360发现首个跨界APT攻击 揭秘移动安全中钻空子的“黄金鼠”

提起“熊猫烧香”这款病毒,相信很多人仍然能够忆起,那个出现在全民网络时代前夜、憨态可掬地抱着三支香的熊猫图标。同时,“熊猫烧香”也致使全国数万电脑被控制,该“疫情”的出现更是让不少人心有余悸。幸运的是,微软于2011年开始对Windows自动运行功能进行了限制,屏蔽了除光盘外的其它存储介质的自动运行功能,有效避免了来自此类病毒的攻击。

然而,近期360烽火实验室在监测黄金鼠组织(APT-C-27)的攻击活动过程中,发现其新版本的移动端手机攻击样本首次具备了针对PC的RAT诱导跨越攻击。这也就意味着,当移动端手机作为移动存储介质存在时,存在有一定的安全隐患,极有可能被不法分子利用,通过手机端的伪装攻击文件向PC端发起APT攻击。为此,360烽火实验室联合360互联网安全中心共同发布了《移动端跨越攻击预警:新型APT攻击方式解析》报告。

跨越组合型APT攻击:偏爱“图片目录”作伪装

APT攻击作为一种行之有效的手段不断出现在各类对抗战中,如目前业界认为属于“灭霸级别”的两个APT组织:方程式和索伦之眼,便将APT攻击视为秘密武器。随着APT对抗烈度的增加,跨平台的攻击逐渐成为主流,而不再单一聚焦于单一的Windows平台,移动设备、智能硬件等领域也是攻击者目标。但是此前的跨平台攻击中,各平台均为独立存在。

据360安全专家介绍,通过分析对比发现,新版本的移动端手机攻击样本除了保留原版的移动端RAT功能之外,还新增了移动存储介质诱导攻击方式,首次实现了从移动端到PC端的攻击跨越,移动端手机会释放PC端恶意软件,组合型APT攻击方式已出现。

60发现首个跨界APT攻击

图1:携带的PE RAT攻击文件

当移动端攻击样本携带有针对PC的PE格式RAT攻击文件“hmzvbs”并运行后,该攻击文件便会被释放到指定好的移动端外置存储设备中的图片目录下,并且伪装成特殊名称,这个伪装便是跨越攻击前的特殊准备。据悉,该伪装还具备如下两个特点:攻击文件名称伪装成常见的图片相关目录名;攻击文件的扩展名为“.PIF”。

而为使用户中招,不法分子还需借助用户不定期使用PC浏览手机里照片这一习惯。假如用户在使用PC浏览移动端手机照片,一旦被诱导触发了伪装后的“图片目录”,该PE RAT攻击文件就会即刻运行,从而使受到移动端攻击的PC目标受损。

60发现首个跨界APT攻击

图2:正常目录和伪装后的攻击文件对比虚拟图

攻击或与政治活动挂钩 安全防护措施必不可少

现阶段,智能手机已成为人们生活中不可分割的一部分,它影响到个人的隐私和财产安全,甚至也可能会威胁到企业和国家安全。据360安全专家披露,黄金鼠组织(APT-C-27)攻击的目标便是叙利亚及其周边的军事机构和政府机关,其目标人群在办公及日常生活中通常都同手机和电脑紧密联系在一起。而一旦攻击目标的手机和电脑被成功攻破,由此产生的危害和损失不可预估。

60发现首个跨界APT攻击

图3:受攻击的主要地区分布统计情况(土耳其、约旦、叙利亚)

此外,360安全专家还强调,此次新型跨越攻击,也是手机首次被主动当作移动终端跨界攻击PC端的跳板而实行的攻击。由此也可预见,不久的将来,这类跨越攻击方式也会被不法分子运用到加密勒索、蠕虫破坏等传播中来。再加上,手机还可与移动互联网相连接,这也便更利于不法分子直接通过网络发起攻击。

面对如此严峻的移动安全形势,移动端的安全防护必不可少。对于企业来说,除做好自身安全防护外,还要加强内部人员的个人安全意识,提醒员工切勿在企业内部贸然打开不明来源的链接内容;不仅如此,企业还需要做好网络和硬件的隔离防护,并使用可信的企业版软硬件安全防护产品做好实时防护,定期数据隔离备份等。只有切实做好移动安全防护措施,才能从最大程度上杜绝攻击,长治久安。

原创文章,作者:360安全,如若转载,请注明出处:http://www.mottoin.com/news/112340.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code