网络安全

    警惕针对中国和南亚国家的大规模APT攻击

         [ 中关村在线 原创 ] 暂无评论

      2016年8月,一个追踪来自印度的针对中国和南亚国家的大规模APT攻击报告发布了。该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成,其成员由优秀的恶意软件逆向工程师和分析师组成,职责是专门深入研究僵尸网络和APT攻击。

      此次发布的APT攻击跟踪报告被命名为MONSOON。调查表明,这些攻击活动主要针对中国的各个行业,以及南亚地区的一些国家政府机构。MONSOON从2015年12月开始发起攻击,截至2016年7月攻击活动仍在持续。在调查MONSOON过程中所收集到的证据里,有一些指标表明MONSOON和OPERATION HANGOVER存在高度相似。这些指标包括相同的攻击架构,类似的战术、技术与规程(即TTP),人口统计学意义上相似的受害者,以及都在印度次大陆进行的地理属性。

      总体来看,MONSOON所用的恶意软件一般通过附有“武器化”文档的电子邮件发送给特定目标。这些文档的主题几乎都与政治相关,大多选自近期的热门政治事件。其所使用的恶意软件包括Unknown Logger Public,TINYTYPHON,BADNEWS和AutoIt后门。其中非常独特的是,BADNEWS利用RSS订阅、GitHub、论坛、博客和动态DNS主机向远程C&C服务器进行通信。调查所收集到的证据表明,OPERATION HANGOVER这个团体操纵MONSOON至少自2010年开始活跃,在跟踪的时间内,他们使用了至少72个诱饵文件中,大多数使用了当前热门新闻主题词,并高度契合受害者的兴趣,其中,用的最多的诱饵文件名为China_Military_PowerReport(中国军事力量报告)。MONSOON的受害者遍布110多个国家,被攻击的IP地址多达6300多个,其中,61%的受害者来自中国,而攻击则来自印度次大陆。

      该报告的追踪调查采用独特的APT攻击七步曲方法论。具体分析攻击全过程如下:

      一、 侦测

      在跟踪调查中发现,APT攻击者起初通过对当下中国和南亚地区关注的时事进行分析,并针对受害人的关注点,伪造相关“时事新闻”及报告诱使他们去点击查看。在相关样本的分析过程中,我们还发现APT攻击者对受害者可能使用的防病毒软件进行猜测(例如360 Total Security)并通过Virus Total网站对恶意文件进行防病毒软件绕过检测。

      二、钓鱼

      为了吸引受害者的注意,APT攻击者采用第三方邮件服务器向受害者发送鱼叉式钓鱼邮件,并伪装邮件发送者,其钓鱼邮件的主题多与中国时事政治相关,以吸引受害者查看阅读邮件及相关连接。与此同时,攻击者通过建立多个虚假新闻网站、操控多个发布虚假新闻的社交软件(FACEBOOK、TWITTER、Google Plus)发布虚假新闻以引诱受害者点击和注册等。

      三、再定向

      通过对钓鱼邮件的分析,我们发现APT攻击者会在邮件中附加一个或多个恶意连接,这些链接指向恶意文档的下载地址,以此利用受害者的好奇心诱使他们去阅读和下载恶意文档。

      四、漏洞攻击包

      通过分析相关恶意文档的样本,我们发现,这些文档均包含了多个已知的微软Office漏洞(具体参看相关报告中涉及CVE编号)。 同时,恶意站点还会探测受害者的计算机是否安装了Silverlight软件,并对该关键漏洞进行渗透。

      五、木马下载

      一旦受害者访问了包含漏洞的恶意文档,攻击者将会利用漏洞将多个木马及后门程序植入到目标计算机中。然后这些恶意程序会通过伪装系统进程、软件加密、隐藏免杀、DLL注入、修改注册表等多种技术在受害者计算机中驻留。

      六、回传通信

      通过对恶意软件的逆向分析,我们获取了大量包含恶意C&C服务器的地址及指令。其中包括:RSS订阅、GitHub、论坛、博客及动态DNS等。攻击者在这些渠道发布加密的恶意指令,以控制受害者的计算机,并同时更新升级恶意软件。

      七、数据窃取

      攻击者通过C&C方式控制受害者的计算机,并利用本地恶意软件对受害者的资料实施检索、键盘记录、截屏等操作,最终将获取的机密文档上传至远程恶意C&C服务器中。据初步估计,所掌握的C&C服务器中就有上千份被窃取的文档,大部分为政府机构文档,还有一些高度涉秘文档,如海关清关文档、金融数据、技术说明文档等。

      调查追踪分析表明,OPERATION HANGOVER这个团体所采用的攻击方案更加隐蔽,攻击技术不断升级,用户画像越来越精准,所以,用户在使用网络时应该时刻防范恶意软件的加载和攻击。

    标签:路由器

    关注排行榜

    防火墙UTM上网行为防毒墙

    文章推荐

    互动沙龙

    相关内容 网友评论 返回首页
    专家咨询