61个国家的1465台电脑遭遇持续渗透性攻击
2011-10-09 15:54
393 查看
作者:趋势科技资深威胁研究员
David Sancho 与 Nart Villeneuve
趋势科技发现了一个正在进行中的高级持续性渗透攻击(APT),可将其称之为“LURID”。该攻击已经成功入侵了位于61个不同国家和地区的1465台电脑。趋势科技已经从中确定了47个受害者,包括外交单位、政府部门,甚至与太空工程有关的政府机构和公司,以及研究机构。
受害最深的国家是俄罗斯、哈萨克斯坦、越南,以及其他一些国家,其中以独联体国家居多。
这次特殊的APT攻击事件包括超过300次恶意的目标攻击,攻击者在攻击用的恶意软件中嵌入了一个独特的识别特征以供监视。趋势科技对于这次攻击事件的分析显示,攻击者所选择的对象具有特定的地域性,也是针对某些特定的团体。总的来说,攻击者通过一个命令和控制殭尸网络,用了15个域名和10个活跃的IP位址,以确保能持久控制这个由1465个受害者组成的殭尸网络。
“Lurid Downloader”通常也被称为“Enfal”,是一个众所周知的恶意软件家族,不过它并不是一般网络犯罪分子可以买得到的犯罪工具包。这个恶意软件家族在过去曾被用来针对美国政府机构和非政府组织发动攻击。然而现在这次特殊的攻击网络似乎和过去的攻击活动之间没有直接关系。
APT越来越频繁。目标通常会收到一封电子邮件,诱导他打开附件。这个由攻击者添加的附件内嵌入了恶意程序代码,可以攻击常用软件的漏洞,例如Adobe Reader(PDF)和微软Office(DOC)。
这些漏洞攻击的目的是偷偷地在目标电脑上执行恶意软件,这样就可以让攻击者获得电脑控制权,并访问数据。随后攻击者可能会入侵目标所处的整个网络,而且通常可以长时间地控制受害者电脑。最终,攻击者会找到并且取得受害者所处网络内部的敏感数据。
解析攻击
高级:这是一个正在进行的连续目标攻击,会使用各种针对Adobe Reader漏洞的恶意程序代码,包括CVE- 2009 - 4324,CVE -2010 - 2883,以及利用RAR压缩文件夹带恶意的屏幕保护程序。
除了攻击进入的手段外,“LURID”恶意软件会在受害者的电脑上执行,并连接到命令和控制服务器。攻击者并不总是利用零时差弱点攻击,很多时候往往会利用旧的、可靠的漏洞。而保留零时差弱点攻击则可以针对那些进行定时更新与强化的目标。当我们找出那些被用在零时差弱点攻击的样本后,攻击者在这些攻击活动中用来做识别的特征就可以当作指标了。
持续性:在趋势科技的研究中,我们发现恶意软件用了两种不同的持续性设计。其中一个版本会将自己安装成Windows服务,以确保持续性;另外一个版本则会将自己复制到系统文件夹,并且将一般的启动程序文件夹变成它所建立的文件夹。接着会将所有常用的自动启动项目和恶意程序本身复制到启动文件夹,以确保自动运行。此外,我们已经可以将恶意软件和受害者根据事件组织到一起(恶意软件进行通讯时会带有一定特征,就跟宣传活动一样),这样就可以追踪到是谁被哪个恶意软件给感染了。
威胁:恶意软件从被感染的电脑上收集数据,并通过HTTP POST发送给控制服务器。通过与控制服务器进行通讯,攻击者能够给被感染的电脑发出各种命令。这些命令使得攻击者可以发送和接收文件,或是启动受害系统的远程命令行窗口。攻击者通常会从被害电脑中列出目录清单,并窃取数据(例如特定的XLS文件)。趋势科技的研究人员已经取得了一些指令,但没有获得实际文件内容。
从命令服务器所取得的数据来看,趋势科技可以确认以下信息:
1465台不同主机(命令服务器上所储存的主机名称+MAC地址)
2272个不同的外部IP地址
前10个受害国家(根据2272个IP地址确定):
和以往一样,很难确定谁是这一连串攻击背后真正的黑手。因为许多信息都很容易被假造,例如IP地址和域名的注册资料。这主要是为了误导研究人员相信这些攻击应该由某个特定团体负责。
虽然趋势科技的研究没有显示出这次攻击的目标是针对哪些信息,但我们能确定的是,在某些情况下,攻击者试图窃取特定的文件数据和电子表格。
通过揭露“Lurid”网络,趋势科技希望能让大家了解这类攻击的程度和频率,以及传统防御措施面对目标攻击时所遇到的挑战。
了解恶意软件的目标攻击如何运作,可以有效帮助加强防御策略。包括了解攻击背后的幕后黑手所使用的工具、策略和步骤的发展趋势。通过有效利用来自外部和内部人士所揭露的威胁情报,加上通过信息安全工具进行强化的人为分析,企业可以更好地检测和避免这种针对性攻击所带来的威胁。
若想了解关于这次攻击的更多详细信息,可以参考趋势科技白皮书:TheLURID Downloader。
@原文出处:Trend MicroExposes LURID APT
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载/论坛/分享 http://www.iqushi.com
官方微博—拿礼品/分享最新IT资讯 http://t.sina.com.cn/trendcloud
趋势科技CEO:陈怡桦EvaChen的微博 http://weibo.com/evatrendmicro
David Sancho 与 Nart Villeneuve
趋势科技发现了一个正在进行中的高级持续性渗透攻击(APT),可将其称之为“LURID”。该攻击已经成功入侵了位于61个不同国家和地区的1465台电脑。趋势科技已经从中确定了47个受害者,包括外交单位、政府部门,甚至与太空工程有关的政府机构和公司,以及研究机构。
受害最深的国家是俄罗斯、哈萨克斯坦、越南,以及其他一些国家,其中以独联体国家居多。
这次特殊的APT攻击事件包括超过300次恶意的目标攻击,攻击者在攻击用的恶意软件中嵌入了一个独特的识别特征以供监视。趋势科技对于这次攻击事件的分析显示,攻击者所选择的对象具有特定的地域性,也是针对某些特定的团体。总的来说,攻击者通过一个命令和控制殭尸网络,用了15个域名和10个活跃的IP位址,以确保能持久控制这个由1465个受害者组成的殭尸网络。
“Lurid Downloader”通常也被称为“Enfal”,是一个众所周知的恶意软件家族,不过它并不是一般网络犯罪分子可以买得到的犯罪工具包。这个恶意软件家族在过去曾被用来针对美国政府机构和非政府组织发动攻击。然而现在这次特殊的攻击网络似乎和过去的攻击活动之间没有直接关系。
APT越来越频繁。目标通常会收到一封电子邮件,诱导他打开附件。这个由攻击者添加的附件内嵌入了恶意程序代码,可以攻击常用软件的漏洞,例如Adobe Reader(PDF)和微软Office(DOC)。
这些漏洞攻击的目的是偷偷地在目标电脑上执行恶意软件,这样就可以让攻击者获得电脑控制权,并访问数据。随后攻击者可能会入侵目标所处的整个网络,而且通常可以长时间地控制受害者电脑。最终,攻击者会找到并且取得受害者所处网络内部的敏感数据。
解析攻击
高级:这是一个正在进行的连续目标攻击,会使用各种针对Adobe Reader漏洞的恶意程序代码,包括CVE- 2009 - 4324,CVE -2010 - 2883,以及利用RAR压缩文件夹带恶意的屏幕保护程序。
除了攻击进入的手段外,“LURID”恶意软件会在受害者的电脑上执行,并连接到命令和控制服务器。攻击者并不总是利用零时差弱点攻击,很多时候往往会利用旧的、可靠的漏洞。而保留零时差弱点攻击则可以针对那些进行定时更新与强化的目标。当我们找出那些被用在零时差弱点攻击的样本后,攻击者在这些攻击活动中用来做识别的特征就可以当作指标了。
持续性:在趋势科技的研究中,我们发现恶意软件用了两种不同的持续性设计。其中一个版本会将自己安装成Windows服务,以确保持续性;另外一个版本则会将自己复制到系统文件夹,并且将一般的启动程序文件夹变成它所建立的文件夹。接着会将所有常用的自动启动项目和恶意程序本身复制到启动文件夹,以确保自动运行。此外,我们已经可以将恶意软件和受害者根据事件组织到一起(恶意软件进行通讯时会带有一定特征,就跟宣传活动一样),这样就可以追踪到是谁被哪个恶意软件给感染了。
威胁:恶意软件从被感染的电脑上收集数据,并通过HTTP POST发送给控制服务器。通过与控制服务器进行通讯,攻击者能够给被感染的电脑发出各种命令。这些命令使得攻击者可以发送和接收文件,或是启动受害系统的远程命令行窗口。攻击者通常会从被害电脑中列出目录清单,并窃取数据(例如特定的XLS文件)。趋势科技的研究人员已经取得了一些指令,但没有获得实际文件内容。
从命令服务器所取得的数据来看,趋势科技可以确认以下信息:
1465台不同主机(命令服务器上所储存的主机名称+MAC地址)
2272个不同的外部IP地址
前10个受害国家(根据2272个IP地址确定):
| 俄罗斯 | 1063 |
| 哈萨克斯坦 | 325 |
| 乌克兰 | 102 |
| 越南 | 93 |
| 乌兹别克斯坦 | 88 |
| 白俄罗斯 | 67 |
| 印度 | 66 |
| 吉尔吉斯斯坦 | 49 |
| 蒙古 | 42 |
| 中国 | 39 |
虽然趋势科技的研究没有显示出这次攻击的目标是针对哪些信息,但我们能确定的是,在某些情况下,攻击者试图窃取特定的文件数据和电子表格。
通过揭露“Lurid”网络,趋势科技希望能让大家了解这类攻击的程度和频率,以及传统防御措施面对目标攻击时所遇到的挑战。
了解恶意软件的目标攻击如何运作,可以有效帮助加强防御策略。包括了解攻击背后的幕后黑手所使用的工具、策略和步骤的发展趋势。通过有效利用来自外部和内部人士所揭露的威胁情报,加上通过信息安全工具进行强化的人为分析,企业可以更好地检测和避免这种针对性攻击所带来的威胁。
若想了解关于这次攻击的更多详细信息,可以参考趋势科技白皮书:TheLURID Downloader。
@原文出处:Trend MicroExposes LURID APT
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载/论坛/分享 http://www.iqushi.com
官方微博—拿礼品/分享最新IT资讯 http://t.sina.com.cn/trendcloud
趋势科技CEO:陈怡桦EvaChen的微博 http://weibo.com/evatrendmicro
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 就在刚刚,全球爆发电脑勒索病毒,攻击仍在持续...
- 最近,WannaCry勒索病毒肆虐全球,不少重要机构和企业的电脑纷纷中招,互联网上再次掀起关于网络安全的讨论。如今互联网技术发展飞速,随之而来的网络安全问题也越来越严重,其中网站遭遇流量攻击是比较突出
- FTP服务遭遇口令穷举法攻击
- 破解电脑相关密码,持续更新
- MAC本遭遇ARP攻击的处理办法
- 上网本遭遇“超级本”和平板电脑双重挤压
- 日本内阁遭遇五万封“中文神秘邮件”攻击
- 当在SCOM 2007 SP1环境下遭遇SQLSERVER进程持续占用CPU 100%的解决办法
- 如何做你自己的电脑实时监控攻击图
- 周一遭遇战,虚拟主机遭遇arp攻击,个人空间遭遇盗链
- 你的大数据安全么?“Hadoop集群遭遇勒索软件攻击 ”
- 防范自己电脑被别人攻击基础设置
- 遭遇网页挂马(再续)-- 监测到攻击方法了!
- 笔记本电脑的持续数据保护
- 电脑遭到TCP数据包攻击怎么办(一)
- 赛门铁克:2009年75%的企业遭遇过网络攻击
- 安全厂商:至少100家企业遭遇谷歌同样攻击
- Win10正式发布 190个国家和地区免费升级或购买预装电脑获取
- 攻击者试图使用虚假的苹果号码来攻击MAC电脑
- 前端攻击整理——持续更新