卡巴斯基實(shí)驗(yàn)室目前正在跟蹤100多名威脅行為者和針對80多個國家的商業(yè)和政府機(jī)構(gòu)的復(fù)雜惡意行動。 2017年第一季度，我們已經(jīng)向情報(bào)服務(wù)訂閱者發(fā)布了33份私人報(bào)告，其中包含“攻擊指標(biāo)”（IOC）數(shù)據(jù)和YARA規(guī)則，來協(xié)助相關(guān)人員進(jìn)行取證和惡意軟件搜索工作。

我們還發(fā)現(xiàn)國家支持的網(wǎng)絡(luò)攻擊行為的復(fù)雜性正在急劇上升，以及APT行為者和利益驅(qū)動的網(wǎng)絡(luò)犯罪分子之間的戰(zhàn)術(shù)、技術(shù)和流程（Tactics、Techniques和 Procedures，TTPs）正在不斷融合。中東已經(jīng)成為主要的網(wǎng)絡(luò)戰(zhàn)場之一。同時(shí)，2017年第一季度發(fā)現(xiàn)的一類專門摧毀硬碟資料的惡意程式“wiper”，也把業(yè)務(wù)從中東地區(qū)擴(kuò)展至歐洲大陸。

在本次報(bào)告中，我們將對2017年第一季度出現(xiàn)的尤為突出的針對性攻擊事件，以及一些需要立即關(guān)注的新型趨勢進(jìn)行討論。

表現(xiàn)突出的定向攻擊

Wipers進(jìn)化：APT攻擊者的新武器

在過去幾個月中，出現(xiàn)了新一波針對中東多個目標(biāo)的磁盤擦除器攻擊（wiper attacks），此次攻擊使用的惡意代碼就是臭名昭著的Shamoon蠕蟲的變種，Shamoon惡意代碼曾在2012年攻擊過沙特阿拉伯Aramco國家石油公司和卡塔爾Rasgas天然氣公司。

在調(diào)查這些攻擊事件時(shí)，我們發(fā)現(xiàn)了一種名為“StoneDrill”的新型Wipers，發(fā)現(xiàn)它與Shamoon樣本存在多處類似，如利用多種技術(shù)和方法來逃避檢測。

　　【StoneDrill和Shamoon2.0比較】

此外，我們還發(fā)現(xiàn)StoneDrill與Charming Kitten使用的惡意軟件（NewsBeef）之間存在許多相似之處，包括代碼、C&C命名規(guī)范、后門命令和功能，以及Winmain簽名等。從這一點(diǎn)來看，StoneDrill也可能是Charming Kitten惡意軟件的演變版。

【StoneDrill和NewsBeef樣本中用于C2通信的憑據(jù)（用戶名和密碼）相同】

【StoneDrill和Shamoon2.0以及NewsBeef之間的異同比較】

對于StoneDrill、Shamoon以及Charming Kitten三個惡意軟件之間的關(guān)系有以下三種假設(shè)：

StoneDrill是Shamoon攻擊者部署的另一種Wiper？

StoneDrill和Shamoon是否為兩個不同的惡意軟件，或攻擊組織毫不相關(guān)，只是同時(shí)針對沙特阿拉伯的組織機(jī)構(gòu)發(fā)起攻擊？

兩個組織是獨(dú)立的，只是目標(biāo)一致？

卡巴斯基實(shí)驗(yàn)室全球研究與分析小組高級安全研究員Mohamad Amin Hasbini認(rèn)為，威脅背后有兩個獨(dú)立的小組，它們具有相同的目標(biāo)。因?yàn)閳?bào)告顯示：

“雖然Shamoon中嵌入了阿拉伯—也門語資源語言段，但StoneDrill嵌入了大多數(shù)波斯語資源語言段。當(dāng)然，我們不能排除這些Artifact（指軟件開發(fā)過程的中間或最后工作產(chǎn)品,包括文檔、模型和程序）故意偽裝的可能性。”

近日，我們在歐洲發(fā)現(xiàn)了第一例StoneDrill受害者，該受害者屬于能源行業(yè)，這意味著這種攻擊威脅正在從中東往歐洲蔓延。尤其是在我們認(rèn)為該威脅行為可能來自國家支持的攻擊組織后，這一事實(shí)更為令人擔(dān)憂，這可能意味著網(wǎng)絡(luò)破壞行為正以地緣政治動機(jī)（geopolitically-motivated）進(jìn)行擴(kuò)展。當(dāng)然，目前為止這種假設(shè)尚未得到確認(rèn)。

概要：

Wipers正在擴(kuò)大他們的地理輻射；

Wipers目前已經(jīng)成為APT組織武器庫的一部分。它們可以被用于破壞性行為，以及在進(jìn)行網(wǎng)絡(luò)間諜活動后刪除痕跡；

最新的Shamoon攻擊浪潮中使用的模塊之一包含勒索軟件功能，這可能被認(rèn)為是“不那么明顯的擦拭（not-so-obvious wiping）”的另一種形式；

針對能源公司的這些破壞行為可能與一些政府支持的APT組織有關(guān)的事實(shí)絕對令人擔(dān)憂，超越了典型的間諜活動。

BlueNoroff/Lazarus：銀行劫案的演變

針對波蘭銀行的大規(guī)模水坑攻擊于2017年2月3日被公開披露。攻擊者在波蘭金融監(jiān)管機(jī)構(gòu)的網(wǎng)站上植入了一種病毒，然后等待銀行在訪問該網(wǎng)站期間不經(jīng)意地下載它。

攻擊者對銀行展開的就是所謂的水坑攻擊——得名于攻擊者在目標(biāo)經(jīng)常出沒之處進(jìn)行伏擊的做法；這個案例中，“水坑”是金融監(jiān)管機(jī)構(gòu)的網(wǎng)站。當(dāng)名單上的銀行訪問該網(wǎng)站時(shí)，它們會被重定向至?xí)噲D下載惡意軟件的軟件。除了波蘭銀行，攻擊者也對墨西哥財(cái)政部門采取了非常類似的戰(zhàn)術(shù)，雖然沒有其他受害者被公開披露出來，但是有可能更多的銀行也受到了同樣的影響。

據(jù)悉，在目標(biāo)名單上，波蘭銀行的數(shù)量最多，緊隨其后的則是美國的銀行，其中包括德意志銀行美國分行。為農(nóng)業(yè)和農(nóng)村項(xiàng)目提供貸款的CoBank也被列為攻擊目標(biāo)。俄羅斯、委內(nèi)瑞拉、墨西哥、智利和捷克的央行都在名單上。唯一一個與中國有關(guān)的目標(biāo)，是中國銀行在香港和美國的分支機(jī)構(gòu)。

我們分析發(fā)現(xiàn)這些攻擊事件與Lazarus 旗下代號為 Bluenoroff 的黑客組織有關(guān)，他們專門從事金融犯罪，包括著名的孟加拉國銀行大劫案，攻擊目標(biāo)遍及全球十余個國家的銀行、賭場、加密貨幣公司。此次針對全球金融機(jī)構(gòu)的水坑攻擊中雖然沒有使用任何零日漏洞，但是Flash Player和Silverlight漏洞已經(jīng)足夠瓦解銀行機(jī)構(gòu)運(yùn)行的過時(shí)軟件。

事實(shí)上，我們從很久以前就開始跟蹤BlueNoroff組織。剛開始，該組織主要針對東南亞地區(qū)的銀行機(jī)構(gòu)，后來進(jìn)行重新分組并轉(zhuǎn)戰(zhàn)至新的國家，選取目標(biāo)主要為貧窮、較不發(fā)達(dá)地區(qū)，因?yàn)檫@些目標(biāo)顯然更容易得手。

BlueNoroff開發(fā)了一套可以在目標(biāo)組織內(nèi)部橫向移動的定制工具，并通過篡改SWIFT系統(tǒng)來實(shí)現(xiàn)攻擊。這種技術(shù)與去年的孟加拉國央行劫案存在很大聯(lián)系，當(dāng)時(shí)攻擊者試圖從中竊取9億美元。在2月份的“波蘭劫案”中，我們發(fā)現(xiàn)該組織重新利用這些已知的橫向移動工具，發(fā)動了新一輪的金融攻擊。這讓我們相信，這些攻擊事件與Bluenoroff 黑客組織有關(guān)。

有趣的是，BlueNoroff組織在代碼中種植了俄語詞匯，擾亂了研究人員的方向。據(jù)悉，該代碼中包含的俄語存在以俄語為母語的開發(fā)者不會犯的語法錯誤，懷疑可能是使用了在線翻譯工具處理的句子。

概要：

我們認(rèn)為，BlueNoroff是針對金融機(jī)構(gòu)實(shí)施攻擊最活躍的團(tuán)體之一，并且試圖在多個地區(qū)積極地感染不同的受害者。

我們認(rèn)為他們的業(yè)務(wù)仍在繼續(xù)，事實(shí)上，2017年3月我們發(fā)現(xiàn)了其最近的惡意軟件樣本。

目前，我們認(rèn)為BlueNoroff可能是對全球銀行機(jī)構(gòu)最嚴(yán)重的威脅。

無文件惡意軟件：增加了檢測和追溯難度

無文件惡意軟件是一種不需要在文件系統(tǒng)中存放惡意可執(zhí)行文件的軟件。對于許多APT攻擊者而言，避免歸因是非常重要的目標(biāo)之一，特別是近年來攻擊者的大量業(yè)務(wù)被不斷曝光。對于最復(fù)雜的團(tuán)體來說，他們自身存在很多無法被人忽視的因素。

但是對于那些不是那么醒目的攻擊者而言，使用無文件惡意軟件來避免歸因就足夠了。不需要創(chuàng)建和使用自己的工具，他們只需要使用通用的工具就可以完成操作，不僅具有明顯的經(jīng)濟(jì)優(yōu)勢，而且還為攻擊者提供分析事件和逃避歸因的附加價(jià)值。

現(xiàn)在有許多不同的框架為攻擊者提供更多選擇，特別是橫向移動。這些類別包括Nishang、Empire、Powercat以及Meterpreter等。有趣的是，這些軟件大多數(shù)都是基于Powershell的，且允許使用無文件后門。

　　【受害區(qū)域分布圖，40個國家的140多個企業(yè)組織受到影響】

我們發(fā)現(xiàn)，這些技術(shù)在過去幾個月得到了廣泛運(yùn)用。我們在針對東歐銀行的Shamoon攻擊使用的橫向移動工具中發(fā)現(xiàn)了一些例子，這些技術(shù)被不同的APT攻擊者使用，例如CloudComputating、Lungen或HiddenGecko，以及像Hikit這樣的舊后門的演變，Hikit已經(jīng)演變成新的無文件版本。這種趨勢使傳統(tǒng)的取證分析變得更加困難，它有助于逃避大部分的日志活動。

另一方面，攻擊者通常需要升級權(quán)限或竊取管理員憑據(jù)，因?yàn)樗麄兺ǔ２痪邆湓谙胍腥镜臋C(jī)器中重啟生存機(jī)制的能力，所以在重新連接受感染的網(wǎng)絡(luò)時(shí)，他們需要依賴于訪問它們。目前這種新的趨勢仍在繼續(xù)，從防御角度來看，還沒有最好的防御方式。但是，我們將在本末提供我們的相關(guān)建議。

概要：

使用標(biāo)準(zhǔn)和開源工具，結(jié)合不同的技巧，使檢測和歸因變得幾乎不可能。

確定隱藏其活動的攻擊者以及檢測和事件響應(yīng)變得越來越困難，這也是內(nèi)存取證對于分析惡意軟件及其功能變得至關(guān)重要的原因。

在這種情況下，事件響應(yīng)是關(guān)鍵。

如何保護(hù)自身安全？

利用漏洞仍然是感染系統(tǒng)的關(guān)鍵方法，因此及時(shí)修補(bǔ)是至關(guān)重要的——作為最繁瑣的IT維護(hù)任務(wù)之一，運(yùn)用自動化可以很好的實(shí)現(xiàn)目標(biāo)。卡巴斯基高級商務(wù)端點(diǎn)安全和卡巴斯基全面安全解決方案中包括漏洞和補(bǔ)丁管理組件，為打補(bǔ)丁提供便利易操作的工具，幫助IT員工降低時(shí)耗，提高效率。

鑒于使用基于Powershell的技術(shù)（包括無身份惡意軟件場景）的趨勢，您需要確保您的安全解決方案了解這些細(xì)節(jié)?？ò退够K端安全解決方案以及卡巴斯基虛擬化安全解決方案擁有最廣泛的機(jī)器學(xué)習(xí)檢測技術(shù)，包括專門處理使用Powershell技術(shù)的惡意軟件。我們的行為系統(tǒng)監(jiān)視器（System Watcher）技術(shù)也可以識別特定的Wiper活動，如大量文件刪除行為；在阻止惡意軟件后，其“Rollback”功能會將重要的用戶文件從已刪除狀態(tài)中恢復(fù)。

但是，我們還是有必要正確認(rèn)識定向攻擊行為的危險(xiǎn)性，不僅因?yàn)樗鼈兎浅?fù)雜（有時(shí)并非如此），而且因?yàn)樗鼈兺ǔＪ亲龊脺?zhǔn)備的，并嘗試?yán)门c其目標(biāo)無明顯相關(guān)性的安全漏洞實(shí)施攻擊。

因此，強(qiáng)烈建議您不僅要做好預(yù)防（如端點(diǎn)保護(hù)）工作，還可以運(yùn)行主動地檢測功能，特別是可以檢測整個網(wǎng)絡(luò)正在進(jìn)行的活動中的異常情況，并對用戶端點(diǎn)上可能存在的可疑文件進(jìn)行更深層次的仔細(xì)檢查。

卡巴斯基反定向攻擊（Anti Targeted Attack）是一個智能檢測平臺，用于匹配來自不同基礎(chǔ)設(shè)施級別的事件，識別異常并將其聚合進(jìn)事件中，同時(shí)在沙箱的安全環(huán)境中研究相關(guān)工件。與大多數(shù)卡巴斯基產(chǎn)品一樣，卡巴斯基反定向攻擊由HuMachine Intelligence提供支持，幫助我們實(shí)時(shí)了解威脅情報(bào)大數(shù)據(jù)的情況。

防止攻擊者發(fā)現(xiàn)和利用安全漏洞的最佳方法就是擺脫所有這些漏洞，包括涉及不正確的系統(tǒng)配置或?qū)Ｓ袘?yīng)用程序中的錯誤。對此，卡巴斯基滲透測試和應(yīng)用安全評估服務(wù)就是這樣一套方便高效的解決方案，不僅提供了發(fā)現(xiàn)漏洞的數(shù)據(jù)，還提供了如何解決這個問題的方法，進(jìn)一步加強(qiáng)企業(yè)安全。