出于某种原因, 我们时不时就会听到有人说:”我们不是大公司;攻击者不会对我们感兴趣。”这种类似的说法很多, 但中心思想不变, 都觉得自己不会成为攻击者的目标。然而, 这种普遍的想法实际上是一种很深的误解。下面我们来举例说明APT攻击者是如何在供应链攻击中利用小公司的。
在本月早些时候举行的安全分析师峰会上, AVAST员工介绍了他们去年收购的一家小型英国软件公司Piriform的案例。Piriform推出的CCleaner实用工具相当出名, 用于清除可能不需要的文件以及无效的Windows注册表项。事实上, 这是一款最老的系统清洁工具, 下载次数超过20亿次。或许这就是为什么APT攻击者会选中它来传播间谍软件的原因。
CCleaner攻击
起初, 犯罪分子是通过感染构建程序的服务器来入侵Piriform的编译环境。虽然源代码很干净, 但编译后的版本包含了后来被用于攻击的恶意软件。此外, 借助更改后的编译器库, 该恶意软件获得了合法的Piriform数字签名。被感染的版本是CCleaner 5.33.6162和CCleaner Cloud 1.7.0.3191。
攻击手法本身相当复杂, 至少分为三个阶段。该恶意软件隐藏在一款拥有约1亿活跃用户的流行应用程序中, 而且分发时间已经有一个月。大约有227万人下载了被感染程序, 并且至少有165万个恶意软件副本在试图与罪犯分子的服务器通信。后来人们才发现, 命令控制服务器包含一个简单的脚本, 用于确定哪些受害者成为第二阶段的攻击目标。此脚本只检查用户的域, 然后选出在知名高科技公司和IT供应商那里工作的人。通过这种方式选出的计算机只有40台;这些计算机会收到另外的恶意软件。
第二阶段攻击的目的与第一阶段差不多 – 是用来调整目标。应该是犯罪分子收集了这40台电脑的信息, 进行分析后, 选择了最感兴趣的目标。在此阶段, 犯罪分子的目标群体减少到了四个。
这四台电脑会收到量身定制的ShadowPad, 这是中国攻击者惯用的著名恶意软件。至此, 此次攻击的真正目的才真正曝露:向知名公司的某些员工传递后门。
该采取什么措施?
这起事件带给我们的主要教训其实已经在本文开头说过了:就算你不是APT攻击者关注的目标, 也仍然有可能成为恶意软件传递链中的受害者。尤其是号称下载量达数十亿的软件。为了最大限度地减少可能对企业造成的伤害, 您需要采取一种策略, 全方位防御有针对性的攻击:从防御措施、检测、响应一直到消除漏洞和预测可能的风险。不时寻求外部专家的支持或许是明智的做法。
保持安全的关键在于捕捉威胁。复杂的有针对性攻击可以植入恶意软件并在很长一段时间内检测不到(在本案例中, 该恶意软件上传播了一个多月, Piriform一直未能察觉)。为了防止这类攻击, 你需要有经验的猎手来帮您捕获威胁。卡巴斯基威胁捕获可以助您一臂之力。利用”针对性攻击发现”服务, 我们的专家将帮您识别您网络中的现有网络犯罪活动和网络间谍活动, 了解这些事件背后的原因和可能的来源, 帮助执行有效的缓解活动, 以避免将来发生类似的攻击。此外, 我们还可以提供”卡巴斯基代管防御”- 全天候监控并持续分析网络威胁数据。
要详细了解我们的安全分析师检测到的高级威胁, 请访问卡巴斯基威胁捕获网页。