活动一样)以追踪是谁被哪个恶意软件给感染了。

威胁:恶意软件从感染的电脑上收集资讯,并且透过HTTP POST发送给C&C服务器。经由和命令和控制服务器进行通讯,攻击者能够发出各种命令给被感染的电脑。这些命令让攻击者可以发送和接收文件,或是启动受黑系统的远端命令列。攻击者通常会从对被黑电脑列出目录清单,并且窃取资料(像是特定的XLS文件)。趋势科技的研究人员有取得一些指令,但没有实际的文件。

从C&C服务器所取得的资料来看,趋势科技可以确认以下数字:

1465台不同的主机(C&C服务器上所储存的主机名称+MAC位址)

2272个不同的外部IP位址

前10个受黑国家(根据2272个IP位址):

俄罗斯

1063

哈萨克

325

乌克兰

102

越南

93

乌兹别克

88

白俄罗斯

67

印度

66

吉尔吉斯

49

蒙古

42

中国

39

一如往常的,很难确定谁是这一连串攻击背后真正的黑手。因为许多资料都很容易被假造,像是IP位址和域名注册资料。以用来误导研究人员去相信这该由某个特定团体负责。

虽然目前研究没有显示出这次攻击的目标是针对哪些资料,我们能够确定的是,在某些状况下,攻击者试图窃取特定的文件文件和电子表格。

通过揭露“LURID”网络,希望能让大家了解这类攻击的程度和频率,以及传统防御措施面对目标攻击时所遇到的挑战。了解使用恶意软件的目标攻击如何运作,可以有效帮助加强防御策略。包括了解攻击背后的幕后黑手所使用的工具、策略和步骤的发展趋势。透过有效地利用来自外部和内部人士所揭露的威胁情报,加上安全工具去强化人为分析,组织可以更好地去侦测和减轻这种针对性攻击所带来的威胁。