【连载】2016年中国网络空间安全年报(七)

2016年中国网络空间安全年报

4. 网络空间中的APT威胁分析

美国FireEye火眼公司曾发布2013年度APT攻击报告(Advanced Threat Report),在每天分析100个安全攻击事件的基础上,对159个与APT相关的恶意软件家族进行整理,在几乎世界上的每个角落都发现过恶意软件的服务器,并且攻击行为愈演愈烈。

下文从安恒APT云端的海量攻击样本中,对APT的攻击特点与事件进行分析,其中木马程序成为了APT攻击常用工具,黑客通常采用恶意木马进行终端信息搜集与回联控制,为了深入说明APT攻击的典型行为,下文从互联网、金融行业、政府行业与教育行业中选取了典型攻击事例进行分析,可了解各行业面临的APT攻击共性与差异点。

4.1. APT攻击特点分析

APT(高级持续性威胁)的特点主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的情报收集,典型的攻击过程与途径如下所示:

  • APT的攻击过程如下:

图 4-1 典型APT攻击过程

  • APT攻击的典型途径如下:

图 4-2 APT攻击典型途径

4.1.1. 攻击样本以木马程序为主

当前APT攻击主要是利用恶意代码作为攻击载体,根据在安恒APT云端统计到的数万次恶意代码的攻击中,利用木马程序进行攻击的方式占比达到66%,明确是以建立C&C回传通道为目标,攻击过程中采用方式结合了邮件社工、已知漏洞利用、0DAY攻击等多种方式。

图 4-3 恶意代码占比

其中木马程序的类型有Backdoor,Trojan,RootKit,Packed,Exploit等类型,分别占比情况如下:

图 4-4 木马程序分类

4.1.2. 木马程序主要恶意行为TOP10

通过沙箱分析技术对恶意代码的行为进行分析,发现恶意木马程序的行为通常以收集计算机信息、从资源段释放文件并运行、创建网络套接字连接、枚举局域网资源,用于收集信息等恶意行为为主,主要包含恶意行为TOP10如下:

图 4-5 典型恶意行为 TOP10

4.2. 各行业均有出现APT针对性攻击事件

安恒通过APT云端对持续一年的对各种恶意代码传播行为监控,发现了大量的具有“针对性的”高级威胁,这些威胁往往都具有明确的目标指向,在发起攻击时采用了复杂的技术手段,甚至会通过各种渠道收集目标方的内部员工信息,结合社会工程学的方式来增强攻击产生的效果,以下为选取的几起典型的攻击事件分析:

4.2.1. 来自北美的“天猫”APT攻击事件分析

根据安恒APT云端在对来自北美的流量监控的过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为天猫。但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里巴巴,通过对邮箱服务器所属区域分析,发现服务器位于美国。

图 4-6 “天猫”邮件样例

另外,该邮件还附带了一个附件,附件是压缩包格式,里面包含的样本实际类型为exe。

根据APT沙箱分析报告显示,该exe样本的主要行为有:

图 4-7 EXE样本行为

因此,基本判断为恶意附件,且明确为精心构造的结合邮件社工的黑客攻击行为。进一步分析其详细可疑行为,发现其关键目标为建立加密回传通道、收集用户信息、向外发送盗取数据。

根据安恒APT沙箱报告可自动分析其行为过程图:

图 4-8 “天猫”附件样本动态行为过程

其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件。

进一步对其网络行为分析,发现其建立回传通道的关键服务器两个IP分别指向北美地区的墨西哥和中东的阿联酋。

图 4-9 “天猫“附件样本网络行为与进程行为

黑客通过这两个回连服务器,建立控制通道,向外回传数据,因此初步判断其攻击源和回连服务器都指向了北美地区。

事件总结和应对方案

根据安恒APT云端近半年监控到的数据,发现来自同一区域的攻击多达数万次,其最终攻击目的都是以获取权限和控制为主,攻击具有极强的隐蔽性、针对性和持续性,常规基于杀毒软件、防火墙的安全防护能力不再适用,加强预警意识和提高防范能力,尤其是针对邮件威胁的安全预警和防护体系!

4.2.2. 针对金融行业的APT攻击样本分析

Worm.Win32.OnlinePay是一个利用合法程序来加载自身的蠕虫病毒,攻击过程复杂且具有非常强的感染性,在攻击过程中具有明确的指向性,是以银行、在线支付等金融类平台做为攻击目标,一旦攻击成功会快速向局域网其他主机进行传播和感染,危害极大。

它会在被感染的机器上劫持网络支付行为从而盗取用户财产,它能够通过可移动磁盘和局域网进行传播并且具备感染多种类型文件的功能。

Worm.Win32.OnlinePay具备下列功能:

  1. 劫持被感染计算机上的网络支付行为到攻击者指定的第三方平台上购买虚拟财产,它能够劫持用户在下列网上银行的支付行为: · 中国建设银行 · 支付宝支付 · 支付宝快捷支付 · 中国工商银行 · 中国农业银行 · 招商银行 · 兴业银行 · 平安银行 · 中国民生银行 · 中国银行 · 上海浦东发展银行 · 中国光大银行 · 中信银行 · 中国邮政储蓄银行
  2. 回连到指定服务器,从以下服务器下载攻击者指定的文件: · http://1973623265a.jvniu.geshou.org/11.rar · http://1973623265a.jvniu.geshou.org/9.rar · http://1973623265a.jvniu.geshou.org/10.rar · http://www.dy2004.com/msn/mm.exe
  3. 通过可移动磁盘以及局域网进行传播,采用以下传播方式: · 可移动磁盘 · 局域网传播
  4. 感染.exe,.htm,.html,.asp,.aspx,.rar类型的文件,然后再将被感染文件作为载体向外传播。

4.2.3. 针对政府行业的APT攻击样本分析

安恒APT威胁分析设备在某政府用户网络中发现了一个APT攻击样本,这是一个由EncapsulatedPostScript (EPS) filter模块(32bit下模块为EPSIMP32.FLT)中一个User-After-Free漏洞所构造的利用样本。

该样本可在多种环境下触发成功,使攻击成功率大大增强。且该样本中的ROP技巧使用了一种较新的方法,该方法可以绕过EMET等防护软件的检测,攻击具有极强的指向性和隐蔽性,属于典型的针对性的APT攻击。

其漏洞成因及利用分析:

当EPS在处理字典类型(dict)的copy操作时,会将接受拷贝方的键值对条目全部删除,然后再重新分配一个进行数据拷贝(正常情况下在字典拷贝时只对要拷贝的元素进行操作,而不影响其它元素)。

Shellcode的功能主要为释放一个DLL并加载执行。

溢出成功后会释放一个恶意的dll文件。

图 4-10 样本的行为过程

该dll文件在前台打开伪装的原文件名doc,并显示“文件毁损严重无法正常开启”及大量乱码,迷惑用户掩盖入侵痕迹。其实它在后台尝试下载黑客特定的远程后门模块,经过解密和手动内存加载,减少安全软件报警机率及磁盘文件残留。

该后门模块短小精悍,但功能强大。支持IE浏览器注入、HTTP中间人攻击、本地磁盘文件读写操作、键盘记录、屏幕获取、局域网资源操作、网络状态及端口映射、注册表/进程/服务等系统操作、远程shell命令和文件执行、屏幕锁定、重启注销关机、消息框弹窗等黑客指令和模块。

该漏洞及利用样本的威胁程度非常高,可以在多种环境下成功利用,并且其构造的ROP链及shellcode能够绕过多款安全性增强工具的检测。所以需要做好预警和防范工作。

4.2.4. 针对教育行业的黑客攻击事件分析

通过APT产品在对某高校网络流量监控的过程中,发现内网经常莫名出现异常,网络经常性出现短时间瘫痪,官网也时常出现无法访问。该事件引起技术人员的重视,立即安排人员现场进行调查、取证和分析。通过对APT设备日志关联分析,迅速发现内网一台可疑主机192.168.X.X,这个ip会从几个URL地址下载linux的异常流量攻击和控制工具。

图 4-11 可疑外连行为

打开其中一个恶意url:

图 4-12 样本的某外连站点

可以发现大量恶意的程序存在上面,使用IDA打开恶意的json.dll看见大量恶意的指令,可以控制被黑“肉机”发起DDoS攻击,包含应用层和网络层各种DDoS攻击指令。

在浏览器打开该可疑主机 http://192.168.X.X发现是一台网站服务器,基本可以判断是该服务器被入侵,并且已经植入了远程恶意控制程序,已经被控制为“肉机”,会从内部向外发起异常的流量型攻击和资源占用型攻击,在对外部发起攻击的同时也会影响到内网网络设备和防火墙的正常工作。

未完待续

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-01-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏阮一峰的网络日志

根域名的知识

5364
来自专栏FreeBuf

CIA Vault7最新泄露文档:樱花盛开

多份维基解密于2017年6月15日披露的文件显示,CIA早在2006年便开始了一项名为“樱花盛开”(Cherry Blossom)的项目。曝光的文档资料详实,图...

3006
来自专栏硬件

路由器怎么设置网络更好?

家庭网络中的总带机量取决于主路由器的总带机量,无法增加。而单台无线路由器的无线带机量也是有上限的。举个例子:一台普通的600Mbps的无线路由器,总带机量为20...

1861
来自专栏安恒信息

干货分享 | 几种典型勒索病毒事件应对与处置案例

自5月12日“永恒之蓝”勒索病毒大面积扩散以来,安恒信息为保障客户资产安全,对所有客户第一时间提供安全预警;同时加班加点生产200多台明御APT攻击(网络战)预...

3686
来自专栏腾讯云安全的专栏

云服务首要威胁分析:用户如何保护自己的资产?

1884
来自专栏DT数据侠

4500个热门景点数据,告诉你国庆长假的正确打开姿势

国庆出游,确实是个让人头痛的问题。今天这位数据侠,不仅用数据告诉你国庆如何成功避开“people mountain people sea”,还手把手带你用Pyt...

950
来自专栏北京马哥教育

国庆不去哪儿:用python爬虫爬取热门景点并生成热力图

前言:本文建议有一定Python基础和前端(html,js)基础的盆友阅读,零基础可以去看我之前的文。(咳咳,不能总更小白文,这样显得我不(mei)够(you)...

56410
来自专栏信安之路

APT-RAT(Poison ivy ) 攻击模拟及监测口令提取

APT:高级持续性威胁,APT 攻击主要是指针对特定组织、特定领域或个人进行的蓄谋已久的攻击。如:针对一个国家的基础设施的破坏,针对国防、航空航天、医疗、军民融...

1780
来自专栏FreeBuf

WannaMine再升级,摇身一变成为军火商?

WannaMine是个“无文件”僵尸网络,在入侵过程中无任何文件落地,仅仅依靠WMI类属性存储ShellCode,并通过“永恒之蓝”漏洞攻击武器以及“Mimik...

1880
来自专栏FreeBuf

乌克兰电网攻击第二季

一波未平,一波又起。2015年12月23日发生的由木马攻击引起的乌克兰电网电力中断,这是首次由恶意软件攻击导致国家基础设施瘫痪的事件,致使乌克兰城市伊万诺弗兰科...

2015

扫码关注云+社区

领取腾讯云代金券