久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

Buckeye網(wǎng)絡(luò)間諜組織又被稱為APT3、Gothic Panda、UPS Team和 TG-0110，該組織已經(jīng)成立超過(guò)五年，并主要針對(duì)美國(guó)及其他目標(biāo)國(guó)家的企業(yè)組織開(kāi)展攻擊行動(dòng)。但自 2015年6月起， Buckeye似乎逐漸將攻擊重點(diǎn)轉(zhuǎn)向中國(guó)香港的政府機(jī)構(gòu)。2016年3月至今，該組織集中針對(duì)中國(guó)香港的相關(guān)機(jī)構(gòu)進(jìn)行惡意攻擊。最近一次攻擊發(fā)生在8月4日，Buckeye犯罪組織企圖通過(guò)發(fā)送惡意電子郵件至被入侵的目標(biāo)網(wǎng)絡(luò)，以實(shí)現(xiàn)盜取信息的目的。

通過(guò)賽門鐵克與Blue Coat Systems的聯(lián)合威脅情報(bào)服務(wù)，賽門鐵克的安全團(tuán)隊(duì)清晰掌握了Buckeye組織在近幾年的策略演變。這一發(fā)現(xiàn)能夠幫助賽門鐵克進(jìn)一步增強(qiáng)安全防護(hù)功能，并幫助企業(yè)用戶抵御該組織的攻擊活動(dòng)。

背景

在 2009 年，賽門鐵克已發(fā)現(xiàn)Buckeye針對(duì)多個(gè)地區(qū)的多家機(jī)構(gòu)展開(kāi)攻擊。Buckeye 曾通過(guò)遠(yuǎn)程訪問(wèn)木馬(Backdoor.Pirpi)對(duì)一家美國(guó)機(jī)構(gòu)的網(wǎng)絡(luò)展開(kāi)攻擊。該犯罪組織通過(guò)附帶Backdoor.Pirpi或鏈接的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件對(duì)目標(biāo)進(jìn)行攻擊。如今，賽門鐵克已經(jīng)識(shí)別出該組織所使用的其他黑客工具。

過(guò)去，Buckeye組織因利用零日漏洞進(jìn)行攻擊而臭名昭著，包括在2010年攻擊中使用的CVE-2010-3962和在2014 年使用的CVE-2014-1776。盡管Buckeye利用其他零日漏洞進(jìn)行的攻擊也被發(fā)現(xiàn)，但這些攻擊活動(dòng)并未得到賽門鐵克的證實(shí)。賽門鐵克安全人員表示，所有已知的或疑似被Buckeye組織利用的零日漏洞均來(lái)自Internet Explorer和Flash。

攻擊重心轉(zhuǎn)變

2015年8月起，賽門鐵克遙測(cè)技術(shù)發(fā)現(xiàn)中國(guó)香港的部分計(jì)算機(jī)感染 Backdoor.Pirpi。2016年3月底至4月初，該惡意程序的感染數(shù)量出現(xiàn)大幅增長(zhǎng)。不僅如此，賽門鐵克同樣在其他調(diào)查中發(fā)現(xiàn)與該惡意程序相關(guān)的惡意軟件樣本，并從而確定該犯罪組織的攻擊目標(biāo)為中國(guó)香港的政府機(jī)構(gòu)。

在近期的部分攻擊中，Buckeye使用帶有惡意壓縮附件(.zip)的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件，這些電子郵件的壓縮文檔附件中包含帶有Microsoft Internet Explorer標(biāo)識(shí)的Windows快捷方式 (.lnk) 文件。受害者一旦點(diǎn)擊該快捷方式，計(jì)算機(jī)將會(huì)下載Backdoor.Pirpi惡意程序，并在受感染的計(jì)算機(jī)中執(zhí)行。

攻擊目標(biāo)

從 2015 年至今，賽門鐵克發(fā)現(xiàn)在不同地區(qū)的大約82家組織機(jī)構(gòu)的網(wǎng)絡(luò)中發(fā)現(xiàn)Buckeye工具，但該現(xiàn)象無(wú)法準(zhǔn)確反映出Buckeye攻擊組織所感興趣的攻擊目標(biāo)。賽門鐵克認(rèn)為，該組織通過(guò)采取“廣撒網(wǎng)” 的方式尋找攻擊目標(biāo)，但只在感興趣的企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)中保持攻擊活躍度。通過(guò)設(shè)定監(jiān)測(cè)指標(biāo)和深入觀察，例如：Buckeye對(duì)某機(jī)構(gòu)保持攻擊活躍度超過(guò)1天、部署額外工具，針對(duì)多臺(tái)計(jì)算機(jī)進(jìn)行病毒傳播等，賽門鐵克發(fā)現(xiàn)Buckeye的攻擊目標(biāo)主要針對(duì)中國(guó)香港(13)、美國(guó)(3)和英國(guó)(1)的17 家組織機(jī)構(gòu)。

圖1. Buckeye感興趣的攻擊對(duì)象地區(qū)分布( 2015 年至今)

賽門鐵克的監(jiān)測(cè)數(shù)據(jù)從2015年開(kāi)始統(tǒng)計(jì)，但值得注意的是，在 2016 年 3 月，針對(duì)中國(guó)香港的攻擊比例出現(xiàn)大幅增長(zhǎng)。2015年中期之前，Buckeye的傳統(tǒng)攻擊目標(biāo)主要為不同類型的美國(guó)和英國(guó)組織機(jī)構(gòu)。而在2015年6月，Buckeye的攻擊目標(biāo)發(fā)生巨大轉(zhuǎn)變，開(kāi)始攻擊中國(guó)香港，并逐漸停止對(duì)英國(guó)和美國(guó)的攻擊。

圖2.在不同時(shí)期及不同地區(qū)中，Buckeye攻擊目標(biāo)分布圖

惡意軟件和黑客工具

Buckeye攻擊組織采用多種黑客工具和惡意軟件進(jìn)行攻擊，其中，許多黑客工具為開(kāi)源應(yīng)用。此外，為了躲避檢測(cè)，Buckeye對(duì)這些工具還進(jìn)行了一定程度的修補(bǔ)或調(diào)整。

Buckeye通過(guò)使用遠(yuǎn)程訪問(wèn)木馬Backdoor.Pirpi，來(lái)讀取、寫(xiě)入和執(zhí)行文件與程序，以及收集攻擊目標(biāo)的本地網(wǎng)絡(luò)信息，包括域控制器和工作站等。

Buckeye所采用的黑客工具包括：

Keylogger：Keylogger(鍵盤記錄器)可通過(guò)使用命令行參數(shù)網(wǎng)絡(luò)服務(wù)、替換、安裝、注銷進(jìn)行配置。這些參數(shù)可以作為服務(wù)被安裝，然后Keylogger開(kāi)始記錄如thumbcach_96.dbx等加密文件的擊鍵次數(shù)。該工具將記錄如thumbcach_96.dbx等加密文件的鍵盤輸入信息。此外，Keylogger還能夠收集MAC地址、IP 地址、WINS、DHCP服務(wù)器和網(wǎng)關(guān)等網(wǎng)絡(luò)信息。

RemoteCMD：RemoteCMD工具類似于PsExec工具，主要用于在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行命令。用法為：%s shareIp domain[USER INFORMATION|[USER NAME AND PASSWORD]] [/run:[COMMAND]]，能夠傳遞的命令包括上傳、下載、服務(wù)(創(chuàng)建、刪除、開(kāi)始、停止)、刪除、重命名和 AT。

PwDumpVariant：RemoteCMD工具可以導(dǎo)入lsremora.dll(通常攻擊者將其作為工具箱的一部分一同下載)，并使用GetHash導(dǎo)出DLL文件。該工具可在執(zhí)行過(guò)程中，將自身注入到 lsass.exe中，并通過(guò)參數(shù)“dig”觸發(fā)。

OSinfo：OSInfo是一種通用系統(tǒng)信息收集工具。它具有以下命令行參數(shù)幫助指令：

info [options]

[options]:

-d域

-o操作系統(tǒng)信息

-t任務(wù)信息

-n網(wǎng)絡(luò)使用信息

-s分享信息和目錄

-c連接測(cè)試

-a局部和全局組用戶信息

-l局部組用戶信息

-g全局組用戶信息

-ga組管理員

-gp組高級(jí)用戶

-gd組域管理員

-f //輸入文件中的服務(wù)器列表，一行一臺(tái)服務(wù)器

info <\\server>

ChromePass：一種來(lái)自NirSoft的工具，可用于恢復(fù)保存在Chrome瀏覽器中的密碼。

Lazagne：一種編譯的Python工具，可從安裝在本地的多個(gè)應(yīng)用類別中提取密碼，例如，Web瀏覽器。這些應(yīng)用類別包括：聊天、Svn(一種版本管理工具)、無(wú)線網(wǎng)絡(luò)、電子郵件、Windows、數(shù)據(jù)庫(kù)、系統(tǒng)管理和瀏覽器。

Buckeye似乎將文件和打印服務(wù)器作為主要攻擊目標(biāo)，因此，賽門鐵克認(rèn)為該組織的目的很有可能是盜取文件。結(jié)合該組織在過(guò)去利用的零日漏洞、定制工具以及攻擊目標(biāo)的組織類型等因素，這表明Buckeye是一家擁有國(guó)家支持背景的網(wǎng)絡(luò)間諜組織。

賽門鐵克安全防護(hù)

賽門鐵克和諾頓產(chǎn)品可通過(guò)檢測(cè)以下惡意軟件，幫助用戶抵御該網(wǎng)絡(luò)間諜組織的攻擊行為：

防病毒程序

·Backdoor.Pirpi

·Backdoor.Pirpi!dr

·Backdoor.Pirpi!gen1

·Backdoor.Pirpi!gen2

·Backdoor.Pirpi!gen3

·Backdoor.Pirpi!gen4

·Backdoor.Pirpi.A

·Backdoor.Pirpi.B

·Backdoor.Pirpi.C

·Backdoor.Pirpi.D

·Downloader.Pirpi

·Downloader.Pirpi!g1

入侵預(yù)防系統(tǒng)

·System Infected: Backdoor.Pirpi Activity 3

###

關(guān)于賽門鐵克：

賽門鐵克公司(納斯達(dá)克：SYMC)是全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)廠商。擁有全球最大的數(shù)據(jù)智能網(wǎng)絡(luò)之一，能夠監(jiān)測(cè)全球更多網(wǎng)絡(luò)威脅，保護(hù)更多客戶從容應(yīng)對(duì)下一代網(wǎng)絡(luò)威脅。賽門鐵克公司旨在為個(gè)人、企業(yè)和政府機(jī)構(gòu)的重要數(shù)據(jù)提供全面的安全保護(hù)。

歡迎登錄賽門鐵克新浪微博：@賽門鐵克官方微博 ，賽門鐵克官方微信賬號(hào)：賽門鐵克數(shù)據(jù)安全與防護(hù)，參與實(shí)時(shí)互動(dòng)溝通：http://www.weibo.com/symantecchina