您当前位置:首页 > 资讯中心 > 信息安全

Forcepoint特别调查报告: 追踪调查来自印度的针对中国和南亚国家的大规模APT攻击

cn">

2016年8月,Forcepoint 发布了一个APT攻击的追踪报告。该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成。该调查小组隶属于Forcepoint安全实验室,由优秀的恶意软件逆向工程师和分析师组成,其职责是专门深入研究僵尸网络和APT攻击。他们与全球众多值得信赖的机构协作,以提供切实可见的决策为宗旨,向大众、客户以及合作伙伴等利益相关者传递相关信息,针对网络安全问题,警醒全球用户。

class="fancybox_content" href="/uploads/images/2016/170/liZILHIKmYXd2.jpg?rand=197"

图 诱饵文档标题组成的词云

Forcepoint安全实验特别小组这次发布的APT攻击跟踪报告被命名为MONSOON。 调查表明,这些攻击活动主要针对中国的各个行业,以及南亚地区的一些国家政府机构。MONSOON从2015年12月开始发起攻击,截至2016年7月攻击活动仍在持续。在调查MONSOON过程中所收集到的证据里,有一些指标表明MONSOON和OPERATION HANGOVER存在高度相似。这些指标包括相同的攻击架构,类似的战术、技术与规程(即TTP),人口统计学意义上相似的受害者,以及都在印度次大陆进行的地理属性。

总体来看, MONSOON所用的恶意软件一般通过附有“武器化”文档的电子邮件发送给特定目标。这些文档的主题几乎都与政治相关,大多选自近期的热门政治事件。其所使用的恶意软件包括Unknown Logger Public, TINYTYPHON, BADNEWS和AutoIt后门。其中非常独特的是,BADNEWS利用RSS订阅、GitHub、论坛、博客和动态DNS主机向远程C&C服务器进行通信。调查所收集到的证据表明, OPERATION HANGOVER这个团体操纵MONSOON至少自2010年开始活跃,在跟踪的时间内,他们使用了至少72个诱饵文件中,大多数使用了当前热门新闻主题词,并高度契合受害者的兴趣,其中,用的较多的诱饵文件名为China_Military_PowerReport(中国军事力量报告)。MONSOON的受害者遍布 110多个国家,被攻击的IP地址多达6300多个,其中,61%的受害者来自中国,而攻击则来自印度次大陆。

该报告的追踪调查采用的是Forcepoint公司独特的APT攻击七步曲方法论。具体分析攻击全过程如下:

一、 侦测

Forcepoint安全实验室特别调查组在跟踪调查中发现,APT攻击者起初通过对当下中国和南亚地区关注的时事进行分析,并针对受害人的关注点,伪造相关“时事新闻”及报告诱使他们去点击查看。在相关样本的分析过程中,我们还发现APT攻击者对受害者可能使用的防病毒软件进行猜测(例如360 Total Security)并通过Virus Total网站对恶意文件进行防病毒软件绕过检测。

二、钓鱼

为了吸引受害者的注意,APT攻击者采用第三方邮件服务器向受害者发送鱼叉式钓鱼邮件,并伪装邮件发送者,其钓鱼邮件的主题多与中国时事政治相关,以吸引受害者查看阅读邮件及相关连接。与此同时,攻击者通过建立多个虚假新闻网站、操控多个发布虚假新闻的社交软件(FACEBOOK、TWITTER、Google Plus)发布虚假新闻以引诱受害者点击和注册等。

三、再定向

通过对钓鱼邮件的分析,我们发现APT攻击者会在邮件中附加一个或多个恶意连接,这些链接指向恶意文档的下载地址,以此利用受害者的好奇心诱使他们去阅读和下载恶意文档。

四、漏洞攻击包

通过分析相关恶意文档的样本,我们发现,这些文档均包含了多个已知的微软Office漏洞(具体参看相关报告中涉及CVE编号)。 同时,恶意站点还会探测受害者的计算机是否安装了Silverlight软件,并对该关键漏洞进行渗透。

五、木马下载

一旦受害者访问了包含漏洞的恶意文档,攻击者将会利用漏洞将多个木马及后门程序植入到目标计算机中。然后这些恶意程序会通过伪装系统进程、软件加密、隐藏免杀、DLL注入、修改注册表等多种技术在受害者计算机中驻留。

六、回传通信

通过对恶意软件的逆向分析,我们获取了大量包含恶意C&C服务器的地址及指令。其中包括:RSS订阅、GitHub、论坛、博客及动态DNS等。攻击者在这些渠道发布加密的恶意指令,以控制受害者的计算机,并同时更新升级恶意软件。

七、数据窃取

攻击者通过C&C方式控制受害者的计算机,并利用本地恶意软件对受害者的资料实施检索、键盘记录、截屏等操作,较终将获取的机密文档上传至远程恶意C&C服务器中。据初步估计,我们所掌握的C&C服务器中就有上千份被窃取的文档,大部分为政府机构文档,还有一些高度涉秘文档,如海关清关文档、金融数据、技术说明文档等。

来自印度的针对中国和南亚国家的大规模APT攻击的调查追踪分析表明,OPERATION HANGOVER这个团体所采用的攻击方案更加隐蔽,攻击技术不断升级,用户画像越来越精准,所以,用户在使用网络时应该时刻防范恶意软件的加载和攻击。Forcepoint安全实验室会持续提供安全的见解、技术和专业知识,使客户专注于自己的核心业务发展,而不必太过在安全性上花费时间和精力。Forcepoint也会不断加强和主流机构的合作,继续追踪和调查各种攻击的状况,努力识别新出现的网络威胁并对其进行深入了解,并提供实用的决策方案,向包括客户、合作伙伴及大众等在内的广大利益相关者传递有用的安全警醒信息,为广大网络用户保驾护航。

作者:grabsun - 发布时间:2016-09-06 - 点击量:2328
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们