卡巴斯基实验室研究人员正在观察一种最新的非常重要的趋势,了解复杂的威胁攻击者是如何进行操作的。
卡巴斯基实验室研究人员正在观察一种最新的非常重要的趋势,了解复杂的威胁攻击者是如何进行操作的。对威胁攻击者来说,不使用复杂和昂贵的攻击手段,例如零日漏洞攻击,而是使用极具针对性的社交工程攻击手段结合已知并且有效的恶意攻击手段正在变得越来越普遍。结果,他们可以发动利用常规企业级安全解决方案很难检测到的恶意攻击行动。
攻击者的这种操作方式的转变表明,一般来说,当今组织的IT基础设施中包含足够的漏洞,可以让攻击者利用相对低廉的攻击工具实现自己的犯罪目的。例如,卡巴斯基实验室专家最近研究的一场名为Microcin的恶意攻击行动就是这样一种廉价,但是仍然是一个危险的攻击。
这一切是从卡巴斯基反针对性攻击平台(KATA)发现一个可疑的RTF文件开始的。这个文件包含一个漏洞利用程序(利用常用软件中安全漏洞来安装额外恶意组件的恶意软件),这是一个已知的并且已经被修复的Microsoft Office漏洞。普通网络罪犯利用已知漏洞大规模感染受害者,传播恶意软件并不罕见,但是更深入的研究显示,这种RFT文件并不属于哪种大规模的传播活动,而是一种更复杂和高度针对性的攻击行动。
这种可疑的鱼叉式钓鱼文档是通过非常特定的群体的网站传播的:主要是讨论与获得补贴住房有关的问题的论坛——这是一项针对政府和军事组织雇员的福利,主要面向俄罗斯以及周边国家。
当漏洞利用程序被激活后,会在目标计算机上安装一个具有模块化架构的恶意软件。模块安装是通过恶意注入到iexplorer.exe进行的,该模块的自动运行是通过dll劫持完成的。 两者都是已知和广泛使用的恶意技术。
最后,当主模块安装完后,会从命令和控制服务器下载一些额外的组件。其中,至少有一个组件使用了隐写术——在看似无害的文件中隐藏信息的做法,如图片文件,这是另一种已知的用于偷偷传输数据的恶意技术。
整个恶意平台部署完成后,恶意软件会查找以.doc、.ppt、.xls、.docx、.pptx、.xlsx、.pdf、.txt和.rtf为扩展名的文件,并将这些文件打包为密码保护的文档,传输给攻击者。除了使用已知的感染和横向移动技术之外,攻击者在进行攻击操作的同时,还会积极使用已知的被用于之前攻击的后门程序实施攻击,还会使用被用于渗透测试,并且通常不会被安全解决方案检测为恶意软件的后门程序工具实施攻击。
“如果只对这次攻击的各部分进行分析,会发现这些攻击并不严重。几乎所有使用的恶意组件都已经被安全行业所掌握并记录在案,而且这些攻击相对容易被识别。但是,它们的组合方式使得攻击变得难以检测。 更重要的是,这种恶意攻击行动不是唯一的。似乎有些网络间谍攻击者将重点从开发难以识别的恶意工具转移到计划和实施复杂的攻击操作,这些攻击可能并不适用复杂的恶意软件,但是仍然很危险,”卡巴斯基实验室恶意软件分析负责人Alexey Shulmin说。
为了保护IT基础设施免遭像Microcin这类攻击的侵害,卡巴斯基实验室专家建议企业和组织使用能够检测恶意操作,而不仅仅是只能检测恶意软件的安全工具。
这类复杂的解决方案如卡巴斯基反针对性攻击平台不仅包含端点保护技术,还包括能够跟踪和关联组织内网络不同部分发生的事件的技术,从而识别网络中存在的复杂的针对性攻击行为特征。
卡巴斯基实验室产品能够成功检测和拦截Microcin以及类似的攻击行动。
有关Microcin攻击行动的详情,请参阅Securelist上的博文,其中还包括这种攻击的进一步技术详情。