APT---典型APT攻擊的案例
APT攻擊
APT攻擊是近幾年來出現的一種高級攻擊,具有難檢測、持續時間長和攻擊目標明確等特征。
本文中,整理了近年來比較典型的幾個APT攻擊,并其攻擊過程做了分析
Google極光攻擊
2010年的Google
Aurora(極光)攻擊是一個十分著名的APT攻擊。Google的一名雇員點擊即時消息中的一條惡意鏈接,引發了一系列事件導致這個搜索引擎巨人的網絡被滲入數月,并且造成各種系統的數據被竊取。這次攻擊以Google和其它大約20家公司為目標,它是由一個有組織的網絡犯罪團體精心策劃的,目的是長時間地滲入這些企業的網絡并竊取數據。
原理圖如下:
該攻擊過程大致如下:
1) 對Google的APT行動開始于刺探工作,特定的Google員工成為攻擊者的目標。攻擊者盡可能地收集信息,搜集該員工在Facebook、Twitter、LinkedIn和其它社交網站上發布的信息。
2)
接著攻擊者利用一個動態DNS供應商來建立一個托管偽造照片網站的Web服務器。該Google員工收到來自信任的人發來的網絡鏈接并且點擊它,就進入了惡意網站。該惡意網站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出,進而執行FTP下載程序,并從遠端進一步抓了更多新的程序來執行(由于其中部分程序的編譯環境路徑名稱帶有Aurora字樣,該攻擊故此得名)。
3) 接下來,攻擊者通過SSL安全隧道與受害人機器建立了連接,持續監聽并最終獲得了該雇員訪問Google服務器的帳號密碼等信息。
4) 最后,攻擊者就使用該雇員的憑證成功滲透進入Google的郵件服務器,進而不斷的獲取特定Gmail賬戶的郵件內容信息。
超級工廠病毒攻擊(震網攻擊)
著名的超級工廠病毒攻擊為人所知主要源于2010年伊朗布什爾核電站遭到Stuxnet蠕蟲的攻擊的事件曝光。
遭遇超級工廠病毒攻擊的核電站計算機系統實際上是與外界物理隔離的,理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破,超級工廠病毒也正充分的利用了這一點。超級工廠病毒的攻擊者并沒有廣泛的去傳播病毒,而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染攻擊,以此為第一道攻擊跳板,進一步感染相關人員的移動設備,病毒以移動設備為橋梁進入“堡壘”內部,隨即潛伏下來。病毒很有耐心的逐步擴散,一點一點的進行破壞。這是一次十分成功的APT攻擊,而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍,攻擊十分精準。
在2011年,一種基于Stuxnet代碼的新型的蠕蟲Duqu又出現在歐洲,號稱“震網二代”。Duqu主要收集工業控制系統的情報數據和資產信息,為攻擊者提供下一步攻擊的必要信息。攻擊者通過僵尸網絡對其內置的RAT進行遠程控制,并且采用私有協議與CC端進行通訊,傳出的數據被包裝成jpg文件和加密文件。
夜龍攻擊
夜龍攻擊是McAfee在2011年2月份發現并命名的針對全球主要能源公司的攻擊行為。
該攻擊的攻擊過程是:
1) 外網主機如Web服務器遭攻擊成功,多半是被SQL注入攻擊;
2) 被黑的Web服務器被作為跳板,對內網的其他服務器或PC進行掃描;
3) 內網機器如AD服務器或開發人員電腦遭攻擊成功,多半是被密碼暴力破解;
4) 被黑機器被植入惡意代碼,多半被安裝遠端控制工具(RAT),傳回大量機敏文件(WORD、PPT、PDF等等),包括所有會議記錄與組織人事架構圖;
5) 更多內網機器遭入侵成功,多半為高階主管點擊了看似正常的郵件附件,卻不知其中含有惡意代碼。
RSA SecurID竊取攻擊
2011年3月,EMC公司下屬的RSA公司遭受入侵,部分SecurID技術及客戶資料被竊取。其后果導致很多使用SecurID作為認證憑據建立VPN網絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊,重要資料被竊取。在RSA
SecurID攻擊事件中,攻擊方沒有使用大規模SQL注入,也沒有使用網站掛馬或釣魚網站,而是以最原始的網路通訊方式,直接寄送電子郵件給特定人士,并附帶防毒軟體無法識別的惡意文件附件。
其攻擊過程大體如下:
1) RSA有兩組同仁們在兩天之中分別收到標題為“2011 Recruitment Plan”的惡意郵件,附件是名為“2011 Recruitment plan.xls”的電子表格;
2) 很不幸,其中一位同仁對此郵件感到興趣,并將其從垃圾郵件中取出來閱讀,殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞(CVE-2011-0609);
3) 該主機被植入臭名昭著的Poison Ivy遠端控制工具,并開始自C&C中繼站下載指令進行任務;
4) 首批受害的使用者并非“位高權重”人物,緊接著相關聯的人士包括IT與非IT等服務器管理員相繼被黑;
5) RSA發現開發用服務器(Staging server)遭入侵,攻擊方隨即進行撤離,加密并壓縮所有資料(都是rar格式),并以FTP傳送至遠端主機,又迅速再次搬離該主機,清除任何蹤跡。
暗鼠攻擊
2011年8月份,McAfee/Symantec發現并報告了該攻擊。該攻擊在長達數年的持續攻擊過程中,滲透并攻擊了全球多達70個公司和組織的網絡,包括美國政府、聯合國、紅十字會、武器制造商、能源公司、金融公司,等等。
其攻擊過程如下:
1) 攻擊者通過社會工程學的方法收集被攻擊目標的信息。
2) 攻擊者給目標公司的某個特定人發送一些極具誘惑性的、帶有附件的郵件例如邀請他參見某個他所在行業的會議,以他同事或者HR部門的名義告知他更新通訊錄,請他審閱某個真實存在的項目的預算,等等。
3) 當受害人打開這些郵件,查看附件(大部分形如:Participant_Contacts.xls、2011 project
budget.xls、Contact List -Update.xls、The budget
justification.xls),受害人的EXCEL程序的FEATHEADER遠程代碼執行漏洞(Bloodhound.Exploit.306)被利用,從而被植入木馬。實際上,該漏洞不是0day漏洞,但是受害人沒有及時打補丁,并且,該漏洞只針對某些版本的EXCEL有效,可見被害人所使用的EXCEL版本信息也已經為攻擊者所悉知。
4) 木馬開始跟遠程的服務器進行連接,并下載惡意代碼。而這些惡意代碼被精心偽裝(例如被偽裝為圖片,或者HTML文件),不為安全設備所識別。
5) 借助惡意代碼,受害人機器與遠程計算機建立了遠程Shell連接,從而導致攻擊者可以任意控制受害人的機器。
Lurid攻擊
2011年9月22日,TrendMicro的研究人員公布了一起針對前獨聯體國家、印度、越南和中國等國家的政府部門、外交部門、航天部門,還有科研機構APT攻擊——Lurid攻擊。
攻擊者的主要是利用了CVE-2009-4324和 CVE-2010-2883這兩個已知的Adobe Reader漏洞,以及被壓縮成RAR文件的帶有惡意代碼的屏幕保護程序。
用戶一旦閱讀了惡意PDF文件或者打開了惡意屏幕保護程序,就會被植入木馬。木馬程序會變換多種花樣駐留在受害人電腦中,并與C&C服務器進行通訊,收集的信息通常通過HTTP
POST上傳給C&C服務器。攻擊者借助C&C服務器對木馬下達各種指令,不斷收集受害企業的敏感信息。
Nitro攻擊
2011年10月底,Symantec發布的一份報告公開了主要針對全球化工企業的進行信息竊取的Nitro攻擊。
該攻擊的過程也十分典型:
1) 受害企業的部分雇員收到帶有欺騙性的郵件;
2) 當受害人閱讀郵件的時候,往往會看到一個通過文件名和圖標偽裝成一個類似文本文件的附件,而實際上是一個可執行程序;或者看到一個有密碼保護的壓縮文件附件,密碼在郵件中注明,并且如果解壓會產生一個可執行程序。
3) 只要受害人執行了附件中的可執行程序,就會被植入Poison Ivy后門程序。
4) Poison Ivy會通過TCP 80端口與C&C服務器進行加密通訊,將受害人的電腦上的信息上傳,主要是帳號相關的文件信息。
5) 攻擊者在獲取了加密的帳號信息后通過解密工具找到帳號的密碼,然后借助事先植入的木馬在受害企業的網絡尋找目標、伺機行動、不斷收集企業的敏感信息。
6) 所有的敏感信息會加密存儲在網絡中的一臺臨時服務器上,并最終上傳到公司外部的某個服務器上,從而完成攻擊。
Luckycat攻擊
2012年3月份,TrendMicro發布的報告中披露了一個針對印度和日本的航空航天、軍隊、能源等單位進行長時間的滲透和刺探的攻擊行動,并命名為Luckycat。
根據報告顯示,這次攻擊行動依然是通過釣魚郵件開始的,例如針對日本目標的釣魚郵件的內容大都跟福島核電站的核輻射問題有關。然后就是利用了很多針對
pdf/rtf的漏洞,包括CVE-2010-3333,CVE-2010-2883,CVE-2010-3654,CVE-
2011-0611,CVE-2011-2462等。滲透進去之后就是用C&C進行遠程控制。而C&C服務器是通過VPS申請到的DNS域名。
全球最危險的十大APT攻擊事件
一、 豐收行動
2016年7月,東巽科技2046Lab捕獲到一例疑似木馬的樣本,該木馬樣本偽裝成Word文檔,實為包含CVE-2015-1641(Word類型混淆漏洞)漏洞利用的RTF格式文檔,以郵件附件的形式發給攻擊目標,發動魚叉式攻擊。將文件提交到多引擎殺毒平臺,發現54款殺毒軟件僅8款可以檢出威脅,說明攻擊者對木馬做了大量的免殺處理。隨后,2046Lab研究人員對樣本進行了深入的人工分析,發現其C&C服務器依然存活,于是對其進行了跟蹤溯源和樣本同源分析,又發現了其他兩處C&C服務器和更多樣本。
從溯源和關聯分析來看,種種跡象表明,該樣本源于南亞某國隱匿組織的APT攻擊,目標以巴基斯坦、中國等國家的科研院所、軍事院校和外交官員為主,通過竊取文件的方式獲取與軍事相關情報。由于樣本的通信密碼含有“January14”關鍵詞,這一天正好是南亞某國盛行的“豐收節”,故把該APT事件命名為“豐收行動”。
二、 摩訶草事件
摩訶草組織(APT-C-09),又稱 HangOver、VICEROY TIGER、The Dropping
Elephant、Patchwork,是一個來自于南亞地區的境外 APT 組織,該組織已持續活躍了 7 年。摩訶草組織最早由 Norman
安全公司于 2013 年曝光,隨后又有其他安全廠商持續追蹤并披露該組織的最新活動,但該組織并未由于相關攻擊行動曝光而停止對相關目標的攻擊,相反從
2015年開始更加活躍。摩訶草組織主要針對中國、巴基斯坦等亞洲地區國家進行網絡間諜活動,其中以竊取敏感信息為主。相關攻擊活動最早可以追溯到
2009 年 11 月,至今還非常活躍。在針對中國地區的攻擊中,該組織主要針對政府機構、科研教育領域進行攻擊,其中以科研教育領域為主。
本次攻擊行動也安全廠商被稱為“Patchwork”或“The Dropping Elephant”,從 2015 年初開始持續至今的攻擊,其中從
2015 年 8 月開始至 2016 年 6 月攻擊 非常頻繁。本次行動的攻擊目標主要是中國地區,期間使用了大量文檔型漏洞,以
CVE-2014-4114 使用最多。我們主要通過本次攻擊行動中 C&C 的 SOA 關聯到第一次攻擊行動 中相關 C&C
歷史域名注冊人,由于 SOA 本身可以被 DNS 管理者修改,所以存在被刻意修改
的可能性,但從我們的分析推斷來看這種可能性很低,另外結合相關行動意圖和幕后組織的
發起方,我們更傾向本次攻擊行動屬于摩訶草組織的最新一次攻擊行動。在本報告后續章節
的研究分析,會將本次攻擊行動作為摩訶草組織的第四次攻擊行動進行描述。
三、 蔓靈花行動
美國網絡安全公司Forcepoint
近期發布了一篇報告,該報告主要披露了巴基斯坦政府官員最近遭到了來源不明的網絡間諜活動。該報告描述了攻擊者使用了魚叉郵件以及利用系統漏洞等方式,在受害者計算機中植入了定制的AndroRAT,意圖竊取敏感信息和資料。Forcepoint研究人員認為該組織與BITTER相關,而且可能還不止發起了這一起攻擊事件。BITTER攻擊始于2013年11月,且多年來一直未被檢測到,目前攻擊者背景尚未明確。相關APP信息包括提供關于印度和巴基斯坦之間的爭議地區新聞的Kashmir
News等。
從惡意樣本的時間戳來看,國外樣本最早出現在2013年11月,樣本編譯時間集中出現在2015年7月至2016年9月期間。
國內感染用戶的樣本的編譯時間集中在2016年5月到9月期間,其網絡活動的活躍時間集中在9月份,其CC至今依然存活。
主要受影響單位:中國某國家部委、中國某工業集團、中國某電力單位。
四、 MONSOON事件
2016年8月,Forcepoint
發布了一個APT攻擊的追蹤報告。該報告由Forcepoint安全實驗室特別調查小組長期獨立追蹤完成。該調查小組隸屬于Forcepoint安全實驗室,由優秀的惡意軟件逆向工程師和分析師組成,其職責是專門深入研究僵尸網絡和APT攻擊。他們與全球眾多值得信賴的機構協作,以提供切實可見的決策為宗旨,向大眾、客戶以及合作伙伴等利益相關者傳遞相關信息,針對網絡安全問題,警醒全球用戶。此次APT事件來自印度的針對中國和南亞國家。
六、白俄羅斯軍事通訊社事件
最近,互聯網上出現一起針對白俄羅斯軍事網站的滲透活動,攻擊者通過電子郵件做為誘餌,在電子郵件的附件中嵌入漏洞利用的文檔,在受害者打開文檔后,文檔中嵌入的shellcode得以執行,實現對目標系統的控制。在受害者重啟計算機后,通過操作系統的啟動項加載PE文件,進行后續的滲透攻擊。從我們最初得到的email來看,攻擊者針對是白俄羅斯共和國國防部武裝部隊軍事通訊社進行的定向攻擊。
攻擊者第一步是向白俄羅斯共和國國防部武裝部隊軍事通訊社發送郵件。郵件主題“Куда идёт Беларусь”翻譯成中文是”白俄羅斯將何去何從?”
七、APT28 Roskosmos事件
2016年6月在DNC電腦系統中曾發現APT28的滲透痕跡,其實早在過去,網絡安全公司火眼曾把APT28與2007年檢測到的一起攻擊聯系起來,該起攻擊的目標是格魯吉亞、波蘭、匈牙利、土耳其和波羅的海各國,以及歐洲安全合作組織(OSCE)。而現在更有研究指出該組織一直將注意力轉移到世界反興奮劑(WADA)等西方政府或軍事機構,而這次他們使用了新型木馬Komplex來感染蘋果系統設備
在過去一些分析中認為APT28主要依賴3種不同的攻擊途徑來感染他們的目標:用惡意Word和Excel文檔作為附件的釣魚郵件,釣魚網站,會導致Java和Flash
0-day漏洞的惡意iFrame代碼。在過去的兩年中出現了許多活躍的黑客組織,比如APT28、Sofacy、Pawn Storms、Fancy
Bear以及Sednit等。
而在近期美國民主黨委員會遭到網絡攻擊一事中,英國倫敦國王學院的教授Thomas
Rid曾就此事件寫了一篇最權威的文章,列出所有跡象和證據表明俄羅斯政府就是DNC網絡攻擊背后的黑手,而后經過調查,美國安全公司CrowdStrike已經確認,第一起攻擊其網絡的時間為2015年,第二個黑客組織于2016年發起攻擊,而在這種就發現該組織痕跡。然而惡意軟件Komplex是如何快速感染目標用戶?其實方法也不是很復雜,主要是通過釣魚郵件的方式,引誘不知情的用戶感染木馬病毒,偽裝的信息一般是俄羅斯即將推出的太空計劃或最新項目,而這些會有多少人不感興趣,于是感染的用戶越來越多。
八、Patchwork 事件
最近,一個與東南亞和中國南海問題相關的APT攻擊被發現,該APT攻擊以包括美國在內的各國政府和公司為目標 。經安全專家分析,該APT攻擊所使用的全部工具代碼都是通過 復制-粘貼 互聯網公開代碼組合而成,相對于其它APT特有的攻擊工具而言,比較獨特。
該APT攻擊于今年5月在針對歐洲政府部門的一起釣魚活動中被發現,攻擊目標為一個中國政策研究機構的工作人員,其以PPT文檔為誘餌發起網絡攻擊,文檔內容為中國在南海的一系列活動。
Patchwork現如今的攻擊目標有了極大范圍的擴展,不過主要還是針對公共部門和企業。近期Patchwork的一些攻擊針對的行業包括:航空、廣播、能源、金融、非政府組織、制藥、公有企業、出版、軟件。
攻擊目標的地理位置則也擴展到了美國之外,雖然大約有半數攻擊仍然針對美國,但其余攻擊針對的國家地區則相對已經比較分散了,包括中國、日本、東南亞、英國等。而其攻擊方式看來并沒有太大變化,仍然是向目標發出時事新聞郵件。郵件中會包含攻擊者的網站鏈接,這些網站的內容主要都是中國相關。
九、BlackEnergy
去年年底的時候,一波網絡攻擊的其中幾個部分經鑒定是針對烏克蘭的。而對這些攻擊比較廣泛的說法是,此次攻擊是著名的BlackEnergy木馬并且增加了一些新的模塊。
BlackEnergy木馬是著名的黑客Cr4sh創造的。在2007年,他聲稱不再開發這款木馬,并且賣出木馬的源碼,估價在$700。剛開始,在2008年它被一些黑客們用來針對格魯吉亞進行DDOS攻擊。這些不知名的黑客在隨后的幾年里持續進行DDOS攻擊。
大概在2014年,一個特別的BlackEnergy組織開始引起大家的注意,他們開發了監測控制和數據采集類的插件來威脅ICS并且在全世界范圍都非常活躍。這顯示出BlackEnergy還存在的一些特別的能力,不僅僅局限于DDOS攻擊。因此,我們稱他們為BlackEnergy
APT組織。
這些組織的其中的一個APT攻擊的目標就是烏克蘭。自從2015年中期開始,烏克蘭就開始存在通過Excel宏病毒進行BlackEnergy攻擊,如果用戶打開此類文檔腳本就會釋放木馬至本地硬盤。
最近,我們發現了一種新型的針對烏克蘭的BlackEnergy APT文檔類攻擊。不像以前采用Excel工作簿進行攻擊,此次采用的是Word文檔。該文檔通過提及烏克蘭“Right Sector”反對派政府來達到迷惑的效果。
十、SWIFT系統攻擊事件
2016年2月孟加拉國央行被黑客攻擊導致8100萬美元被竊取的事件被曝光后,如越南先鋒銀行、厄瓜多爾銀行等,針對銀行SWIFT系統的其他網絡攻擊事件逐一被公開。
在分析孟加拉國央行和越南先鋒銀行攻擊事件期間,我們發現近期曝光的這4起針對銀行的攻擊事件并非孤立的,而很有可能是由一個組織或多個組織協同發動的不同攻擊行動。
另外通過對惡意代碼同源性分析,我們可以確定本次針對孟加拉國央行和越南先鋒銀行的相關惡意代碼與Lazarus組織(APT-C-26)有關聯,但我們不確定幕后的攻擊組織是Lazarus組織(APT-C-26)。
