“爆炸雪松”攻擊全球國防、電信等機(jī)構(gòu) 被發(fā)現(xiàn)后自毀

責(zé)任編輯:editor005

2015-04-03 14:57:25

摘自:安全牛

過去兩年來,一個疑似來自黎巴嫩的網(wǎng)絡(luò)間諜小組黑掉了數(shù)百個國防供應(yīng)商、電信運(yùn)營商、傳媒以及教育組織,范圍超過10個國家。研究者在黎巴嫩發(fā)現(xiàn)了大量的受害者,但他們在以色列、土耳其、英國、日本、美國和其它國家也都找到了被入侵的機(jī)構(gòu)。

過去兩年來,一個疑似來自黎巴嫩的網(wǎng)絡(luò)間諜小組黑掉了數(shù)百個國防供應(yīng)商、電信運(yùn)營商、傳媒以及教育組織,范圍超過10個國家。

Check Point軟件技術(shù)公司的研究人員發(fā)現(xiàn)了這一系列仍在持續(xù)的攻擊,他們將攻擊行動稱之為“爆炸雪松”(Volatile Cedar,黎巴嫩有雪松之國的稱謂)。最初跡象可以追溯到2012年,但該間諜組織一直在小心地調(diào)整他們的入侵工具以避免被殺毒軟件檢出,因此直到今天才被發(fā)現(xiàn)。

“爆炸雪松”攻擊全球國防、電信等機(jī)構(gòu) 被發(fā)現(xiàn)后自毀

不像大多數(shù)網(wǎng)絡(luò)間諜組織,爆炸雪松不使用魚叉式網(wǎng)絡(luò)釣魚或網(wǎng)站掛馬下載,他們的目標(biāo)是網(wǎng)站服務(wù)器,并將其作為攻擊的入口點(diǎn)。

Check Point周二發(fā)布的詳細(xì)報告稱,攻擊者使用自動漏洞掃描器配合一些手動方式來尋找網(wǎng)站和網(wǎng)頁應(yīng)用中的漏洞,之后實(shí)施入侵。這些漏洞被用于對目標(biāo)Web服務(wù)器安裝后門程序(Web shell)。

如果被入侵的服務(wù)器運(yùn)行微軟的IIS Web服務(wù)器軟件,攻擊者就使用自身權(quán)限來安裝一個定制的Windows木馬程序:炸藥(Explosive)。該程序有鍵盤記錄和其它信息竊取能力,也是該黑客組織的主要惡意工具。他們通過炸藥來從被感染的服務(wù)器提取信息,包括管理員鍵入的密碼。該木馬程序也被用來感染目標(biāo)域中的其它服務(wù)器。其最新版本包含了感染U盤擴(kuò)散的能力。

在受害服務(wù)器中發(fā)現(xiàn)了一些定制端口掃描器和其它工具的殘留,研究人員據(jù)此相信攻擊者是使用最初感染的服務(wù)器作為入口,以入侵整個網(wǎng)絡(luò)。

研究人員已經(jīng)確認(rèn),炸藥木馬的三個主要版本在過去兩年時間里被反復(fù)使用。通常情況下,如果攻擊者發(fā)現(xiàn)老版本已經(jīng)被反病毒程序檢測到,就會發(fā)布新的版本。在大多數(shù)情況下,這樣的檢測事件是意外發(fā)生的,通常是由于殺毒軟件積極的啟發(fā)式掃描,而不是手動檢測。

有充分的證據(jù)表明,爆炸雪松竭盡全力讓自己的惡意入侵行為隱藏起來。他們會定期確認(rèn)反病毒檢測結(jié)果,并相應(yīng)地更新受害服務(wù)器上的木馬版本。

他們用到的惡意程序會監(jiān)控自身的內(nèi)存消耗情況,以確認(rèn)其不會達(dá)到某個引起懷疑的特定閾值;而且,它在不對外界發(fā)起通信的時段內(nèi)會進(jìn)入“無線電靜默狀態(tài)”。這些時段在每個入侵案例中都不同,是在配置文件中預(yù)置好的。

炸藥木馬同樣也會定期檢查和幕后操控服務(wù)器的通信狀況,以確認(rèn)繼續(xù)運(yùn)行是否安全。所有的通訊都偽裝成了隨機(jī)網(wǎng)絡(luò)流量,看起來并沒有和幕后服務(wù)器直接聯(lián)絡(luò)。該木馬會和硬編碼服務(wù)器與動態(tài)更新服務(wù)器進(jìn)行通訊,如果通訊失敗,它就使用域名生成算法找到新的服務(wù)器目標(biāo)。

研究人員表示,盡管炸藥木馬只能安裝在Windows服務(wù)器上,攻擊者同樣入侵了Linux服務(wù)器,并安裝了Web殼。在此過程中沒有發(fā)現(xiàn)使用零日漏洞的跡象,但其可能性不能完全排除。

研究者在黎巴嫩發(fā)現(xiàn)了大量的受害者,但他們在以色列、土耳其、英國、日本、美國和其它國家也都找到了被入侵的機(jī)構(gòu)。

研究人員表示,有數(shù)百個受害者,但是其具體數(shù)量和地理位置還不能公布,因?yàn)檫@部分?jǐn)?shù)據(jù)還在收集中。Check Point準(zhǔn)備近日發(fā)布一份后續(xù)報告,其中將披露更多信息。

至于攻擊來源,幕后服務(wù)器地址、域名whois記錄和其它技術(shù)證據(jù)表明攻擊者位于黎巴嫩。攻擊的老練程度顯示他們有可能由國家或政治集團(tuán)贊助,不過大量的受害者人數(shù)也可能表明這些攻擊屬于國內(nèi)間諜活動。這意味著這些行動可能不是由黎巴嫩當(dāng)局支持的。

對網(wǎng)絡(luò)攻擊進(jìn)行溯源總是很困難的,而且存在誤差。黎巴嫩這個攻擊來源也可能只是攻擊者故意偽造的而已。

可以肯定,這些攻擊不是無序行為。因?yàn)檫@些攻擊活動屬于該組織的日常工作。雖然他們并不像NSA那樣老練,但也有很好的持久性和行動紀(jì)律。而且,類似于炸彈木馬這種完全定制的惡意程序并不常見。

幾天前,爆炸雪松已經(jīng)對Check Point開展的信息共享策略作出了反應(yīng),他們發(fā)出了自毀命令,以消除所有被感染系統(tǒng)上的惡意軟件,斷絕其和幕后服務(wù)器的通信。

原文地址:http://www.aqniu.com/threat-alert/7208.html

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號