2016年8月,Forcepoint 发布了一个APT攻击的追踪报告。该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成。该调查小组隶属于Forcepoint安全实验室,由优秀的恶意软件逆向工程师和分析师组成,其职责是专门深入研究僵尸网络和APT攻击。他们与全球众多值得信赖的机构协作,以提供切实可见的决策为宗旨,向大众、客户以及合作伙伴等利益相关者传递相关信息,针对网络安全问题,警醒全球用户。
诱饵文档标题组成的词云
Forcepoint安全实验特别小组这次发布的APT攻击跟踪报告被命名为MONSOON。 调查表明,这些攻击活动主要针对中国的各个行业,以及南亚地区的一些国家政府机构。MONSOON从2015年12月开始发起攻击,截至2016年7月攻击活动仍在持续。在调查MONSOON过程中所收集到的证据里,有一些指标表明MONSOON和OPERATION HANGOVER存在高度相似。这些指标包括相同的攻击架构,类似的战术、技术与规程(即TTP),人口统计学意义上相似的受害者,以及都在印度次大陆进行的地理属性。
总体来看, MONSOON所用的恶意软件一般通过附有“武器化”文档的电子邮件发送给特定目标。这些文档的主题几乎都与政治相关,大多选自近期的热门政治事件。其所使用的恶意软件包括Unknown Logger Public, TINYTYPHON, BADNEWS和AutoIt后门。其中非常独特的是,BADNEWS利用RSS订阅、GitHub、论坛、博客和动态DNS主机向远程C&C服务器进行通信。调查所收集到的证据表明, OPERATION HANGOVER这个团体操纵MONSOON至少自2010年开始活跃,在跟踪的时间内,他们使用了至少72个诱饵文件中,大多数使用了当前热门新闻主题词,并高度契合受害者的兴趣,其中,用的最多的诱饵文件名为China_Military_PowerReport(中国军事力量报告)。MONSOON的受害者遍布 110多个国家,被攻击的IP地址多达6300多个,其中,61%的受害者来自中国,而攻击则来自印度次大陆。
该报告的追踪调查采用的是Forcepoint公司独特的APT攻击七步曲方法论。具体分析攻击全过程如下:
- 侦测
Forcepoint安全实验室特别调查组在跟踪调查中发现,APT攻击者起初通过对当下中国和南亚地区关注的时事进行分析,并针对受害人的关注点,伪造相关“时事新闻”及报告诱使他们去点击查看。在相关样本的分析过程中,我们还发现APT攻击者对受害者可能使用的防病毒软件进行猜测(例如360 Total Security)并通过Virus Total网站对恶意文件进行防病毒软件绕过检测。
2. 钓鱼
为了吸引受害者的注意,APT攻击者采用第三方邮件服务器向受害者发送鱼叉式钓鱼邮件,并伪装邮件发送者,其钓鱼邮件的主题多与中国时事政治相关,以吸引受害者查看阅读邮件及相关连接。与此同时,攻击者通过建立多个虚假新闻网站、操控多个发布虚假新闻的社交软件(FACEBOOK、TWITTER、Google Plus)发布虚假新闻以引诱受害者点击和注册等。
3. 再定向
通过对钓鱼邮件的分析,我们发现APT攻击者会在邮件中附加一个或多个恶意连接,这些链接指向恶意文档的下载地址,以此利用受害者的好奇心诱使他们去阅读和下载恶意文档。
4. 漏洞攻击包
通过分析相关恶意文档的样本,我们发现,这些文档均包含了多个已知的微软Office漏洞(具体参看相关报告中涉及CVE编号)。 同时,恶意站点还会探测受害者的计算机是否安装了Silverlight软件,并对该关键漏洞进行渗透。
5. 木马下载
一旦受害者访问了包含漏洞的恶意文档,攻击者将会利用漏洞将多个木马及后门程序植入到目标计算机中。然后这些恶意程序会通过伪装系统进程、软件加密、隐藏免杀、DLL注入、修改注册表等多种技术在受害者计算机中驻留。
6. 回传通信
通过对恶意软件的逆向分析,我们获取了大量包含恶意C&C服务器的地址及指令。其中包括:RSS订阅、GitHub、论坛、博客及动态DNS等。攻击者在这些渠道发布加密的恶意指令,以控制受害者的计算机,并同时更新升级恶意软件。
7. 数据窃取
攻击者通过C&C方式控制受害者的计算机,并利用本地恶意软件对受害者的资料实施检索、键盘记录、截屏等操作,最终将获取的机密文档上传至远程恶意C&C服务器中。据初步估计,我们所掌握的C&C服务器中就有上千份被窃取的文档,大部分为政府机构文档,还有一些高度涉秘文档,如海关清关文档、金融数据、技术说明文档等。
来自印度的针对中国和南亚国家的大规模APT攻击的调查追踪分析表明,OPERATION HANGOVER这个团体所采用的攻击方案更加隐蔽,攻击技术不断升级,用户画像越来越精准,所以,用户在使用网络时应该时刻防范恶意软件的加载和攻击。Forcepoint安全实验室会持续提供安全的见解、技术和专业知识,使客户专注于自己的核心业务发展,而不必太过在安全性上花费时间和精力。Forcepoint也会不断加强和主流机构的合作,继续追踪和调查各种攻击的状况,努力识别新出现的网络威胁并对其进行深入了解,并提供实用的决策方案,向包括客户、合作伙伴及大众等在内的广大利益相关者传递有用的安全警醒信息,为广大网络用户保驾护航。
作者:Forcepoint安全实验室