亚洲黑客组织盯紧中国企业 利用小小视频攻陷高管

早在圣诞节前夕,Adobe 公司宣布对旗下 Flash 播放器的多个漏洞进行了修复,但该事件没有随着漏洞的修复而结束,而是引起了国内安全公司的重(实力)视(秀)。经调(扒) 查(皮),其中一个漏洞已经被他人“利用”过。其代号:8651。

Adobe 安全响应中心公告

Adobe 官方安全公告中,值得注意的是:该漏洞已经被用于针对(英)性(文)的(写)

定(的)向(啥)攻击。 亚洲黑客组织被国内威胁情报机构捕获:

国内首个专以安全威胁情报(Threat Intelligence)为中心的创业公司——微步在线 (ThreatBook)通过对多宗活跃 APT 威胁事件的跟踪及对 CVE-2015-8651 攻击的分析, 确定了攻击流及攻击者身份。

通过对捕获的可疑 SWF 文件进行分析,确认此样本利用了 Adobe Flash 整数溢出漏 洞 (即此次 Adobe 修复的 CVE-2015-8651 漏洞),其特点和暗黑客栈(Darkhotel)有着 非常惊人的雷同。

攻击方式:此word文档内附带一个链接,该链接指向一段Flash视频,在攻击目标观看 视频时,攻击者利用Flash播放器漏洞自动向电脑里植入木马。

经过对POC的深入分析了解到,黑客对攻击对象非常熟悉,文档的内容和逻辑也伪造的 合情合理,很容易让攻击对象做出打开文末链接的举动。

本次事件的锁定对象并非一般个人,而是特定的公司或组织成员。因此,受窃信息也并 非一般网络钓鱼所窃取的个人资料,而是具有高度敏感性的资料,如智慧财产权及商业机密 等。这种攻击模式就是所谓的鱼叉式网络钓鱼攻击。

通过对木马样本进行分析,可以发现此次攻击手段有如下高深之处(微步在线提供技术分析支持):

· 此木马会对电脑上的所有杀毒软件做详尽排查。从逆向生成的代码分析,此木马内 含有一份包括国内外近百个主流杀毒软件的名单。如果检测到了名单上的任何一 个杀毒软件,木马都会选择蛰伏,不会主动进行攻击。

· 此木马会对运行环境进行“沙箱测试”。所谓沙箱,就是安全软件在面对可疑文件 时,为了辨别文件是否含有木马病毒,而模拟出一个对可疑文件进行隔离测试的 运行环境。该木马一旦发现自己运行在沙箱之中,就不会再进行任何攻击动作。

· 此木马的攻击行为调用了微软1999年引入的一个极其冷门的HTA格式文件。从这 一点上可以看出,木马的制作者对于微软系统做过非常深入的分析。

前方高能:

通过对这个样本文件的关联分析,锁定到该团伙正是在亚洲活跃了九年的著名境外黑客 组织。这个组织曾被卡巴斯基的研究员命名为 DarkHotel(暗黑客栈)。(看见暗黑二字,让 我联想到去年比较火的太监连载:暗战-数字世界黑白之战)。可以基本确定,该组织最迟从 2007 年开始逐渐活跃,采用多种老练的手段以及行人追踪技术引诱受害者上钩。他们进攻的主要目标都集中在亚洲,而且以中国为主,并零星分布在日本和东南亚。此次 DarkHotel 发起的威胁攻击从 2015 年 12 月 24 日开始一直持续到现在,被攻击的国家和地区包括: 中国、俄罗斯和朝鲜。

攻击还在持续:

虽然国内安全公司已发布了通告,Adobe 也发布了安全补丁,但通过微步在线的最新 威胁情报表明,2016 年 1 月 4 日又有中国企业被攻陷。说明了这种手法极其隐秘,并且充 分利用了人性的特点。

仅从本次攻击来看,他们的目标非常明确——中国企业。通过对比以往的资料可以看 出,他们有可能一直在攻击中国企业,并且截止到 1 月 13 日,部分样本已经可以被少部分 安全厂商查杀,但依然有一些样本至今不能被检出。

黑客组织很走心:

从背景上分析,虽然历次攻击都是针对商业公司,但本次攻击中所采用的 Flash 播放器 0day 漏洞在市场上的价格大约为 20-60 万人民币。如果这个漏洞是 DarkHotel 自己挖掘 的,那么他们需要有相当强的技术实力。如果这个漏洞是他们购买得来的,则需要雄厚的资 金实力。微步在线的安全分析师判断,想要做到 DarkHotel 的成绩,至少需要数百万的资 金投入。

情报驱动,马上行动:

针对本次事件的特殊性,微步在线(ThreatBook)已经第一时间向公司客户及国内安全 企业分享了本次事件相关信息。现阶段,面对越来越高级别的攻击行为,国内企业不仅需要 做好基础防护,更需要做到快速发现威胁和迅速响应,才能防患于未然。威胁情报是当前各 种安全能力的核心,可以帮助企业更好的预测、发现、分析、处理面临的最新威胁,做到“知 己知彼”。微步在线(ThreatBook)正是致力于威胁情报结合大数据、可视化等技术,使客 户能够更好的应对高级威胁,提高事件处理能力。

微步在线所提供的独特的基于 SaaS 的安全技术和服务即可帮助用户准确、快速、低成 本的实现全面的威胁检测,是用户原有安全防御体系的有力补充,同时抵御了具有中国互联 网特殊性的网络侵害行为。

旗下产品威胁分析平台(VirusBook.cn),是基于多引擎的在线文件与域名分析服务,能 够提供跨平台的动态沙箱分析服务,也是在这次事件分析过程中使用到的主要工具。目前, 公司已经和微软、卡巴斯基、百度、腾讯等 20 余家公司形成安全合作伙伴,共同应对网络 威胁。