黑客画像之:Locky攻击者谱写的《冰与勒索之歌》

“黑客”的画像

随着网络时代的到来,网络攻击的规模和速度都达到了前所未有的高度。娴熟的威胁行动者会使用各种各样的隐身技术,藏匿或伪造自己的身份。在处理个案时,由于可获取的证据有限,一般很难直接定位到攻击者的真实身份。

尽管网络犯罪的行为特征与侦查方式与传统的犯罪行为有所不同,然而将一些传统的侦查手段加以改进,对于定位网络攻击或预测网络犯罪趋势,会收到意想不到的效果。如针对犯罪分子行为、动机的犯罪行为模式和媒介进行分析,能够反映出犯罪行为人群体特征或个人特征的心理画像。

常人眼中的“黑客”通常是“孤僻的、怪异的、面目模糊或神秘的”,然而真实的攻击事件不是在真空环境中进化出来的,攻击者本人也是一群有自己喜好和主见的人类。因此,攻击者在选择战术、技术和程序(TTPs),势必也会带有明显的个人特征。除了攻击者的动机和个性不同之外,全球/地区性的热点事件、 地缘政治事件、流行文化等都会影响攻击者作出选择,其中包括攻击的目的(破坏型/炫技型/驱利型等)和攻击方式。

案例:Locky威胁行为者是“冰火迷”

威胁行为者使用的变量、服务器和文件名称,有时候是他们表达自己的一种方式,分析的过程中可以获知网络犯罪分子的喜好或个性。在Locky勒索软件分析的过程中,就很好的体现出了这一点。

攻击者通过发送大量的钓鱼邮件分发Locky勒索软件,钓鱼邮件中的附件是一些ZIP或RAR归档文件,其中包含一些VB脚本,一旦用户打开电子邮件并下载附件,运行其中的脚本,就会下载并安装Locky勒索软件。(*注释:大量的勒索软件攻击事件显示,攻击者大多数使用钓鱼邮件的形式完成初期阶段的入侵)

分析最近发现的用于Locky勒索软件的Visual Basic脚本,乍一看,这一批钓鱼邮件似乎只是新一波Locky勒索攻击的前兆。然而,检查这些电子邮件中携带的VisualBasic脚本的变量名称,发现攻击者选择的一种独特的命名方式,这意味者勒索软件的交付过程具有更高的不可预测性。

设计用于交付恶意软件的轻量级脚本应用程序通常使用旋转或伪随机的变量名,以确保恶意软件的传递工具看起来是独特的。攻击脚本中的许多变量名称(部分存在拼写错误)与HBO的热门剧集《权力的游戏》(原著小说是乔治马丁的《冰与火之歌》)有关。

变量名称引用了“Throne(宝座)”、“John Snow(琼恩·雪诺)”和“Tmp(Imp,小恶魔-提利昂)”、 “Aria(艾莉亚)”、 “SansaStark(珊莎·史塔克)”、 “RobertBaration(Robert Baratheon,劳勃·拜拉席恩)” 和”HoldTheDoor” ( Hodor)等词,根据统计,仅“Throne”一词就出现了70次。

从这个例子可以洞察到一些流行文化如何影响威胁行为者的见解。像现代社会的其他人一样,恶意的攻击者或者网络犯罪分子有自己的兴趣和喜好,喜爱的音乐、电影和电视节目。他们会在攻击中留下这些痕迹,这可能是他们表达自己个性的一种方式。

如上图所示,变量命名具有很高的灵活性,有太多的词汇可供选择,而且几乎可以说是允许无限排列的

当然了,脚本的运行与变量名无关,选择的变量名可以是任意的。然而,负责这次网络攻击的罪犯分子选择了一个与众不同的主题,从而揭示了他们对这种流行文化的关注与兴趣。

IoCs

文件名称: SCNMSG00001018.vbs
MD5: 170ae05fb405e9f2b2a4474739b75a66
SHA256: fc89d30e245a8b166af2e17b2d7b6835ff15999d746b91214edcfdc7b9c5db35

启示与防御

网络钓鱼攻击全球网络威胁格局中的一种独特的攻击方法,旨在利用目标组织内部人员的疏忽完成入侵。网络钓鱼的威胁行为者也会表现出他们自己的倾向和偏好。

企业在制定全面的网络钓鱼防御策略时,首先应当将电子邮件用户看作是信息安全任务的参与者,而不是阻碍信息安全工作的人。评估和审查攻击者时,应当更加人性化,明确攻击者的风险和意图是安全事件响应的重要组成部分。具体操作中,包括对组织防御优势和脆弱点的实际评估,以及及时获取到可操作的对攻击者存在影响的情报资料。

或许在某些专业的安全人士眼中,这些花边新闻只是茶余饭后的一些谈资,不会完全改变整个行业的发展潮流,但依然鼓励将攻击者看成是尽管有缺陷、但也有自己喜好并会受到环境等真实世界各种因素影响的人。

更加人性化地看待攻击者,网络防御者可以开始解构其使用的策略、技术和程序,并进一步预测这些方法可能演变的情形。

不要错过下一个威胁,不要忽视另一个角度。

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/106032.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code