上周，各家美國媒體對于俄羅斯發(fā)動對于美國能源及核能系統(tǒng)的攻擊而臉色大變，議論紛紛。而這個“大新聞”的開端，來自于美國國土安全部 DHS 和聯(lián)邦調(diào)查局 FBI 發(fā)出的聯(lián)合警報：

涉及能源系統(tǒng)的公司應(yīng)當小心黑客的攻擊活動！

　　入侵美國能源系統(tǒng)！

美國能源部表示，它正在與受影響的公司合作。此次自五月開始的襲擊波及美國至少十家電力公司，其中還包括堪薩斯州的 Wolf Creek 核電站。而相關(guān)的安全研究則揭示出黑客目前仍然將目標對準工控系統(tǒng)，并且在過去攻擊的經(jīng)驗上，巧妙地使用“模版注入”的方式隱匿惡意文檔，實施網(wǎng)絡(luò)釣魚，并試圖獲取相關(guān)能源企業(yè)的身份憑證。不僅如此，由于黑客響應(yīng)安全分析的速度還十分之快，目前尚未得到準確的攻擊影響及結(jié)果。

攻擊者可能是俄羅斯相關(guān)組織

根據(jù)“紐約時報”的報道，站在襲擊事件背后的被認為是俄羅斯的網(wǎng)絡(luò)間諜小組。該組織的代號為 Energetic Bear，也有其他安全報告中將其稱為 Dragonfly 或者 Crouching Yeti。自2010年以來，該組織一直保持活躍，估計至少在2014年就將能源部門作為實施入侵的攻擊目標。

　　Energetic Bear !?

而在 DHS 與 FBI 的聯(lián)合預(yù)警中給出了攻擊者目標列表，其中目標之一的 Wolf Creek核電站位于堪薩斯州伯靈頓。 紐約時報沒有詳細提及這次網(wǎng)絡(luò)攻擊的性質(zhì)，但在所發(fā)布的預(yù)警中對于這次襲擊威脅的安全評級達到第二高的級別。

“模版注入”攻擊方式分析

現(xiàn)在的攻擊者不斷試圖尋找新方法，通過電子郵件發(fā)送惡意軟件給目標用戶。通常，作為附件發(fā)送給網(wǎng)絡(luò)釣魚郵件的惡意 Word 文檔本身會包含執(zhí)行惡意代碼的腳本或者宏。而此次攻擊中，附件本身沒有惡意代碼，而是巧妙地利用一種舊的攻擊方法竊取憑證。

攻擊者使用了魚叉式網(wǎng)絡(luò)釣魚方式

許多人擔心這次的襲擊是類似于 2015 年和 2016 年冬季烏克蘭能源網(wǎng)絡(luò)所遭受的黑客襲擊。之前發(fā)生在烏克蘭的攻擊主要是使用了 BlackEnergy和 Industroyer惡意軟件所致。

之前，思科的 Talos 安全部門公布了更多當時的細節(jié)，我們也得以了解到這次網(wǎng)絡(luò)攻擊的嚴重程度究竟如何。

自從2017年5月以來，Energetic Bear組織開始向能源部門的公司發(fā)送了一波電子郵件。這些惡意電子郵件包含偽裝成的簡歷文件或者環(huán)境報告的 DOCX 文件。

　　某個進行分析的DOCX附件

使用 DOCX 文件獲取身份憑證

思科指出，一開始對這些 DOCX 文件進行初步分析時，他們預(yù)料應(yīng)該會在可疑郵件中發(fā)現(xiàn)一些惡意 VBA 宏或者其他腳本。然而實際上他們沒有發(fā)現(xiàn)任何宏或 EXP ——這些附件文件看上去毫無問題，幾乎迷惑了他們的研究人員。

　　使用 oletools 工具進行分析后的結(jié)果

然后他們使用另一個相似的檢測工具進行檢測結(jié)果的確認：

　　對于 DOCX 文件進行檢測分析，得到的結(jié)果

第二次的檢測中，研究人員也沒有發(fā)現(xiàn)任何預(yù)料中的常用手段。在他們設(shè)定好相關(guān)IP的沙盒中，這個文件樣本獲取到了 IP ，但在沙盒運行時他們卻發(fā)現(xiàn)服務(wù)器不再接受這些請求。所以，他們進行了其他線索的調(diào)查。在封閉環(huán)境中設(shè)置了 TCP 80 端口的監(jiān)聽，研究員想看看是不是會發(fā)生什么事情。

這樣，他們注意到了Microsoft Office載入時的開始屏幕上的一個“有趣”的狀態(tài)消息：

　　Word 試圖載入一個模版

所謂“模版注入”（Template Injection）

這份文檔開始嘗試從某個 IP 載入一個模版文件，但沒有連接上研究員設(shè)置在 TCP 80 端口的陷阱。不過，研究員實時捕捉到一次失敗的 TCP 445 握手。于此，可以開始手動解析文檔的內(nèi)容了解有關(guān)的IP地址了。盡管沒有惡意代碼的注入，研究員發(fā)現(xiàn)了一個模版注入的實例。

　　在文檔中發(fā)現(xiàn)模版注入

原來，這個攻擊利用惡意 SMB 服務(wù)器來在暗處“悄悄地”收集用戶身份憑據(jù)。如樣本中這個文件這樣，現(xiàn)在可以看到，注入的模板用于通過 SMB 建立與外部服務(wù)器的連接。但另一方面，這并不能解釋為什么這個樣本還會嘗試通過 TCP 80 端口進行會話。而在研究員進一步研究之后，原因可能在于主機的網(wǎng)絡(luò)偏好，在請求模版時 WebDAV 連接會通過 SMB 會話建立。

所以說，此次攻擊中偽裝成簡歷和環(huán)境報告的 DOCX 惡意文檔完全不依賴傳統(tǒng)方法（如 VBA 宏或其他嵌入式腳本）來遞送惡意軟件。攻擊者采用的是當用戶打開作為誘餌的文檔時，啟動 Word 應(yīng)用程序，然后從攻擊者控制的 SMB 服務(wù)器加載模板文件。

與開源工具 Phishery 的聯(lián)系

通過使本地主機連接到遠程SMB服務(wù)器，攻擊者其實是在試圖欺騙本地計算機披露本地網(wǎng)絡(luò)的身份憑據(jù)——這種被稱作模版注入（Template Injection）的攻擊方法是一個相當古老的技巧了，在過去的許多攻擊中都曾使用過。

研究人員發(fā)現(xiàn)這次使用的“模板注入”攻擊與名為 Phishery 的開源工具之間存在一定聯(lián)系。

但不清楚相似之處是否只是巧合，還是因為黑客修改使用了過去的工具，又或者只是出于混淆調(diào)查人員的目的才這樣做？

工控安全防護公司創(chuàng)始人 Galina Antova 說，

我們認為，目前黑客的行動可能旨在竊取憑證信息，而不是直接的竊取能源規(guī)劃和其他敏感商業(yè)信息。攻擊者希望是能夠竊取足夠的信息，保障之后能夠繼續(xù)訪問對于這一關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)。

攻擊結(jié)果尚不明晰，如何應(yīng)對工控系統(tǒng)安全挑戰(zhàn)？

針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊是我們必須面對的最嚴重的國家安全挑戰(zhàn)之一。

能源、核能、和其他關(guān)鍵基礎(chǔ)設(shè)施，如今成為網(wǎng)絡(luò)攻擊虎視眈眈的目標之一。而在之前5月11日，特朗普總統(tǒng)曾簽署過一項行政命令，以加強聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防范。該命令要求政府機構(gòu)與安全公司合作，減輕風(fēng)險，并幫助捍衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施組織，該命令專門針對“網(wǎng)絡(luò)安全事故造成的電力中斷和長時間停電”的威脅。

　　前能源委員會主席 Jon Wellinghoff

聯(lián)邦能源監(jiān)管委員會前主席 Jon Wellinghoff 則在上周接受采訪時表示

盡管近年來美國關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的安全性有所改善，但仍然容易受到先進的黑客攻擊，特別是那些使用從 CIA 泄露工具的黑客。

盡管得到了上述研究結(jié)果，思科仍然表示，攻擊中所涉及到的大部分設(shè)備和服務(wù)器在他們進行威脅分析時都陸續(xù)開始關(guān)閉，意味著攻擊者正在迅速響應(yīng)，毀尸滅跡。

目前所進行的攻擊，可能只是對于能源部門或其他目標的初次偵查，攻擊者是否成功實施了偵察活動目前仍在調(diào)查中，并沒有得到明確的結(jié)果，但所有被盯上了的相關(guān)組織需要更換內(nèi)部憑證以確保安全。

此外，由于攻擊組織的主要 C&C 服務(wù)器已經(jīng)關(guān)閉，我們也無法知道攻擊方是否已經(jīng)成功使用憑證進入內(nèi)部系統(tǒng)，并在瀏覽惡意郵件的那些計算機上安裝了惡意程序。相關(guān)部門的企業(yè)應(yīng)當小心遺留下惡意軟件的可能。

*參考來源：NYT/bloomberg/securityweek/bleepingcomputer，Elaine編譯，轉(zhuǎn)載請注明FreeBuf.COM