1月14日下午消息,國内安全威脅情報創業公司微步線上今日對外宣傳,2015年聖誕前夕,adobe公司旗下flash播放器的修複漏洞被黑客利用。目前,名為darkhotel的國際黑客組織,從2015年12月24日開始一直持續到現在,始終持續在攻擊中國、俄羅斯和北韓。
微步線上還表示,部分樣本已經可以被少部分安全廠商清除,但依然有一些樣本至今不能被檢出。
以下為微步線上報告全文:
源起:
2015年聖誕節前夕,adobe公司宣布修複旗下flash播放器的多個漏洞進行了修複。但該事件卻沒有随着漏洞的修複而結束。經調查,其中一個漏洞已經被他人“利用”過。這個漏洞編号為:cve-2015-8651。
adobe安全響應中心公告
adobe官方安全公告中,值得注意的是:該漏洞已經被用于針對性的定向攻擊。
威脅情報中的猛料:
微步線上借助廣泛的資料和威脅來源,監控到了攻擊者所使用的工具:一個word文檔。攻擊模式為:此word文檔内附帶一個連結,該連結指向一段flash視訊,在攻擊目标觀看視訊時,攻擊者利用flash播放器漏洞自動向電腦裡植入木馬。
從文檔内容可以看出,黑客對攻擊對象非常熟悉,文檔的内容和邏輯也合情合理,很容易讓攻擊對象做出打開文末連結的舉動。然而不幸的是,一旦文中的連結被點開,就相當于落入了黑客的圈套。
本次事件的鎖定對象并非一般個人,而是特定的公司或組織成員。是以,受竊資訊也并非一般網絡釣魚所竊取的個人資料,而是具有高度敏感性的資料,如智慧财産權及商業機密等。這種攻擊模式就是所謂的魚叉式網絡釣魚攻擊。
通過對木馬樣本進行分析,可以發現此次攻擊手段有如下高深之處:
此木馬會對電腦上的所有防毒軟體做詳盡排查。從逆向生成的代碼分析,此木馬内含有一份包括國内外近百個主流防毒軟體的名單。如果檢測到了名單上的任何一個防毒軟體,木馬都會選擇蟄伏,不會主動進行攻擊。
此木馬會對運作環境進行“沙箱測試”。所謂沙箱,就是安全軟體在面對可疑檔案時,為了辨識檔案是否含有木馬病毒,而模拟出一個對可疑檔案進行隔離測試的運作環境。該木馬一旦發現自己運作在沙箱之中,就不會再進行任何攻擊動作。
此木馬的攻擊行為調用了微軟1999年引入的一個極其冷門的hta格式檔案。從這一點上可以看出,木馬的制作者對于微軟系統做過非常深入的分析。
團夥已被鎖定,攻擊仍在持續:
通過對這個樣本檔案的關聯分析,鎖定到該團夥正是在亞洲活躍了九年的著名境外黑客組織。這個組織曾被卡巴斯基的研究員命名為darkhotel(暗黑客棧)。可以基本确定,該組織最遲從2007年開始逐漸活躍,采用多種老練的手段以及行人追蹤技術引誘受害者上鈎。他們進攻的主要目标都集中在亞洲,而且以中國為主,并零星分布在日本、南韓和東南亞。此次darkhotel發起的威脅攻擊從2015年12月24日開始一直持續到現在,被攻擊的國家和地區包括:中國、俄羅斯和北韓。
雖然國内安全公司已釋出了通告,adobe也釋出了安全更新檔,但通過微步線上的最新威脅情報表明,2016年1月4日又有中國企業被攻陷。說明了這種手法極其隐秘,并且充分利用了人性的特點。僅從本次攻擊來看,他們的目标非常明确——中國企業。通過對比以往的資料可以看出,他們有可能一直在攻擊中國企業,并且截止到1月13日,部分樣本已經可以被少部分安全廠商清除,但依然有一些樣本至今不能被檢出。
從背景上分析,雖然曆次攻擊都是針對商業公司,但本次攻擊中所采用的flash播放器0day漏洞在市場上的價格大約為20-60萬人民币。如果這個漏洞是darkhotel自己挖掘的,那麼他們需要有相當強的技術實力。如果這個漏洞是他們購買得來的,則需要雄厚的資金實力。微步線上的安全分析師判斷,想要做到darkhotel的成績,至少需要數百萬的資金投入。
情報驅動,馬上行動:
針對本次事件的特殊性,微步線上已經第一時間向公司客戶及國内安全企業分享了本次事件相關資訊。現階段,面對越來越進階别的攻擊行為,國内企業不僅需要做好基礎防護,更需要做到快速發現威脅和迅速響應,才能防患于未然。未來我們中國的企業是否能做的更好?
本文轉自d1net(轉載)