翻译:pwn_361
预估稿费:300RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
一、摘要
2016年9月到10月期间,在欧洲和美国的酒店行业中,多个重要机构在他们的网络里发现了可疑和潜在的恶意活动,这些恶意活动分布在不同属性和地点的服务器、销售点终端机、和客户端工作站中。Trustwave公司的SpiderLabs安全团队接受了这些机构的安全咨询并进行调查。
这次攻击行动的主要动机是获取经济利益、完全控制目标的基础设施、在受害组织内收集僵尸主机。取证调查和分析表明,这次行动是由多个个体或多个群体实施的,包含多个恶意团体的互相合作,每个恶意团体有自己的角色和任务。很明显,我们正在对付有组织的犯罪份子,他们为了对多个受害人实施攻击活动,建立了这个复杂的网络主机系统,及大量的恶意文件。
在被攻击的机构里发现了多个攻击标志,不仅在企业AV服务中发现了一些潜在的恶意软件碎片,而且在Windows事件日志中也发现了可疑活动的标志信息。由于受害者是不同的机构,因此对不同机构的调查由Trustwave内部的不同小组进行,但是小组之间是共享信息的,调查表明攻击事件中存在几个相似之处。
在所有攻击行动中,共同的进入点是一封针对受害者公共服务的电子邮件,包含一个Word文档附件。一旦打开这个附件,多个恶意文件就会被创建或下载,这就使攻击者一定程度上进入了受害者的基础设施中。在一些情况下,攻击者实际上会给受害人打一个电话,用一个社会工程学策略,来引导受害人打开附件。
下一步,攻击者会运用多种HASH传递的方法,进行提权操作,并通过计划任务和多个自启动的位置使得控制持久化。最终这些行为允许攻击者获得域权限、甚至以企业管理级访问该网络,并使用了多个在欧洲和美国的资源作为C&C服务器。
攻击者通过使用云服务,如Google Docs,Google Forms和Pastebin.com,来跟踪被感染的系统、传播恶意软件、实施附加的恶意活动。利用这些服务对攻击者很有利,因为大多数企业的网络都允许访问这些服务,并且几乎不可能屏蔽它们。
在这次攻击行动中使用的恶意代码,被分割成了内存驻留代码、脚本代码(PowerShell,JavaScript,VBS)、可执行代码(经常出现新变种),并使用了定制版本的工具包,如Metasploit,PowerSploit,Veil Framework。
另一个重要标识是一些可执行文件使用了来自Comodo的有效证书,一个权威的证书。根据对该证书的分析,我们相信攻击者购买或使用了假的身份,绕过了额外的安全控制。
在本文中,我们描述了一个针对欧洲和美国酒店行业的系统性犯罪攻击行动。然而,我们的发现显示出其它行业,如电子商务和零售行业也在危险中,这种犯罪活动可以轻易地传播到世界其他地方。
大部分C&C服务器使用的IP地址部署在欧洲(英国、法国、瑞典等)的未知系统上,表明攻击者通过使用看似无害的服务器作为恶意端点,试图绕过网络安全控制。在对这次攻击行动调查期间,我们监控了这些C&C服务器的访问,发现攻击者偶尔会改变他们的C&C服务器,并下线之前的C&C服务器。我们相信,这种交替使用C&C服务器的做法是有目的的行为,应该是为了尽可能的保持隐蔽。
我们将这次攻击行动称为"Grand Mars"行动,在那以后,网络犯罪份子使用了从Comodo买到的其中一个数字证书。尽管在证书细节中使用的名称和俄罗斯位置细节(城市,地址等)可能是假的,但实际上有人买了这些证书,这是一个强有力的标志,说明我们对付的是有组织的犯罪活动。
我们的高级威胁报告旨在对该攻击行动的行为和文件进行分析:
我们的分析和调查采取的方法是描述恶意活动的性质、策略、及攻击者运用的技术、可能的动机,以及攻击背后的威胁角色的属性。
对于已经被这个行动攻击的机构、或愿意采取积极应对措施的机构,我们提出了修补措施和建议。
攻击指示器(IOCs)将不仅有利于机构探索评估遭受到的攻击(或在专业安全团队的帮助下),而且在机构被当成目标时,提供一个具有前瞻性检测机制的早期预警系统。
尽管如此,还是要注意到,我们的这种高级威胁报告没有、也没有能力取代正式的事件响应行动和程序,事件响应行动和程序作为机构事件响应/灾难恢复的路线图,必须担负起减缓威胁和恢复业务的功能。
二、分析和调查
1、进入点
调查的第一个目标是识别出攻击者进入网络时准确的进入点,和最初的攻击方法。
钓鱼邮件和恶意Word文档
Trustwave SpiderLabs安全团队在全球范围内进行了众多调查,在这次攻击行动的时间线中,最开始使用了一个常见的攻击方法---钓鱼邮件,至少有一个或更多的员工收到了这个邮件,它包含了一个恶意的Word文档,作为邮件的附件。
图 1 受害人收到的邮件中包含恶意Word文档附件
Android系统中也存在Web注入吗? 阅读原文» 有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到浏览器页面中,欺骗代理服务器等。MITB攻击的目的,相比那些较常见的中间人攻击也有所不同。一般的中间人攻击,例如链路劫持投放一些商业性广告,或窃取某些用户量较大网站,用户账户里的虚拟财产为攻击目的。相关报道,可参见 Lurk case。 当MITB类攻击的目标为网上银行时,通常会使用 web 注入攻击。这种攻击,会将一段恶意代码注入到网上银行服务页面中,以此来拦截一次性SMS消息,收集用户信息,欺骗银行详情等。例如,我们巴西的同事发布了一篇,关于用户打印 Boletos 的,条形码欺骗攻击的长篇报告。这篇报告同时也成为了非常受欢迎的银行文档,并被巴西银行和各类企业发行。 与此同时,MITB攻击在俄罗斯近年来呈下降趋势。攻击者正试图寻找一些其它的攻击方法和载体,来攻击银行客户端。对于他们而言,使用一些现成的工具,比自己开发web注入工具要容易的多。 尽管如此,我们还是经常被问到,是否有专门针对Android设备的web注入攻击。这也是我们想要知道的,因此我们正对这方面的攻击做深入的研究调查,并希望能给大家一个相对满意的答复。 尽管术语"注入"常被与移动银行木马联系起来(有时也被一些攻击者,用作数据窃取的参考技术),Android 恶意软件,是一个完全不同的世界。为了实现计算机上的Web注入工具的相同效果,移动木马的创建者会使用两种完全不同的技术:使用网络钓鱼窗口覆盖其它应用,以及将用户从银行页面重定向到特制的网络钓鱼页面。 这是攻击者们最常用的技术之一,几乎在所有的网银木马上都有涉及。早在2013年,我们就发现了第一个此类覆盖应用的钓鱼木马程序 �C Trojan-Banker.AndroidOS.Svpeng。 如今的移动银行木马,常常将自己与Google Play应用商店叠加在一起。这样做的目的就是为了窃取用户的银行卡信息。 除此之外,该类木马还会经常覆盖那些社交媒体和即时通讯应用,并以此来窃取用户的账号密码。 然而,移动银行木马通常将目标对准的都是那些金融类的应用程序,主要是银行的客户端程序。 以下有三种可选的,针对移动操作系统的MITB攻击方法: 1.攻击者通过制作一个定制的木马窗口,来覆盖其它应用程序的窗口。例如,Acecard 家族的移动银行木马就使用了这种方法。 2.通过一个位于攻击者服务器上的网络钓鱼页面,覆盖用户应用程序。这样攻击者,便可以随时修改其内容。例如, Marcher家族的银行木马就使用了这种方法。 3.下载钓鱼模板页面,并通过修改图标和名称将其伪装成目标应用程序,欺骗用户。Trojan-Banker.AndroidOS.Faketoken 就利用了这种方式,攻击了超过2000多款的金融类应用程序。 值得注意的是,从Android 6.0开始,FakeToken木马想要覆盖其它应用程序,则必须弹框请求用户以获取特权,然后才能实现覆盖。随着Android新版本的不断普及,越来越多的移动银行木马开始请求这样的特权。 我们仅能在 Trojan-Banker.AndroidOS.Marcher 家族中,识别到这种技术的使用。最早版本的此类重定向木马,是在2016年4月之后被发现的,最新版本为2016年11月上半年出现。 下面让我来简单介绍下,页面重定向钓鱼技术它的工作方式。该类木马首先会修改订阅浏览器书签,包括更改当前打开的页面。这样木马就能获取到当前打开页面的信息,如果打开页面恰好为其攻击的目标之一,那么它将会在同一浏览器中重新打开一个克隆的钓鱼页面,同时将用户强制重定向到该页面。 将用户从银行的网页重定向到网上诱骗页面的工作方式如下。木马订阅修改浏览器书签,其中包括当前打开的页面的更改。这样木马知道哪个网页当前打开,如果它恰好是目标网页之一,木马会在同一浏览器中打开相应的网页仿冒页面,并将用户重定向到那里。我们已经发现了,有超过100多个属于Marcher家族木马的金融机构克隆页面。 然而,有两点需要说明: 这些被我们检测及公布出来的方法技术,Marcher木马已不再使用。 除此之外,它还会结合使用钓鱼页面窗口覆盖其它应用的方式。 那么,为什么只有这类网银木马,采用重定向钓鱼的方法,又为什么这种技术在新版的网银木马上被摒弃呢?有以下几个原因: 在Android 6.0及更高版本中,这种技术已不再有效,这意味着受害者的数量将大大减少。例如,在使用卡巴斯基实验室移动安全解决方案的用户中,大约有30%的用户,目前使用的为Android 6.0或更高版本的操作系统; 该技术只适用于少数特定的移动浏览器。 隐蔽性差。用户很容易就能发现自己被进行了重定向,并且通过地址栏URL也能被轻易识别出来。 当木马程序获取到了root权限,那么它就可以执行任何类型的攻击,包括浏览器恶意注入攻击。虽然我们无法找到该类情况的案例,但是以下几点应该引起我们的注意: Backdoor.AndroidOS.Triada 的一些模块,利用超级用户权限,可以替换某些浏览器中的网站。我们发现的所有此类攻击,都是为了从广告商那赚钱,而不是窃取用户的银行信息。 拥有超级用户权限的 Trojan-Banker.AndroidOS.Tordow 网银木马,可以窃取用户保存在浏览器中的账号密码,这其中也可能也包含金融网站的密码。 我们可以说,尽管那些针对银行的攻击者有技术能力,实现对移动浏览器或移动应用程序的恶意注入,但是他们一般不会这么做。更多的时候他们是通过这种技术,来投放一些虚假广告信息,并以此牟利。但即便这样,攻击者也需要定制高度复杂的恶意软件才能实现。 那么,为什么攻击者会放弃这种攻击手段?最大的可能,是因为移动浏览器和应用程序的多样性。这就要求攻击者,不得不大量的修改代码和增加代码量。要知道,这是相当耗时耗力,并且需要大量的资金投入才能完成的。而简单而又实用的窗口钓鱼攻击,则不需要这么麻烦。 尽管如此,Triada和Tordow的例子表明,随着攻击者技术的不断改进,类似的攻击可能会在不久的将来,切实的发生在我们身边。 *参考来源 securelist,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM) 
Android 下的 Web 注入
使用网络钓鱼窗口覆盖其它应用
从银行页面重定向到特制的网络钓鱼页面
使用root权限启动攻击
总结
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论