2015年末���,卡巴斯基實驗室的全球研究和分析團隊(GReAT)對未來的威脅環(huán)境趨勢變化進行了一系列預(yù)測。其中一個關(guān)鍵趨勢是針對性攻擊將變得更為簡單和高性價比��。包括使用(循環(huán)使用)現(xiàn)成的惡意軟件���、合法的免費軟件或商業(yè)軟件���,利用企業(yè)IT安全部署的失誤進行攻擊。不幸的是����,盡管IT安全供應(yīng)商和整個安全社區(qū)付出了很多努力,但企業(yè)安全失誤情況仍然沒有下降�����。
最常見的用于入侵企業(yè)防御系統(tǒng)的手段中有一種是使用軟件中的漏洞��,而且根本不需要是最新的零日漏洞����。甚至一些允許在目標端點上執(zhí)行代碼,未被修復(fù)并且危害程度為“嚴重”的安全漏洞����,也能夠為網(wǎng)絡(luò)罪犯和數(shù)字間諜開啟入侵系統(tǒng)的大門。如果企業(yè)沒有部署多層級安全系統(tǒng)�����,沒有采取高效的基于不同基礎(chǔ)設(shè)施層面的檢測機制����,那這種攻擊更容易實現(xiàn)。有些漏洞的補丁在發(fā)布后的數(shù)月甚至數(shù)年��,仍然被網(wǎng)絡(luò)罪犯用來進行攻擊��。因為如果受害者未修補這些漏洞�,其仍然能夠帶來良好的攻擊效果。
例如�,有一種較老的漏洞就非常受網(wǎng)絡(luò)罪犯和網(wǎng)絡(luò)間諜攻擊者的青睞,即CVE-2015-2545��。這是一種MSOffice漏洞��,允許通過使用特殊的Encapsulated PostScript (EPS)圖形文件任意執(zhí)行代碼���。這種漏洞于2015年3月被發(fā)現(xiàn)��,漏洞未修補情況持續(xù)了4個月�。之后,微軟發(fā)布了修復(fù)補丁(MS15-099)���,解決了這一安全問題����。但是����,這段時間內(nèi),這種漏洞為黑客提供了絕佳的攻擊機會�����。
2015年8月�,我們發(fā)現(xiàn)了首個試圖使用CVE-2015-2545漏洞進行針對性攻擊的Platinum (TwoForOne) 網(wǎng)絡(luò)犯罪組織。9月�����,這一漏洞終于被微軟所修補,有效阻止了Platinum攻擊組織使用這種漏洞進行攻擊����。但是其他黑客開始想盡辦法對未修補這一漏洞的用戶進行攻擊����,并且開發(fā)自己的技術(shù)利用這種漏洞。根據(jù)推測���,這些黑客應(yīng)該是對補丁進行了逆向工程���,獲取到關(guān)于該漏洞的詳細信息,之后創(chuàng)建最新的針對這種漏洞的漏洞利用程序��。
11月至12月期間�,又有兩個網(wǎng)絡(luò)被稱為APT16(FireEye分類)和EvilPost(由卡巴斯基實驗室發(fā)現(xiàn))的間諜攻擊組織開始利用這種漏洞對目標進行攻擊。如果系統(tǒng)沒有修復(fù)這一漏洞��,那遭遇的風(fēng)險更為嚴重���,因為現(xiàn)在攻擊者們已經(jīng)對這一漏洞了如指掌����,知道如何才能最有效的利用這種漏洞進行攻擊。
所有情況下�����,攻擊過程都非常簡單:利用包含附件(偽裝成MS Word文件的網(wǎng)絡(luò)檔案文件���,其中嵌入了EPS圖片�����,內(nèi)部包含漏洞利用程序)的釣魚郵件����,激活下載�����,從命令和控制服務(wù)器下載其它惡意軟件組件到受感染系統(tǒng)���。之后�,又有多個攻擊組織如SPIVY使用不同的漏洞利用程序版本入侵系統(tǒng)���,而且還很成功�。
在這些網(wǎng)絡(luò)攻擊中,卡巴斯基實驗室最近發(fā)現(xiàn)了一些有趣的攻擊����。其中的一項攻擊同之前未被報道過的Danti攻擊組織(基于卡巴斯基實驗室命名法)和其他攻擊組織有關(guān),盡管他們使用的惡意軟件架構(gòu)很相似��,但仍然需要單獨進行描述���,對其命名也基于其使用的惡意軟件名稱:SVCMONDR。目前����,Danti網(wǎng)絡(luò)間諜攻擊組織的攻擊目標似乎是印度外交機構(gòu),但是我們還在多個亞太地區(qū)國家檢測到該組織的活動跡象���,包括哈薩克斯坦�����、吉爾吉斯斯坦���、烏茲別克斯坦、緬甸����、尼泊爾和菲律賓��。
同其他攻擊組織不同�����,Danti(和SVCMONDR)所使用的初始入侵工具包中嵌入.EPS文件的DOC文檔(假冒的)只能夠還包括一個打包的惡意軟件下載器二進制文件�。同時�,該組織使用的工具表明其攻擊非常簡單,并且具有高性價比����,同卡巴斯基實驗室全球研究和分析團隊對2016年威脅環(huán)境的變化趨勢預(yù)測不謀而合。
我們再一次發(fā)現(xiàn)了利用同樣手段的攻擊��,即利用早就被修補的漏洞進行攻擊��。而且很明顯��,這種攻擊手段非常成功����。
在每個案例中,我們都發(fā)現(xiàn)攻擊者使用的攻擊機制都非常簡單��,而且攻擊情景也很相似,即用戶沒有及時安裝漏洞補丁�,導(dǎo)致系統(tǒng)的大門向攻擊者敞開。
有很多因素造成企業(yè)或組織沒有及時修復(fù)系統(tǒng)中的安全漏洞��。通常�����,發(fā)生這種情況�����,企業(yè)的IT安全部署肯定出現(xiàn)了失誤��。但是����,這種失誤往往會由于企業(yè)IT安全的復(fù)雜性而被放大��,因為企業(yè)沒有足夠的資源其處理這些問題����。很多企業(yè)根本就無法承擔(dān)雇傭?qū)iT的IT安全員工,就算是有足夠的資金�,很多企業(yè)的IT管理人員也會發(fā)現(xiàn)自己被很多不同的軟件解決方案所擾���,因為每個方案都有不同的控制臺和管理原則。
解決這一問題的最好手段是選擇一款能夠?qū)Σ煌琁T安全層面提供統(tǒng)一管理的解決方案����,包括自動化漏洞管理。這樣能夠有效減少這一任務(wù)的復(fù)雜性�����。
幸運的是����,卡巴斯基網(wǎng)絡(luò)安全解決方案高級版就是基于這種思路而設(shè)計的。在其眾多的功能中��,有一項系統(tǒng)管理組件[1]�,包括自動漏洞評估和補丁管理工具。這一功能意味著企業(yè)的軟件�����,不管是操作系統(tǒng)還是應(yīng)用軟件��,都能夠自動保持更新�����,為IT管理人員節(jié)省大量時間從事其它企業(yè)IT安全管理工作。另一個非常重要的優(yōu)勢是多層級安全保護能夠提供附加的主動保護技術(shù)���,全面攔截漏洞利用程序���。這種自動漏洞入侵防護功能能夠識別漏洞利用程序特征,攔截其行為�。網(wǎng)絡(luò)攻擊攔截功能則可以攔截基于網(wǎng)絡(luò)的漏洞利用程序。
卡巴斯基實驗室解決方案能夠檢測出使用CVE-2015-2545漏洞進行攻擊的惡意軟件�,而且目前只有上述安全廠商的產(chǎn)品能夠做到這一點。我們產(chǎn)品的檢測結(jié)果為:
§ Exploit.MSOffice.CVE-2015-2545.a
漏洞利用程序釋放的后門程序檢測結(jié)果為:
§ Backdoor.Win32.Danti.b
§ Backdoor.Win32.Danti.d
