2019年APT回顧與思考 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-12-19 瀏覽次數(shù): |
信息來源:FreeBuf 在這一年里,APT進(jìn)行了哪些活動(dòng)?我們可以從中學(xué)到什么? 這不是一個(gè)容易回答的問題,因?yàn)檠芯咳藛T對(duì)APT攻擊活動(dòng)只有部分的可見性,不可能完全理解某些攻擊的動(dòng)機(jī)。不過從不同的角度來探討這個(gè)問題,可以更好的理解發(fā)生了什么,從中獲得更多的經(jīng)驗(yàn)。
供應(yīng)鏈攻擊 近年來,針對(duì)供應(yīng)鏈的攻擊已經(jīng)被證明是非常成功的,例子包括ShadowPad、expertr和CCleaner的后門。 今年1月發(fā)現(xiàn)了一個(gè)復(fù)雜的供應(yīng)鏈攻擊,涉及一個(gè)硬件供應(yīng)商,攻擊者向供應(yīng)商的筆記本電腦和臺(tái)式機(jī)提供BIOS、UEFI和軟件更新。攻擊者向供應(yīng)商的程序添加了一個(gè)后門,通過官方渠道將其分發(fā)給用戶。攻擊者將目標(biāo)MAC地址列表硬編碼到木馬中,從攻擊中發(fā)現(xiàn)超過200個(gè)樣本中提取超過600個(gè)唯一的MAC地址,具體分析報(bào)告:ShadowHammer 泄密事件 第三季度針對(duì)伊朗活動(dòng)的APT泄密事件。 今年3月,有人通過Dookhtegan或Labúu Dookhtegan開始使用標(biāo)簽apt34在Twitter上發(fā)布消息。他們分享了幾個(gè)文件,其中包括幾名黑客受害者的登錄名和密碼、工具、基礎(chǔ)設(shè)施的詳細(xì)信息、攻擊者的簡(jiǎn)歷和一份2014-2018年期間網(wǎng)絡(luò)工具清單。 4月22日,名為Bl4ck_B0X創(chuàng)建了GreenLeakers頻道。該頻道的目的是發(fā)布有關(guān)MuddyWater APT組成員信息。除了免費(fèi)信息,Bl4ck_B0X也將出售與MuddyWater有關(guān)的“高度機(jī)密”信息。4月27日,GreenLeakers Telegram頻道發(fā)布了三張截圖,其中包含來自MuddyWater C2服務(wù)器的截圖。5月1日,該頻道對(duì)公眾關(guān)閉,改為私人頻道,關(guān)閉的原因仍然不清楚。 最后,一個(gè)名為“隱藏現(xiàn)實(shí)”的網(wǎng)站公布了與伊朗拉納研究所有關(guān)的泄密信息。這是兩個(gè)月來第三次披露伊朗組織的細(xì)節(jié)。這次泄密與其他泄密不同,它允許任何人瀏覽泄密文件的網(wǎng)站。網(wǎng)站包含內(nèi)部文檔、聊天信息和其他與拉納研究所的CNO(計(jì)算機(jī)網(wǎng)絡(luò)操作)能力相關(guān)的數(shù)據(jù),以及有關(guān)受害者的信息。以前的泄漏更多地集中在工具、源代碼和參與者信息上。 Shadow Brokers Shadow Brokers中包括一個(gè)Python腳本sigs.py,其中許多函數(shù)來檢查系統(tǒng)是否已經(jīng)被其他攻擊者破壞。每個(gè)檢查都是在系統(tǒng)中查找唯一簽名實(shí)現(xiàn)的,sigs.py列出了44個(gè)條目,其中許多與尚未公開的未知apt相關(guān)。 2019年sigs.py文件的第27個(gè)函數(shù),被命名為DarkUniverse,DarkUniverse與ItaDuke活動(dòng)有關(guān),存在代碼重疊。主要組件是一個(gè)簡(jiǎn)單的DLL,只有一個(gè)導(dǎo)出函數(shù),實(shí)現(xiàn)持久控制、與C2的通信以及對(duì)其他模塊的控制。在西亞和非洲東北部發(fā)現(xiàn)了大約20名受害者,包括醫(yī)療機(jī)構(gòu)、原子能機(jī)構(gòu)、軍事組織和電信公司。 手機(jī)攻擊 移動(dòng)手機(jī)攻擊是許多APT工具集的標(biāo)準(zhǔn)部分。 今年5月,英國(guó)《金融時(shí)報(bào)》報(bào)道稱,黑客利用WhatsApp的零日漏洞竊聽用戶,讀取加密的聊天,打開麥克風(fēng)和攝像頭,安裝間諜軟件,甚至可以進(jìn)行進(jìn)一步的監(jiān)控。WhatsApp觸發(fā)緩沖區(qū)溢出,使攻擊者能夠控制應(yīng)用程序并執(zhí)行任意代碼,WhatsApp很快就發(fā)布了漏洞補(bǔ)丁。10月份,該公司提起訴訟,指控總部位于以色列的NSO挖掘利用了這一漏洞。WhatsApp聲稱,NSO出售的這項(xiàng)技術(shù)用于瞄準(zhǔn)20個(gè)不同國(guó)家1400多名客戶的手機(jī),其中包括人權(quán)活動(dòng)家、記者和其他人。 今年7月,報(bào)告介紹了2018年開發(fā)的針對(duì)Android和iOS的FinSpy最新版本。FinSpy的開發(fā)者將該軟件出售給世界各地的政府和執(zhí)法機(jī)構(gòu),這些機(jī)構(gòu)使用該軟件在各種平臺(tái)上收集私人用戶信息,如聯(lián)系人、信息、電子郵件、日歷、GPS位置、照片、內(nèi)存中的文件、電話錄音和數(shù)據(jù)。Android植入需要通過已知漏洞獲得root權(quán)限,在設(shè)備尚未越獄的情況下,需要對(duì)受害者的設(shè)備進(jìn)行物理訪問。最新版本包含了多個(gè)新功能。在最近的研究中,在近20個(gè)國(guó)家的中檢測(cè)到了最新版本,真正的受害者人數(shù)可能要高得多。 今年8月,谷歌Project Zero團(tuán)隊(duì)發(fā)布了一份在野發(fā)現(xiàn)的至少14個(gè)iOS 零日分析報(bào)告,攻擊者在5個(gè)攻擊鏈中使用以提升權(quán)限。攻擊者自三年前使用了一些被控網(wǎng)站來作為攻擊平臺(tái)。雖然沒有關(guān)于網(wǎng)站的詳細(xì)信息,也沒有說明這些網(wǎng)站是否仍然活躍,但谷歌稱這些網(wǎng)站“每周有數(shù)千名訪客”。 今年9月,零日經(jīng)紀(jì)公司Zerodium表示,Android的零日價(jià)值已超過iOS,該公司愿意花250萬美元購(gòu)買Android的零日,該公司此前為遠(yuǎn)程iOS越獄支付200萬美元。相比之下,Zerodium還減少了蘋果一鍵式攻擊的支出。同一天,有人在v412(Video4Linux)驅(qū)動(dòng)程序中發(fā)現(xiàn)了一個(gè)高嚴(yán)重性的零日。谷歌9月份的安全更新中沒有包含此漏洞,該漏洞可能會(huì)導(dǎo)致權(quán)限提升。幾天后,安卓系統(tǒng)的一個(gè)缺陷被發(fā)現(xiàn),使得超過10億的三星、華為、LG和索尼智能手機(jī)容易受到攻擊,攻擊者能夠使用短信完全訪問設(shè)備上的電子郵件。 工具持續(xù)改良 Turla 在調(diào)查中亞地區(qū)的惡意活動(dòng)時(shí)發(fā)現(xiàn)了一個(gè)名為Tunnus新的后門,其歸屬于Turla組織。它基于.NET的惡意軟件,能夠在受感染的系統(tǒng)上運(yùn)行命令或文件操作,并將結(jié)果發(fā)送到C2。到目前為止,攻擊者已用有漏洞的WordPress安裝構(gòu)建了其C2基礎(chǔ)設(shè)施。 今年,Turla還將其JavaScript KopiLuwak惡意軟件封裝在一個(gè)名為Topinambour的dropper中,Topinambour是一個(gè)新的.NET文件,攻擊者使用該文件通過受感染的vpn等合法軟件程序的安裝包傳播和植入KopiLuwak。該惡意軟件幾乎完全“無文件”:感染的最后階段,一個(gè)用于遠(yuǎn)程管理的加密木馬被嵌入到計(jì)算機(jī)的注冊(cè)表中,以便后期訪問。該組織使用兩種類似的KopiLuwak(即.NET RocketMan木馬和PowerShell MiamiBeach木馬)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。 此外還發(fā)現(xiàn)一個(gè)新的COMpfun惡意軟件。攻擊者在將原始COMpfun用作下載程序,根據(jù)一些樣本中留下的a.pdb路徑命名它為Reductor。攻擊者花費(fèi)了大量精力來操作Reducer中的數(shù)字根證書,并使用唯一的主機(jī)相關(guān)標(biāo)識(shí)符標(biāo)記出站TLS通信。該惡意軟件將嵌入的根證書添加到目標(biāo)主機(jī),并允許攻擊者通過管道遠(yuǎn)程添加其他證書。 Zebrocy Zebrocy繼續(xù)使用各種編程語言向其庫中添加新工具。Zebrocy在東南亞一個(gè)外交組織內(nèi)部署了一個(gè)編譯好的PythocyDbg腳本。該模塊主要提供網(wǎng)絡(luò)代理和通信調(diào)試功能進(jìn)行情報(bào)秘密收集。2019年初,Zebrocy使用Nimrod/Nim(一種語法類似于Pascal和Python的編程語言,可以編譯成JavaScript或C)。今年9月,Zebrocy spear在歐洲各地對(duì)北約等多個(gè)目標(biāo)進(jìn)行網(wǎng)絡(luò)釣魚,試圖獲取電子郵件通信、憑據(jù)和敏感文件。與Zebrocy以往的活動(dòng)類似,在電子郵件中使用與目標(biāo)相關(guān)的內(nèi)容,并壓縮包含無害文檔附件,以及帶有相同文件名的可執(zhí)行文件。該組還利用Word模板從合法的Dropbox文件共享站點(diǎn)中獲取文件。 Platinum 今年6月發(fā)現(xiàn)了一組不尋常的樣本,其主要針對(duì)南亞和東南亞國(guó)家的外交、政府和軍事組織,最終將其歸屬于Platinum,Platinum是技術(shù)最先進(jìn)的APT之一。在這次行動(dòng)中,攻擊者使用了精心設(shè)計(jì)的隱寫技術(shù)來隱藏通信。今年晚些時(shí)候,在一次網(wǎng)絡(luò)攻擊活動(dòng)中,發(fā)現(xiàn)了Platinum組織使用的新的后門Titanium,這個(gè)惡意軟件和ProjectC的工具集有相似之處,在2016年檢測(cè)到ProjectC被用作橫向移動(dòng)的工具集。 Lazarus 在2018年AppleJeus報(bào)告的主要發(fā)現(xiàn)是Lazarus組織瞄準(zhǔn)Mac OS系統(tǒng)。從那時(shí)起Lazarus擴(kuò)大了他們的業(yè)務(wù)范圍。今年又發(fā)現(xiàn)了新的活動(dòng),以蘋果的客戶為目標(biāo)利用PowerShell來控制Windows系統(tǒng)和Mac OS惡意軟件。Lazarus還瞄準(zhǔn)了韓國(guó)的一家移動(dòng)游戲公司,其目的是竊取應(yīng)用程序源代碼。Lazarus一直在快速更新它的工具。 Andariel是Lazarus的一個(gè)子組織,專注于韓國(guó)的地緣政治和金融情報(bào)。攻擊者利用存在漏洞的Weblogic服務(wù)器構(gòu)建C2,在樣本使用的是CVE-2017-10271。成功突破后,攻擊者植入有韓國(guó)安全軟件供應(yīng)商合法簽名的惡意軟件。這個(gè)惡意軟件是一個(gè)后門,叫做ApolloZeus。這個(gè)后門使用了一個(gè)相對(duì)較大的外殼代碼,使分析變得困難。此外還找到了幾個(gè)相關(guān)的樣本,以及攻擊者用來傳播它的文檔。 BlueNoroff 在第三季度跟蹤了BlueNoroff的新活動(dòng),確認(rèn)了受害者是緬甸的一家銀行。研究人員立即與銀行聯(lián)系,分享已經(jīng)發(fā)現(xiàn)的IOC,并獲得攻擊者橫向移動(dòng)工具。攻擊者使用公共登錄憑據(jù)轉(zhuǎn)儲(chǔ)程序和自制的PowerShell腳本進(jìn)行橫向移動(dòng)。BlueNoroff還使用了一種新結(jié)構(gòu)惡意軟件,可以減慢分析速度。根據(jù)命令行參數(shù)的不同,此惡意軟件可以作為后門或隧道。此外還發(fā)現(xiàn)了另一種類型的PowerShell腳本,其主要目標(biāo)為土耳其,這個(gè)PowerShell腳本的功能與之前使用的類似,但BlueNoroff不斷地更改它以逃避檢測(cè)。 DarkHotel 今年10月偶然發(fā)現(xiàn)一個(gè)樣本,使用的誘餌文件和圖片中包含朝鮮海外居民的聯(lián)系名單,所有的誘餌都包含朝鮮半島國(guó)慶節(jié)和朝鮮國(guó)慶節(jié)的內(nèi)容,內(nèi)容還涉及外交問題和商業(yè)關(guān)系。攻擊者利用魚叉釣魚和多階段感染,植入量身定制的惡意軟件。研究發(fā)現(xiàn)該攻擊活動(dòng)歸屬于DarkHotel APT組織。 Lamberts Lamberts是一個(gè)或多個(gè)攻擊者使用的復(fù)雜攻擊工具家族。武器庫包括網(wǎng)絡(luò)驅(qū)動(dòng)后門、模塊化后門、破壞性攻擊等。Silver Lambert是Gray Lambert的升級(jí),它是一個(gè)成熟的后門,在中國(guó)的航空部門發(fā)現(xiàn)了他的蹤跡。Violet Lambert是一款模塊化后門,于2018年開發(fā)和部署,可在各種版本的Windows上運(yùn)行,包括Windows XP,以及Vista和更高版本的Windows。還在中東一個(gè)重要基礎(chǔ)設(shè)施的電腦上發(fā)現(xiàn)了其他新的Lamberts后門,這個(gè)惡意軟件在網(wǎng)絡(luò)上監(jiān)聽,等待一個(gè)ping命令,然后執(zhí)行一個(gè)我們無法解密的負(fù)載,后門發(fā)現(xiàn)后不久,所有受感染的電腦都離線了。 LuckyMouse 今年早些時(shí)候監(jiān)測(cè)到了由LuckyMouse發(fā)起的活動(dòng),該活動(dòng)至少?gòu)?018年4月起就針對(duì)越南政府和海外外交。他們利用網(wǎng)絡(luò)服務(wù)漏洞作為其主要的初始感染切入點(diǎn),同時(shí)在網(wǎng)絡(luò)釣魚消息中使用的誘餌文件,顯示了其靈活使用運(yùn)營(yíng)商。攻擊者還將HTran-TCP代理源代碼包含到惡意軟件中,重定向流量。一些NetBot配置數(shù)據(jù)包含LAN ip,它從本地網(wǎng)絡(luò)中另一個(gè)受感染的主機(jī)下載下一階段程序。根據(jù)檢測(cè)內(nèi)部數(shù)據(jù)庫服務(wù)器是目標(biāo)之一。最后一步,攻擊者使用32位和64位木馬注入系統(tǒng)進(jìn)程內(nèi)存。 從2019年初開始,在中亞和中東LuckyMouse的活動(dòng)都出現(xiàn)了高峰。攻擊者目標(biāo)集中在電信運(yùn)營(yíng)商,大學(xué)和政府,通過直接攻擊、魚叉式網(wǎng)絡(luò)釣魚,水坑攻擊等手段。 HoneyMyte HoneyMyte已經(jīng)活躍了好幾年了。在過去幾年中,該組織采用了不同的技術(shù)實(shí)施攻擊,目標(biāo)是緬甸、蒙古、埃塞俄比亞、越南和孟加拉國(guó)的政府,以及位于巴基斯坦、韓國(guó)、美國(guó)、英國(guó)、比利時(shí)、尼泊爾、澳大利亞和新加坡外國(guó)大使館。今年,該組織的目標(biāo)是緬甸與自然資源管理有關(guān)的政府組織和一個(gè)非洲大陸組織,其主要?jiǎng)訖C(jī)之一是收集地緣政治和經(jīng)濟(jì)情報(bào)。 Icefog 自2011年以來Icefog目標(biāo)一直是主要位于韓國(guó)、日本和中亞的政府機(jī)構(gòu)、軍事承包商、海事和造船組織、電信運(yùn)營(yíng)商、衛(wèi)星運(yùn)營(yíng)商、工業(yè)和高科技公司以及大眾媒體。2013年該組織的行動(dòng)速度放緩,2016略有增加,從2018年初開始Icefog開始對(duì)中亞政府機(jī)構(gòu)和軍事承包商進(jìn)行大規(guī)模攻擊。在最新一波的攻擊中,感染源于一封包含惡意文檔的釣魚郵件,該郵件利用已知漏洞攻擊并最終部署有效負(fù)載。 從2018年到2019年初,有效載荷是典型的Icefog后門。自2019年5月以來,攻擊者把Poison Ivy作為他們的主要后門。Poison Ivy利用“l(fā)oad order hijacking”技術(shù)加載惡意DLL,這項(xiàng)技術(shù)非常普遍,在以前的Icefog攻擊活動(dòng)中也使用過。另外還檢測(cè)到使用從GitHub下載的TCP掃描器、Mimikatz變體、鍵盤記錄器以及Quarian的后門。Quarian后門用于在受害者基礎(chǔ)設(shè)施內(nèi)創(chuàng)建隧道,以避免網(wǎng)絡(luò)檢測(cè),其功能包括操作遠(yuǎn)程文件系統(tǒng)、獲取有關(guān)受害者的信息、竊取保存的密碼、下載或上載任意文件、使用端口轉(zhuǎn)發(fā)創(chuàng)建隧道、執(zhí)行任意命令和啟動(dòng)反向shell。 “新來者”的演變 ShaggyPather 在2018年1月的一份報(bào)告中討論了ShaggyPather,這是一個(gè)以前未被發(fā)現(xiàn)的針對(duì)臺(tái)灣和馬來西亞的惡意軟件。相關(guān)的活動(dòng)可以追溯到十多年前,類似的代碼編譯時(shí)間為2004年。最近一次活動(dòng)是在7月份印度尼西亞,以及在3月份敘利亞。較新的2018年和2019年后門代碼添加了新的混淆,不再保持明文C2字符串。其使用的外殼SinoChopper不僅執(zhí)行主機(jī)識(shí)別和后門傳遞,還執(zhí)行電子郵件竊取和其他活動(dòng)。 TajMahal 今年4月,研究人員發(fā)布了關(guān)于TajMahal的報(bào)告,TajMahal是一個(gè)未發(fā)現(xiàn)的APT框架,在過去五年中一直處于活躍狀態(tài)。它是一個(gè)高度復(fù)雜的間諜軟件框架,包括后門、加載程序、C2通信程序、錄音機(jī)、鍵盤記錄器、屏幕和網(wǎng)絡(luò)攝像頭抓取程序、文檔和密碼密鑰竊取程序和文件索引器,其加密文件系統(tǒng)中發(fā)現(xiàn)了多達(dá)80個(gè)惡意模塊,這是APT工具集中見過的數(shù)量最多之一。該惡意軟件有兩個(gè)不同的軟件包,自稱Tokyo和Yokohama,攻擊者利用Tokyo作為第一階段感染,在目標(biāo)受害者身上部署功能齊全的Yokohama。檢測(cè)顯示只有一個(gè)受害者,來自中亞國(guó)家的外交機(jī)構(gòu),研究人員認(rèn)為可能還有其他的受害者還沒有找到。 FrutiyArmor和SandCat 今年2月檢測(cè)到有人試圖利用Windows中的漏洞進(jìn)行攻擊,進(jìn)一步的分析發(fā)現(xiàn)win32k.sys中存在一個(gè)零日漏洞,F(xiàn)ruityArmor和SandCat利用了這一漏洞。FrutiyArmor和SandCat攻擊活動(dòng)各不相同,兩者同時(shí)使用相同的漏洞,似乎表明存在第三方為他們提供漏洞。 未明確攻擊者 2019年2月發(fā)現(xiàn)俄羅斯南部發(fā)生了一次目標(biāo)明確的攻擊,其使用名為Cloudmid的未知惡意軟件。這個(gè)間諜程序通過電子郵件傳播,偽裝成俄羅斯一家知名安全公司的VPN客戶端。到目前為止還無法將此活動(dòng)與任何已知攻擊者聯(lián)系起來。惡意軟件本身是一個(gè)簡(jiǎn)單的文件偷取程序。 今年2月發(fā)現(xiàn)了一場(chǎng)針對(duì)印度軍事組織的行動(dòng),但無法將其歸屬于任何已知的攻擊者。攻擊者依靠水坑和魚叉釣魚來感染受害者。他們能夠破壞陸戰(zhàn)研究中心(CLAWS)的網(wǎng)站,利用該網(wǎng)站托管一份惡意文件來分發(fā)Netwire RAT。 DADJOKE 在第三季度發(fā)現(xiàn)了DADJOKE的惡意軟件活動(dòng)。該惡意軟件于2019年1月首次在野使用,隨后不斷發(fā)展。自今年1月以來只在少數(shù)活動(dòng)中見過這種惡意軟件,這些活動(dòng)的目標(biāo)都是東南亞地區(qū)的政府、軍事和外交。最近的一次是在8月份,針對(duì)某個(gè)軍事組織的工作人員。 隱私問題 1月17日,安全研究員Troy Hunt報(bào)告稱,有超過7.73億封電子郵件和2100萬條密碼記錄泄露。這些數(shù)據(jù)被稱為Collection#1,最初是在云服務(wù)MEGA上共享的。Collection#1只是約1tb數(shù)據(jù)泄漏的一小部分,總數(shù)據(jù)分成7部分,通過數(shù)據(jù)交易論壇分發(fā)。Collection#1只是大量泄露憑證的一部分,其中包括22億個(gè)被盜賬戶記錄。 2月份又發(fā)生了數(shù)據(jù)泄露事件。黑客從16家公司盜取的6.17億個(gè)賬戶詳細(xì)信息在DreamMarket出售。黑客攻擊的公司包括Dubsmash、MyFitnessPal、Armor Games和CoffeeMeetsBagel。隨后,又有8家公司的數(shù)據(jù)被發(fā)布到同一個(gè)市場(chǎng)。在3月份黑客又發(fā)布了另外6家公司的被盜數(shù)據(jù)。 新聞中關(guān)于電子郵件地址和密碼泄露的源源不斷的報(bào)道,這種“傳統(tǒng)”認(rèn)證形式的失竊會(huì)導(dǎo)致嚴(yán)重的后果,但其他認(rèn)證方法的泄密影響可能會(huì)更嚴(yán)重。今年8月,兩名以色列研究人員在一個(gè)可公開訪問的數(shù)據(jù)庫中發(fā)現(xiàn)了Suprema Biostar 2生物控制系統(tǒng)的指紋、面部識(shí)別數(shù)據(jù)和其他個(gè)人信息。生物測(cè)數(shù)據(jù)的泄露尤其令人關(guān)注。泄露的密碼可以更改,但生物特征是終身的。 智能設(shè)備在我生活新領(lǐng)域中的廣泛使用為攻擊者提供了一個(gè)更大的數(shù)據(jù)池。例如智能揚(yáng)聲器在家里可監(jiān)聽談話的影響。社交媒體巨頭正擁有越來越多的個(gè)人信息,這些信息對(duì)犯罪分子和APT組織都是非常有價(jià)值的。
|