[过程剖析]“红色十月”跨国网络攻击报告(节选)

2013-01-24 119473人围观 ,发现 4 个不明物体 WEB安全系统安全

本文节选自Red October” Diplomatic Cyber Attacks Investigation
感谢r00tmanFreebuF分享团中提供线索

摘要

在2012年10月,卡巴斯基实验室全球研究&分析团队发起了一项关于新威胁的研究,研究的目标是目前针对各种国际外交服务机构的网络攻击。在调查过程中,一个大型的网络间谍网络被揭露和分析,我们称之为“红色十月”(来源于著名的小说《猎杀红色十月»)

本报告以多个不同国家的政府和科研机构遭受的攻击为背景进行详细的技术分析,涉及到的地区包括东欧,前苏联和中亚。

攻击者的主要目的是从有关部门收集情报,其中包括计算机系统,个人移动设备和网络设备。

最早的证据显示,网络间谍活动始于2007年,并且在笔者发稿时(2013年1月仍然活跃。此外,攻击者购买(C&C)服务器时的注册数据和独特的恶意病毒文件名可以追溯到2007年5月甚至更早的时间。

主要发现

先进的间谍网络:攻击者潜伏多年,侧重于各国在世界各地的外交和政府机构。

攻击者获取的信息在后续的攻击中被重复使用。例如,被盗的认证信息被整理成册并在攻击者需要猜解口令时使用。为了控制受感染的机器组成的网络,攻击者在不同的国家(主要是德国和俄罗斯)创建了超过60个域名和几个服务器的位置。 

独特的架构:攻击者创建了一个多功能的工具包,其中有一个收集情报的功能。

各种各样的目标除了传统的攻击目标(工作站),该系统还能从移动设备够窃取数据,如智能手机(iPhone,诺基亚,Windows Mobile),企业网络设备(思科),可移动磁盘驱动器(包括使用恢复程序恢复已删除的文件)。

Exploit:我们找到的样品使用的攻击代码是利用Microsoft Word和Microsoft Excel中的漏洞。

攻击者何许人也:根据C&C服务器和众多恶意软件的可执行文件中,我们坚信,攻击者属俄语系。至今为止,攻击者非常低调,他们从来没有参与任何其他有针对性的网络攻击。

第一阶段

在我们的调查中,我们无法找到任何攻击中使用的电子邮件。然而,根据间接证据,我们知道电子邮件使用下列方法之一发送:

1.从免费的公共电子邮件服务提供商获取的免费邮箱
2.从已被感染组织中拿到使用的邮箱

我们发现了至少三种最近的exploit:CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word)

一个显着的事实是攻击者使用的攻击代码原本来自中国。唯一的改变是在文档中嵌入的可执行文件,这次攻击者使用的是他们自己的代码。

附件中以下三个文件被运行:

%TEMP%\MSC.BAT
%ProgramFiles%\WINDOWS NT\LHAFD.GCP (<- This file name varies)
%ProgramFiles%\WINDOWS NT\SVCHOST.EXE

MSC.BAT包括以下内容

chcp 1251
:Repeat
attrib -a -s -h -r "%DROPPER_FILE%"
del "%DROPPER_FILE%"
if exist "%DROPPER_FILE%" goto Repeat
del "%TEMP%\msc.bat"

«LHAFD.GCP文件使用RC4加密,由“zlib的”库压缩。该文件本质上是一个后门程序,由加载程序模块(svchost.exe)解码。解码后的文件会注入到系统内存中,并负责与C&C服务器通信。

在受感染的系统中,每一个任务是由主后门程序控制,如果互联网连接可用,它会连接到三个微软的主机:

update.microsoft.com
www.microsoft.com
support.microsoft.com

互联网连接验证完毕后,加载器执行的的主要后门程序会连接到C&C服务器:

与C&C的连接是加密的,且使用不同的加密算法来发送和接收数据。

第二阶段

在与C&C服务器建立连接后,后门开始通信过程并加载附加模块。这些附加模块可以被分为两类:离线和在线。这些类别之间的主要区别是他们在受感染的系统的行为有所不同:

离线:存在于本地磁盘上,能够创建系统的注册表项,本地磁盘的日志文件,可自发与C&C服务器上进行通信。
在线:只存在于系统内存中,不会保存到本地磁盘,不会创建注册表项,在所有的记录也保存在内存中。

时间线

我们已经确定了与超过30个木马模块相关的1000个恶意软件,他们大多是在2010年5月和2012年10月创建的。

Year 2010

19.05.2010
21.07.2010
04.09.2010

Year 2011

05.01.2011
14.03.2011
05.04.2011
23.06.2011
06.09.2011
21.09.2011

Year 2012

12.01.2012

这些评论亮了

  • 黑阔不是我 回复
    "一个显着的事实是攻击者使用的攻击代码原本来自中国。唯一的改变是在文档中嵌入的可执行文件,这次攻击者使用的是他们自己的代码。 "
    和攻击分布图太亮了。
    )10( 亮了
发表评论

已有 4 条评论

取消
Loading...
css.php