卡巴斯基釋出2017年第一季度APT趨勢報告

卡巴斯基實驗室目前正在跟蹤100多名威脅行為者和針對80多個國家的商業和政府機構的複雜惡意行動。 2017年第一季度，我們已經向情報服務訂閱者釋出了33份私人報告，其中包含“攻擊名額”（ioc）資料和yara規則，來協助相關人員進行驗證和惡意軟體搜尋工作。

我們還發現國家支援的網絡攻擊行為的複雜性正在急劇上升，以及apt行為者和利益驅動的網絡犯罪分子之間的戰術、技術和流程（tactics、techniques和 procedures，ttps）正在不斷融合。中東已經成為主要的網絡戰場之一。同時，2017年第一季度發現的一類專門摧毀硬碟資料的惡意程式“wiper”，也把業務從中東地區擴充至歐洲大陸。

在本次報告中，我們将對2017年第一季度出現的尤為突出的針對性攻擊事件，以及一些需要立即關注的新型趨勢進行讨論。

表現突出的定向攻擊

wipers進化：apt攻擊者的新武器

在過去幾個月中，出現了新一波針對中東多個目标的磁盤擦除器攻擊（wiper attacks），此次攻擊使用的惡意代碼就是臭名昭著的shamoon蠕蟲的變種，shamoon惡意代碼曾在2012年攻擊過沙特阿拉伯aramco國家石油公司和卡達rasgas天然氣公司。

在調查這些攻擊事件時，我們發現了一種名為“stonedrill”的新型wipers，發現它與shamoon樣本存在多處類似，如利用多種技術和方法來逃避檢測。

u=2193381240,3896872162&fm=170&s=0fd328de568e32e86e0550440300d0f1&w=639&h=513&img.png&access=215967316.png

　　【stonedrill和shamoon2.0比較】

此外，我們還發現stonedrill與charming kitten使用的惡意軟體（newsbeef）之間存在許多相似之處，包括代碼、c&c命名規範、後門指令和功能，以及winmain簽名等。從這一點來看，stonedrill也可能是charming kitten惡意軟體的演變版。

【stonedrill和newsbeef樣本中用于c2通信的憑據（使用者名和密碼）相同】

【stonedrill和shamoon2.0以及newsbeef之間的異同比較】

對于stonedrill、shamoon以及charming kitten三個惡意軟體之間的關系有以下三種假設：

stonedrill是shamoon攻擊者部署的另一種wiper？

stonedrill和shamoon是否為兩個不同的惡意軟體，或攻擊組織毫不相關，隻是同時針對沙特阿拉伯的組織機構發起攻擊？

兩個組織是獨立的，隻是目标一緻？

卡巴斯基實驗室全球研究與分析小組進階安全研究員mohamad amin hasbini認為，威脅背後有兩個獨立的小組，它們具有相同的目标。因為報告顯示：

“雖然shamoon中嵌入了阿拉伯—葉門語資源語言段，但stonedrill嵌入了大多數波斯語資源語言段。當然，我們不能排除這些artifact（指軟體開發過程的中間或最後工作産品,包括文檔、模型和程式）故意僞裝的可能性。”

近日，我們在歐洲發現了第一例stonedrill受害者，該受害者屬于能源行業，這意味着這種攻擊威脅正在從中東往歐洲蔓延。尤其是在我們認為該威脅行為可能來自國家支援的攻擊組織後，這一事實更為令人擔憂，這可能意味着網絡破壞行為正以地緣政治動機（geopolitically-motivated）進行擴充。當然，目前為止這種假設尚未得到确認。

概要：

wipers正在擴大他們的地理輻射；

wipers目前已經成為apt組織武器庫的一部分。它們可以被用于破壞性行為，以及在進行網絡間諜活動後删除痕迹；

最新的shamoon攻擊浪潮中使用的子產品之一包含勒索軟體功能，這可能被認為是“不那麼明顯的擦拭（not-so-obvious wiping）”的另一種形式；

針對能源公司的這些破壞行為可能與一些政府支援的apt組織有關的事實絕對令人擔憂，超越了典型的間諜活動。

bluenoroff/lazarus：銀行劫案的演變

針對波蘭銀行的大規模水坑攻擊于2017年2月3日被公開披露。攻擊者在波蘭金融監管機構的網站上植入了一種病毒，然後等待銀行在通路該網站期間不經意地下載下傳它。

攻擊者對銀行展開的就是所謂的水坑攻擊——得名于攻擊者在目标經常出沒之處進行伏擊的做法；這個案例中，“水坑”是金融監管機構的網站。當名單上的銀行通路該網站時，它們會被重定向至會試圖下載下傳惡意軟體的軟體。除了波蘭銀行，攻擊者也對墨西哥财政部門采取了非常類似的戰術，雖然沒有其他受害者被公開披露出來，但是有可能更多的銀行也受到了同樣的影響。

據悉，在目标名單上，波蘭銀行的數量最多，緊随其後的則是美國的銀行，其中包括德意志銀行美國分行。為農業和農村項目提供貸款的cobank也被列為攻擊目标。俄羅斯、委内瑞拉、墨西哥、智利和捷克的央行都在名單上。唯一一個與中國有關的目标，是中國銀行在香港和美國的分支機構。

我們分析發現這些攻擊事件與lazarus 旗下代号為 bluenoroff 的黑客組織有關，他們專門從事金融犯罪，包括著名的孟加拉國銀行大劫案，攻擊目标遍及全球十餘個國家的銀行、賭場、加密貨币公司。此次針對全球金融機構的水坑攻擊中雖然沒有使用任何零日漏洞，但是flash player和silverlight漏洞已經足夠瓦解銀行機構運作的過時軟體。

事實上，我們從很久以前就開始跟蹤bluenoroff組織。剛開始，該組織主要針對東南亞地區的銀行機構，後來進行重新分組并轉戰至新的國家，選取目标主要為貧窮、較不發達地區，因為這些目标顯然更容易得手。

bluenoroff開發了一套可以在目标組織内部橫向移動的定制工具，并通過篡改swift系統來實作攻擊。這種技術與去年的孟加拉國央行劫案存在很大聯系，當時攻擊者試圖從中竊取9億美元。在2月份的“波蘭劫案”中，我們發現該組織重新利用這些已知的橫向移動工具，發動了新一輪的金融攻擊。這讓我們相信，這些攻擊事件與bluenoroff 黑客組織有關。

有趣的是，bluenoroff組織在代碼中種植了俄語詞彙，擾亂了研究人員的方向。據悉，該代碼中包含的俄語存在以俄語為母語的開發者不會犯的文法錯誤，懷疑可能是使用了線上翻譯工具處理的句子。

我們認為，bluenoroff是針對金融機構實施攻擊最活躍的團體之一，并且試圖在多個地區積極地感染不同的受害者。

我們認為他們的業務仍在繼續，事實上，2017年3月我們發現了其最近的惡意軟體樣本。

目前，我們認為bluenoroff可能是對全球銀行機構最嚴重的威脅。

無檔案惡意軟體：增加了檢測和追溯難度

無檔案惡意軟體是一種不需要在檔案系統中存放惡意可執行檔案的軟體。對于許多apt攻擊者而言，避免歸因是非常重要的目标之一，特别是近年來攻擊者的大量業務被不斷曝光。對于最複雜的團體來說，他們自身存在很多無法被人忽視的因素。

但是對于那些不是那麼醒目的攻擊者而言，使用無檔案惡意軟體來避免歸因就足夠了。不需要建立和使用自己的工具，他們隻需要使用通用的工具就可以完成操作，不僅具有明顯的經濟優勢，而且還為攻擊者提供分析事件和逃避歸因的附加價值。

現在有許多不同的架構為攻擊者提供更多選擇，特别是橫向移動。這些類别包括nishang、empire、powercat以及meterpreter等。有趣的是，這些軟體大多數都是基于powershell的，且允許使用無檔案後門。

fileless_3n-1024x650.png

　　【受害區域分布圖，40個國家的140多個企業組織受到影響】

我們發現，這些技術在過去幾個月得到了廣泛運用。我們在針對東歐銀行的shamoon攻擊使用的橫向移動工具中發現了一些例子，這些技術被不同的apt攻擊者使用，例如cloudcomputating、lungen或hiddengecko，以及像hikit這樣的舊後門的演變，hikit已經演變成新的無檔案版本。這種趨勢使傳統的驗證分析變得更加困難，它有助于逃避大部分的日志活動。

另一方面，攻擊者通常需要更新權限或竊取管理者憑據，因為他們通常不具備在想要感染的機器中重新開機生存機制的能力，是以在重新連接配接受感染的網絡時，他們需要依賴于通路它們。目前這種新的趨勢仍在繼續，從防禦角度來看，還沒有最好的防禦方式。但是，我們将在本末提供我們的相關建議。

使用标準和開源工具，結合不同的技巧，使檢測和歸因變得幾乎不可能。

确定隐藏其活動的攻擊者以及檢測和事件響應變得越來越困難，這也是記憶體驗證對于分析惡意軟體及其功能變得至關重要的原因。

在這種情況下，事件響應是關鍵。

如何保護自身安全？

利用漏洞仍然是感染系統的關鍵方法，是以及時修補是至關重要的——作為最繁瑣的it維護任務之一，運用自動化可以很好的實作目标。卡巴斯基進階商務端點安全和卡巴斯基全面安全解決方案中包括漏洞和更新檔管理元件，為打更新檔提供便利易操作的工具，幫助it員工降低時耗，提高效率。

鑒于使用基于powershell的技術（包括無身份惡意軟體場景）的趨勢，您需要確定您的安全解決方案了解這些細節。卡巴斯基終端安全解決方案以及卡巴斯基虛拟化安全解決方案擁有最廣泛的機器學習檢測技術，包括專門處理使用powershell技術的惡意軟體。我們的行為系統螢幕（system watcher）技術也可以識别特定的wiper活動，如大量檔案删除行為；在阻止惡意軟體後，其“rollback”功能會将重要的使用者檔案從已删除狀态中恢複。

但是，我們還是有必要正确認識定向攻擊行為的危險性，不僅因為它們非常複雜（有時并非如此），而且因為它們通常是做好準備的，并嘗試利用與其目标無明顯相關性的安全漏洞實施攻擊。

是以，強烈建議您不僅要做好預防（如端點保護）工作，還可以運作主動地檢測功能，特别是可以檢測整個網絡正在進行的活動中的異常情況，并對使用者端點上可能存在的可疑檔案進行更深層次的仔細檢查。

卡巴斯基反定向攻擊（anti targeted attack）是一個智能檢測平台，用于比對來自不同基礎設施級别的事件，識别異常并将其聚合進事件中，同時在沙箱的安全環境中研究相關工件。與大多數卡巴斯基産品一樣，卡巴斯基反定向攻擊由humachine intelligence提供支援，幫助我們實時了解威脅情報大資料的情況。

防止攻擊者發現和利用安全漏洞的最佳方法就是擺脫所有這些漏洞，包括涉及不正确的系統配置或專有應用程式中的錯誤。對此，卡巴斯基滲透測試和應用安全評估服務就是這樣一套友善高效的解決方案，不僅提供了發現漏洞的資料，還提供了如何解決這個問題的方法，進一步加強企業安全。