Kaspersky研究發(fā)現(xiàn)�����, 紅色十月黑客組織發(fā)現(xiàn)之前����,它已經(jīng)存在近5年了。網(wǎng)絡(luò)間諜攻擊并不新鮮�,但是越來越復(fù)雜��,F(xiàn)在����,攻擊者成功潛入組織并隱藏幾個(gè)月不被發(fā)現(xiàn)很簡(jiǎn)單。企業(yè)可以通過分析這些高級(jí)攻擊吸取經(jīng)驗(yàn)教訓(xùn)�。本文將詳細(xì)介紹紅色十月惡意攻擊行為,以及企業(yè)安全團(tuán)隊(duì)可以從中學(xué)習(xí)的攻擊檢測(cè)方法��。
紅色十月惡意軟件攻擊分析
從2007年開始���,紅色十月攻擊了大量目標(biāo)���。黑客主要針對(duì)于全世界的科學(xué)研究�����、外交�、政府和支持組織��,大多集中在東歐地區(qū)��。按照這個(gè)惡意軟件的內(nèi)容和名字��,Kaspersky實(shí)驗(yàn)室認(rèn)為紅色十月模塊由俄國(guó)開發(fā)者提供���,并且由中國(guó)黑客開發(fā)�����。
攻擊活動(dòng)的執(zhí)行與最近發(fā)生的其他高級(jí)攻擊類似;它首先發(fā)布包含惡意附件的網(wǎng)絡(luò)釣魚�,一旦執(zhí)行就攻擊微軟Office和Java漏洞�����。這樣,后門和短期可執(zhí)行文件就能夠獲得本地系統(tǒng)的訪問權(quán)限����,建立持久訪問,然后利用密碼盜取�����、鍵盤記錄與掃描等手段為其他系統(tǒng)提供攻擊途徑��。其最終目標(biāo)通常是發(fā)現(xiàn)遠(yuǎn)程系統(tǒng)的訪問身份或系統(tǒng)信息�����,并利用這些信息盜取數(shù)據(jù)���。它會(huì)從命令控制(C&C)服務(wù)器下載指令,包括新的惡意軟件����,然后掃描數(shù)據(jù)并將數(shù)據(jù)導(dǎo)入 C&C基礎(chǔ)架構(gòu),用于隱藏主服務(wù)器的代理正位于此處���。
紅色十月攻擊確實(shí)有一些與標(biāo)準(zhǔn)惡意軟件攻擊不同的特殊之處——對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊偵察深度�、攻擊計(jì)劃和框架。每一個(gè)目標(biāo)系統(tǒng)都會(huì)分配一個(gè)攻擊目標(biāo) ID���,這樣攻擊者就可以方便地跟蹤攻擊��。因?yàn)楣粲幸欢ㄒ?guī)模�,攻擊目標(biāo)ID可以幫助攻擊者更好地分析和控制大量受攻擊的設(shè)備��。這種跟蹤系統(tǒng)還允許攻擊者指定惡意軟件(并避免重復(fù)使用相同的惡意軟件)�����,使他們可以很長(zhǎng)時(shí)間不被反病毒軟件發(fā)現(xiàn)�。在接收到某種附件時(shí),這個(gè)惡意軟件甚至能夠恢復(fù)C&C基礎(chǔ)架構(gòu)的訪問����,從而能夠更快地盜取有重要價(jià)值的數(shù)據(jù)。
通常����,它使用NTFS底層API和訪問權(quán)限去掃描已刪除數(shù)據(jù),然后恢復(fù)目標(biāo)數(shù)據(jù)�。在網(wǎng)絡(luò)掃描過程中,紅色十月攻擊者會(huì)尋找將來可用于攻擊網(wǎng)絡(luò)的思科路由器��。甚至在捕捉到SIP配置數(shù)據(jù)時(shí),攻擊者還可能會(huì)監(jiān)控電話通話����。然后,它還會(huì)收集來自iPhone���、諾基亞和Windows智能手機(jī)的信息��,以便進(jìn)一步確定目標(biāo)數(shù)據(jù)�。
紅色十月應(yīng)對(duì)措施:檢查現(xiàn)有措施 增加新控制
對(duì)于企業(yè)安全團(tuán)隊(duì)而言�,他們應(yīng)該明白,紅色十月仍然大量使用一些舊的攻擊方法��,如果組織部署了基本安全措施���,那么他們應(yīng)該已經(jīng)有能力防御這些攻擊��。如果企業(yè)還不重視鏈接掃描�、強(qiáng)力認(rèn)證����、快速補(bǔ)丁和網(wǎng)絡(luò)監(jiān)控���,那么他們將來會(huì)受到類似于紅色十月的攻擊����。因此,應(yīng)該考慮采用一些額外的輔助防御措施����。例如,應(yīng)用白名單可以屏蔽目標(biāo)系統(tǒng)的未授權(quán)可執(zhí)行文件����。此外,還有新的異常檢測(cè)產(chǎn)品(如FireEye和Damballa的產(chǎn)品)應(yīng)付越來越多的新情況�����。強(qiáng)力雙因子認(rèn)證雖然不是新的防御手段���,但是也可用于防御證書攻擊�����。
紅色十月事件反映了高級(jí)攻擊者的全面和多功能的攻擊特性�,突顯出調(diào)整安全計(jì)劃對(duì)于防御這些攻擊的重要����。和其他成功攻擊類似��,攻擊者會(huì)在將來的攻擊中使用紅色十月的方法和概念�����,即使這些攻擊已經(jīng)為人所熟知�。企業(yè)在未來幾年都需要作好計(jì)劃應(yīng)付像紅色十月這樣有全面特性的攻擊�,因?yàn)橐恍┦侄尾桓呙鞯墓粽呷匀粫?huì)采用這些新的攻擊方式。企業(yè)應(yīng)該有序地實(shí)施安全措施�,評(píng)估他們環(huán)境,確定需要改進(jìn)的控制方式���,或者實(shí)施新的措施防御類似攻擊�。
