今日頭條
官方微信
官方抖音
資訊頻道一、概述
互聯網現在已經融入了生活的方方面面,許多人在網上進行交易、購物和社交,網絡已經成為了商業組織的生命線。政府、企業和消費者對技術的依賴,也為具有各種動機的攻擊者提供了廣泛的攻擊面——金融盜竊、數據竊取、基礎設施破壞、名譽受損等等。網絡攻擊的范圍,從高度復雜的特定目標攻擊,到機會主義網絡犯罪。通常,這兩者都依賴于將心理學操縱作為危害整個系統或個人計算機的方式。攻擊者的目標不斷擴大,已經開始覆蓋到一些不屬于計算機的設備,例如兒童玩具和安全攝像頭。本文主要針對2018年發生的重大事件和安全趨勢進行年度總結。
二、針對特定目標的攻擊活動
在今年內的安全分析師峰會上,我們分析了Slingshot,這是一個復雜的網絡間諜平臺,從2012年以來一直瞄準中東和非洲的受害者。我們在威脅事件中發現了這種威脅,該威脅與Regin和ProjectSauron類似。Slingshot使用了一種不同尋常的攻擊載體,許多受害者受到被攻陷的MikroTik路由器的攻擊。攻陷路由器的確切方法尚不清楚,但攻擊者已經找到了向設備添加惡意DLL的方法:該DLL是其他惡意文件的下載程序,然后將其存儲在路由器上。當系統管理員登錄并配置路由器時,路由器的管理軟件會在管理員的計算機上下載并運行惡意模塊。Slingshot在受感染的計算機上加載了許多模塊,其中最引入注意的兩個模塊是Cahnadr和GollumApp,它們分別是內核模式和用戶模式的模塊。二者共同提供持久性、管理文件系統、泄漏數據以及與C&C(命令和控制)服務器通信的功能。我們查看的樣本,標記為“版本6.X”,表明這一威脅已經存在相當長的一段時間。根據Slingshot的創建時間、技能和成本表明,其背后的團隊是高度組織化和專業化的,并且可能有國家背景。在平昌冬季奧運會開幕后不久,我們就收到了針對奧運會基礎設施的惡意軟件攻擊報告。Olympic Destroyer攻擊了一些顯示器,關閉了Wi-Fi,攻陷了奧運會網站從而阻止觀眾打印門票。攻擊者還攻擊了該地區的其他一些組織,例如一些韓國的滑雪勝地。Olympic Destroyer是一種網絡蠕蟲,其主要目的是從受害者的遠程網絡共享中擦除文件。在攻擊發生后的幾天中,基于此前網絡間諜和攻擊團隊的一系列特征,世界各地的研究團隊和媒體將此次襲擊歸咎為俄羅斯、中國和朝鮮。我們的研究人員也試圖分析攻擊的幕后黑手,在研究的過程中,我們發現Lazarus惡意組織似乎與此次攻擊相關。我們發現,攻擊者留下的一些獨特痕跡與此前Lazarus惡意軟件的組件完全匹配。然而,我們在韓國一家受到攻擊的組織進行現場調查時發現,此次攻擊與已知的Lazarus TTP(戰術)相對比,其動機明顯不同。我們發現相應的特征與代碼無法相互匹配,該攻擊中的惡意軟件被偽造成與Lazarus使用的指紋完美匹配。因此我們得出結論,其所使用的“指紋”是一個復雜的虛假標志,故意放置于惡意軟件內部,以便使威脅研究人員找到,從而誤導他們。
我們繼續追蹤這一APT組織的活動,并在今年6月注意到他們已經開始一個針對不同地理范圍的新型攻擊。根據我們的遠程監測和對魚叉式網絡釣魚文件的分析,表明在Olympic Destroyer背后的攻擊者主要針對歐洲的金融行業和生物技術相關組織發動攻擊,特別是俄羅斯、荷蘭、德國、瑞士和烏克蘭。在早期,Olympic Destroyer的主要目標是摧毀冬奧會及相關的供應鏈、合作伙伴和場館的基礎設施,并且之前已經進行了一次偵查活動。這樣的證據表明,新的惡意活動是另一個偵查階段的一部分,隨后會進行一系列具有新動機的破壞性攻擊。其針對的各種金融相關目標和非金融目標也表明,具有不同目的的多個惡意組織正在使用相同的惡意軟件。這可能是網絡攻擊外包的結果,這種情況在民族國家威脅中并不少見。然而,以金融為目標很可能也是惡意組織的一個“幌子”,從而掩蓋其真實的目的。
在今年4月,我們披露了Parliament活動的運作情況,這是一項針對世界各地立法、行政和司法組織的網絡間諜活動,主要集中在中東和北非地區,特別是巴勒斯坦。這些攻擊始于2017年初,主要針對議會、參議院、州政府及其官員、政治學家、軍事和情報機構、政府部門、媒體機構、研究中心、選舉委員會、奧運組織、大型貿易公司等。此次目標受害者不同于此前在該地區的惡意活動(Gaza Cybergang和Desert Falcons),并且在這次惡意攻擊之前,惡意組織精心進行了信息收集活動。在進一步感染之前,攻擊者一直非常小心的驗證受害設備,從而保護他們的C&C服務器。在2018年以后,攻擊速度放緩,可能是由于攻擊者已經實現了目標。
我們持續追蹤Crouching Yeti(又名Energetic Bear)的惡意活動,這是一個自2010年以來一直活躍的APT集團,主要以能源和工業公司為目標。該惡意組織面向全球各地發動攻擊,但特別關注歐洲、美國和土耳其,土耳其是該惡意組織在2016-2017年期間新增的目標。該惡意組織的主要策略是發送包含惡意文檔的網絡釣魚電子郵件,以及借助托管工具、日志和水坑攻擊來感染服務器。美國CERT和英國國家網絡安全中心(NCSC)已經公開討論過Crouching Yeti針對美國目標的惡意活動。今年4月,卡巴斯基實驗室ICS CERT提供了有關被Crouching Yeti感染和惡意利用的服務器的信息,并提供了針對2016年和2017年初被該惡意組織攻陷的幾臺Web服務器的分析結果。讀者可以在這里查閱完整報告,但以下是我們總結的摘要:
1. 除了極少數例外情況,該惡意組織使用公開的工具來進行攻擊。正因如此,使得根據攻擊行為追溯到惡意組織的這一過程非常困難。
2. 當攻擊者希望建立一個“跳板”,對目標設施開展進一步攻擊時,互聯網上任何存在漏洞的服務器都有可能受到攻擊。
3. 該惡意組織執行的大多數任務,都是尋找漏洞、在各類主機上獲得持久性,以及竊取身份驗證數據。
4. 惡意攻擊的受害者來自不同行業,同時也表明攻擊者具有多種目的。
5. 在某種程度上,可以確定該惡意組織的運營方式是接受外部客戶的資金支持或接受訂單,然后進行初始數據收集,竊取身份驗證數據,并獲得相應攻擊資源的持久性,以便攻擊者進一步執行惡意活動。
今年5月,Cisco Talos團隊的研究人員發布了他們針對VPNFilter的研究結果,這是一個用于感染不同品牌路由器的惡意軟件,主要針對烏克蘭的目標發動攻擊,但同時也影響了54個國家的路由器。關于該惡意軟件的分析,請參考這篇文章和這篇文章。最初,分析人員認為該惡意軟件感染了大約500000臺路由器,包括小型辦公室或家庭辦公室(SOHO)中的Linksys、MikroTik、Netgear和TP-Link網絡設備,以及QNAP網絡附加存儲(NAS)設備。但實際上,受感染的路由器清單顯然要長得多,總共有75種設備,包括華碩、D-Link、華為、Ubiquiti、UPVEL和中興。惡意軟件能夠使受感染的設備停止工作、執行Shell命令、創建用于匿名訪問設備的TOR配置或配置路由器的代理端口和代理URL以控制瀏覽會話。但是,該風險也會擴散到設備支持的網絡中,從而擴大了攻擊范圍。我們的全球研究和分析團隊(GReAT)的研究人員詳細分析了VPNFilter使用的C&C機制。其中一個有趣的問題是,誰是這個惡意軟件的幕后黑手?Cisco Talos表示,該惡意軟件的背后是一個由國家或州支持的威脅行為者。美國聯邦調查局在其關于使用Sink-holing 技術關停C&C服務器的報告中表示,Sofacy(又名APT28、Pawn Storm、Sednit、STRONTIUM和Tsar Team)是該惡意軟件的始作俑者。在此前針對烏克蘭的攻擊所使用的BlackEnergy惡意軟件中,有一些代碼與之相同。
Sofacy是卡巴斯基實驗室多年來一直追蹤的惡意組織,該網絡間諜組織保持高度活躍,并且頻繁產出惡意軟件。在2月,我們發布了2017年Sofacy惡意活動的概述,并揭示了2017年該惡意組織逐漸從北約的目標轉向中東、中亞以及其他地區的目標。Sofacy使用魚叉式網絡釣魚和水坑攻擊來竊取信息,包括帳戶憑據、敏感通信和文檔。該威脅行為者還利用0day漏洞來部署其惡意軟件。
Sofacy針對不同的目標部署了不同的工具。2017年年初,該惡意組織的經銷商針對軍事和外交組織(主要位于北約國家和烏克蘭)開展惡意活動。在今年晚些時候,該組織利用其武器庫中的Zebrocy和SPLM,針對更廣泛的組織(包括科學與工程中心以及新聞媒體),面向中亞和遠東地區發動攻擊。與其他復雜的威脅參與者一樣,Sofacy不斷開發新的工具,保持高水平的操作安全性,并專注于使其惡意軟件難以檢測。一旦在網絡上發現了Sofacy這類高級惡意組織的任何活動跡象,應該立即檢查系統上的登錄和異常管理員訪問權限,徹底掃描或使用沙箱運行收到的所有附件,并將電子郵件等服務設置為雙因素身份驗證和通過VPN訪問。借助APT情報報告、YARA等威脅搜索工具以及KATA(卡巴斯基反目標攻擊平臺)等高級檢測解決方案,可以有助于用戶了解惡意組織的目標,并提供檢測惡意活動的強大方法。
我們的研究表明,Sofacy并不是唯一在遠東地區運營的惡意組織,這有時會導致不同惡意組織之間的目標重疊。我們已經發現,Sofacy的Zebrocy惡意軟件利用俄羅斯惡意組織Mosquito Turla的集群競爭訪問受害者計算機的案例,其使用的SPLM后門軟件與Turla和Danti競相攻擊,都以中亞地區政府、科技、軍事相關的組織為攻擊目標。最有趣的目標重疊,可能是Sofacy與Lamberts家族之間的重疊。在檢測到服務器上存在Sofacy組織的惡意軟件之后,研究人員發現該服務器此前已被Grey Lambert惡意軟件攻擊。這臺被攻陷的服務器屬于一家設計和制造航空航天和防空技術的中國企業集團。但是,原始的SPLM投遞載體仍然未知,這就引發了很多假設的可能性,包括Sofacy可能正在使用尚未被發現的新型漏洞利用方式、后門產生了新的變種,或者Sofacy以某種方式成功利用了Gray Lambert的通信渠道來下載其惡意軟件。甚至,可能之前的Lambert感染是該惡意活動中故意留下的虛假線索。我們認為,最可能的答案是,Sofacy利用未知的新PowerShell腳本或合法但存在漏洞的Web應用程序來加載并執行SPLM代碼。
6月份,我們報告了一項針對中亞國家數據中心的持續惡意活動。在這一活動中,目標的選擇尤為重要,這意味著攻擊者能夠一舉獲得大量的政府資源。我們認為,攻擊者通過在相應國家的官方網站上插入惡意腳本來執行水坑攻擊。我們根據惡意活動中所使用的工具和策略,以及C&C服務器update.iaacstudio[.]com,推斷該惡意活動由LuckyMouse組織進行(又名EmissaryPanda和APT27)。該惡意組織此前的目標是政府組織,也包括中亞地區的組織。用于攻擊數據中心的原始載體尚不清楚。我們此前觀察到,LuckyMouse使用武器化工具,借助CVE-2017-11882(Microsoft Office公式編輯器漏洞,自2017年12月以來被廣泛使用)進行攻擊,但我們無法證明這一系列工具與此次攻擊有關。攻擊者可能會使用水坑攻擊的方式來感染數據中心內部的計算機。
在9月,我們報道了LuckyMouse的另一起活動。自3月份以來,我們發現了一些感染行為,其中一個以前未知的木馬被注入到“lsass.exe”系統進程內存中。注入過程是由經過簽名的32位或64位網絡過濾驅動程序NDISProxy實現,這一驅動程序由中國的LeagSoft公司簽署,該公司是一家位于深圳的信息安全軟件開發商,我們通過CN-CERT報告了這一問題。該惡意活動針對的是中亞政府組織,我們認為此次攻擊與該地區的高層會議有關。在攻擊中所使用的Earthworm隧道,對于使用中文的惡意組織來說是非常典型的。此外,攻擊者使用的命令之一(-s rssocks -d 103.75.190[.]28 -e 443)創建了到先前已知的LuckyMouse C&C服務器的隧道。該惡意活動所針對的目標,也與該惡意組織此前選擇的目標一致。我們沒有發現任何魚叉式網絡釣魚或水坑活動的跡象,我們認為攻擊者是通過已經被攻陷的網絡來進行惡意軟件傳播。
Lazarus是一個成熟的惡意組織,從2009年以來就開始進行網絡間諜活動和網絡破壞活動。近年來,該組織開始針對全球金融組織開展惡意活動。在8月,我們發現該組織已經成功攻陷了幾家銀行,并滲透了一些全球加密貨幣交易所和金融科技公司。在協助應急響應的同時,我們了解到受害者是通過帶有木馬的加密貨幣交易應用被感染的。一位安全意識較為薄弱的員工從看似合法的網站下載了第三方應用程序,并感染了一個名為Fallchill的惡意軟件,這是Lazarus近期開始使用的勞工具。似乎Lazarus已經找到了一種有效的方法來創建一個看起來合法的網站,并將惡意Payload注入到看似合法的軟件更新機制中。在這種情況下,惡意組織創建了一個虛假的供應鏈,而并沒有攻陷一個真正的供應鏈。無論如何,Lazarus集團在攻擊供應鏈方面取得的成功,表明了他們會繼續利用這種攻擊方式。攻擊者針對非Windows平臺做出了額外的努力,并且開發了針對macOS系統的惡意軟件,同時該網站提示稱Linux版本即將推出。這可能是我們第一次發現這個APT組織利用針對macOS的惡意軟件。看起來,為了針對特定高級目標發動攻擊,惡意組織被迫要開發macOS惡意軟件工具。Lazarus集團擴展其目標操作系統列表的事實,應該為非Windows用戶敲響警鐘。讀者可以在這里閱讀我們關于AppleJeus的報告。
Turla(又名Venomous Bear、Waterbug和Uroboros)惡意組織最著名的就是當時極度復雜的Snake Rootkit,主要攻擊與北約相關的目標。然而,這一惡意組織的實際活動要比這一惡意軟件廣泛得多。10月,我們報道了Turla組織近期的活動,揭示了舊代碼、新代碼和新猜測的有趣組合,以及推測了該惡意組織的后續計劃。我們在2018年的大部分研究,都集中于他們的KopiLuwak JavaScript后門、Carbon框架的新變種以及Meterpreter交付技術。其他一些值得關注的地方是他們使用不斷變化的Mosquito投遞技術、定制的PoshSec-Mod開源PowerShell和從別處借用的注入代碼。我們將一些惡意活動與WhiteBear和Mosquito基礎設施及數據點以及惡意組織在2017年和2018年期間的活動相關聯。該惡意組織的目標很少與其他APT活動相重疊。Turla并沒有參加具有里程碑意義的DNC黑客活動(Sofacy和CozyDuke都曾參與),他們悄然活躍在全球各地的其他惡意活動中,與該惡意組織相關的攻擊方法尚未被武器化。Mosquito和Carbon活動主要針對外交和外交事務目標,而WhiteAtlas和WhiteBear活動遍布全球,針對于外交相關的組織,但還針對一些科技組織以及與政治無關的組織。該組織的KopiLuwak惡意活動沒有針對于外交和外交事務,相反,在2018年的惡意活動主要針對具有政府背景的科學和能源研究組織,以及阿富汗政府相關的通信組織。這種具有高度針對性但更加廣泛的目標選擇模式可能會持續到2019年。
10月,我們報道了MuddyWater APT組織近期的活動。我們在過去的監測表明,這個相對較新的惡意組織在2017年浮出水面,主要針對伊拉克和沙特阿拉伯的政府目標發動攻擊。然而,眾所周知,近期MuddyWater背后的惡意組織又將目標瞄準中東、歐洲和美國的其他國家。我們注意到,近期大量的魚叉式網絡釣魚文件似乎針對約旦、土耳其、阿塞拜疆和巴基斯坦的政府機構、軍事實體、電信公司和教育機構,此外他們針對伊拉克和沙特阿拉伯還在發動持續的攻擊。在馬里、奧地利、俄羅斯、伊朗和巴林,也發現了受到攻擊的主機。這些新惡意文檔創建于2018年,惡意活動從5月開始升級。新的魚叉式網絡釣魚文檔依靠社會工程學來誘導受害者啟用宏。受害者依靠一系列被攻陷的主機來發動攻擊。在我們研究的高級階段,我們不僅發現該惡意組織武器庫中的一些其他文件和工具,還觀察到攻擊者所犯的一些OPSEC錯誤。為了防范惡意軟件攻擊,我們建議采取如下措施:
1. 對普通員工開展安全教育,以便他們能夠識別網絡釣魚鏈接等惡意行為。
2. 對信息安全人員開展專業培訓,確保他們具備完整的配置加固、事件調查和溯源能力。
3. 使用經過驗證的企業級安全解決方案,與能夠通過分析網絡異常來檢測攻擊的反目標攻擊解決方案相結合。
4. 為安全人員提供訪問最新威脅情報數據的權限,例如IoC和YARA規則。
5. 建立企業級補丁管理流程。
大型組織更應該應用高水平的網絡安全技術,因為攻擊者對這些組織的攻擊是無法避免的,并且永遠不太可能停止。
DustSquad是另一個針對中亞組織的惡意組織。在過去兩年中,卡巴斯基實驗室一直在監控這個使用俄語的網絡間諜組織,并想我們的客戶提供有關針對Android和Windows的四個惡意活動的私有情報報告。最近,我們分析了一個名為Octopus的惡意程序,該程序用于攻擊特定地區的外交機構。這一名稱是由ESET在2017年確定的,因為他們在舊的C&C服務器上發現攻擊所使用的0ct0pus3.php腳本。使用卡巴斯基歸因引擎(Kaspersky Attribution Engine)基于相似度算法進行分析,我們發現Octopus與DustSquad相關。在我們的監測中,我們在中亞地區前蘇聯成員國和阿富汗發現這一活動的蹤跡。4月,我們發現了一個新的Octopus樣本,偽裝成具有俄語界面的Telegram Messenger。我們無法找到該惡意軟件所冒充的合法軟件,事實上,我們認為相應的合法軟件并不存在。然而,攻擊者利用哈薩克斯坦潛在的禁止使用Telegram規定來推動其Dropper作為政治反對派的替代通信軟件。
10月,我們發表了針對Dark Pulsar的分析。我們的調查始于2017年3月,當時Shadow Brokers發布的被竊取數據中包含了兩個框架,分別是DanderSpritz和FuzzBunch。DanderSpritz中包含各種類型的插件,旨在分析受害者、實現漏洞利用、添加計劃任務等。DanderSpritz框架旨在檢查已受控制的計算機,并從中收集情報。這兩個框架共同為網絡間諜提供了一個非常強大的平臺。但泄露的數據中并不包括Dark Pulsar后門本身,而是包含一個用于控制后門的管理模塊。但是,通過在管理模塊中基于一些常量創建特殊簽名,我們就能夠捕獲到植入工具。這種植入工具使攻擊者能夠遠程控制被感染設備。我們發現了50臺被感染的設備,它們位于俄羅斯、伊朗和埃及,但我們相信可能還會有更多。首先,DanderSpritz接口能同時管理大量被感染主機。此外,攻擊者通常會在惡意活動結束后刪除惡意軟件。我們認為這一惡意活動在2017年4月Shadow Brokers泄露“Lost in Translation”后就停止了。針對Dark Pulsar這樣的復雜威脅,大家可以在這里查看我們提供的緩解策略。
三、移動APT攻擊系列
2018年,在移動APT威脅部分,我們主要發現了三起重大事件:Zoopark、BusyGasper和Skygofree網絡間諜活動。
從技術上講,這三起惡意活動都經過精心設計,其主要目的相似,都是監視特定的受害者。這些攻擊的主要目的是從移動設備中竊取所有可用的個人數據,包括呼叫、信息、地理定位等。甚至一些惡意軟件還具有通過麥克風進行竊聽的功能。針對一些毫無防備的目標,他們的智能手機直接成為了攻擊者最佳的竊聽和信息收集工具。
網絡犯罪分子特別針對流行的即時通信服務進行信息竊取,現在這些服務已經在很大程度上取代了傳統的通信方式。在某些情況下,攻擊者能夠使用木馬實現在設備上的本地特權提升,從而實現幾乎沒有限制的遠程監控訪問以及設備管理。
在這三個惡意程序中,有兩個程序具有記錄鍵盤輸入的功能,網絡犯罪分子記錄用戶的每次擊鍵。值得注意的是,要記錄鍵盤輸入,攻擊者甚至都不需要提升權限。
從地理位置來看,受害者位于各個國家:Skygofree針對意大利用戶,BusyGasper針對俄羅斯特定用戶,Zoopark主要在中東運營。
同樣值得注意的是,與間諜活動相關的犯罪分子越來越青睞于移動平臺,因為移動平臺提供了更多的個人信息。
四、漏洞利用
利用軟件和硬件中存在的漏洞,仍然是攻擊者攻陷各種設備的主要手段。
今年早些時候,有兩個影響Intel CPU的高危漏洞,分別是Meltdown和Spectre,這兩個漏洞分別允許攻擊者從任何進程和自身進程中讀取內存。這些漏洞自2011年以來一直存在。Meltdown(CVE-2017-5754)會影響Intel CPU并允許攻擊者從主機上的任何進程讀取數據。盡管需要執行代碼,但可以通過各種方式來實現,舉例來說,可以通過軟件漏洞或訪問加載包含Meltdown攻擊相關JavaScript代碼的惡意網站。一旦該漏洞被成功利用,攻擊者就可以讀取內存中的所有數據(包括密碼、加密密鑰、PIN等)。廠商很快就發布了流行操作系統適用的?。但在1月3日發布的Microsoft補丁與所有反病毒程序不兼容,可能會導致BSoD(藍屏)。因此,只有在反病毒軟件首次設置特定注冊表項時,才能安裝更新,從而指示不存在兼容性問題。Spectre(CVE-2017-5753和VCE-2017-5715)與Meltdown不同,該漏洞也存在于其他架構中(例如AMD和ARM)。此外,Spectre只能讀取漏洞利用進程的內存空間,而不能讀取任意進程的內存空間。更重要的是,除了一些瀏覽器采用了防范措施之外,Spectre還沒有通用的解決方案。在報告漏洞之后的幾周內,可以很明顯地看出這些漏洞不易被修復。大部分發布的補丁都是減少攻擊面,減少漏洞利用的已知方法,但并沒有完全消除風險。由于這個漏洞會嚴重影響CPU的正常工作,很明顯廠商在未來的幾年內都要努力應對新的漏洞利用方式。事實上,這一過程并不需要幾年的時間。在今年7月,Intel為Spectre變種(CVE-2017-5753)相關的新型處理器漏洞支付了10萬美元的漏洞賞金。Spectre 1.1(CVE-2018-3693)可用于創建預測的緩沖區溢出。Spectre 1.2允許攻擊者覆蓋制度數據和代碼指針,從而破壞不強制執行讀寫保護的CPU上的沙箱。麻省理工學院研究員Vladimir Kiriansky和獨立研究員Carl Waldspurger發現了這些新的漏洞。
4月18日,有人向VirusTotal上傳了一個新的漏洞利用工具。該文件被多家安全廠商檢測,包括卡巴斯基實驗室在內,我們借助通用啟發式邏輯來檢測一些較舊的Microsoft Word文檔。事實證明,這是Internet Explorer(CVE-2018-8174)的一個新的0day漏洞,Microsoft在5月8日實現了修復。我們在沙箱系統中運行樣本后,發現該樣本成功針對應用了最新補丁的Microsoft Word版本實現漏洞利用。因此,我們對漏洞進行了更深入的分析,發現感染鏈包含以下步驟。受害者首先收到惡意的Microsoft Word文檔,在打開之后,將會下載漏洞的第二階段,是一個包含VBScript代碼的HTML頁面。該頁面將會觸發UAF漏洞并執行ShellCode。盡管最初的攻擊向量是Word文檔,但該漏洞實際上是位于VBScript中。這是我們第一次看到用于在Word中加載IE漏洞的URL Moniker,我們相信這種技術在以后會被攻擊者嚴重濫用,因為這種技術允許攻擊者強制加載IE,并忽略默認瀏覽器設置。漏洞利用工具包的作者很可能會在通過瀏覽器的攻擊和通過Word文檔的魚叉式網絡釣魚攻擊中濫用這一漏洞。為了防范這種攻擊方式,我們應該應用最新的安全更新,并使用具有行為檢測功能的安全解決方案。
8月,我們的AEP(自動漏洞利用防御)技術檢測到一種新型網絡攻擊,試圖在Windows驅動程序文件win32k.sys中使用0day漏洞。我們向Microsoft通報了這一問題,并且Microsoft在10月9日披露了這一漏洞(CVE-2018-8453)并發布了更新。這是一個非常危險的漏洞,攻擊者可以控制受感染的計算機。該漏洞被用于針對中東組織的特定目標攻擊活動中,我們發現了近12臺被感染的計算機,我們認為這些攻擊是由FruityArmor惡意組織發動的。
10月下旬,我們向Microsoft報告了另一個漏洞,這次是win32k.sys的0day特權提升漏洞,攻擊者可以利用該漏洞來獲取創建系統持久性所需的特權。這種漏洞也被用于針對中東組織的攻擊之中。Microsoft在11月13日發布了該漏洞的更新(CVE-2018-8589)。我們還通過主動檢測技術(卡巴斯基反目標攻擊平臺的高級沙盒、反惡意軟件引擎和AEP技術)成功檢測出這一威脅。
五、瀏覽器擴展:擴大網絡犯罪分子的范圍
瀏覽器擴展可以隱藏難看的廣告、翻譯文本、幫助我們在網上商店選擇想要的商品等,使我們的生活更加輕松。但不幸的是,還有一些惡意擴展被用于廣告轟炸、收集用戶活動的相關信息,以及竊取財產。今年早些時候,一個惡意瀏覽器擴展引起了我們的注意,因為該擴展與一些可疑的域名進行了通信。惡意擴展名稱為DesbloquearConteúdo(葡萄牙語:解鎖內容),主要針對巴西地區使用網上銀行服務的客戶,收集其登錄信息和密碼,以便攻擊者訪問受害者的銀行賬戶。
9月,黑客發布了來自至少81000個Facebook帳戶的私人信息,聲稱這只是1.2億帳戶信息泄露的冰山一角。在暗網的廣告中,攻擊者以每個帳戶10美分的價格來提供這些竊取的信息。BBC俄羅斯服務和網絡安全公司Digital Shadows調查了這起攻擊事件。他們發現在81000個帳戶中,大多數來自烏克蘭和俄羅斯,但其他國家的帳戶也包含在內,包括英國、美國和巴西。Facebook認為這些信息是通過惡意瀏覽器擴展程序竊取的。
惡意擴展非常罕見,但我們需要認真防范這些威脅,因為它們可能會造成潛在的損害。用戶應該只在Chrome網上應用商店或其他官方服務中安裝具有大量安裝數和評論數的經過驗證的擴展程序。即便應用商店的運營者已經實施了保護措施,但惡意擴展還是有可能被成功發布。因此,建議用戶額外使用互聯網安全產品,安全產品將能夠檢測出可疑的擴展程序。
六、世界杯期間的欺詐行為
社會工程學仍然是各類網絡攻擊者的重要工具。詐騙者總是在尋找機會,通過一些熱門的體育賽事來非法牟利,而世界杯就是他們的一個不錯之選。在世界杯開始前的一段時間,網絡犯罪分子就開始建立網絡釣魚網站,并發出與世界杯相關的信息。這些網絡釣魚郵件包括虛假的彩票中獎通知和比賽門票相關消息。詐騙者總是竭盡全力地模仿合法的世界杯合作伙伴網站,創建一個經過完美設計的網頁,甚至添加了SSL證書以增加可信度。犯罪分子還通過模擬FIFA官方通知來提取數據:受害者收到一條消息,通知他們安全系統已經更新,必須重新輸入所有個人數據才能避免帳戶被鎖定。這些消息中包含指向虛假頁面的鏈接,詐騙者在這些虛假頁面上收集受害者的個人信息。
關于網絡犯罪分子利用世界杯進行欺詐的相關報告可以從這里找到。此外,我們還提供了有關如何避免網絡釣魚詐騙的提示,這些提示適用于任何網絡釣魚詐騙,而不僅僅局限于世界杯相關。
在比賽前,我們還分析了舉辦FIFA世界杯比賽的11個城市的無線接入點,總共包含近32000個Wi-Fi熱點。在檢查其加密和身份驗證算法時,我們計算了WPA2加密方式和完全開放的網絡數量,以及它們在所有接入點之中的占比。超過五分之一的Wi-Fi熱點都使用了不可靠的網絡,這意味著犯罪分子只需要身處接入點附近,就能夠攔截流量并獲取人們的數據。大約四分之三的接入點使用了WPA/WPA2加密,這是目前被認為最安全的加密方式之一。針對這些熱點,安全防護的強度主要取決于配置,例如熱點所有者所設置的密碼強度。復雜的加密密鑰可能需要數年才能成功破解。然而,即使是可靠的網絡(例如WPA2),也不能被認為是完全安全的。這些網絡仍然容易受到暴力破解、字典破解和密鑰重新配置的攻擊,并且網上有大量的攻擊教程和開源工具。在公共的接入點中,也可以通過中間人攻擊的方式攔截來自WPA Wi-Fi的流量。
我們的報告以及如何安全使用Wi-Fi熱點的建議可以在這里找到,這些建議也同樣適用于任何場景,不只是世界杯。
七、工業規模的金融詐騙
今年8月,卡巴斯基實驗室ICS CERT報道了一起旨在從企業(主要是制造公司)竊取資金的網絡釣魚活動。攻擊者使用典型的網絡釣魚技術,誘導受害者點擊受感染的附件,該附件包含在一封偽裝成商業報價和其他財務文件的電子郵件之中。網絡犯罪分子使用合法的遠程管理應用程序TeamViewer或RMS(Remote Manipulator System)來訪問設備,并掃描當前購買的相關信息,以及受害者使用的財務和會計軟件的詳細信息。然后,攻擊者通過不同手段竊取公司的資金,例如通過替換交易中的銀行賬號。在8月1日發布報告時,我們已經發現至少有800臺計算機感染這一威脅,這些受感染設備位于至少400個組織中,涉及到制造業、石油和天然氣、冶金、工程、能源、建筑、采礦和物流等多個行業。該惡意活動自2017年10月以來就持續進行。
我們的研究發現,即使惡意組織使用簡單的技術和已知的惡意軟件,他們也可以借助社會工程學技巧以及將代碼隱藏在目標系統中的方法,成功實現對工業公司的攻擊。同時,他們使用合法的遠程管理軟件,來逃避反病毒解決方案的檢測。
有關攻擊者如何使用遠程管理工具來攻陷其目標的更多信息,請參見這篇文章,以及2018年上半年針對工控系統的攻擊概述。
八、勒索軟件:仍然存在的威脅
在過去一年內,勒索軟件攻擊的數量已經發生下降。然而,這種類型的惡意軟件仍然是一個嚴重的問題。我們持續看到了新的勒索軟件家族的發展。8月初,我們的反勒索軟件模塊檢測到了KeyPass木馬。在短短兩天內,我們在20多個國家發現了這種惡意軟件,巴西和越南遭受的打擊最為嚴重,但也在歐洲、非洲和遠東地區發現了受害者。KeyPass可以對受感染的計算機能訪問的本地驅動器和網絡共享上的所有文件(不限擴展名)進行加密。同時,還忽略了一些文件,這些文件位于惡意軟件中硬編碼的目錄中。加密文件的附加擴展名為KEYPASS,勒索提示文件名為“!!!KEYPASS_DECRYPTION_INFO!!!.txt”,保存在包含加密文件的每個目錄中。該木馬的作者實施了一個非常簡單的方案。惡意軟件使用了AES-256對稱加密算法(CFB模式),并針對所有文件使用為0的IV和相同的32字節密鑰。木馬在每個文件的頭部進行加密,最多加密到0x500000字節(約5MB)的數據。在運行后不久,惡意軟件連接到其C&C服務器,并獲取當前受害者的加密密鑰和感染ID。數據以JSON的形式通過純HTTP傳輸。如果C&C不可用(例如被感染計算機未連接到網絡,或者服務器已經被關閉),那么惡意軟件會使用硬編碼的密鑰和ID。在離線加密的情況下,可以輕松實現對文件的解密。
KeePass木馬最值得注意的一個功能是“人工控制”。木馬包含一個默認隱藏的表單,但在按下鍵盤上的特定按鈕后可以顯示該表單。這一表單允許犯罪分子通過更改加密密鑰、勒索提示名稱、勒索文本、受害者ID、加密文件的擴展名以及要排除的目錄列表等參數,從而自定義加密過程。這種能力表明,木馬背后的犯罪分子可能打算在人工攻擊中使用這一軟件。
然而,不僅僅是新的勒索軟件家族對用戶造成了威脅。在WannaCry爆發的一年半之后,該軟件仍然是最廣泛的加密勒索惡意軟件之一,到目前為止,我們已經在全球范圍內發現了74621次獨立的攻擊。在2018年第三季度,這些攻擊占所有針對特定目標進行加密攻擊的28.72%。這一比例與去年相比增加了2/3。考慮到在2017年5月病毒爆發之前,WannaCry所使用的EternalBlue補丁就已經存在,這一情況非常令人擔憂。
九、Asacub和銀行木馬
2018年,涉及移動銀行木馬的攻擊數量有明顯增長。在今年年初,我們針對這種類型的威脅已經檢測到一定數量的獨特樣本和受攻擊用戶。
然而,在第二季度,這一情況發生了巨大變化。我們檢測到的移動銀行木馬和受攻擊用戶的數量突破記錄。盡管主要原因還是在于Asacub和Hqwar,但這一數字發送巨大回升的根本原因還不清楚。根據我們的數據,Asacub幕后團隊已經運營了超過3年。
Asacub是從一個短信木馬演變而來的,它在最開始就擁有防止刪除、攔截來電和攔截短信的技術。作者隨后將程序邏輯復雜化,并開始大規模分發惡意軟件。所選擇的載體與最初的載體相同,都是通過SMS短信方式借助社會工程學實現分發。
當木馬感染的設備開始傳播感染時,就會呈現出滾雪球的增長趨勢,Asacub通過自我傳播,擴散到受害者的全部聯系人名單。
十、智能不一定意味著安全
如今,我們被智能設備所包圍,包括日常家用物品,例如電視、智能電表、恒溫器、嬰兒監視器和兒童玩具等。但智能設備的范疇還包含汽車、醫療設備、閉路電視攝像機和停車咪表。隨著智能化的進一步提升,智能城市也相繼出現。然而,如今的智能時代為攻擊者提供了更大的攻擊面。要保護傳統計算機的安全非常困難,但如果要保護物聯網(IoT)的安全,則又是難上加難。由于缺乏標準化,安全人員往往會忽視其安全性,或者將安全性視為開發之后需要考量的因素之一。有很多例子可以佐證這一觀點。
2月,我們探討了智能中心(Smart Hub)的安全性問題。通過智能中心,用戶可以控制家中其他智能設備的操作,發出命令并接收消息。智能中心可以通過觸摸屏、移動應用程序或Web界面進行控制。如果它遭受攻擊,可能會出現單點故障。盡管我們的研究人員分析的智能中心沒有明顯漏洞,但其中還是存在足以獲取遠程訪問權限的邏輯漏洞。
卡巴斯基實驗室ICS CERT的研究人員針對一款流行的智能攝像頭進行了分析,并研究該設備是如何防止入侵的。智能攝像頭現在已經成為日常生活中的一部分,有許多智能攝像頭都連到云端,用于遠程監控特定位置(查看寵物、進行安全監控等)。我們的研究人員所分析的設備被當做通用攝像頭來銷售,可以用作嬰兒監視器,也可以作為安全系統的一部分。該攝像頭具有夜視能力,可以跟隨移動的物體,并支持將視頻傳輸到智能手機或平板電腦,可以通過內置揚聲器播放聲音。但不幸的是,這一智能攝像頭居然有13個漏洞,幾乎與它的功能一樣多,可以允許攻擊者更改管理員密碼、在設備上執行任意代碼、構建被攻陷攝像頭的僵尸網絡或者完全阻止攝像頭運行。
這些安全問題不止存在于面向消費者的設備之中。今年年初,我們的全球研究和分析團隊研究員與Azimuth Security的Amihai Neiderman共同發現了一個加油站自動化設備的漏洞。該設備直接連接到互聯網,負責管理加油站的每一個組件,包括加油機器和支付終端。更令人擔憂的是,外部人員可以使用默認憑據訪問設備的Web界面。經過進一步的研究顯示,攻擊者可以關閉所有加油系統、導致燃油泄漏、修改價格、繞過支付終端、獲取車輛牌照和駕駛員身份、在控制器單元上執行代碼,甚至可以在加油站的網絡上自由移動。
如今,技術正在推動醫療保健的改革,它有助于提升醫療質量,并降低醫療和護理服務的成本,同時還可以讓患者和公民更好地管理他們的醫療保健信息,賦予護理人員全力,并有助于新藥和治療方法的研究。然而,新的醫療技術和移動工作實踐所產生的數據要比以往任何時候都多,同時也為數據丟失或數據竊取提供了更多的機會。在過去的幾年中,我們已經多次提出了這一問題。我們持續跟蹤網絡犯罪分子的活動軌跡,了解他們如何滲透醫療網絡,如何找到公開醫療資源的數據以及如何將其泄露出去。9月,我們檢查了醫療領域的安全性,發現超過60%醫療機構的計算機上存在某種惡意軟件。此外,針對制藥行業的攻擊仍在持續增長。關鍵是,醫療機構應該刪除不再需要的個人醫療數據,及時更新軟件,并刪除不再需要的應用程序的所有終端,不要將重要的醫療設備連接到主LAN上。在這里可以找到我們的詳細建議。
今年,我們還研究了用于動物的智能設備,特別是用于監控寵物位置的追蹤器。這些小工具可以訪問寵物主人的家庭網絡和電話,以及獲取寵物的位置。我們的研究人員研究了幾種市面上流行的追蹤器,其中4款使用BLE藍牙技術與用戶的智能手機進行通信,僅有1款被正確配置,其他3款可以接收并執行任何人的命令。同時,追蹤器也可以被禁用,或者對用戶隱藏,攻擊者所需要做的僅僅是靠近追蹤器。其中,只有一個經過測試的Android應用程序會驗證其服務器的證書,而不僅僅依賴于系統安全。因此,這些安全性薄弱的產品容易受到中間人(MitM)攻擊,攻擊者可以誘導受害者安裝他們的證書,從而攔截傳輸的數據。
我們的一些研究人員還研究了人類可穿戴設備,特別是智能手表和健身追蹤器。我們發現,通過在智能手機上安裝間諜應用程序,可以將內置運動傳感器(加速度計和陀螺儀)的數據發送到遠程服務器,并使用這些數據拼湊出佩戴者的行為,例如走路、坐著、打字等。我們從基于Android的智能手機開始,編寫了一個簡單的應用程序來處理和傳遞數據,然后研究我們可以從這些數據中獲取什么。結果表明,不僅可以確定佩戴者是坐著還是走路,并且還能弄清楚佩戴者是散步還是乘坐地鐵,因為這兩種狀態對應的加速度計模式略有不同。當佩戴者打字時,也很容易判斷出來。但是,如果想要發現他們輸入的內容,這非常困難,并且需要重復輸入文本。我們的研究人員能以96%的準確度恢復出計算機密碼,能以87%的準確度恢復出ATM密碼。但是,由于缺乏關于受害者何時輸入此類信息的可預測性,獲取其他信息(例如:信用卡號或CVC碼)將更加困難。
近年來,汽車共享服務有所增長。這些服務為大城市中的出行人群提供了便利。但是,也隨之產生了安全問題,就是使用這些服務的用戶個人信息是否安全?7月,我們測試了13個應用程序,其結果并不樂觀。顯然,應用程序開發人員在最初設計和創建基礎架構時,都沒有充分考慮到當前移動平臺的威脅。最簡單的,目前只有1個服務會向客戶發送有關嘗試從其他設備登錄帳戶的通知。從安全角度來看,我們分析的大多數應用程序的安全性都非常差,需要進行改進。而且,許多應用程序不僅看起來非常相似,實際上就是使用了相同的代碼。讀者可以在這里閱讀我們的報告,其中包括為汽車共享服務客戶提供的安全建議,以及為汽車共享應用程序開發人員提供的建議。
智能設備的使用數量不斷增加。有預測表明,到2020年,智能設備的數量將會超過世界人口的數倍。然而,一些廠商仍然沒有優先考慮設備的安全性,沒有提醒用戶在初始設置階段就更改默認密碼,沒有關于新固件版本發布的提醒。對于普通用戶來說,更新過程可能非常復雜。這樣就使得物聯網設備成為網絡犯罪分子的首要目標。這些設備比PC更容易感染,在家庭基礎設施中往往發揮重要作用:負責管理互聯網流量、管理視頻監控、控制空調等家用設備。智能設備的惡意軟件不僅在數量上有所增加,在質量上也有所提升。越來越多的漏洞被網絡犯罪分子利用,同時還利用受感染的設備來發動DDoS攻擊、竊取個人數據和挖掘加密貨幣。9月,我們發布了一份關于物聯網威脅的報告,從今年開始我們已經在季度和年末的統計報告中包含有關物聯網攻擊的數據。
對于廠商來說,改進安全方案非常重要,應該確保在設計產品時就充分考慮安全性。一些國家的政府正在努力加強廠商在設計環節的安全性,正在引入相應的指導方針。10月,英國政府退出了消費者物聯網安全實踐守則。德國政府也在最近公布了其關于寬帶路由器最低標準的建議。
消費者在購買任何連網設備前,也應該首先考慮安全性。
1. 考慮是否真正需要這個設備,如果需要,請檢查可用的功能,并禁用掉任何不需要的功能,以此減少攻擊面。
2. 在線查看關于任何已經上報的漏洞的信息。
3. 檢查是否可以更新設備上的固件。
4. 確保更改默認密碼,并將其替換為唯一的復雜密碼。
5. 不要在網上共享與設備相關的序列號、IP地址和其他敏感數據。
十一、我們的數據掌握在別人手中
個人數據是一種有價值的信息。在新聞中,各種數據泄露事件接連不斷發生,涉及到Under Armour、FIFA、Adidas、Ticketmaster、T-Mobile、Reddit、British Airways和Cathay Pacific。
Cambridge Analytica違規使用Facebook數據的丑聞提醒人們,個人信息不僅僅對于網絡犯罪分子來說具有價值。在許多情況下,個人數據是人們為獲得產品或服務所支付的價格,例如使用“免費”瀏覽器、“免費”電子郵件帳戶、“免費”社交網絡賬戶等。但并非都是如此。如今,我們已經逐漸被智能設備包圍,這些設備可以收集我們生活的細節。今年早些時候,一名記者將她的公寓變成了智能家居設備組成的公寓,以便衡量這些設備的廠商所收集的數據量。由于我們通常會為這類設備付費,因此數據的收集很難被視為使用這些服務所要支付的價格。
一些數據泄露事件的發生,導致受影響的公司遭受罰款(例如,英國信息專員辦公室對Equifax和Facebook進行了罰款)。然而,這些罰款都是在歐盟通用數據保護條例(GDPR)正式生效之前進行的,在該法案生效后,針對任何嚴重違規行為的處罰力度可能要大得多。
當然,不存在100%的安全性。但是任何持有個人數據的組織都有責任采取有效措施來保護這些個人數據。如果因違規行為導致個人數據被盜,那么公司應該及時提醒客戶,從而使客戶能夠采取有效措施來盡可能降低受到的損害。
作為普通用戶,我們無法采取措施來防止廠商的數據泄露,但可以加強我們的帳戶安全,特別是針對每個帳戶使用不同的密碼,同時開啟雙因素身份認證。
北京市公安局海淀分局備案號:11010802023656號