导语:互联网现在已经融入了生活的方方面面,许多人在网上进行交易、购物和社交,网络已经成为了商业组织的生命线。本文主要针对2018年发生的重大事件和安全趋势进行年度总结。
一、概述
互联网现在已经融入了生活的方方面面,许多人在网上进行交易、购物和社交,网络已经成为了商业组织的生命线。政府、企业和消费者对技术的依赖,也为具有各种动机的攻击者提供了广泛的攻击面——金融盗窃、数据窃取、基础设施破坏、名誉受损等等。网络攻击的范围,从高度复杂的特定目标攻击,到机会主义网络犯罪。通常,这两者都依赖于将心理学操纵作为危害整个系统或个人计算机的方式。攻击者的目标不断扩大,已经开始覆盖到一些不属于计算机的设备,例如儿童玩具和安全摄像头。本文主要针对2018年发生的重大事件和安全趋势进行年度总结。
二、针对特定目标的攻击活动
在今年内的安全分析师峰会上,我们分析了Slingshot,这是一个复杂的网络间谍平台,从2012年以来一直瞄准中东和非洲的受害者。我们在威胁事件中发现了这种威胁,该威胁与Regin和ProjectSauron类似。Slingshot使用了一种不同寻常的攻击载体,许多受害者受到被攻陷的MikroTik路由器的攻击。攻陷路由器的确切方法尚不清楚,但攻击者已经找到了向设备添加恶意DLL的方法:该DLL是其他恶意文件的下载程序,然后将其存储在路由器上。当系统管理员登录并配置路由器时,路由器的管理软件会在管理员的计算机上下载并运行恶意模块。Slingshot在受感染的计算机上加载了许多模块,其中最引入注意的两个模块是Cahnadr和GollumApp,它们分别是内核模式和用户模式的模块。二者共同提供持久性、管理文件系统、泄漏数据以及与C&C(命令和控制)服务器通信的功能。我们查看的样本,标记为“版本6.X”,表明这一威胁已经存在相当长的一段时间。根据Slingshot的创建时间、技能和成本表明,其背后的团队是高度组织化和专业化的,并且可能有国家背景。在平昌冬季奥运会开幕后不久,我们就收到了针对奥运会基础设施的恶意软件攻击报告。Olympic Destroyer攻击了一些显示器,关闭了Wi-Fi,攻陷了奥运会网站从而阻止观众打印门票。攻击者还攻击了该地区的其他一些组织,例如一些韩国的滑雪胜地。Olympic Destroyer是一种网络蠕虫,其主要目的是从受害者的远程网络共享中擦除文件。在攻击发生后的几天中,基于此前网络间谍和攻击团队的一系列特征,世界各地的研究团队和媒体将此次袭击归咎为俄罗斯、中国和朝鲜。我们的研究人员也试图分析攻击的幕后黑手,在研究的过程中,我们发现Lazarus恶意组织似乎与此次攻击相关。我们发现,攻击者留下的一些独特痕迹与此前Lazarus恶意软件的组件完全匹配。然而,我们在韩国一家受到攻击的组织进行现场调查时发现,此次攻击与已知的Lazarus TTP(战术)相对比,其动机明显不同。我们发现相应的特征与代码无法相互匹配,该攻击中的恶意软件被伪造成与Lazarus使用的指纹完美匹配。因此我们得出结论,其所使用的“指纹”是一个复杂的虚假标志,故意放置于恶意软件内部,以便使威胁研究人员找到,从而误导他们。
我们继续追踪这一APT组织的活动,并在今年6月注意到他们已经开始一个针对不同地理范围的新型攻击。根据我们的远程监测和对鱼叉式网络钓鱼文件的分析,表明在Olympic Destroyer背后的攻击者主要针对欧洲的金融行业和生物技术相关组织发动攻击,特别是俄罗斯、荷兰、德国、瑞士和乌克兰。在早期,Olympic Destroyer的主要目标是摧毁冬奥会及相关的供应链、合作伙伴和场馆的基础设施,并且之前已经进行了一次侦查活动。这样的证据表明,新的恶意活动是另一个侦查阶段的一部分,随后会进行一系列具有新动机的破坏性攻击。其针对的各种金融相关目标和非金融目标也表明,具有不同目的的多个恶意组织正在使用相同的恶意软件。这可能是网络攻击外包的结果,这种情况在民族国家威胁中并不少见。然而,以金融为目标很可能也是恶意组织的一个“幌子”,从而掩盖其真实的目的。
在今年4月,我们披露了Parliament活动的运作情况,这是一项针对世界各地立法、行政和司法组织的网络间谍活动,主要集中在中东和北非地区,特别是巴勒斯坦。这些攻击始于2017年初,主要针对议会、参议院、州政府及其官员、政治学家、军事和情报机构、政府部门、媒体机构、研究中心、选举委员会、奥运组织、大型贸易公司等。此次目标受害者不同于此前在该地区的恶意活动(Gaza Cybergang和Desert Falcons),并且在这次恶意攻击之前,恶意组织精心进行了信息收集活动。在进一步感染之前,攻击者一直非常小心的验证受害设备,从而保护他们的C&C服务器。在2018年以后,攻击速度放缓,可能是由于攻击者已经实现了目标。
我们持续追踪Crouching Yeti(又名Energetic Bear)的恶意活动,这是一个自2010年以来一直活跃的APT集团,主要以能源和工业公司为目标。该恶意组织面向全球各地发动攻击,但特别关注欧洲、美国和土耳其,土耳其是该恶意组织在2016-2017年期间新增的目标。该恶意组织的主要策略是发送包含恶意文档的网络钓鱼电子邮件,以及借助托管工具、日志和水坑攻击来感染服务器。美国CERT和英国国家网络安全中心(NCSC)已经公开讨论过Crouching Yeti针对美国目标的恶意活动。今年4月,卡巴斯基实验室ICS CERT提供了有关被Crouching Yeti感染和恶意利用的服务器的信息,并提供了针对2016年和2017年初被该恶意组织攻陷的几台Web服务器的分析结果。读者可以在这里查阅完整报告,但以下是我们总结的摘要:
1. 除了极少数例外情况,该恶意组织使用公开的工具来进行攻击。正因如此,使得根据攻击行为追溯到恶意组织的这一过程非常困难。
2. 当攻击者希望建立一个“跳板”,对目标设施开展进一步攻击时,互联网上任何存在漏洞的服务器都有可能受到攻击。
3. 该恶意组织执行的大多数任务,都是寻找漏洞、在各类主机上获得持久性,以及窃取身份验证数据。
4. 恶意攻击的受害者来自不同行业,同时也表明攻击者具有多种目的。
5. 在某种程度上,可以确定该恶意组织的运营方式是接受外部客户的资金支持或接受订单,然后进行初始数据收集,窃取身份验证数据,并获得相应攻击资源的持久性,以便攻击者进一步执行恶意活动。
今年5月,Cisco Talos团队的研究人员发布了他们针对VPNFilter的研究结果,这是一个用于感染不同品牌路由器的恶意软件,主要针对乌克兰的目标发动攻击,但同时也影响了54个国家的路由器。关于该恶意软件的分析,请参考这篇文章和这篇文章。最初,分析人员认为该恶意软件感染了大约500000台路由器,包括小型办公室或家庭办公室(SOHO)中的Linksys、MikroTik、Netgear和TP-Link网络设备,以及QNAP网络附加存储(NAS)设备。但实际上,受感染的路由器清单显然要长得多,总共有75种设备,包括华硕、D-Link、华为、Ubiquiti、UPVEL和中兴。恶意软件能够使受感染的设备停止工作、执行Shell命令、创建用于匿名访问设备的TOR配置或配置路由器的代理端口和代理URL以控制浏览会话。但是,该风险也会扩散到设备支持的网络中,从而扩大了攻击范围。我们的全球研究和分析团队(GReAT)的研究人员详细分析了VPNFilter使用的C&C机制。其中一个有趣的问题是,谁是这个恶意软件的幕后黑手?Cisco Talos表示,该恶意软件的背后是一个由国家或州支持的威胁行为者。美国联邦调查局在其关于使用Sink-holing 技术关停C&C服务器的报告中表示,Sofacy(又名APT28、Pawn Storm、Sednit、STRONTIUM和Tsar Team)是该恶意软件的始作俑者。在此前针对乌克兰的攻击所使用的BlackEnergy恶意软件中,有一些代码与之相同。
Sofacy是卡巴斯基实验室多年来一直追踪的恶意组织,该网络间谍组织保持高度活跃,并且频繁产出恶意软件。在2月,我们发布了2017年Sofacy恶意活动的概述,并揭示了2017年该恶意组织逐渐从北约的目标转向中东、中亚以及其他地区的目标。Sofacy使用鱼叉式网络钓鱼和水坑攻击来窃取信息,包括帐户凭据、敏感通信和文档。该威胁行为者还利用0day漏洞来部署其恶意软件。
Sofacy针对不同的目标部署了不同的工具。2017年年初,该恶意组织的经销商针对军事和外交组织(主要位于北约国家和乌克兰)开展恶意活动。在今年晚些时候,该组织利用其武器库中的Zebrocy和SPLM,针对更广泛的组织(包括科学与工程中心以及新闻媒体),面向中亚和远东地区发动攻击。与其他复杂的威胁参与者一样,Sofacy不断开发新的工具,保持高水平的操作安全性,并专注于使其恶意软件难以检测。一旦在网络上发现了Sofacy这类高级恶意组织的任何活动迹象,应该立即检查系统上的登录和异常管理员访问权限,彻底扫描或使用沙箱运行收到的所有附件,并将电子邮件等服务设置为双因素身份验证和通过VPN访问。借助APT情报报告、YARA等威胁搜索工具以及KATA(卡巴斯基反目标攻击平台)等高级检测解决方案,可以有助于用户了解恶意组织的目标,并提供检测恶意活动的强大方法。
我们的研究表明,Sofacy并不是唯一在远东地区运营的恶意组织,这有时会导致不同恶意组织之间的目标重叠。我们已经发现,Sofacy的Zebrocy恶意软件利用俄罗斯恶意组织Mosquito Turla的集群竞争访问受害者计算机的案例,其使用的SPLM后门软件与Turla和Danti竞相攻击,都以中亚地区政府、科技、军事相关的组织为攻击目标。最有趣的目标重叠,可能是Sofacy与Lamberts家族之间的重叠。在检测到服务器上存在Sofacy组织的恶意软件之后,研究人员发现该服务器此前已被Grey Lambert恶意软件攻击。这台被攻陷的服务器属于一家设计和制造航空航天和防空技术的中国企业集团。但是,原始的SPLM投递载体仍然未知,这就引发了很多假设的可能性,包括Sofacy可能正在使用尚未被发现的新型漏洞利用方式、后门产生了新的变种,或者Sofacy以某种方式成功利用了Gray Lambert的通信渠道来下载其恶意软件。甚至,可能之前的Lambert感染是该恶意活动中故意留下的虚假线索。我们认为,最可能的答案是,Sofacy利用未知的新PowerShell脚本或合法但存在漏洞的Web应用程序来加载并执行SPLM代码。
6月份,我们报告了一项针对中亚国家数据中心的持续恶意活动。在这一活动中,目标的选择尤为重要,这意味着攻击者能够一举获得大量的政府资源。我们认为,攻击者通过在相应国家的官方网站上插入恶意脚本来执行水坑攻击。我们根据恶意活动中所使用的工具和策略,以及C&C服务器update.iaacstudio[.]com,推断该恶意活动由LuckyMouse组织进行(又名EmissaryPanda和APT27)。该恶意组织此前的目标是政府组织,也包括中亚地区的组织。用于攻击数据中心的原始载体尚不清楚。我们此前观察到,LuckyMouse使用武器化工具,借助CVE-2017-11882(Microsoft Office公式编辑器漏洞,自2017年12月以来被广泛使用)进行攻击,但我们无法证明这一系列工具与此次攻击有关。攻击者可能会使用水坑攻击的方式来感染数据中心内部的计算机。
在9月,我们报道了LuckyMouse的另一起活动。自3月份以来,我们发现了一些感染行为,其中一个以前未知的木马被注入到“lsass.exe”系统进程内存中。注入过程是由经过签名的32位或64位网络过滤驱动程序NDISProxy实现,这一驱动程序由中国的LeagSoft公司签署,该公司是一家位于深圳的信息安全软件开发商,我们通过CN-CERT报告了这一问题。该恶意活动针对的是中亚政府组织,我们认为此次攻击与该地区的高层会议有关。在攻击中所使用的Earthworm隧道,对于使用中文的恶意组织来说是非常典型的。此外,攻击者使用的命令之一(-s rssocks -d 103.75.190[.]28 -e 443)创建了到先前已知的LuckyMouse C&C服务器的隧道。该恶意活动所针对的目标,也与该恶意组织此前选择的目标一致。我们没有发现任何鱼叉式网络钓鱼或水坑活动的迹象,我们认为攻击者是通过已经被攻陷的网络来进行恶意软件传播。
Lazarus是一个成熟的恶意组织,从2009年以来就开始进行网络间谍活动和网络破坏活动。近年来,该组织开始针对全球金融组织开展恶意活动。在8月,我们发现该组织已经成功攻陷了几家银行,并渗透了一些全球加密货币交易所和金融科技公司。在协助应急响应的同时,我们了解到受害者是通过带有木马的加密货币交易应用被感染的。一位安全意识较为薄弱的员工从看似合法的网站下载了第三方应用程序,并感染了一个名为Fallchill的恶意软件,这是Lazarus近期开始使用的劳工具。似乎Lazarus已经找到了一种有效的方法来创建一个看起来合法的网站,并将恶意Payload注入到看似合法的软件更新机制中。在这种情况下,恶意组织创建了一个虚假的供应链,而并没有攻陷一个真正的供应链。无论如何,Lazarus集团在攻击供应链方面取得的成功,表明了他们会继续利用这种攻击方式。攻击者针对非Windows平台做出了额外的努力,并且开发了针对macOS系统的恶意软件,同时该网站提示称Linux版本即将推出。这可能是我们第一次发现这个APT组织利用针对macOS的恶意软件。看起来,为了针对特定高级目标发动攻击,恶意组织被迫要开发macOS恶意软件工具。Lazarus集团扩展其目标操作系统列表的事实,应该为非Windows用户敲响警钟。读者可以在这里阅读我们关于AppleJeus的报告。
Turla(又名Venomous Bear、Waterbug和Uroboros)恶意组织最著名的就是当时极度复杂的Snake Rootkit,主要攻击与北约相关的目标。然而,这一恶意组织的实际活动要比这一恶意软件广泛得多。10月,我们报道了Turla组织近期的活动,揭示了旧代码、新代码和新猜测的有趣组合,以及推测了该恶意组织的后续计划。我们在2018年的大部分研究,都集中于他们的KopiLuwak JavaScript后门、Carbon框架的新变种以及Meterpreter交付技术。其他一些值得关注的地方是他们使用不断变化的Mosquito投递技术、定制的PoshSec-Mod开源PowerShell和从别处借用的注入代码。我们将一些恶意活动与WhiteBear和Mosquito基础设施及数据点以及恶意组织在2017年和2018年期间的活动相关联。该恶意组织的目标很少与其他APT活动相重叠。Turla并没有参加具有里程碑意义的DNC黑客活动(Sofacy和CozyDuke都曾参与),他们悄然活跃在全球各地的其他恶意活动中,与该恶意组织相关的攻击方法尚未被武器化。Mosquito和Carbon活动主要针对外交和外交事务目标,而WhiteAtlas和WhiteBear活动遍布全球,针对于外交相关的组织,但还针对一些科技组织以及与政治无关的组织。该组织的KopiLuwak恶意活动没有针对于外交和外交事务,相反,在2018年的恶意活动主要针对具有政府背景的科学和能源研究组织,以及阿富汗政府相关的通信组织。这种具有高度针对性但更加广泛的目标选择模式可能会持续到2019年。
10月,我们报道了MuddyWater APT组织近期的活动。我们在过去的监测表明,这个相对较新的恶意组织在2017年浮出水面,主要针对伊拉克和沙特阿拉伯的政府目标发动攻击。然而,众所周知,近期MuddyWater背后的恶意组织又将目标瞄准中东、欧洲和美国的其他国家。我们注意到,近期大量的鱼叉式网络钓鱼文件似乎针对约旦、土耳其、阿塞拜疆和巴基斯坦的政府机构、军事实体、电信公司和教育机构,此外他们针对伊拉克和沙特阿拉伯还在发动持续的攻击。在马里、奥地利、俄罗斯、伊朗和巴林,也发现了受到攻击的主机。这些新恶意文档创建于2018年,恶意活动从5月开始升级。新的鱼叉式网络钓鱼文档依靠社会工程学来诱导受害者启用宏。受害者依靠一系列被攻陷的主机来发动攻击。在我们研究的高级阶段,我们不仅发现该恶意组织武器库中的一些其他文件和工具,还观察到攻击者所犯的一些OPSEC错误。为了防范恶意软件攻击,我们建议采取如下措施:
1. 对普通员工开展安全教育,以便他们能够识别网络钓鱼链接等恶意行为。
2. 对信息安全人员开展专业培训,确保他们具备完整的配置加固、事件调查和溯源能力。
3. 使用经过验证的企业级安全解决方案,与能够通过分析网络异常来检测攻击的反目标攻击解决方案相结合。
4. 为安全人员提供访问最新威胁情报数据的权限,例如IoC和YARA规则。
5. 建立企业级补丁管理流程。
大型组织更应该应用高水平的网络安全技术,因为攻击者对这些组织的攻击是无法避免的,并且永远不太可能停止。
DustSquad是另一个针对中亚组织的恶意组织。在过去两年中,卡巴斯基实验室一直在监控这个使用俄语的网络间谍组织,并想我们的客户提供有关针对Android和Windows的四个恶意活动的私有情报报告。最近,我们分析了一个名为Octopus的恶意程序,该程序用于攻击特定地区的外交机构。这一名称是由ESET在2017年确定的,因为他们在旧的C&C服务器上发现攻击所使用的0ct0pus3.php脚本。使用卡巴斯基归因引擎(Kaspersky Attribution Engine)基于相似度算法进行分析,我们发现Octopus与DustSquad相关。在我们的监测中,我们在中亚地区前苏联成员国和阿富汗发现这一活动的踪迹。4月,我们发现了一个新的Octopus样本,伪装成具有俄语界面的Telegram Messenger。我们无法找到该恶意软件所冒充的合法软件,事实上,我们认为相应的合法软件并不存在。然而,攻击者利用哈萨克斯坦潜在的禁止使用Telegram规定来推动其Dropper作为政治反对派的替代通信软件。
10月,我们发表了针对Dark Pulsar的分析。我们的调查始于2017年3月,当时Shadow Brokers发布的被窃取数据中包含了两个框架,分别是DanderSpritz和FuzzBunch。DanderSpritz中包含各种类型的插件,旨在分析受害者、实现漏洞利用、添加计划任务等。DanderSpritz框架旨在检查已受控制的计算机,并从中收集情报。这两个框架共同为网络间谍提供了一个非常强大的平台。但泄露的数据中并不包括Dark Pulsar后门本身,而是包含一个用于控制后门的管理模块。但是,通过在管理模块中基于一些常量创建特殊签名,我们就能够捕获到植入工具。这种植入工具使攻击者能够远程控制被感染设备。我们发现了50台被感染的设备,它们位于俄罗斯、伊朗和埃及,但我们相信可能还会有更多。首先,DanderSpritz接口能同时管理大量被感染主机。此外,攻击者通常会在恶意活动结束后删除恶意软件。我们认为这一恶意活动在2017年4月Shadow Brokers泄露“Lost in Translation”后就停止了。针对Dark Pulsar这样的复杂威胁,大家可以在这里查看我们提供的缓解策略。
三、移动APT攻击系列
2018年,在移动APT威胁部分,我们主要发现了三起重大事件:Zoopark、BusyGasper和Skygofree网络间谍活动。
从技术上讲,这三起恶意活动都经过精心设计,其主要目的相似,都是监视特定的受害者。这些攻击的主要目的是从移动设备中窃取所有可用的个人数据,包括呼叫、信息、地理定位等。甚至一些恶意软件还具有通过麦克风进行窃听的功能。针对一些毫无防备的目标,他们的智能手机直接成为了攻击者最佳的窃听和信息收集工具。
网络犯罪分子特别针对流行的即时通信服务进行信息窃取,现在这些服务已经在很大程度上取代了传统的通信方式。在某些情况下,攻击者能够使用木马实现在设备上的本地特权提升,从而实现几乎没有限制的远程监控访问以及设备管理。
在这三个恶意程序中,有两个程序具有记录键盘输入的功能,网络犯罪分子记录用户的每次击键。值得注意的是,要记录键盘输入,攻击者甚至都不需要提升权限。
从地理位置来看,受害者位于各个国家:Skygofree针对意大利用户,BusyGasper针对俄罗斯特定用户,Zoopark主要在中东运营。
同样值得注意的是,与间谍活动相关的犯罪分子越来越青睐于移动平台,因为移动平台提供了更多的个人信息。
四、漏洞利用
利用软件和硬件中存在的漏洞,仍然是攻击者攻陷各种设备的主要手段。
今年早些时候,有两个影响Intel CPU的高危漏洞,分别是Meltdown和Spectre,这两个漏洞分别允许攻击者从任何进程和自身进程中读取内存。这些漏洞自2011年以来一直存在。Meltdown(CVE-2017-5754)会影响Intel CPU并允许攻击者从主机上的任何进程读取数据。尽管需要执行代码,但可以通过各种方式来实现,举例来说,可以通过软件漏洞或访问加载包含Meltdown攻击相关JavaScript代码的恶意网站。一旦该漏洞被成功利用,攻击者就可以读取内存中的所有数据(包括密码、加密密钥、PIN等)。厂商很快就发布了流行操作系统适用的㐉。但在1月3日发布的Microsoft补丁与所有反病毒程序不兼容,可能会导致BSoD(蓝屏)。因此,只有在反病毒软件首次设置特定注册表项时,才能安装更新,从而指示不存在兼容性问题。Spectre(CVE-2017-5753和VCE-2017-5715)与Meltdown不同,该漏洞也存在于其他架构中(例如AMD和ARM)。此外,Spectre只能读取漏洞利用进程的内存空间,而不能读取任意进程的内存空间。更重要的是,除了一些浏览器采用了防范措施之外,Spectre还没有通用的解决方案。在报告漏洞之后的几周内,可以很明显地看出这些漏洞不易被修复。大部分发布的补丁都是减少攻击面,减少漏洞利用的已知方法,但并没有完全消除风险。由于这个漏洞会严重影响CPU的正常工作,很明显厂商在未来的几年内都要努力应对新的漏洞利用方式。事实上,这一过程并不需要几年的时间。在今年7月,Intel为Spectre变种(CVE-2017-5753)相关的新型处理器漏洞支付了10万美元的漏洞赏金。Spectre 1.1(CVE-2018-3693)可用于创建预测的缓冲区溢出。Spectre 1.2允许攻击者覆盖制度数据和代码指针,从而破坏不强制执行读写保护的CPU上的沙箱。麻省理工学院研究员Vladimir Kiriansky和独立研究员Carl Waldspurger发现了这些新的漏洞。
4月18日,有人向VirusTotal上传了一个新的漏洞利用工具。该文件被多家安全厂商检测,包括卡巴斯基实验室在内,我们借助通用启发式逻辑来检测一些较旧的Microsoft Word文档。事实证明,这是Internet Explorer(CVE-2018-8174)的一个新的0day漏洞,Microsoft在5月8日实现了修复。我们在沙箱系统中运行样本后,发现该样本成功针对应用了最新补丁的Microsoft Word版本实现漏洞利用。因此,我们对漏洞进行了更深入的分析,发现感染链包含以下步骤。受害者首先收到恶意的Microsoft Word文档,在打开之后,将会下载漏洞的第二阶段,是一个包含VBScript代码的HTML页面。该页面将会触发UAF漏洞并执行ShellCode。尽管最初的攻击向量是Word文档,但该漏洞实际上是位于VBScript中。这是我们第一次看到用于在Word中加载IE漏洞的URL Moniker,我们相信这种技术在以后会被攻击者严重滥用,因为这种技术允许攻击者强制加载IE,并忽略默认浏览器设置。漏洞利用工具包的作者很可能会在通过浏览器的攻击和通过Word文档的鱼叉式网络钓鱼攻击中滥用这一漏洞。为了防范这种攻击方式,我们应该应用最新的安全更新,并使用具有行为检测功能的安全解决方案。
8月,我们的AEP(自动漏洞利用防御)技术检测到一种新型网络攻击,试图在Windows驱动程序文件win32k.sys中使用0day漏洞。我们向Microsoft通报了这一问题,并且Microsoft在10月9日披露了这一漏洞(CVE-2018-8453)并发布了更新。这是一个非常危险的漏洞,攻击者可以控制受感染的计算机。该漏洞被用于针对中东组织的特定目标攻击活动中,我们发现了近12台被感染的计算机,我们认为这些攻击是由FruityArmor恶意组织发动的。
10月下旬,我们向Microsoft报告了另一个漏洞,这次是win32k.sys的0day特权提升漏洞,攻击者可以利用该漏洞来获取创建系统持久性所需的特权。这种漏洞也被用于针对中东组织的攻击之中。Microsoft在11月13日发布了该漏洞的更新(CVE-2018-8589)。我们还通过主动检测技术(卡巴斯基反目标攻击平台的高级沙盒、反恶意软件引擎和AEP技术)成功检测出这一威胁。
五、浏览器扩展:扩大网络犯罪分子的范围
浏览器扩展可以隐藏难看的广告、翻译文本、帮助我们在网上商店选择想要的商品等,使我们的生活更加轻松。但不幸的是,还有一些恶意扩展被用于广告轰炸、收集用户活动的相关信息,以及窃取财产。今年早些时候,一个恶意浏览器扩展引起了我们的注意,因为该扩展与一些可疑的域名进行了通信。恶意扩展名称为DesbloquearConteúdo(葡萄牙语:解锁内容),主要针对巴西地区使用网上银行服务的客户,收集其登录信息和密码,以便攻击者访问受害者的银行账户。
9月,黑客发布了来自至少81000个Facebook帐户的私人信息,声称这只是1.2亿帐户信息泄露的冰山一角。在暗网的广告中,攻击者以每个帐户10美分的价格来提供这些窃取的信息。BBC俄罗斯服务和网络安全公司Digital Shadows调查了这起攻击事件。他们发现在81000个帐户中,大多数来自乌克兰和俄罗斯,但其他国家的帐户也包含在内,包括英国、美国和巴西。Facebook认为这些信息是通过恶意浏览器扩展程序窃取的。
恶意扩展非常罕见,但我们需要认真防范这些威胁,因为它们可能会造成潜在的损害。用户应该只在Chrome网上应用商店或其他官方服务中安装具有大量安装数和评论数的经过验证的扩展程序。即便应用商店的运营者已经实施了保护措施,但恶意扩展还是有可能被成功发布。因此,建议用户额外使用互联网安全产品,安全产品将能够检测出可疑的扩展程序。
六、世界杯期间的欺诈行为
社会工程学仍然是各类网络攻击者的重要工具。诈骗者总是在寻找机会,通过一些热门的体育赛事来非法牟利,而世界杯就是他们的一个不错之选。在世界杯开始前的一段时间,网络犯罪分子就开始建立网络钓鱼网站,并发出与世界杯相关的信息。这些网络钓鱼邮件包括虚假的彩票中奖通知和比赛门票相关消息。诈骗者总是竭尽全力地模仿合法的世界杯合作伙伴网站,创建一个经过完美设计的网页,甚至添加了SSL证书以增加可信度。犯罪分子还通过模拟FIFA官方通知来提取数据:受害者收到一条消息,通知他们安全系统已经更新,必须重新输入所有个人数据才能避免帐户被锁定。这些消息中包含指向虚假页面的链接,诈骗者在这些虚假页面上收集受害者的个人信息。
关于网络犯罪分子利用世界杯进行欺诈的相关报告可以从这里找到。此外,我们还提供了有关如何避免网络钓鱼诈骗的提示,这些提示适用于任何网络钓鱼诈骗,而不仅仅局限于世界杯相关。
在比赛前,我们还分析了举办FIFA世界杯比赛的11个城市的无线接入点,总共包含近32000个Wi-Fi热点。在检查其加密和身份验证算法时,我们计算了WPA2加密方式和完全开放的网络数量,以及它们在所有接入点之中的占比。超过五分之一的Wi-Fi热点都使用了不可靠的网络,这意味着犯罪分子只需要身处接入点附近,就能够拦截流量并获取人们的数据。大约四分之三的接入点使用了WPA/WPA2加密,这是目前被认为最安全的加密方式之一。针对这些热点,安全防护的强度主要取决于配置,例如热点所有者所设置的密码强度。复杂的加密密钥可能需要数年才能成功破解。然而,即使是可靠的网络(例如WPA2),也不能被认为是完全安全的。这些网络仍然容易受到暴力破解、字典破解和密钥重新配置的攻击,并且网上有大量的攻击教程和开源工具。在公共的接入点中,也可以通过中间人攻击的方式拦截来自WPA Wi-Fi的流量。
我们的报告以及如何安全使用Wi-Fi热点的建议可以在这里找到,这些建议也同样适用于任何场景,不只是世界杯。
七、工业规模的金融诈骗
今年8月,卡巴斯基实验室ICS CERT报道了一起旨在从企业(主要是制造公司)窃取资金的网络钓鱼活动。攻击者使用典型的网络钓鱼技术,诱导受害者点击受感染的附件,该附件包含在一封伪装成商业报价和其他财务文件的电子邮件之中。网络犯罪分子使用合法的远程管理应用程序TeamViewer或RMS(Remote Manipulator System)来访问设备,并扫描当前购买的相关信息,以及受害者使用的财务和会计软件的详细信息。然后,攻击者通过不同手段窃取公司的资金,例如通过替换交易中的银行账号。在8月1日发布报告时,我们已经发现至少有800台计算机感染这一威胁,这些受感染设备位于至少400个组织中,涉及到制造业、石油和天然气、冶金、工程、能源、建筑、采矿和物流等多个行业。该恶意活动自2017年10月以来就持续进行。
我们的研究发现,即使恶意组织使用简单的技术和已知的恶意软件,他们也可以借助社会工程学技巧以及将代码隐藏在目标系统中的方法,成功实现对工业公司的攻击。同时,他们使用合法的远程管理软件,来逃避反病毒解决方案的检测。
有关攻击者如何使用远程管理工具来攻陷其目标的更多信息,请参见这篇文章,以及2018年上半年针对工控系统的攻击概述。
八、勒索软件:仍然存在的威胁
在过去一年内,勒索软件攻击的数量已经发生下降。然而,这种类型的恶意软件仍然是一个严重的问题。我们持续看到了新的勒索软件家族的发展。8月初,我们的反勒索软件模块检测到了KeyPass木马。在短短两天内,我们在20多个国家发现了这种恶意软件,巴西和越南遭受的打击最为严重,但也在欧洲、非洲和远东地区发现了受害者。KeyPass可以对受感染的计算机能访问的本地驱动器和网络共享上的所有文件(不限扩展名)进行加密。同时,还忽略了一些文件,这些文件位于恶意软件中硬编码的目录中。加密文件的附加扩展名为KEYPASS,勒索提示文件名为“!!!KEYPASS_DECRYPTION_INFO!!!.txt”,保存在包含加密文件的每个目录中。该木马的作者实施了一个非常简单的方案。恶意软件使用了AES-256对称加密算法(CFB模式),并针对所有文件使用为0的IV和相同的32字节密钥。木马在每个文件的头部进行加密,最多加密到0x500000字节(约5MB)的数据。在运行后不久,恶意软件连接到其C&C服务器,并获取当前受害者的加密密钥和感染ID。数据以JSON的形式通过纯HTTP传输。如果C&C不可用(例如被感染计算机未连接到网络,或者服务器已经被关闭),那么恶意软件会使用硬编码的密钥和ID。在离线加密的情况下,可以轻松实现对文件的解密。
KeePass木马最值得注意的一个功能是“人工控制”。木马包含一个默认隐藏的表单,但在按下键盘上的特定按钮后可以显示该表单。这一表单允许犯罪分子通过更改加密密钥、勒索提示名称、勒索文本、受害者ID、加密文件的扩展名以及要排除的目录列表等参数,从而自定义加密过程。这种能力表明,木马背后的犯罪分子可能打算在人工攻击中使用这一软件。
然而,不仅仅是新的勒索软件家族对用户造成了威胁。在WannaCry爆发的一年半之后,该软件仍然是最广泛的加密勒索恶意软件之一,到目前为止,我们已经在全球范围内发现了74621次独立的攻击。在2018年第三季度,这些攻击占所有针对特定目标进行加密攻击的28.72%。这一比例与去年相比增加了2/3。考虑到在2017年5月病毒爆发之前,WannaCry所使用的EternalBlue补丁就已经存在,这一情况非常令人担忧。
九、Asacub和银行木马
2018年,涉及移动银行木马的攻击数量有明显增长。在今年年初,我们针对这种类型的威胁已经检测到一定数量的独特样本和受攻击用户。
然而,在第二季度,这一情况发生了巨大变化。我们检测到的移动银行木马和受攻击用户的数量突破记录。尽管主要原因还是在于Asacub和Hqwar,但这一数字发送巨大回升的根本原因还不清楚。根据我们的数据,Asacub幕后团队已经运营了超过3年。
Asacub是从一个短信木马演变而来的,它在最开始就拥有防止删除、拦截来电和拦截短信的技术。作者随后将程序逻辑复杂化,并开始大规模分发恶意软件。所选择的载体与最初的载体相同,都是通过SMS短信方式借助社会工程学实现分发。
当木马感染的设备开始传播感染时,就会呈现出滚雪球的增长趋势,Asacub通过自我传播,扩散到受害者的全部联系人名单。
十、智能不一定意味着安全
如今,我们被智能设备所包围,包括日常家用物品,例如电视、智能电表、恒温器、婴儿监视器和儿童玩具等。但智能设备的范畴还包含汽车、医疗设备、闭路电视摄像机和停车咪表。随着智能化的进一步提升,智能城市也相继出现。然而,如今的智能时代为攻击者提供了更大的攻击面。要保护传统计算机的安全非常困难,但如果要保护物联网(IoT)的安全,则又是难上加难。由于缺乏标准化,安全人员往往会忽视其安全性,或者将安全性视为开发之后需要考量的因素之一。有很多例子可以佐证这一观点。
2月,我们探讨了智能中心(Smart Hub)的安全性问题。通过智能中心,用户可以控制家中其他智能设备的操作,发出命令并接收消息。智能中心可以通过触摸屏、移动应用程序或Web界面进行控制。如果它遭受攻击,可能会出现单点故障。尽管我们的研究人员分析的智能中心没有明显漏洞,但其中还是存在足以获取远程访问权限的逻辑漏洞。
卡巴斯基实验室ICS CERT的研究人员针对一款流行的智能摄像头进行了分析,并研究该设备是如何防止入侵的。智能摄像头现在已经成为日常生活中的一部分,有许多智能摄像头都连到云端,用于远程监控特定位置(查看宠物、进行安全监控等)。我们的研究人员所分析的设备被当做通用摄像头来销售,可以用作婴儿监视器,也可以作为安全系统的一部分。该摄像头具有夜视能力,可以跟随移动的物体,并支持将视频传输到智能手机或平板电脑,可以通过内置扬声器播放声音。但不幸的是,这一智能摄像头居然有13个漏洞,几乎与它的功能一样多,可以允许攻击者更改管理员密码、在设备上执行任意代码、构建被攻陷摄像头的僵尸网络或者完全阻止摄像头运行。
这些安全问题不止存在于面向消费者的设备之中。今年年初,我们的全球研究和分析团队研究员与Azimuth Security的Amihai Neiderman共同发现了一个加油站自动化设备的漏洞。该设备直接连接到互联网,负责管理加油站的每一个组件,包括加油机器和支付终端。更令人担忧的是,外部人员可以使用默认凭据访问设备的Web界面。经过进一步的研究显示,攻击者可以关闭所有加油系统、导致燃油泄漏、修改价格、绕过支付终端、获取车辆牌照和驾驶员身份、在控制器单元上执行代码,甚至可以在加油站的网络上自由移动。
如今,技术正在推动医疗保健的改革,它有助于提升医疗质量,并降低医疗和护理服务的成本,同时还可以让患者和公民更好地管理他们的医疗保健信息,赋予护理人员全力,并有助于新药和治疗方法的研究。然而,新的医疗技术和移动工作实践所产生的数据要比以往任何时候都多,同时也为数据丢失或数据窃取提供了更多的机会。在过去的几年中,我们已经多次提出了这一问题。我们持续跟踪网络犯罪分子的活动轨迹,了解他们如何渗透医疗网络,如何找到公开医疗资源的数据以及如何将其泄露出去。9月,我们检查了医疗领域的安全性,发现超过60%医疗机构的计算机上存在某种恶意软件。此外,针对制药行业的攻击仍在持续增长。关键是,医疗机构应该删除不再需要的个人医疗数据,及时更新软件,并删除不再需要的应用程序的所有终端,不要将重要的医疗设备连接到主LAN上。在这里可以找到我们的详细建议。
今年,我们还研究了用于动物的智能设备,特别是用于监控宠物位置的追踪器。这些小工具可以访问宠物主人的家庭网络和电话,以及获取宠物的位置。我们的研究人员研究了几种市面上流行的追踪器,其中4款使用BLE蓝牙技术与用户的智能手机进行通信,仅有1款被正确配置,其他3款可以接收并执行任何人的命令。同时,追踪器也可以被禁用,或者对用户隐藏,攻击者所需要做的仅仅是靠近追踪器。其中,只有一个经过测试的Android应用程序会验证其服务器的证书,而不仅仅依赖于系统安全。因此,这些安全性薄弱的产品容易受到中间人(MitM)攻击,攻击者可以诱导受害者安装他们的证书,从而拦截传输的数据。
我们的一些研究人员还研究了人类可穿戴设备,特别是智能手表和健身追踪器。我们发现,通过在智能手机上安装间谍应用程序,可以将内置运动传感器(加速度计和陀螺仪)的数据发送到远程服务器,并使用这些数据拼凑出佩戴者的行为,例如走路、坐着、打字等。我们从基于Android的智能手机开始,编写了一个简单的应用程序来处理和传递数据,然后研究我们可以从这些数据中获取什么。结果表明,不仅可以确定佩戴者是坐着还是走路,并且还能弄清楚佩戴者是散步还是乘坐地铁,因为这两种状态对应的加速度计模式略有不同。当佩戴者打字时,也很容易判断出来。但是,如果想要发现他们输入的内容,这非常困难,并且需要重复输入文本。我们的研究人员能以96%的准确度恢复出计算机密码,能以87%的准确度恢复出ATM密码。但是,由于缺乏关于受害者何时输入此类信息的可预测性,获取其他信息(例如:信用卡号或CVC码)将更加困难。
近年来,汽车共享服务有所增长。这些服务为大城市中的出行人群提供了便利。但是,也随之产生了安全问题,就是使用这些服务的用户个人信息是否安全?7月,我们测试了13个应用程序,其结果并不乐观。显然,应用程序开发人员在最初设计和创建基础架构时,都没有充分考虑到当前移动平台的威胁。最简单的,目前只有1个服务会向客户发送有关尝试从其他设备登录帐户的通知。从安全角度来看,我们分析的大多数应用程序的安全性都非常差,需要进行改进。而且,许多应用程序不仅看起来非常相似,实际上就是使用了相同的代码。读者可以在这里阅读我们的报告,其中包括为汽车共享服务客户提供的安全建议,以及为汽车共享应用程序开发人员提供的建议。
智能设备的使用数量不断增加。有预测表明,到2020年,智能设备的数量将会超过世界人口的数倍。然而,一些厂商仍然没有优先考虑设备的安全性,没有提醒用户在初始设置阶段就更改默认密码,没有关于新固件版本发布的提醒。对于普通用户来说,更新过程可能非常复杂。这样就使得物联网设备成为网络犯罪分子的首要目标。这些设备比PC更容易感染,在家庭基础设施中往往发挥重要作用:负责管理互联网流量、管理视频监控、控制空调等家用设备。智能设备的恶意软件不仅在数量上有所增加,在质量上也有所提升。越来越多的漏洞被网络犯罪分子利用,同时还利用受感染的设备来发动DDoS攻击、窃取个人数据和挖掘加密货币。9月,我们发布了一份关于物联网威胁的报告,从今年开始我们已经在季度和年末的统计报告中包含有关物联网攻击的数据。
对于厂商来说,改进安全方案非常重要,应该确保在设计产品时就充分考虑安全性。一些国家的政府正在努力加强厂商在设计环节的安全性,正在引入相应的指导方针。10月,英国政府退出了消费者物联网安全实践守则。德国政府也在最近公布了其关于宽带路由器最低标准的建议。
消费者在购买任何连网设备前,也应该首先考虑安全性。
1. 考虑是否真正需要这个设备,如果需要,请检查可用的功能,并禁用掉任何不需要的功能,以此减少攻击面。
2. 在线查看关于任何已经上报的漏洞的信息。
3. 检查是否可以更新设备上的固件。
4. 确保更改默认密码,并将其替换为唯一的复杂密码。
5. 不要在网上共享与设备相关的序列号、IP地址和其他敏感数据。
十一、我们的数据掌握在别人手中
个人数据是一种有价值的信息。在新闻中,各种数据泄露事件接连不断发生,涉及到Under Armour、FIFA、Adidas、Ticketmaster、T-Mobile、Reddit、British Airways和Cathay Pacific。
Cambridge Analytica违规使用Facebook数据的丑闻提醒人们,个人信息不仅仅对于网络犯罪分子来说具有价值。在许多情况下,个人数据是人们为获得产品或服务所支付的价格,例如使用“免费”浏览器、“免费”电子邮件帐户、“免费”社交网络账户等。但并非都是如此。如今,我们已经逐渐被智能设备包围,这些设备可以收集我们生活的细节。今年早些时候,一名记者将她的公寓变成了智能家居设备组成的公寓,以便衡量这些设备的厂商所收集的数据量。由于我们通常会为这类设备付费,因此数据的收集很难被视为使用这些服务所要支付的价格。
一些数据泄露事件的发生,导致受影响的公司遭受罚款(例如,英国信息专员办公室对Equifax和Facebook进行了罚款)。然而,这些罚款都是在欧盟通用数据保护条例(GDPR)正式生效之前进行的,在该法案生效后,针对任何严重违规行为的处罚力度可能要大得多。
当然,不存在100%的安全性。但是任何持有个人数据的组织都有责任采取有效措施来保护这些个人数据。如果因违规行为导致个人数据被盗,那么公司应该及时提醒客户,从而使客户能够采取有效措施来尽可能降低受到的损害。
作为普通用户,我们无法采取措施来防止厂商的数据泄露,但可以加强我们的帐户安全,特别是针对每个帐户使用不同的密码,同时开启双因素身份认证。