信息來源:賽迪網(wǎng)
賽迪網(wǎng)訊 2016年8月��,F(xiàn)orcepoint發(fā)布了一個APT攻擊的追蹤報告。該報告由Forcepoint安全實驗室特別調(diào)查小組長期獨立追蹤完成。該調(diào)查小組隸屬于Forcepoint安全實驗室���,由優(yōu)秀的惡意軟件逆向工程師和分析師組成��,其職責是專門深入研究僵尸網(wǎng)絡和APT攻擊��。他們與全球眾多值得信賴的機構(gòu)協(xié)作���,以提供切實可見的決策為宗旨,向大眾��、客戶以及合作伙伴等利益相關(guān)者傳遞相關(guān)信息���,針對網(wǎng)絡安全問題��,警醒全球用戶���。
圖 誘餌文檔標題組成的詞云
Forcepoint安全實驗特別小組這次發(fā)布的APT攻擊跟蹤報告被命名為MONSOON。 調(diào)查表明��,這些攻擊活動主要針對中國的各個行業(yè)���,以及南亞地區(qū)的一些國家政府機構(gòu)��。MONSOON從2015年12月開始發(fā)起攻擊��,截至2016年7月攻擊活動仍在持續(xù)��。在調(diào)查MONSOON過程中所收集到的證據(jù)里���,有一些指標表明MONSOON和OPERATION HANGOVER存在高度相似���。這些指標包括相同的攻擊架構(gòu),類似的戰(zhàn)術(shù)��、技術(shù)與規(guī)程(即TTP)��,人口統(tǒng)計學意義上相似的受害者���,以及都在印度次大陸進行的地理屬性���。
總體來看, MONSOON所用的惡意軟件一般通過附有“武器化”文檔的電子郵件發(fā)送給特定目標��。這些文檔的主題幾乎都與政治相關(guān)��,大多選自近期的熱門政治事件���。其所使用的惡意軟件包括Unknown Logger Public, TINYTYPHON, BADNEWS和AutoIt后門���。其中非常獨特的是,BADNEWS利用RSS訂閱��、GitHub���、論壇��、博客和動態(tài)DNS主機向遠程C&C服務器進行通信���。調(diào)查所收集到的證據(jù)表明, OPERATION HANGOVER這個團體操縱MONSOON至少自2010年開始活躍��,在跟蹤的時間內(nèi)��,他們使用了至少72個誘餌文件中���,大多數(shù)使用了當前熱門新聞主題詞���,并高度契合受害者的興趣,其中��,用的最多的誘餌文件名為China_Military_PowerReport(中國軍事力量報告)���。MONSOON的受害者遍布 110多個國家��,被攻擊的IP地址多達6300多個��,其中��,61%的受害者來自中國��,而攻擊則來自印度次大陸���。
該報告的追蹤調(diào)查采用的是Forcepoint公司獨特的APT攻擊七步曲方法論��。具體分析攻擊全過程如下:
一��、 偵測
Forcepoint安全實驗室特別調(diào)查組在跟蹤調(diào)查中發(fā)現(xiàn)���,APT攻擊者起初通過對當下中國和南亞地區(qū)關(guān)注的時事進行分析,并針對受害人的關(guān)注點��,偽造相關(guān)“時事新聞”及報告誘使他們?nèi)c擊查看��。在相關(guān)樣本的分析過程中��,我們還發(fā)現(xiàn)APT攻擊者對受害者可能使用的防病毒軟件進行猜測(例如360 Total Security)并通過Virus Total網(wǎng)站對惡意文件進行防病毒軟件繞過檢測���。
二���、釣魚
為了吸引受害者的注意,APT攻擊者采用第三方郵件服務器向受害者發(fā)送魚叉式釣魚郵件��,并偽裝郵件發(fā)送者��,其釣魚郵件的主題多與中國時事政治相關(guān)��,以吸引受害者查看閱讀郵件及相關(guān)連接��。與此同時��,攻擊者通過建立多個虛假新聞網(wǎng)站��、操控多個發(fā)布虛假新聞的社交軟件(FACEBOOK��、TWITTER��、Google Plus)發(fā)布虛假新聞以引誘受害者點擊和注冊等��。
三���、再定向
通過對釣魚郵件的分析��,我們發(fā)現(xiàn)APT攻擊者會在郵件中附加一個或多個惡意連接���,這些鏈接指向惡意文檔的下載地址���,以此利用受害者的好奇心誘使他們?nèi)ラ喿x和下載惡意文檔。
四��、漏洞攻擊包
通過分析相關(guān)惡意文檔的樣本��,我們發(fā)現(xiàn)��,這些文檔均包含了多個已知的微軟Office漏洞(具體參看相關(guān)報告中涉及CVE編號)��。 同時��,惡意站點還會探測受害者的計算機是否安裝了Silverlight軟件���,并對該關(guān)鍵漏洞進行滲透��。
五��、木馬下載
一旦受害者訪問了包含漏洞的惡意文檔��,攻擊者將會利用漏洞將多個木馬及后門程序植入到目標計算機中��。然后這些惡意程序會通過偽裝系統(tǒng)進程��、軟件加密���、隱藏免殺、DLL注入��、修改注冊表等多種技術(shù)在受害者計算機中駐留���。
六���、回傳通信
通過對惡意軟件的逆向分析,我們獲取了大量包含惡意C&C服務器的地址及指令���。其中包括:RSS訂閱���、GitHub、論壇���、博客及動態(tài)DNS等���。攻擊者在這些渠道發(fā)布加密的惡意指令���,以控制受害者的計算機,并同時更新升級惡意軟件��。
七��、數(shù)據(jù)竊取
攻擊者通過C&C方式控制受害者的計算機���,并利用本地惡意軟件對受害者的資料實施檢索��、鍵盤記錄��、截屏等操作���,最終將獲取的機密文檔上傳至遠程惡意C&C服務器中。據(jù)初步估計��,我們所掌握的C&C服務器中就有上千份被竊取的文檔��,大部分為政府機構(gòu)文檔��,還有一些高度涉秘文檔��,如海關(guān)清關(guān)文檔、金融數(shù)據(jù)���、技術(shù)說明文檔等��。
來自印度的針對中國和南亞國家的大規(guī)模APT攻擊的調(diào)查追蹤分析表明���,OPERATION HANGOVER這個團體所采用的攻擊方案更加隱蔽���,攻擊技術(shù)不斷升級���,用戶畫像越來越精準,所以��,用戶在使用網(wǎng)絡時應該時刻防范惡意軟件的加載和攻擊���。Forcepoint安全實驗室會持續(xù)提供安全的見解��、技術(shù)和專業(yè)知識��,使客戶專注于自己的核心業(yè)務發(fā)展���,而不必太過在安全性上花費時間和精力���。Forcepoint也會不斷加強和主流機構(gòu)的合作,繼續(xù)追蹤和調(diào)查各種攻擊的狀況���,努力識別新出現(xiàn)的網(wǎng)絡威脅并對其進行深入了解���,并提供實用的決策方案,向包括客戶���、合作伙伴及大眾等在內(nèi)的廣大利益相關(guān)者傳遞有用的安全警醒信息��,為廣大網(wǎng)絡用戶保駕護航���。
