揭秘:俄羅斯APT漏洞利用工具包

責(zé)任編輯:editor005

作者:clouds

2016-08-12 15:00:43

摘自:黑客與極客

(1) 俄羅斯APT攻擊經(jīng)常以微軟系列軟件為利用目標(biāo),其中對(duì)Office、Windows 和IE瀏覽器漏洞的使用占比為55%。(2)俄羅斯APT的魚叉式郵件中經(jīng)常利用微軟Office系列漏洞,如APT28就大量使用Excel和Word漏洞文檔作為誘餌;

1. 前述

(1) 俄羅斯APT攻擊經(jīng)常以微軟系列軟件為利用目標(biāo),其中對(duì)Office、Windows 和IE瀏覽器漏洞的使用占比為55%。這種對(duì)大量通用軟件的漏洞利用,也為國(guó)家支持的網(wǎng)絡(luò)攻擊提供了便利條件;

(2)俄羅斯APT的魚叉式郵件中經(jīng)常利用微軟Office系列漏洞,如APT28就大量使用Excel和Word漏洞文檔作為誘餌;

(3) 與俄羅斯軍事情報(bào)局(GRU)相關(guān)的APT28,利用了22個(gè)公開漏洞,其中有7個(gè)為利用代碼未知的漏洞;

(4)與俄羅斯聯(lián)邦安全局(FSB)相關(guān)的APT29,利用了5個(gè)與APT28完全不一樣的公開漏洞;

(5)俄羅斯APT攻擊所利用的漏洞,有73%左右可以在Metasploit、Exploit Database和GitHub等公開網(wǎng)絡(luò)中找到可用的漏洞利用代碼;

(6)俄羅斯APT攻擊所利用的漏洞,有46%左右與網(wǎng)絡(luò)犯罪組織使用的漏洞利用工具包相關(guān)。

Recorded Future 通過對(duì)俄羅斯APT組織的關(guān)注,重點(diǎn)分析了33個(gè)被廣泛用于信息竊取和滲透入侵的已知漏洞。其中27個(gè)漏洞與俄羅斯軍事情報(bào)局(GRU)和聯(lián)邦安全局(FSB)的APT28和APT29相關(guān)。

最近在美國(guó)總統(tǒng)選舉活動(dòng)中的民主黨委員會(huì)(DNC)網(wǎng)絡(luò)攻擊和信息泄露事件,讓俄羅斯攻擊威脅處于風(fēng)口浪尖。Crowdstrike于2016年6月在DNC電腦系統(tǒng)中先后發(fā)現(xiàn)了APT29和APT28的滲透痕跡,APT29和APT28分別于2015年夏季和2016年4月入侵DNC系統(tǒng)獲得控制權(quán)限。

而同屬俄羅斯國(guó)家支持黑客參與的Energetic Bear和Turla APT攻擊,也大量使用了微軟系列軟件漏洞。

俄羅斯APT攻擊組織對(duì)微軟Office系列產(chǎn)品公開漏洞的不同利用方式,顯示出其獨(dú)特的技術(shù)能力特點(diǎn)。

2. 方法論

本文主要分析與俄羅斯國(guó)家支持的相關(guān)APT和惡意軟件攻擊,由于沒有原始的APT惡意軟件樣本作為分析指導(dǎo),Recorded Future的分析來源包括公開博客、論壇、分享網(wǎng)站、代碼及惡意軟件庫(kù)、社交媒體和已發(fā)布報(bào)告。本文分析重點(diǎn)為俄羅斯APT攻擊的總體趨勢(shì)和利用技術(shù),與近期DNC攻擊事件無關(guān)。

3. 范圍

Recorded Future分析了從2012年1月1日到2016年7月31日期間與俄羅斯APT攻擊相關(guān)的開源網(wǎng)絡(luò)信息和漏洞信息。

重點(diǎn)涉及以下四個(gè)與俄羅斯相關(guān)的APT和惡意軟件攻擊:

(1) APT28又名Fancy Bear、Operation Pawn Storm、Strontium、Sednit、Sofacy和Tsar Team,可能與俄羅斯軍事情報(bào)局GRU相關(guān)(ГлавноеРазведывательное Управление)

(2)APT29 又名Cozy Bear、The Dukes、Office Monkeys,可能與俄羅斯情報(bào)機(jī)構(gòu)聯(lián)邦安全局FSB相關(guān)(Федеральнаяслужба безопасности Российской Федерации)

(3)Energetic Bear 又名 Crouching Yeti,Dragonfly、Group 24和 Koala Team,可能與 Havex系列惡意軟件攻擊相關(guān)

(4)Turla又名Epic Turla、Snake、Ouroboros和Carbon,可能與 Agent.BTZ 惡意軟件攻擊相關(guān)

4. 結(jié)論

被俄羅斯APT組織經(jīng)常進(jìn)行漏洞利用的系列辦公軟件:

以公司分類:

俄羅斯APT攻擊利用的相關(guān)漏洞:

5. 對(duì)已知漏洞的利用

俄羅斯APT攻擊的技術(shù)方式與其它APT類似:魚叉式郵件、虛假域名、網(wǎng)絡(luò)釣魚、社會(huì)工程、水坑攻擊等。其中,對(duì)Office和Adobe PDF漏洞的大量利用可能與國(guó)家支持的網(wǎng)絡(luò)攻擊相關(guān),不同于勒索軟件出于錢財(cái)?shù)哪康模瑖?guó)家支持的攻擊對(duì)攻擊目標(biāo)和獲取信息的針對(duì)性更強(qiáng)。

6. 觀點(diǎn)

通過對(duì)APT28和APT29利用的漏洞分析,印證了之前很多安全專家的結(jié)論:這兩個(gè)APT攻擊可能與GRU和FSB兩個(gè)俄羅斯獨(dú)立的情報(bào)機(jī)構(gòu)相關(guān)。有趣的是,據(jù)Crowdstrike分析聲稱,這兩個(gè)APT攻擊都不約而同地竊取了DNC系統(tǒng)中相同的數(shù)據(jù)信息。

四個(gè)APT攻擊中使用的軟件漏洞情況:

7. 網(wǎng)絡(luò)犯罪組織漏洞利用工具包 VS 俄羅斯APT利用的漏洞

俄羅斯APT攻擊中利用的漏洞,有46%與網(wǎng)絡(luò)犯罪組織使用的工具包漏洞相同,這些工具包被大量用于地下暗網(wǎng)買賣和勒索軟件活動(dòng)中。

俄羅斯APT利用漏洞 與 工具包漏洞重疊度分析:(按照不同軟件區(qū)分)

俄羅斯APT攻擊中利用的漏洞,有73%為利用代碼已知漏洞,雖然很難確定攻擊發(fā)生和漏洞利用代碼公開的具體時(shí)間,但總體來說,有幾個(gè)方面的原因:

(1)流行軟件存在很多漏洞;

(2)利用流行軟件漏洞,可以增加滲透入侵的成功率;

(3)流行軟件漏洞對(duì)迷惑歸因調(diào)查有幫助

俄羅斯APT漏洞利用代碼的公開程度:

8. 影響

國(guó)家支持的網(wǎng)絡(luò)滲透需要成功的定向植入攻擊。Windows每天有15億人次的使用量,另外,有12億人次安裝了Office軟件,俄羅斯APT“碰運(yùn)氣”的攻擊成功率仍然較大。美國(guó)的電腦系統(tǒng)中有85%的用戶安裝有JAVA和Adobe PDF軟件,其大量存在的漏洞可被攻擊者利用。

9. 建議

1) 更新本文提到的軟件漏洞;

2) 指導(dǎo)企業(yè)進(jìn)行網(wǎng)絡(luò)和電子郵件安全意識(shí)培訓(xùn);

3) 必要時(shí)請(qǐng)使用雙因素認(rèn)證和VPN;

4) 強(qiáng)制區(qū)分用戶權(quán)限;

5) 在Adobe FlashPlayer中啟用“clickto play”功能;

6) 考慮替代的PDF閱讀器軟件;

7) 警惕不明身份電子郵件地址發(fā)送的郵件。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)