卡巴斯基2017第二季度 APT趋势分析报告

前情提要

自2014年以来,卡斯基实验室全球研究与分析团队(GReAT)一直在向全球范围内的广大客户提供威胁情报报告,并致力于提供完整而专注的私人报告服务。在这项新服务推出之前,为了帮助应对来自国家级别的和其他高级持续的威胁,GReAT在网上发表了大量的研究成果。自从开始提供威胁情报服务以来,所有关于APT的深度技术细节都首先被推到卡巴斯基的用户群中。与此同时,我们的目标“为了使互联网更加安全”依然没有变化,诸如WannaCry或Petya这样的重要安全事件在私人的和公共的报告中被会被报道。

2017的第一季度,卡巴斯基发表了第一份APT趋势报告,突出了2017年第一季度的几个月的研究成果。本报告主要针对第二季度的APT 趋势分析,重点阐述了我们认为大多数用户应该意识到的重大事件和调查结果。

讲俄语的攻击者

2017年第二季度发生了多起涉及讲俄语的威胁攻击的事件。其中,最引人注目的是Sofacy和Turla。

3月和4月发生了一场大爆炸,研究人员发现了三个零日漏洞正在被Turla和Sofacy在野外利用:其中两个是针对微软Office的Encapsulated PostScript (EPS),第三个是针对微软WindowsWindows Local Privilege Escalation(LPE,本地权限提升)。检测到Sofacy在复活节假期期间,利用了CVE-2017-0262 (一个EPS漏洞)和CVE-2017-0263 (一个LPE漏洞)发起攻击,目标是整个欧洲范围内的一大批用户。在这次攻击之前,Turla被检测到使用了CVE-2017-0261(另外一个EPS漏洞)。这两次攻击中,攻击者似乎没有偏离他们常用的有效载荷,因为Sofacy下发了他们的惯用的GAMEFISH有效载荷,而Turla利用了“ICEDCOFFEE”(也就是“Shirime”)。至于这两起袭击的目标,也在他们的常规范围内,主要集中在外交部、政府和其他政府下属机构。

关于Sofacy和Turla的报告,除了以上提到的以外,还有更多的报道。今年4月,我们向客户通报了Sofacy使用了两种新的实验性的宏负载技术。这些技术虽然不是特别复杂,但却引起了我们的注意,因为它们之前在野外没有被发现过。第一种技术是在Microsoft Windows中使用内置的“certutil”实用工具,在宏中提取一个硬编码的有效负载。第二种技术是在恶意文档的EXIF元数据中嵌入Base64编码的有效载荷。尽管这一系列攻击活动的目标是相当标准的,但我们在2017年法国总统大选前发现了一些针对法国政党成员的引人注目的攻击。在5月和6月期间,我们发表了两篇有趣的报道:第一篇是关于“Mosquito Turla”的长期攻击活动的更新,描述了攻击者使用虚假的Adobe Flash安装程序,并继续以外交部作为攻击目标。第二篇报道记录了Sofacy特有的Delphi有效载荷出现了新的版本,我们称其为“Zebrocy”。

六月见证了“expetr”恶意软件的大规模爆发。虽然最初评估认为这是另一种勒索软件的攻击行为,类似于WannaCry,但是,经过更深入的分析和评估,在很大程度上,它本质上是一种具有破坏性的行为。在识别恶意软件的初始分布方面证据充分,相对而言,关于攻击与BlackEnergy组织的关联性方面的证据则相对较弱。

以下是针对东欧地区的分析报告的标题列表:

  1. Sofacy Dabbling in New Macro Techniques
  2. Sofacy Using Two Zero Days in Recent Targeted Attacks – early warning
  3. Turla EPS Zero Day – early warning
  4. Mosquito Turla Targets Foreign Affairs Globally
  5. Update on Zebrocy Activity June 2017
  6. ExPetr motivation and attribution – Early alert
  7. BlackBox ATM attacks using SDC bus injection

讲英语的攻击者

以英语为母语/熟练掌握英语的攻击者总是特别迷人,他们不仅有复杂的工具,而且活动历史悠久。像Regin和 Project Sauron这样的攻击者就是很好的例子,他们总是会使用一些新技术,这些新技术运用在长期的、难以捕捉的攻击活动中,并且他们成为深入研究的理想对象。后来者也不甘示弱,Equation 和the Lamberts是我们最近重点调查的对象。

我们在对这些恶意软件进行考古研究和整合的过程中有了新的发现,为此发表了一份关于EQUATIONVECTOR的报告,EQUATIONVECTOR是Equation的一个后门程序,最早发现在2006年就开始使用了。这个后门是一种令人着迷的、被动的、shellcode分期植入物。这是最早出现的一个NObody But US (‘NOBUS’)的后门程序的例子,当然了它还会有进一步的攻击。EQUATIONVECTOR后门程序(在最近的影子经纪人披露中被称为“PeddleCheap”)合并了许多先进的技术,用于在受害者网络中进行长期的隐身操作,从而使 Equation的操作人员能够在不引起怀疑的情况下提供更多的有效载荷。我们跟踪这些工具的发展状况,每年都会迭代新的分析报告。

我们对Lamberts工具包的追踪还在继续,在6月份发布的Gray Lambert报告中,展示了迄今为止最先进的Lambert的相关情况。它也是一种NOBUS后门程序,复杂之处在于它能够通过广播、多播和单播命令在一个网络中嗅探多个受害者,允许操作者在有多个受感染机器的网络中更精确的发起攻击活动。这些受害者也是下一阶段在受感染的网络中分发有效载荷的重要组成部分。Lambert活动的一个显著特点是选择目标的精确度。Gray Lambert的受害者主要集中在亚洲和中东的战略垂直领域。在这次调查中,GReAT的研究人员还发现了另外两个Lambert 家族 (Red Lambert 和 Brown Lambert),将在第三季度的报告中进行阐述。以下是相关报告标题列表,供感兴趣的人员进行参考:

  1. EQUATIONVECTOR – A Generational Breakdown of the PeddleCheap Multifunctional Backdoor
  2. The Gray Lambert – A Leap in Sophistication to User-land NOBUS Passive Implants讲韩语的演员

讲朝鲜语的攻击者

我们的研究人员在上季度关注于分析某些攻击活动与朝鲜黑客组织之间的关联性,发表了7份关于Lazarus group 和WannaCry事件的报告。大多数关于Lazarus的报道都涉及到一个小组,我们称之为BlueNoroff。这个小组主要针对金融行业进行攻击,目标是银行、自动取款机和其他“货币创造者”。我们向客户透露了一种以前不为人知的恶意软件“Manuscrypt”,它被Lazarus使用,攻击目标中不仅包括韩国的外交部门,还包括使用虚拟货币和电子支付网站的用户。最近,“Manuscrypt”已经成为BlueNoroff小组集团用来瞄准金融机构的主要后门程序。

WannaCry在第二季度引起了不小的轰动,我们的分析人员对这个新兴的威胁发表了三篇报道和多篇博客文章。我们最感兴趣的是,Lazarus团队是否是攻击的源头,以及恶意软件的起源。GReAT的研究人员能够追溯到恶意软件的一些最早的使用情况,显示在“EternalBlue(永恒蓝色)”的漏洞被添加到第二版之前,WannaCry v1在几个月前就被用于鱼叉式网络钓鱼攻击。以下是我们在第二季度发布的有关朝鲜的一些报道:

  1. Manuscrypt – malware family distributed by Lazarus
  2. Lazarus actor targets carders
  3. Lazarus-linked ATM Malware On the Loose In South Korea
  4. Lazarus targets electronic currency operators
  5. WannaCry – major ransomware attack hitting businesses worldwide – early alert
  6. WannaCry possibly tied to the Lazarus APT Group
  7. The First WannaCrySpearphish and Module Distribution

中东地区的攻击者

虽然没有太多涉及中东地区的APT活动资料,但我们围绕使用零日漏洞(CVE-2017-0199)的活动制作了两份报告。其中最引人注目的是一个我们称之为“BlackOasis”的黑客组织,以及他们利用一些在野外未被发现的漏洞的情况。我们之前曾报道过BlackOasis使用其他零日漏洞的情况; CVE-2016-4117(2016年5月)、CVE-2016-0984(2015年6月)、CVE-2015-5119 (2015.年9月)。有理由相信,BlackOasis是Gamma Group的客户,利用了流行的“合法监视”的工具FinSpy。这份报告意义重大,除了漏洞利用情况之外,还展示了一种新版本的FinSpy的使用情况,这一版本的FinSpy目前还在分析中。

在CVE-2017-0199被发现之后,大量的恶意攻击者开始在他们的攻击中利用这一漏洞。我们向客户报告了一个被称为“OilRig”的著名的中东地区的黑客组织。OilRig组织已经积极地瞄准了以色列的许多组织,组织成员似乎来自Ben Gurion大学的知名医生。尽管他们的执行还不是很出色,但在漏洞发现后不久就被广泛使用了,这一点特别突出。

  1. OilRig exploiting CVE-2017-0199 in new campaign
  2. BlackOasis using Ole2Link zero day exploit in the wild

讲华语的攻击者

在描述这部分之前,我们觉得有必要重点提示一下两份报告。虽然讲华语的攻击者几乎每天都是活跃的,但他们并没有太多的变化,我们尽力避免发表诸如“另一个APTxx的实例”之类的充数性质的报告,相反地,我们试图关注那些值得特别关注的新的、令人兴奋的攻击活动。

其中一份报告详细描述了一项新的发现,关于著名的“HiKit”恶意软件的一个fileless版本,我们称之为“Hias”。我们在过去曾报道过Hias,一位研究人员终于发现了它使用的持久性机制,这一发现也为把该攻击活动与我们称之为“CloudComputating”的黑客组织联系在一起提供了充分的证据。

另一份报告详细描述了一项我们称之为“IndigoZebra”的新型的攻击活动。这一行动的主要目标是前苏联加盟共和国,使用了大量的恶意软件包括Meterpreter、Poison Ivy 、xDown和一种以前不为人知的名为“xCaon”的恶意软件。这一活动与其他知名的华语攻击组织有联系,但目前还没有明确的归属。

  1. Updated technical analysis of HiasRAT
  2. IndigoZebra – Intelligence preparation to high-level summits in Middle Asia

中场休息

有时候我们会发现新的、令人兴奋的攻击活动或全新的黑客组织,在不能够立即或明确地确定地区出处就向我们的用户发送了报告,上个季度,有几份报告属于这一类别。ChasingAdder这份报告描述了一种新的持久性技术,它劫持了一个合法的WMI DLL,目的是装载恶意的有效负载。这项活动是从2016年秋季开始的的,针对的是备受关注的外交、军事和研究机构,但迄今为止,我们还无法确定具体的责任人。

Demsty是一款新的MacOS恶意软件,它针对的是香港地区大学的研究人员。在报告编写的时候,认为这个活动是由说华语的攻击者操纵的,这种说法证据不足,因此在其他的更多的证据出现之前,我们把它归为“未知”。

在2017年第二季度,这些淘气的影子经纪人(“ShadowBrokers”)还在继续他们的定期活动,他们从Equation Group窃取了一些工具和文件。今年4月,影子经纪人发布了另一份资料,详细描述了由Equation Group对SWIFT服务机构和其他银行的攻击。由于卡巴斯基的一些客户是金融机构,我们发现有必要对影子经纪人披露的数据进行评估,并对这些信息的有效性提出专家意见。

标注为“未知”类别的报告:

  • ShadowBrokers’ Lost in translation leak – SWIFT attacks analysis
  • ChasingAdder – WMI DLL Hijacking Trojan Targeting High Profile Victims
  • University Researchers Located in Hong Kong Targeted with Demsty

预测

根据过去三个月的趋势,以及可预见的地缘政治事件,我们列出了对即将到来的季度(第三季度)的一些预测。和往常一样,预测并不能保证完全精确,有些情况还没有实现。对当前的和未来的事件进行分析,并将这些与已知活动参与者的动机结合起来,有助于组织为可能到来的攻击活动做准备:

  • 对于即将举行的选举,尤其是德国和挪威,错误的信息宣传活动仍将是一个威胁,因为东欧国家已经成为攻击者的目标。
  • “合法的监视工具”将继续被那些没有完善的网络操作能力的政府利用,主要来自中东。像Gamma Group、Hacking Team 和 NSO这样的公司将继续为他们的客户提供新的零日攻击。随着价格的不断上涨和交易的蓬勃发展,新的组织和市场将会不断涌现。
  • 伪装成勒索软件的破坏性恶意软件将继续成为一个问题。在上个季度,我们已经看到了两个这样的例子,并且随着Vault7和影子经纪人等组织不断发布各类tools / exploits,这将是一个新的令人担忧的趋势。
  • 在中国,过去几个月的经济增长不断放缓,与朝鲜和美国的紧张关系不断加剧,韩国/日本/美国之间的交流也有所增加。除此之外,第19届全国代表大会将于2017年秋季举行,根据多项公布的预测,领导层可能发生一些重大变化。这些事件都有可能影响到亚洲地区的威胁景观,,包括目标和TTPs。
  • 以能源相关公司和组织为攻击目标的活动将会上升。挪威等国可能是最重要的目标,因为他们对该地区的石油和天然气的控制权在选举中不断增强。沙特阿拉伯也将在过去几年中成为潜在的目标市场。
  • 较低层次的威胁参与者将继续增加网络间谍活动,并不断提高在复杂性和规模方面的能力。预计会有更多的拥有不同的技术能力的活动,来自不太知名的或以前看不见的攻击组织。

应对策略

组织在利用威胁情报时,遇到的最大的问题之一就是判断数据的质量,以及如何使用它们进行防御。例如,我们可以观察到,所有的IOCs都是唯一的或特定的,所有的IOCs的攻击或攻击的数量都在增加。在这种情况下,不仅有基于主机的IOCs,而且还有网络IOCs和Yara的规则,可以帮助识别所有的恶意软件,这是非常重要的。

另一个问题源于这样一个事实,即许多威胁情报提供者的世界观都是有限的,他们的数据只涵盖了一小部分威胁。企业很容易陷入这样的陷阱:“演员X”不是他们需要担心的事情,因为他们的注意力只集中在某些国家或特定的行业部门;直到后来才发现,他们的无知使他们对这些攻击视而不见。

正如许多事件所表明的那样,尤其是WannaCry和expetr是基于eternalblue漏洞进行广泛传播的案例,表明漏洞仍然是感染系统的一种重要途径。因此,及时的打补丁是非常重要的,尽管它是最乏味的IT维护任务之一,在自动化程度高的情况下工作效率更好。

鉴于上述情况,我们强烈建议企业增强预防(如端点保护)和高级检测功能,比如针对用户的系统,实施一个能够检测所有类型异常的安全解决方案,并且能够在更深层次上检查所有可疑的文件。

防止攻击者发现和利用安全漏洞的最佳方法是彻底消除这些漏洞,包括那些涉及不适当的系统配置或专有应用程序中的错误的漏洞。因此,渗透测试和应用程序安全评估服务可以成为一种方便而高效的解决方案,不仅提供关于发现漏洞的数据,还提供如何解决问题的建议,进一步加强公司安全性。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104668.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code