|
针对俄罗斯的攻击
非官方中文译文•安天技术公益翻译组译注 | 文档信息 | | 原文名称 | To Russia With Targeted Attack | | 原文作者 | Ali Islam, Alex Lanstein | 原文发布日期 | 2012年12月10日 | | 作者简介 | Alex Lanstein是火眼公司的工程师。 | | 原文发布单位 | FireEye公司
| | 原文出处 | | 译者 | 安天技术公益翻译组 | 校对者 | 安天技术公益翻译组 | | 免责声明 | • 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 • 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 • 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。 • 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。
|
针对俄罗斯的攻击
Ali Islam,Alex Lanstein
2012年12月10日
对恶意软件分析员来说,研究进攻性网络作战的人力方面是最有趣的部分之一。用算法生成的恶意软件,如多态PDF,就比较无聊了,因为键盘另一边的对手并不是人类。然而,当应对国家发起的入侵或者针对特定组织的攻击时,研究攻击的各个阶段也是很有趣的,包括受害者选择、攻击方法,以及泄露的数据类型。最近,我们发现了似乎主要针对俄罗斯目标的攻击活动。
攻击者使用恶意MS Word文档338d0b855421867732e05399a2d56670。该漏洞利用行为是相当标准的:它投放一个可执行文件; 该可执行文件又会投放另一个.EXE文件和两个.DLL文件,并创建多个组件,从而加剧反病毒检测和清理的负担。发现攻击者所使用的一个电子邮件地址jbaksanny AT yahoo.com后,我们将该恶意软件命名为“Sanny”,其截图如图1所示。
图1
在几乎所有的针对性攻击中,攻击者都会使用“诱饵文件”。因此,受害者认为自己获得的是合法内容,不会调用计算机服务支持。如图2所示,该攻击也没有什么不同。很明显,这种干净的合法文档被嵌入到恶意文档中,并在成功的漏洞利用后启动。
图2
在上图中可以看出,该文件明确地攻击使用西里尔文字符的用户。
该攻击的另一个有趣的方面是C&C服务器。C&C通道被嵌入到一个合法网页中,即韩文留言板“nboard.net”。图3显示了恶意软件的C&C通信。人们可以很容易看到HTTP POST并发现数据库的密码是1917qaz。
图3
该恶意软件还包含一个回滚机制,如果留言板不可用,它就会通过韩国雅虎邮件服务器来检查邮件连接。
图4
以下是用于电子邮件通信的邮件地址:
mailboote AT yahoo.co.kr
jbaksanny AT yahoo.com
POST被发送到图5所示的简单web表单。
图5
后端是很有趣的。数据被发送到一个不需要身份验证的公共留言板上,因此,所有的受害者都是可见的。
图6
正如分析人员所看到的,被破坏的系统由恶意软件分析人员和合法用户组成。
窃取的数据被编码。我们快速研究了一下该恶意软件的组件,发现它从受害机器中窃取许多不同种类的密码/凭证。图7显示了恶意代码从以下注册表项提取MS Outlook帐户和帐户数据:
Software\\Microsoft\\Office\\Outlook\\OMI Account Manager\\Accounts
Software\\Microsoft\\Internet Account Manager\\Accounts
图7
在另一个环节,我们发现恶意软件从C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\k9fjylx4.default\窃取火狐浏览器所记住的各种在线服务(如Hotmail,Facebook等)的用户名/密码。
除了窃取不同类型的凭证,它还会对受害者进行侧写,例如,收集victim_locale、victim_region,以及其他相关信息。图8显示了恶意软件收集受害者的信息,然后以参数格式存储,以便后续通过HTTP POST发送至C&C服务器。
图8
在C&C服务器上,每个受害者的信息都是可点击的;图9是相关的截图。
图9
从上图可以看出,受害者的IP地址是193.232.206.50。
% Information related to '193.232.206.0 - 193.232.206.255'
inetnum: 193.232.206.0 - 193.232.206.255
netname: IUPF-LAN
descr: Russian Space Science Internet
descr: People's Friendship University of Russia
另一个受害者的IP是194.28.239.23。
inetnum: 194.28.236.0 - 194.28.239.255
netname: ITAR-TASS-NETWORK
descr: ITAR-TASS State Enterprise
country: RU
攻击目标很是有趣。在其余的受害者中,有大量的俄罗斯目标。我们研究了受害者日志中的完整IP地址列表。有些目标是反病毒公司或安全研究人员,但大多数则是俄罗斯目标。以下是我们认为受到影响的主要行业:
俄罗斯航天研究业
俄罗斯信息产业
俄罗斯教育行业
俄罗斯电信业
幕后黑手是谁?
虽然还没有完全具体的证据,但是我们已经确定了许多指向Korea(尚未确定是朝鲜还是韩国)的信标。以下是我们至今为止所发现的信标:
1. SMTP邮件服务器和C&C服务器位于Korea。
2. 文档中使用的字体“Batang”和“KP CheongPong”是韩语。
3. 攻击者选择韩语留言板作为C&C通道,这表明攻击者母语是韩语或至少非常熟悉韩语。
4. 对“jbaksanny”(雅虎邮件使用)的搜索指向了名为Jbaksan的用户所创建的韩语Wikipedia页面。该页面自动填充,除了创建者不显示任何的编辑历史。
攻击者不断监控C&C服务器,检查新的受害者和窃取的数据。看起来攻击者以2天为一个周期,即每隔两天,他/她会收集窃取的数据,并从C&C服务器中将其删除。在过去的5天中,攻击者收集和删除的数据量大约是每2天的3倍。
在写这篇博客时,C&C服务器已经启动并从不同的受害机器接收数据。我们将继续分析该威胁并随时更新信息。
安天公益翻译(非官方中文译文)下载:
针对俄罗斯的攻击[非官方中文译文•安天技术公益翻译组译注].pdf
(1.04 MB, 下载次数: 69)
| 
发表于 2015-7-20 15:17
