Kaspersky研究發(fā)現(xiàn)��, 紅色十月黑客組織發(fā)現(xiàn)之前����,它已經存在近5年了。網(wǎng)絡間諜攻擊并不新鮮�����,但是越來越復雜���,F(xiàn)在,攻擊者成功潛入組織并隱藏幾個月不被發(fā)現(xiàn)很簡單���。企業(yè)可以通過分析這些高級攻擊吸取經驗教訓��。本文將詳細介紹紅色十月惡意攻擊行為����,以及企業(yè)安全團隊可以從中學習的攻擊檢測方法。
紅色十月惡意軟件攻擊分析
從2007年開始��,紅色十月攻擊了大量目標����。黑客主要針對于全世界的科學研究、外交���、政府和支持組織��,大多集中在東歐地區(qū)�����。按照這個惡意軟件的內容和名字��,Kaspersky實驗室認為紅色十月模塊由俄國開發(fā)者提供�,并且由中國黑客開發(fā)�。
攻擊活動的執(zhí)行與最近發(fā)生的其他高級攻擊類似;它首先發(fā)布包含惡意附件的網(wǎng)絡釣魚,一旦執(zhí)行就攻擊微軟Office和Java漏洞���。這樣��,后門和短期可執(zhí)行文件就能夠獲得本地系統(tǒng)的訪問權限����,建立持久訪問,然后利用密碼盜取�����、鍵盤記錄與掃描等手段為其他系統(tǒng)提供攻擊途徑�����。其最終目標通常是發(fā)現(xiàn)遠程系統(tǒng)的訪問身份或系統(tǒng)信息����,并利用這些信息盜取數(shù)據(jù)。它會從命令控制(C&C)服務器下載指令�����,包括新的惡意軟件��,然后掃描數(shù)據(jù)并將數(shù)據(jù)導入 C&C基礎架構���,用于隱藏主服務器的代理正位于此處�����。
紅色十月攻擊確實有一些與標準惡意軟件攻擊不同的特殊之處——對目標網(wǎng)絡的攻擊偵察深度�����、攻擊計劃和框架�。每一個目標系統(tǒng)都會分配一個攻擊目標 ID���,這樣攻擊者就可以方便地跟蹤攻擊��。因為攻擊有一定規(guī)模����,攻擊目標ID可以幫助攻擊者更好地分析和控制大量受攻擊的設備�。這種跟蹤系統(tǒng)還允許攻擊者指定惡意軟件(并避免重復使用相同的惡意軟件),使他們可以很長時間不被反病毒軟件發(fā)現(xiàn)��。在接收到某種附件時�,這個惡意軟件甚至能夠恢復C&C基礎架構的訪問,從而能夠更快地盜取有重要價值的數(shù)據(jù)����。
通常����,它使用NTFS底層API和訪問權限去掃描已刪除數(shù)據(jù)��,然后恢復目標數(shù)據(jù)����。在網(wǎng)絡掃描過程中,紅色十月攻擊者會尋找將來可用于攻擊網(wǎng)絡的思科路由器�。甚至在捕捉到SIP配置數(shù)據(jù)時,攻擊者還可能會監(jiān)控電話通話��。然后����,它還會收集來自iPhone、諾基亞和Windows智能手機的信息��,以便進一步確定目標數(shù)據(jù)��。
紅色十月應對措施:檢查現(xiàn)有措施 增加新控制
對于企業(yè)安全團隊而言�,他們應該明白,紅色十月仍然大量使用一些舊的攻擊方法�����,如果組織部署了基本安全措施���,那么他們應該已經有能力防御這些攻擊��。如果企業(yè)還不重視鏈接掃描��、強力認證����、快速補丁和網(wǎng)絡監(jiān)控��,那么他們將來會受到類似于紅色十月的攻擊��。因此�,應該考慮采用一些額外的輔助防御措施。例如����,應用白名單可以屏蔽目標系統(tǒng)的未授權可執(zhí)行文件。此外�,還有新的異常檢測產品(如FireEye和Damballa的產品)應付越來越多的新情況。強力雙因子認證雖然不是新的防御手段�����,但是也可用于防御證書攻擊。
紅色十月事件反映了高級攻擊者的全面和多功能的攻擊特性�����,突顯出調整安全計劃對于防御這些攻擊的重要���。和其他成功攻擊類似�,攻擊者會在將來的攻擊中使用紅色十月的方法和概念�,即使這些攻擊已經為人所熟知。企業(yè)在未來幾年都需要作好計劃應付像紅色十月這樣有全面特性的攻擊���,因為一些手段不高明的攻擊者仍然會采用這些新的攻擊方式�。企業(yè)應該有序地實施安全措施��,評估他們環(huán)境����,確定需要改進的控制方式,或者實施新的措施防御類似攻擊����。
