安全路透社
当前位置:安全路透社 > 网络转载 > 正文

卡巴斯基2017第二季度APT趋势分析报告

概要

自2014年以来,卡巴斯基实验室的全球研究与分析团队(GReAT)就一直在为全球范围内的广大客户提供威胁情报报告,从而提供全面而专业的私人报告服务。在这项新的服务推出之前,GReAT会先在线发布大量的研究成果,以帮助应对来自国家级别的和其他威胁行为者日益增加的威胁。

自从我们开始提供威胁情报服务以来,所有关于APT的深度技术技术细节都首先被推送到我们的用户群中。同时,为了维持网络安全,以及保持重要事件——例如WannaCry或Petya的真实性,这样事件都会在私人的和公共的报告中被提及,下图就是卡巴斯基的私人威胁情报门户(TIP):

卡巴斯基的私人威胁情报门户(TIP)

【卡巴斯基的私人威胁情报门户】

在2017第一季度,我们发布了第一份APT趋势报告,突出了2017年第一季度(1月-3月)的研究成果。本报告主要针对第二季度的APT 趋势分析,重点阐述了我们认为大多数用户应该意识到的重大事件和调查结果。

俄语语言攻击者

2017年第二季度发生了多起涉及俄语语言威胁行为者的攻击事件。其中,最引人注意的要数“Sofacy”和“Turla”。

今年3月和4月,研究人员发现了三个零日漏洞正在被Turla和Sofacy在野利用:其中两个漏洞的攻击目标是微软Office的Encapsulated PostScript (EPS),第三个是针对微软WindowsWindows本地提权升级(Local Privilege Escalation,LPE)。在复活节期间,研究人员发现了利用了CVE-2017-0262(EPS漏洞)和CVE-2017-0263(LPE漏洞)发起攻击的Sofacy,其目标是整个欧洲范围内的用户群。在此次攻击之前,Turla也被检测到使用了CVE-2017-0261(不同的EPS漏洞)。显然,攻击者似乎都没有偏离他们常用的有效载荷,Sofacy下发了他们典型的“GAMEFISH”有效载荷,而Turla则利用了“ICEDCOFFEE”(也称为“Shirime”)。此外,两个组织针对的目标也在其正常范围内,主要集中在外交部、政府以及其他政府机构。

今年4月份,我们向客户通报了Sofacy采用的两项新的实验性宏负载技术。这些技术虽然不是特别复杂,但却引起了我们的注意,因为它们之前并没有在野使用或发现过。其中,第一项技术涉及在Microsoft Windows中使用内置的“certutil”实用程序来提取宏中的硬编码有效载荷。第二项技术涉及在恶意文档的EXIF元数据中嵌入Base64编码的有效载荷。

虽然这一系列新的攻击活动的目标相当标准,但在2017年法国总统大选之前,我们发现了一些针对法国政党成员的攻击,这些攻击引起了我们的注意。在5月和6月,我们另外发表了两篇关于这2个威胁行为者的有趣报道:第一篇是关于“Mosquito Turla”的长期攻击活动的更新,其中描述了攻击者使用假冒的Adobe Flash安装程序,并继续针对外交部实施攻击活动。第二篇记录了Sofacy特有的“Delphi”有效载荷推出了更新版本,我们称之为“Zebrocy”。

6月,名为“expert”的恶意软件实现了大规模爆发。虽然初步评估认为这是另一种勒索软件(类似于WannaCry)的攻击行为,但是,经过GReAT更深入的分析和评估后,我们认为其本质上是一种更具破坏性的行为。我们能够自信地确定恶意软件的初始分布情况,但是对于这些攻击与BlackEnergy组织间存在的关联性却没有太多把握。

Petwrap勒索软件攻击国家比例分布

【Petwrap勒索软件攻击国家比例分布】

以下是仅为东欧地区编制的分析报告的标题列表:

Sofacy Dabbling in New Macro Techniques

Sofacy Using Two Zero Days in RecentTargeted Attacks – early warning

Turla EPS Zero Day – early warning

Mosquito Turla Targets Foreign AffairsGlobally

Update on Zebrocy Activity June 2017

ExPetr motivation and attribution – Earlyalert

BlackBox ATM attacks using SDC businjection

英语语言攻击者

英语语言攻击者总是特别吸引人,因为他们有复杂的工具和悠久的活动历史。像“Regin”和“Project Sauron”这样的攻击者就是最好的证明,他们总是在长期的、难以捕捉的攻击活动中,不断开发利用一些新技术,这使得他们成为了深入研究的理想对象。不过,后来者也是不甘示弱,“Equation”和“Lamberts”也是我们最近调查的对象。

我们在研究和整合这些恶意软件的过程中有了新发现,随后,我们发布了一篇关于“EQUATIONVECTOR”的报告。EQUATIONVECTOR是早在2006年就开始首次使用的一种后门程序,该后门是一种令人着迷的、被动的、shellcode分期植入物。这是最早出现的一个用于进一步攻击的“NObody But US”(“NOBUS”)后门程序的例子。尽管已经存在了十多年,但是“EQUATIONVECTOR”后门程序(在最近的影子经纪人披露中被称为“PeddleCheap”)已经整合了许多先进的技术,用于在受害者网络中进行长期的隐身操作,从而允许Equation的操作人员能够在不引起怀疑的情况下,提供更多的有效载荷。我们的报告会跟踪这些工具的开发状况,并每年都会迭代更新分析报告。

此外,我们还在继续跟踪Lamberts工具包的发展情况,并在6月份发布的Gray Lambert报告中展示了迄今为止最先进的Lambert工具包的情况。它也是一个“NOBUS”后门程序,被动的植入物。其复杂性在于能够通过广播、多播和单播命令在一个网络中嗅探多个受害者,从而允许操作者在多个受感染机器的网络中精确(像外科手术一样精准)的发起攻击活动。Lambert攻击活动的一个显著特点是选择目标的精确度;Gray Lambert的受害者主要集中在亚洲和中东的战略垂直领域。在此次调查中,GReAT研究人员还发现了目前正在调查的另外两个Lambert 家族——Red Lambert 以及Brown Lambert,将在第三季度的报告中进行阐述。以下是相关报告标题列表:

EQUATIONVECTOR – A Generational Breakdownof the PeddleCheap Multifunctional Backdoor

The Gray Lambert – A Leap in Sophisticationto User-land NOBUS Passive Implants

朝鲜语语言攻击者

第一季度中,我们的研究人员主要专注于与朝鲜黑客组织相关的攻击活动,并发表了7篇关于“Lazarus group”和“WannaCry”攻击的分析报告。大多数关于Lazarus的报道都直接涉及到了一个被我们称之为“BlueNoroff”的小组。该小组主要针对金融行业进行攻击,目标是银行、自动取款机以及其他“货币制造者”。我们向客户透露了一种前所未见的恶意软件——据称是Lazarus所使用的“Manuscrypt”,它的攻击目标不仅包括韩国外交部门,还包括使用虚拟货币和电子支付网站的用户。最近,“Manuscrypt”已经成为“以金融机构为攻击目标的”BlueNoroff小组的主要后门程序。

WannaCry在第二季度也引起了很大的轰动,我们的分析人员就这一新兴的威胁发表了三篇报道和多篇博客文章。对我们来说最感兴趣的是,Lazarus团队是否是攻击的源头,以及恶意软件的起源。GReAT研究人员能够追溯到恶意软件最早的使用情况,显示在“EternalBlue”(永恒蓝色)的漏洞被添加到版本2.0之前,WannaCry1.0在几个月前就被用于鱼叉式网络钓鱼攻击。以下是我们在第二季度发布的有关朝鲜攻击者的相关报道标题列表:

Manuscrypt – malware family distributed byLazarus

Lazarus actor targets carders

Lazarus-linked ATM Malware On the Loose InSouth Korea

Lazarus targets electronic currencyoperators

WannaCry – major ransomware attack hittingbusinesses worldwide – early alert

WannaCry possibly tied to the Lazarus APTGroup

The First WannaCrySpearphish and ModuleDistribution

中东地区攻击者

虽然涉及中东地区的APT活动并没有太多,但我们确实发表了两篇关于使用零日漏洞(CVE-2017-0199)的报告。其中最引人注目的是一个我们称之为“BlackOasis”的黑客组织,以及他们利用的一些“在野未被发现的”漏洞的情况。我们之前曾报道过BlackOasis使用其他零日漏洞的情况——包括CVE-2016-4117(2016年5月)、CVE-2016-0984(2015年6月)以及CVE-2015-5119(2015年9月)。我们有理由相信,BlackOasis是Gamma Group的客户,并利用流行的“合法监控”套件FinSpy。这份报告意义重大,因为除了漏洞的利用情况外,它还展示了一种新版本的FinSpy的使用情况,针对该版本的FinSpy的研究目前还在进行中。

在发现CVE-2017-0199之后,大量的威胁行为者开始利用该漏洞实施攻击。我们向客户报告了一个使用该漏洞的知名中东组织,称为“OilRig”。该组织通过鱼叉式网络钓鱼手段诱骗来自Ben Gurion大学的知名医生,然后利用该漏洞积极地针对以色列众多组织实施攻击。尽管他们的执行能力还不太稳定,但它强调了这样一个事实:即在漏洞发现后不久就被广泛使用了。

与漏洞相关的报道标题列表:

OilRig exploiting CVE-2017-0199 in newcampaign

BlackOasis using Ole2Link zero day exploitin the wild

中文语言攻击者

虽然中文语言攻击者几乎每天都在活跃,但他们其实并没有太多的变化,我们尽力避免出现“另一个APTxx的实例”之类的充数性报告。相反地,我们试图关注那些新的和令人兴奋的攻击活动,我们认为这才是值得关注的。

在讨论中文语言攻击者之前,我们觉得有必要向客户提示重点关注两篇报道。其中一份报告详细介绍了一项“关于著名的‘HiKit’恶意软件的一个无文件版本——Hias”的新发现。我们过去曾报道过Hias,一位研究人员终于发现了它使用的持久性机制,这一发现也为我们能够将该攻击活动与我们称之为“CloudComputating”的黑客组织联系在一起提供了充分的证据。

另一份报告详细介绍了一种我们称之为“IndigoZebra”的新型攻击活动。该活动的主要目标是前苏联加盟共和国,其使用了大量的恶意软件,包括Meterpreter、Poison Ivy 、xDown和一种前所未见的恶意软件——名为“xCaon”。这一活动与其他知名的中文语言攻击组织存在联系,但目前还没有明确的归属。

两份报告标题列表,有兴趣的可以自行查阅:

Updated technical analysis of HiasRAT

IndigoZebra – Intelligence preparation tohigh-level summits in Middle Asia

未知类别攻击

有时候,我们会发现新的和令人兴奋的攻击活动或全新的威胁行为者,在无法立即或明确地确定区域归属时,我们就向用户发送了这些报告。在上个季度,有几份报告属于这一类别。

ChasingAdder是一份描述了一种新的持久性技术的报告,该技术劫持了一个合法的WMI DLL来加载恶意的有效载荷。这项活动是从2016年秋天开始的,针对的是备受关注的外交、军事以及研究机构,但到目前为止,我们还没有能够确定具体的责任人。

Demsty是一款针对香港地区大学的研究人员的新一代MacOS恶意软件。在报告编写的时候,我们认为这个活动是由中文语言攻击者操纵的,但是对于该说法的证据不足,因此在更多的证据出现之前,我们暂且把它归为“未知”。

在第二季度,恶作剧的影子经纪人(“ShadowBrokers”)还在继续他们的定期活动,从“方程式组织”处窃取一些工具和文件。今年4月,影子经纪人发布了另一份资料,详细说明了由“方程式组织”对SWIFT服务机构和其他银行的攻击活动。由于我们的一些客户是金融实体,所以我们有必要对数据进行评估,并对这些信息的有效性提供专家意见。

“未知”类别的报告标题列表:

ShadowBrokers’ Lost in translation leak –SWIFT attacks analysis

ChasingAdder – WMI DLL Hijacking TrojanTargeting High Profile Victims

University Researchers Located in Hong KongTargeted with Demsty

威胁预测

根据过去三个月的趋势,以及可预见的地缘政治事件,我们已经为即将到来的第三季度做出了一些预测。和往常一样,这不是一个确切的事情,有些情况可能不会出现。但是通过分析当前的和未来的事件,并将这些与已知活动参与者的动机结合起来,可以帮助组织为即将到来的攻击活动做好准备:

错误的信息宣传活动将对即将举行选举的国家(特别是德国和挪威)造成威胁,因为他们以前就是东欧地区攻击者的目标。

“合法监控”工具将继续被不具备完善网络运营能力的政府所利用,主要来自中东。像Gamma Group、Hacking Team 和 NSO这样的公司将继续为他们的客户提供新的零日攻击。随着价格的不断上涨和交易的蓬勃发展,新的组织和市场将会持续涌现。

伪装成勒索软件的破坏性恶意软件将继续是一个重要的安全问题。在上个季度,我们已经看到了两个这样的例子,而且随着Vault7和影子经纪人等组织不断发布各类工具/ 漏洞利用,这将成为一个新的值得警醒的趋势。

在中国,过去几个月的经济增长不断放缓,与朝鲜和美国的紧张局势日益加剧,韩国/日本/美国之间的交流也日益增加。除此之外,第19届全国代表大会将于2017年秋季举行,根据多项公布的预测,领导层可能发生一些重大变化。这些事件都有可能带来广泛的地域影响,可能会影响威胁行为者在亚洲的攻击活动,包括目标和TTPs(战术-技术-程序)。

以能源相关公司和组织为攻击目标的活动将会不断增加。像挪威这样的国家,由于他们对该地区石油和天然气的控制,可能会使其成为攻击者的重要目标。此外,由于过去几年的表现,沙特阿拉伯也极有可能成为潜在的目标市场。

较低层次的威胁行为者将不断增加网络间谍活动,并不断提高其在复杂性和规模方面的能力。预计会有更多的拥有不同的技术能力的活动出自不太知名的或前所未见的威胁行为者。

如何保障自身安全

利用威胁情报时,最大的问题之一就是判断数据的质量,以及如何使用它们进行防御。例如,我们可能会发现,无文件攻击或其他攻击(所有的IOCs都是唯一的或特定的)的数量都在增加,在这种情况下,不仅有基于主机的IOCs,而且还有网络IOCs和Yara的规则,可以帮助识别所有的恶意软件,这是非常重要的。

另一个问题来自于许多威胁情报提供者的世界观都是有限的,其数据仅涵盖了一小部分威胁。企业很容易陷入这样的陷阱,认为“攻击者X”不是他们需要担心的事情,因为他们的重点只是某些国家或特定的行业部门;直到后来才发现,是他们的无知致使他们对这些攻击视而不见。

正如许多事件所警示的那样,尤其是WannaCry和expetr是基于Eternalblue漏洞进行广泛传播的案例,告诉我们漏洞仍然是感染系统的关键方法。因此,及时修复漏洞是非常重要的环节——作为最繁琐的IT维护任务之一,在自动化程度越高的情况下,其工作效率越好。

鉴于上述情况,强烈建议添加预防(如端点保护)和高级检测功能,例如在用户的系统上,部署一个可以检测所有类型的异常行为,且能够在更深层次上检查所有可疑文件的安全解决方案。

防止攻击者发现和利用安全漏洞的最佳方法就是彻底消除这些漏洞,包括不正确的系统配置或专有应用程序中存在的错误漏洞。为此,部署渗透测试和应用程序安全评估服务可以成为一种方便而高效的解决方案,不仅提供关于发现漏洞的数据,还可以提供如何解决问题的建议,帮助进一步加强企业的安全性。

*参考来源:securelist,米雪儿编译

未经允许不得转载:安全路透社 » 卡巴斯基2017第二季度APT趋势分析报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册