1. 前述
(1) 俄羅斯APT攻擊經(jīng)常以微軟系列軟件為利用目標(biāo),其中對(duì)Office、Windows 和IE瀏覽器漏洞的使用占比為55%。這種對(duì)大量通用軟件的漏洞利用,也為國(guó)家支持的網(wǎng)絡(luò)攻擊提供了便利條件;
(2)俄羅斯APT的魚叉式郵件中經(jīng)常利用微軟Office系列漏洞,如APT28就大量使用Excel和Word漏洞文檔作為誘餌;
(3) 與俄羅斯軍事情報(bào)局(GRU)相關(guān)的APT28,利用了22個(gè)公開漏洞,其中有7個(gè)為利用代碼未知的漏洞;
(4)與俄羅斯聯(lián)邦安全局(FSB)相關(guān)的APT29,利用了5個(gè)與APT28完全不一樣的公開漏洞;
(5)俄羅斯APT攻擊所利用的漏洞,有73%左右可以在Metasploit、Exploit Database和GitHub等公開網(wǎng)絡(luò)中找到可用的漏洞利用代碼;
(6)俄羅斯APT攻擊所利用的漏洞,有46%左右與網(wǎng)絡(luò)犯罪組織使用的漏洞利用工具包相關(guān)。
Recorded Future 通過對(duì)俄羅斯APT組織的關(guān)注,重點(diǎn)分析了33個(gè)被廣泛用于信息竊取和滲透入侵的已知漏洞。其中27個(gè)漏洞與俄羅斯軍事情報(bào)局(GRU)和聯(lián)邦安全局(FSB)的APT28和APT29相關(guān)。
最近在美國(guó)總統(tǒng)選舉活動(dòng)中的民主黨委員會(huì)(DNC)網(wǎng)絡(luò)攻擊和信息泄露事件,讓俄羅斯攻擊威脅處于風(fēng)口浪尖。Crowdstrike于2016年6月在DNC電腦系統(tǒng)中先后發(fā)現(xiàn)了APT29和APT28的滲透痕跡,APT29和APT28分別于2015年夏季和2016年4月入侵DNC系統(tǒng)獲得控制權(quán)限。
而同屬俄羅斯國(guó)家支持黑客參與的Energetic Bear和Turla APT攻擊,也大量使用了微軟系列軟件漏洞。
俄羅斯APT攻擊組織對(duì)微軟Office系列產(chǎn)品公開漏洞的不同利用方式,顯示出其獨(dú)特的技術(shù)能力特點(diǎn)。
2. 方法論
本文主要分析與俄羅斯國(guó)家支持的相關(guān)APT和惡意軟件攻擊,由于沒有原始的APT惡意軟件樣本作為分析指導(dǎo),Recorded Future的分析來源包括公開博客、論壇、分享網(wǎng)站、代碼及惡意軟件庫(kù)、社交媒體和已發(fā)布報(bào)告。本文分析重點(diǎn)為俄羅斯APT攻擊的總體趨勢(shì)和利用技術(shù),與近期DNC攻擊事件無關(guān)。
3. 范圍
Recorded Future分析了從2012年1月1日到2016年7月31日期間與俄羅斯APT攻擊相關(guān)的開源網(wǎng)絡(luò)信息和漏洞信息。
重點(diǎn)涉及以下四個(gè)與俄羅斯相關(guān)的APT和惡意軟件攻擊:
(1) APT28又名Fancy Bear、Operation Pawn Storm、Strontium、Sednit、Sofacy和Tsar Team,可能與俄羅斯軍事情報(bào)局GRU相關(guān)(ГлавноеРазведывательное Управление)
(2)APT29 又名Cozy Bear、The Dukes、Office Monkeys,可能與俄羅斯情報(bào)機(jī)構(gòu)聯(lián)邦安全局FSB相關(guān)(Федеральнаяслужба безопасности Российской Федерации)
(3)Energetic Bear 又名 Crouching Yeti,Dragonfly、Group 24和 Koala Team,可能與 Havex系列惡意軟件攻擊相關(guān)
(4)Turla又名Epic Turla、Snake、Ouroboros和Carbon,可能與 Agent.BTZ 惡意軟件攻擊相關(guān)
4. 結(jié)論
被俄羅斯APT組織經(jīng)常進(jìn)行漏洞利用的系列辦公軟件:
以公司分類:
俄羅斯APT攻擊利用的相關(guān)漏洞:
5. 對(duì)已知漏洞的利用
俄羅斯APT攻擊的技術(shù)方式與其它APT類似:魚叉式郵件、虛假域名、網(wǎng)絡(luò)釣魚、社會(huì)工程、水坑攻擊等。其中,對(duì)Office和Adobe PDF漏洞的大量利用可能與國(guó)家支持的網(wǎng)絡(luò)攻擊相關(guān),不同于勒索軟件出于錢財(cái)?shù)哪康模瑖?guó)家支持的攻擊對(duì)攻擊目標(biāo)和獲取信息的針對(duì)性更強(qiáng)。
6. 觀點(diǎn)
通過對(duì)APT28和APT29利用的漏洞分析,印證了之前很多安全專家的結(jié)論:這兩個(gè)APT攻擊可能與GRU和FSB兩個(gè)俄羅斯獨(dú)立的情報(bào)機(jī)構(gòu)相關(guān)。有趣的是,據(jù)Crowdstrike分析聲稱,這兩個(gè)APT攻擊都不約而同地竊取了DNC系統(tǒng)中相同的數(shù)據(jù)信息。
四個(gè)APT攻擊中使用的軟件漏洞情況:
7. 網(wǎng)絡(luò)犯罪組織漏洞利用工具包 VS 俄羅斯APT利用的漏洞
俄羅斯APT攻擊中利用的漏洞,有46%與網(wǎng)絡(luò)犯罪組織使用的工具包漏洞相同,這些工具包被大量用于地下暗網(wǎng)買賣和勒索軟件活動(dòng)中。
俄羅斯APT利用漏洞 與 工具包漏洞重疊度分析:(按照不同軟件區(qū)分)
俄羅斯APT攻擊中利用的漏洞,有73%為利用代碼已知漏洞,雖然很難確定攻擊發(fā)生和漏洞利用代碼公開的具體時(shí)間,但總體來說,有幾個(gè)方面的原因:
(1)流行軟件存在很多漏洞;
(2)利用流行軟件漏洞,可以增加滲透入侵的成功率;
(3)流行軟件漏洞對(duì)迷惑歸因調(diào)查有幫助
俄羅斯APT漏洞利用代碼的公開程度:
8. 影響
國(guó)家支持的網(wǎng)絡(luò)滲透需要成功的定向植入攻擊。Windows每天有15億人次的使用量,另外,有12億人次安裝了Office軟件,俄羅斯APT“碰運(yùn)氣”的攻擊成功率仍然較大。美國(guó)的電腦系統(tǒng)中有85%的用戶安裝有JAVA和Adobe PDF軟件,其大量存在的漏洞可被攻擊者利用。
9. 建議
1) 更新本文提到的軟件漏洞;
2) 指導(dǎo)企業(yè)進(jìn)行網(wǎng)絡(luò)和電子郵件安全意識(shí)培訓(xùn);
3) 必要時(shí)請(qǐng)使用雙因素認(rèn)證和VPN;
4) 強(qiáng)制區(qū)分用戶權(quán)限;
5) 在Adobe FlashPlayer中啟用“clickto play”功能;
6) 考慮替代的PDF閱讀器軟件;
7) 警惕不明身份電子郵件地址發(fā)送的郵件。