久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

卡巴斯基實驗室(Kaspersky Lab)ICS CERT發(fā)現(xiàn)了一系列帶有惡意附件的網絡釣魚電子郵件，主要針對的是與工業(yè)生產相關的企業(yè)和機構。網絡釣魚電子郵件偽裝成合法的商業(yè)邀請函，主要被發(fā)送給位于俄羅斯的工業(yè)企業(yè)，且每一封電子郵件的內容都與目標收件人所從事的工作有很大的相關性。

根據我們收集到的數(shù)據，這一系列攻擊開始于2017年11月，且目前仍在進行中。值得注意的是，早在2015年就已經有類似攻擊的記錄。

這些攻擊中使用的惡意軟件安裝了合法的遠程管理軟件——TeamViewer或Remote Manipulator System/Remote Utilities(RMS)，這使攻擊者能夠遠程控制受感染的系統(tǒng)。另外，攻擊者還使用了各種技術來掩蓋系統(tǒng)被安裝在系統(tǒng)中的惡意軟件的感染和活動。

根據現(xiàn)有數(shù)據，攻擊者的主要目標是從受害企業(yè)的帳戶中竊取資金。在攻擊者連接到受害者的計算機之后，他們會搜索并分析采購文檔，以及其使用的財務和會計軟件。在此之后，攻擊者會尋找各種方法來實施財務欺詐，例如偽造用于付款的銀行信息。

在感染系統(tǒng)之后，如果攻擊者需要額外的數(shù)據或功能(如權限提升和獲取本地管理員權限、竊取用于財務軟件和服務的用戶身份驗證數(shù)據，或者用于橫向移動的Windows帳戶)，那么他們會將一個額外的惡意軟件集合下載到系統(tǒng)中，且它是專門針對每一位個人受害者的攻擊而量身定制的。這個惡意軟件集合可能包括間諜軟件、擴展攻擊者對受感染系統(tǒng)控制的其他遠程管理工具、用于利用操作系統(tǒng)和應用軟件漏洞的惡意軟件，以及為攻擊者提供Windows帳戶數(shù)據的Mimikatz工具。

攻擊者很顯然是通過分析被攻擊企業(yè)員工的通信來獲取他們進行犯罪活動所需的信息。另外，他們也可以使用這些電子郵件中的信息來準備新的攻擊——針對與當前受害者合作的企業(yè)。除了經濟損失之外，這些攻擊還會導致受害企業(yè)敏感數(shù)據的泄露。

網絡釣魚電子郵件

在大多數(shù)案例中，網絡釣魚電子郵件的內容都與財務相關，其附件的命名也體現(xiàn)了這一點。具體來說，其中一些電子郵件聲稱是由大型工業(yè)企業(yè)所發(fā)出的招標邀請(見下文)。

惡意附件通常會是一個存檔文件。有些電子郵件沒有附件，在這些案例中，電子郵件的正文旨在引誘收件人點擊一個指向外部資源的鏈接，而惡意對象就會從這些資源下載。

以下是針對某些企業(yè)的攻擊中所使用的網絡釣魚電子郵件的示例：

網絡釣魚電子郵件的屏幕截圖

這封電子郵件聲稱自己是由一家知名的工業(yè)企業(yè)發(fā)出的。發(fā)送該電子郵件的服務器的域名與該企業(yè)官方網站的域名確實非常相似。電子郵件附帶有一個受密碼保護的存檔文件，而這個密碼可以在電子郵件的正文中找到。

值得注意的是，攻擊者在電子郵件中使用了該企業(yè)一名員工的全名(出于保密原因，我們對電子郵件的這部分內容進行了屏蔽處理，見上面的屏幕截圖)。這表明攻擊是經過精心準備的，并且攻擊者針對每一名目標收件人都創(chuàng)建了包含與特定企業(yè)相關的詳細信息的個人電子郵件。

作為攻擊的一部分，攻擊者使用了各種技術來掩蓋感染過程。在此類案例中，除惡意軟件組件和遠程管理應用程序之外，Seldon 1.7(用于搜索招標信息的合法軟件)也被安裝在了受感染的系統(tǒng)中。

為了不讓用戶懷疑他們?yōu)槭裁礇]有獲取到在釣魚電子郵件中提到的采購招標信息，惡意程序所安裝的這個Seldon 1.7軟件實質上是一個惡意版本。

合法軟件Seldon 1.7的窗口

在某些案例中，受害者看到的是一個部分損壞的圖像。

由惡意軟件打開的圖像

此外，還存在將一個已知的惡意軟件被偽裝成一份包含銀行轉帳收據的PDF文檔的案例。奇怪的是，收據的確包含有效的數(shù)據。具體來說，它提到了現(xiàn)有公司及其有效的財務細節(jié)，甚至連汽車的VIN碼也與其型號相匹配。

銀行轉帳收據的屏幕截圖

在這些攻擊中使用的惡意軟件安裝了合法的遠程管理軟件——TeamViewer或Remote Manipulator System/Remote Utilities(RMS)。

使用RMS實施的攻擊

有幾種已知的方法可以將惡意軟件安裝到系統(tǒng)中。惡意文件可以通過附加到電子郵件中可執(zhí)行文件運行，也可以通過特制的Windows命令解釋程序運行。

例如，上面提到的存檔文件就包含了一個與其擁有相同名稱的可執(zhí)行文件，并且它是一個受密碼保護的自解壓存檔文件。存檔文件會在提取文件的同時運行一個腳本，用于安裝和啟動系統(tǒng)中的實際惡意軟件。

惡意軟件安裝文件的內容

從上面屏幕截圖中的命令可以看出，在復制文件后，腳本會刪除自身文件，并在系統(tǒng)中啟動合法軟件——Seldon v.1.7和RMS，使攻擊者能夠在用戶不知情的情況下控制受感染的系統(tǒng)。

惡意軟件的文件將被安裝在%AppData%\LocalDataNT folder %AppData%\NTLocalData文件夾或%AppData%\NTLocalAppData文件夾中，這取決于它的版本。

當它啟動時，合法的RMS軟件將加載操作所需的動態(tài)庫(DLL)，包括系統(tǒng)文件winspool.drv，它位于系統(tǒng)文件夾中，用于將文檔發(fā)送到打印機。由于RMS使用其相對路徑不安全地加載庫(供應商已被告知此漏洞)，因此使得攻擊者能夠進行DLL劫持攻擊：他們將惡意庫放置在與RMS可執(zhí)行文件所處的同一個目錄中，從而導致一個惡意軟件組件被加載并獲得控制權，而不是相應的系統(tǒng)庫。

惡意庫會完成惡意軟件的安裝。具體來說，它會創(chuàng)建一個注冊表值，負責在系統(tǒng)啟動時自動運行RMS。值得注意的是，在此次活動的大多數(shù)案例中，注冊表值被放置在RunOnce鍵值中，而不是Run鍵值，這使得惡意軟件僅在下次系統(tǒng)啟動時自動運行。之后，惡意軟件需要再次創(chuàng)建注冊表值。

之所以選擇這種方法，很可能來自于攻擊者想要通過這種方法來掩蓋惡意軟件在系統(tǒng)中的存在。另外，惡意庫還實現(xiàn)了對抗分析和檢測的技術。其中一種技術涉及使用哈希值動態(tài)導入Windows API函數(shù)。通過這種方式，攻擊者就不必將這些函數(shù)的名稱存儲在惡意庫的主體中，這有助于他們對大多數(shù)分析工具隱藏程序的實際功能。

實現(xiàn)動態(tài)導入函數(shù)的惡意代碼段的一部分

惡意動態(tài)庫文件winspool.drv將解密由攻擊者準備的配置文件，其中包含RMS軟件的設置、遠程控制計算機的密碼以及通知攻擊者系統(tǒng)已成功被感染所需的設置。

其中一個配置文件包含了一個電子郵件地址，用于接收有關受感染系統(tǒng)的信息，包括計算機名稱、用戶名、RMS計算機的Internet ID等。其中，Internet ID是在計算機連接到RMS供應商的合法服務器上生成的。這個標識符隨后將用于連接到位于NAT后面的遠程控制系統(tǒng)(在流行的即時消息解決方案中也使用了類似的機制)。

在已發(fā)現(xiàn)的配置文件中找到的電子郵件地址列表將在IoCs部分中提供。

一個RC4的修改版本被用于加密配置文件。上面提到的存檔文件中的配置文件如下所示。

解密后的InternetId.rcfg文件的內容

解密后的notification.rcfg文件的內容

解密后的Options.rcfg文件的內容

解密后的Password.rcfg文件的內容

在完成這些之后，攻擊者就可以使用系統(tǒng)的Internet ID和密碼在用戶不知情的情況下通過合法的RMS服務器使用標準的RMS客戶端來控制整個系統(tǒng)。

使用TeamViewer實施的攻擊

使用合法的TeamViewer軟件實施的攻擊與使用RMS軟件實施的攻擊非常相似，具體如上所述。最顯著的一個區(qū)別特征是，來自受感染系統(tǒng)的信息被發(fā)送到了惡意軟件的命令和控制服務器，而不是攻擊者的電子郵件地址。

與使用RMS一樣，惡意代碼通過將惡意庫替換為系統(tǒng)DLL注入到TeamViewer進程中。在使用TeamViewer的案例中，攻擊者使用了msimg32.dll。

這并非一種專屬戰(zhàn)術，合法的TeamViewer軟件之前曾被用于APT和網絡犯罪攻擊。在使用過這個工具集的組織中，最知名的應該算是TeamSpy Crew。不過，我們認為在本文中描述的攻擊與TeamSpy無關，而是另一個網絡犯罪集團所為。奇怪的是，在分析這些攻擊的過程中被識別出來的用于加密配置文件和解密密碼的算法與去年4月份描述類似攻擊的一篇文章中所公布的算法完全相同。

大家都知道，合法的TeamViewer軟件并不會向用戶隱藏其啟動或操作，尤其是在遠程控制接入的時候會通知用戶?？墒牵粽咝枰谟脩舨恢榈那闆r下獲得對受感染系統(tǒng)的遠程控制。為此，他們掛鉤了幾個Windows API函數(shù)。

攻擊者使用了一種名為“Hooking”的眾所周知的方法來將函數(shù)掛鉤起來。因此，當合法的軟件調用其中一個Windows API函數(shù)時，控制權將被傳遞給惡意DLL，而合法的軟件只會得到一個欺騙性的響應，而不是一個來自操作系統(tǒng)的響應。

Windows API函數(shù)被惡意軟件掛鉤

掛鉤Windows API函數(shù)使攻擊者能夠隱藏TeamViewer的窗口，保護惡意軟件文件不被檢測到，并控制TeamViewer啟動參數(shù)。

啟動后，惡意庫通過執(zhí)行命令“ping 1.1.1.1”來檢查Internet連接是否可用，然后解密惡意程序的配置文件tvr.cfg。該文件包含各種參數(shù)，例如用于遠程控制系統(tǒng)的密碼、攻擊者的命令和控制服務器的URL、在發(fā)送到命令和控制服務器的請求中使用的HTTP標頭的User-Agent字段、用于TeamViewer的VPN參數(shù)等。

解密后的惡意軟件配置文件的內容

與RMS不同地方在于，Team Viewer使用內置VPN遠程控制位于NAT后面的計算機。

與RMS相同的地方在于，相關的值將被添加到RunOnce注冊表鍵值中，以確保惡意軟件在系統(tǒng)啟動時自動運行。

惡意軟件會收集受感染計算機上的數(shù)據，并將其連同遠程管理所需的系統(tǒng)標識符一起發(fā)送到命令和控制服務器。發(fā)送的數(shù)據包括：

操作系統(tǒng)版本

用戶名

計算機名

有關正在運行惡意軟件的用戶權限級別的信息

系統(tǒng)中是否存在麥克風和網絡攝像頭

是否安裝了防病毒軟件或其他安全解決方案，以及UAC級別

惡意軟件會通過以下WQL查詢來獲取有關系統(tǒng)中安裝的安全軟件的信息：

root\SecurityCenter:SELECT*FROMAntiVirusProduct

收集的信息將通過以下POST請求發(fā)送給攻擊者的服務器：

用于向命令和控制服務器發(fā)送加密數(shù)據的POST請求

涉及TeamViewer的攻擊的另一個顯著區(qū)別特征是能夠向受感染的系統(tǒng)發(fā)送命令，并讓它們由惡意軟件執(zhí)行。這些命令通過TeamViewer應用程序中內置的Chat(聊天)模塊從命令和控制服務器發(fā)送命令。當然，聊天窗口會被惡意庫隱藏，且日志文件會被刪除。

被發(fā)送到受感染系統(tǒng)的命令將通過以下指令在Windows命令解釋程序中執(zhí)行：

cmd.exe/cstart/b

參數(shù)“/ b”表示由攻擊者發(fā)送的用于執(zhí)行的命令將在不創(chuàng)建新窗口的情況下運行。

此外，當惡意軟件從攻擊者的服務器接收到對應的命令時，它還會執(zhí)行自毀機制。

其他被使用的惡意軟件

當攻擊者還需要其他數(shù)據(如授權數(shù)據)的時候，他們會將間諜軟件下載到受害者的計算機上，以便收集電子郵箱、網站、SSH/FTP/Telnet客戶端的登錄名和密碼，以及記錄擊鍵和屏幕截圖。

在攻擊者的服務器上安裝并下載到受害者計算機上的其他軟件中，被發(fā)現(xiàn)包含來自以下家庭的惡意軟件：

Babylon RAT

Betabot/Neurevt

AZORult stealer

Hallaj PRO Rat

對于這些木馬而言，它們被下載到受感染系統(tǒng)中，很可能是被用來收集信息和竊取數(shù)據。除了遠程管理之外，這些惡意軟件還包括以下功能：

記錄擊鍵

屏幕截圖

收集系統(tǒng)信息以及與已安裝程序和正在運行的進程有關的信息

下載其他惡意文件

使用計算機作為代理服務器

從流行的程序和瀏覽器中竊取密碼

竊取加密貨幣錢包

竊取Skype消息

進行DDoS攻擊

攔截和欺騙用戶流量

將任意用戶文件發(fā)送到命令和控制服務器

在其他一些案例中，在對受感染系統(tǒng)進行初步分析后，攻擊者會將一個額外的惡意軟件模塊下載到受害者的計算機中。這是一個包含多種惡意和合法程序的自解壓存檔文件，它很可能是針對某些特定系統(tǒng)而額外被下載的。

例如，如果惡意軟件是在沒有本地管理員權限的情況下執(zhí)行的，那么為了繞過Windows用戶帳戶控制(UAC)，攻擊者則會使用上面提到的DLL劫持技術。但在這種情況下，使用的是Windows系統(tǒng)文件%systemdir%\migwiz\migwiz.exe和庫文件cryptbase.dll。

此外，攻擊者在一些系統(tǒng)中還安裝了另一個遠程管理實用程序RemoteUtilities，它提供了比RMS或TeamViewer更強大的功能集來控制受感染的計算機。其功能包括：

遠程控制系統(tǒng)(RDP)

從受感染的系統(tǒng)下載文件或上傳文件到受感染系統(tǒng)

控制受感染系統(tǒng)的電源

遠程管理正在運行的應用程序的進程

遠程shell(命令行)

管理硬件

屏幕截圖和錄制屏幕

通過連接到受感染系統(tǒng)的設備錄制音頻和視頻

遠程管理系統(tǒng)注冊表

攻擊者使用了RemoteUtilities的修改版本，使得他們能夠在用戶不知情的情況下執(zhí)行上述操作。

在某些案例中，除了cryptbase.dll和RemoteUtilities之外，攻擊者還安裝了Mimikatz實用程序。我們認為，如果第一個受感染的系統(tǒng)沒有安裝財務數(shù)據處理軟件，那么攻擊者則會安裝Mimikatz。Mimikatz實用程序被攻擊者竊取企業(yè)員工的身份驗證數(shù)據，并獲取對企業(yè)網絡中其他計算機的遠程訪問。攻擊者使用這種技術會給企業(yè)帶來很大的威脅：如果他們成功獲取到了域管理員帳戶的憑證，那么他們則可以控制企業(yè)網絡中的所有系統(tǒng)。

攻擊的目標

根據KSN的數(shù)據，在2017年10月到2018年6月期間，大約有800屬于工業(yè)企業(yè)的員工計算機被本文中描述的惡意軟件所攻擊。

在2017年10月到2018年6月期間被攻擊的計算機數(shù)量(按月統(tǒng)計)

據我們估計，俄羅斯至少有400家工業(yè)企業(yè)成為了這次攻擊的目標，涉及到以下行業(yè)：

制造業(yè)

石油和天然氣

冶金

工程

能源

建造

礦業(yè)

物流

基于此，可以得出結論，攻擊者并不專注于任何特定行業(yè)或領域的企業(yè)。與此同時，他們的活動清楚地表明了他們專注于破壞屬于工業(yè)企業(yè)的系統(tǒng)。網絡犯罪分子的這一選擇可能是因為工業(yè)企業(yè)的網絡威脅意識和網絡安全文化遠不如其他經濟領域(如銀行或IT公司)的企業(yè)。另外，正如我們早前所提到的那樣，工業(yè)企業(yè)與其他領域的企業(yè)相比更習慣于在其賬戶上進行涉及大量資金的操作。這些都使得它們成為對于網絡罪犯而言更具吸引力的目標。

結論

這項研究再次表明，即使使用簡單的技術和已知的惡意軟件，攻擊者也可以通過熟練地使用社會工程并在目標系統(tǒng)中掩蓋惡意代碼來成功地攻擊大量的工業(yè)企業(yè)。犯罪分子積極地使用社會工程來避免用戶懷疑自己的計算機受到了感染。另外，他們還使用了合法的遠程管理軟件來逃避防病毒解決方案的檢測。

這一系列攻擊主要針對的是俄羅斯的企業(yè)，但同樣的戰(zhàn)術和工具同樣可用來攻擊全世界范圍內任何國家的工業(yè)企業(yè)。

我們認為，此次攻擊事件背后的幕后黑手很可能是一個犯罪集團，其成員對俄語有著很熟練的掌握，這一點可以從網絡釣魚電子郵件正文的高水平編寫以及修改俄語企業(yè)財務數(shù)據的能力上體現(xiàn)出來。

遠程管理功能使犯罪分子能夠完全控制被破壞的系統(tǒng)，因此可能的攻擊場景不僅限于盜竊資金。在攻擊目標的過程中，攻擊者還能夠竊取屬于目標企業(yè)及其合作伙伴和客戶的敏感數(shù)據，對受害企業(yè)員工實施隱秘的視頻監(jiān)控，并可以通過連接到受感染計算機的設備來錄制音頻和視頻。