APT 攻擊雲端化,Blue Coat 發現史上最複雜的多層次惡意行動

作者 | 發布日期 2015 年 03 月 04 日 18:10 | 分類 市場動態 , 網路 , 資訊安全
取自官網

商務保障技術巿場領導廠商 Blue Coat Systems 的資訊安全實驗室發現最新崛起的針對性攻擊行動,主要在取得受害者的電腦存取權後從中竊取機密資訊;由於此惡意程式使用多層次(layers)手法侵入,因此命名為「全面啟動」(Inception)。該行動鎖定的都是高階人士:如石油、金融、工程界的一級主管,及軍官、使館人員或是政府官員。「全面啟動」攻擊起初鎖定俄羅斯或與俄羅斯有利害關係的目標,但之後又將目標擴大到全世界,其感染途徑主要是透過夾帶內含木馬程式文件的網路釣魚信件。



其 Windows 平台的命令與控制(Command & Control)流量間接從瑞典雲端服務空間,利用 WebDAV 協定執行,不僅隱藏攻擊者身分,同時還能繞過現今許多企業採用的偵測機制。此外,攻擊者還加入其他間接層來偽裝身分,例如命令與控制的溝通利用到一些路由器的代理網路(proxy network),而且會先駭入安全設定較為薄弱或使用預設設定的家用路由器。從惡意程式利用多層次的混淆與間接攻擊者之間的控制機制和鎖定的目標等證據來看,顯然「全面啟動」行動的攻擊目的是想要持續潛伏。

它的架構(framework)持續在發展,Blue Coat 資安實驗室發現,攻擊者還為 Android、黑莓(BlackBerry),及 iOS 等行動裝置打造專屬的惡意程式,以蒐集受害者的機密資料;此外似乎還為目標對象設計了多媒體簡訊(MMS)網釣行動。目前為止 Blue Coat 觀察到已被鎖定的全球電信業者就有 60 多家,包括了中國移動、O2、Orange、SingTel、T-Mobile,以及 Vodafone,但實際數字應該會更多。

 

初步發現

2014 年 3 月微軟發布安全警告,豐富文字格式(RTF)的新漏洞,也就是 CVE-2014-1761 已出現攻擊案例。兩個先前的 RTF 漏洞,CVE-2010-3333 與 CVE-2012-0158 也成為被鎖定的主要漏洞。在 8 月底 Blue Coat 資安實驗室發現一間諜活動利用 CVE-2014-1761 及 CVE-2012-0158 漏洞來啟動惡意活動的有效裝載(payload),並以瑞典的 CloudMe 雲端服務做為其可見架構的主要骨幹。

Blue Coat 通知 CloudMe.com 服務被濫用的情況,CloudMe 提供進一步資訊,包括與攻擊有關的大量日誌(log)資訊。但要注意的是,實際上散布惡意內容的並不是 CloudMe,攻擊者只是拿它來存放檔案而已。

 

運作機制

攻擊者將惡意元件嵌入到 RTF 檔案裡,然後利用 RTF 格式的漏洞遠端存取受害者電腦。檔案則是透過 Word 文件附檔以網路釣魚郵件傳送到受害者電腦。

Blue Coat 1

▲ 網釣郵件樣本。

當使用者點選附件時會顯示出一個 Word 文件,讓使用者不會起疑心,無法注意到已有惡意程式偷偷解密並儲存在電腦磁碟裡。和其他許多攻擊行動不一樣的是,所下載的檔案名稱都不一樣,顯然是隨機產生的,可藉以規避檔案名稱的偵測機制。

這個惡意程式會蒐集受感染機器的系統資訊,包括作業系統版本、電腦名稱、使用者名稱、使用者群組成員、正在執行的程序、本機 ID,以及系統磁碟機和容量等資訊。所有的系統資訊都會經由加密後透過 WebDAV 協定傳送到雲端儲存空間。如此的惡意活動架構設計,是為了要確保惡意程式感染系統後能夠透過雲端服務來執行所有的通訊,例如目標的研究、配置更新、惡意程式更新及資料的提取等。

惡意活動的架構元件採用了外掛(plug-in)模型,讓惡意程式能夠利用既存的惡意程式元件與整個框架互動。如果沒有初始的安裝器,後續的各個獨立模組都將無法運作,而且由於全部元件都只存在於記憶體,所以會在重新開機之後消失。

Blue Coat 4

▲ 惡意程式安裝鏈。

攻擊者所展現出的操作,是 Blue Coat 所見過最為先進的。攻擊者與整個基礎設施之間的互動,絕大多數都是透過難以捉摸的路由器代理(router proxies)網路及租用的主機,而且這些路由器代理及租用主機多數似乎都因為安全設定太弱或使用預設的設定而遭受感染。

Blue Coat 2

▲ SOCKSS 圖。

Blue Coat 3

▲ 妥協嵌入設備圖。

以混淆及誤導等手法掩飾攻擊源頭

攻擊者雖然留下一些或許能夠找到其實體位置的可能線索,但又很難鑑別出那一些是有效的線索,那些又是刻意留下來用以混淆其足跡的麵包屑(bread crumbs)。以下所列是已經發現的一些可能指標線索,經研究之後認為很可能藉以找出攻擊源的證據。

  • 攻擊者所用的某些程式碼片斷與先前已知的中國 APT 攻擊裡使用到的部份程式碼相同:推斷與中國有關。
  • 絕大多數被害的家用路由器都位於南韓:推斷與南韓有關。
  • 攻擊者的活動時間多數落在東歐時區的早上 8:00 至 下午5:00:推論與 GMT+200 時區有關。
  • Android 惡意程式的一些註解使用印度文:推論與印度有關。
  • Black Berry 惡意程式中某些字串使用了阿拉伯文:推論可能與中東有關。
  • Black Berry 平台的惡意程式中出現了「God_Save_The_Queen」字串:推論與英國有關。
  • Word 檔和「紅色十月」APT 行動中所用的word檔很像:推論與烏克蘭或俄羅斯有關。
  • iOS 的惡意程式是由署名為 JohnClerk 的人所開發:推論可能與美國或英國有關。
  • iOS 的惡意程式加密金鑰「fjkweyreruu665E62C:GWR34285U^%^#%$%^$RXYEUFQ2H89HCHVERWJFKWEhjvvehhewfD63TDYDGTYEDT23Y」是使用美國國際鍵盤(US/US International)雜湊而成:推論與美國有關。


攻擊目標擴大至行動裝置

攻擊者已經將惡意程式的感染目標擴大到 Android、Black Berry,及 iOS 裝置,這是為了要蒐集受害者包括手機通話記錄在內的一些個人資料。特別是在 Android 平台上,使用者無論是撥、接的所有通話都會被錄成MP4聲音檔案然後定期上傳給攻擊者。

另一方面,還有一些跡象顯示攻擊者同時鎖定一些特定人士進行大規模的 MMS 網釣活動。根據 Blue Coat 研究員所取得的資料,這些可能的受害者使用全球一些行動電信業者的服務,所掌握到的就超過 60 家業者受到影響,但真正的數量應該會更高。這些 MMS 網釣訊息有許多國家的版本,包括亞洲(含俄羅斯及中國)、非洲、中東,及歐洲國家。

 

結論

很顯然的,「全面啟動」行動的背後有強大的資源以及非常專業的組織在支持,並有相當明確的目標企圖,因此將可能造成廣泛的傷害。自動化以及精湛的程式能力、攻擊行動中有效酬載的多層次保護措施,以及混淆攻擊者身分的技法相當進階,種種跡象都可看出整個攻擊框架的複雜程度。

從它的攻擊屬性以及鎖定的都是國家政治、經濟與國防等相關人士為目標對象來看,「全面啟動」行動背後的支持者可能是中型國家或是資源充裕的專業私人企業。

就基礎架構的周詳程度而言,這是一個大型的攻擊活動,目前所見還只是行動的開始。雖然鎖定的目標對象大多數位於俄羅斯或者是與俄羅斯有利害關係的人士,但還有許多來自全世界其他不同國家的對象,而且攻擊行動可能擴大至全球。其攻擊架構是屬通用型,只要依據攻擊目的而稍加修改就可以應用於不同的攻擊行動。


防護建議

受感染的徵兆:

  • 未經授權的 WebDAV 流量。
  • exe 一直出現在處理程序列表中。

避免受到感染的方法:

  • 保持軟體的更新。
  • 手機不要越獄。
  • 不要從非官方來源安裝任何行動應用程式(Apps)。

遭受鎖定的徵兆:

  • 不請自來的郵件內含 rtf 格式檔案。

收到不請自來的信件或 MMS 訊息,並通知應用程式需要更新。

(首圖來源:bluecoat) 

發表迴響