某機構發現有一個惡意PowerPoint文件,會以郵件附件的形式攻擊用戶。這個文件內嵌一個Flash內容,會利用特定版本Flash Player的漏洞(CVE-2011-0611)將后門程序植入用戶計算機內。
一旦用戶者打開惡意PPT文件,就會觸發Flash內的Shellcode,并利用CVE-2011-0611漏洞展開攻擊,將“Winword.tmp”文件保存到Temp文件夾。同時還會產生一個非惡意的PowerPoint文件“Powerpoint.pps”以蒙騙用戶認為這只是一般的PPT簡報。根據某機構的分析,“Winword.tmp”是一個后門程序,可以連到遠程服務器,并與幕后黑手通訊。此外該程序還可以下載并執行其他惡意軟件,讓受感染系統面臨更可怕的威脅,例如運行進行數據外泄數據竊取的惡意軟件。
某機構將這個惡意PowerPoint文件命名為TROJ_PPDROP.EVL,產生的后門程序命名為BKDR_SIMBOT.EVL。根據報導以及某機構的分析都可以看出,以往的目標攻擊也用過這類惡意軟件。
目前最新的的威脅已經不再只是將惡意軟件偽裝成一般的二進制文件(例如EXE文件),并夾帶到電子郵件中。這些特制的文件可以嵌入到一般常用的PDF、DOC、PPT或XLS文件中。在這種攻擊手法里,用戶往往不會察覺,因為TROJ_PPDROP.EVL也會展示非惡意的PowerPoint文件作為攻擊的煙幕彈。
可靠的漏洞:有效的感染關口
這起案例也顯示出,網絡犯罪份子會不停地利用常見軟件的舊漏洞(例如MS Office或是Flash等),在之前的文章里,我們發現有些已經被上報過的舊軟件漏洞,例如CVE-2010-3333和CVE-2012-0158仍然被攻擊者利用著。這些發現告訴了我們兩件事:首先,可靠漏洞的攻擊碼仍然是有效的網絡犯罪工具;其次,大多數用戶都不會經常給系統安裝最新得升級程序和補丁,而這也解釋了為什么攻擊者可以不斷地利用這些舊的系統漏洞。
某機構會通過某機構云計算安全技術保護用戶,封鎖相關的電子郵件和網址,并且查殺TROJ_PPDROP.EVL和BKDR_SIMBOT.EVL。在這個只要借助簡單的文件即可能導致數據外泄的年代,用戶在打開電子郵件附件的時候一定要非常小心,特別是來自未知發件人的郵件。此外用戶也應該經常更新安全補丁程序,將系統維護在最新狀態。
【安全小貼士】
什么是APT?簡單來說,就是針對特定組織所作的復雜且多方位的網絡攻擊。
認識APT
以往黑客發動的APT攻擊雖然主要以政府為目標,但從2010年開始,越來越多的企業也開始成為黑客鎖定竊取信息情報的受害者,2011年幾個世界性組織就曾在目標攻擊下淪陷,付出了昂貴的代價。RSA和Sony是2011年最大的兩個APT-高級持續性滲透攻擊的目標。另外還有幾個世界性組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的數據,光是完成修復工作就花費了巨資。
APT攻擊的特色:
【鎖定特定目標】針對特定政府或企業,長期進行有計劃、有組織地情報竊取行為,可能持續幾天、幾周、幾個月,甚至更長的時間。
【假冒信件】針對被鎖定對象發送幾可亂真的社會工程學惡意郵件,例如冒充上司的來信,取得在計算機中植入惡意軟件的第一個機會。
【低調且緩慢】為了進行長期潛伏,入侵的惡意軟件往往具有自我隱藏能力,能夠避免被檢測到,并伺機竊取管理者賬號和密碼。
【定制化的惡意組件】攻擊者除了使用現成的惡意軟件外,還會使用專門定制的惡意組件。
【安裝遠程控制工具】攻擊者會建立一個類似殭尸網絡的遠程控制架構,并且攻擊者會定期將有潛在價值的文件副本傳送給命令與控制服務器并進行審查。
【傳送情報】將過濾后的敏感機密數據利用加密方式外傳。
APT高級持續性滲透攻擊可能會持續幾天、幾周、幾個月,甚至更長時間。APT攻擊可以從搜集情報開始,這可能會持續一段時間,其中可能包含技術和人員情報的搜集。情報收集工作可以塑造出后期的攻擊,這可能很快速,或持續一段時間。
例如,試圖竊取商業機密可能需要用幾個月時間研究相關安全協議、應用程序弱點,以及文件位置等信息,但當計劃完成后,只需要一次幾分鐘的運行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功將Rootkit部署到服務器后,攻擊者可能會定期傳送有潛在價值文件的副本到命令與控制服務器并進行審查。
【如何避免APT高級持續性滲透攻擊?】
某機構建議用戶應:
·養成良好的計算機使用習慣,避免打開來路不明的郵件附件文件
·安裝具有信譽的信息安全軟件,并定期進行系統更新與掃毒
另一方面,為預防員工成為黑客攻擊企業內部的跳板,建議企業也應:
·建立早期預警系統,監控可疑訪問及計算機
·布建多層次的信息安全防御機制,以獲得縱深防御效果
·對企業內部敏感數據建立監控與訪問政策
·企業內部應定期執行社會工程學攻擊演練
