前幾天,卡巴斯基實(shí)驗(yàn)室被Duqu 2.0攻陷的消息傳出來(lái)后,盡管安全廠商對(duì)Duqu 2.0的代碼和對(duì)攻擊者采用的0Day攻擊進(jìn)行了深入分析,目前仍有許多未解之謎。
先不說(shuō)這事兒是誰(shuí)干的,所有人的研究都僅限于把攻擊來(lái)源確定為以色列,除此之外,還有很多方面我們還不知道:
除了卡巴斯基實(shí)驗(yàn)室以外還有別的被黑的安全公司嗎?
Symantec,F(xiàn)ireEye,Trend Micro都表示沒有受到Duqu 2.0的攻擊,其它的廠商也沒有報(bào)告Duqu的信息。但我們了解到Duqu 2.0是在內(nèi)存中的病毒,電腦一旦重啟就會(huì)消失,入侵者可以輕松消除痕跡,所以,很難說(shuō)誰(shuí)沒被黑過(guò)。
尤金·卡巴斯基說(shuō),我們?cè)谶@件事上花了好幾個(gè)月的時(shí)間,當(dāng)初意識(shí)到一些奇怪的東西后,就開始展開調(diào)查尋求突破口。
卡巴斯基實(shí)驗(yàn)室首席安全研究員庫(kù)爾特鮑姆加特納發(fā)布了被入侵的一些指標(biāo),并表示受害者肯定遠(yuǎn)遠(yuǎn)不止卡巴這一家。攻擊的范圍很廣,攻擊的目標(biāo)很多,可能有100個(gè)。就目前所知,Duqu 2.0曾被用于對(duì)最復(fù)雜、難度等級(jí)最高的目標(biāo)進(jìn)行攻擊,包括地緣政績(jī)利益。
在第一次攻擊卡巴斯基實(shí)驗(yàn)室的時(shí)候使用的是哪種0Day攻擊?
卡巴斯基實(shí)驗(yàn)室在Duqu 2.0攻擊中識(shí)別出了兩到三種0Day手法,目前正在調(diào)查攻擊者利用了哪些漏洞來(lái)對(duì)最初的受害者下手的,亞太區(qū)的一位員工認(rèn)為是通過(guò)魚叉式釣魚攻擊來(lái)進(jìn)行的。
鮑姆加特納(Baumgartner)表示對(duì)方利用的可能是CVE-2014-4148,對(duì)方可以通過(guò)一個(gè)Word文檔接觸到內(nèi)核。但是目前尚沒有確認(rèn)具體的第一次攻擊是如何實(shí)施的。
賽門鐵克也沒有什么進(jìn)展。“問(wèn)題是,我們還不知道Duqu 2.0感染的載體到底是什么!”,賽門鐵克安全響應(yīng)中心高級(jí)經(jīng)理維克拉姆·塔庫(kù)爾說(shuō)。 “我們還在調(diào)查這次事件的具體細(xì)節(jié)。”
攻擊者到底做了什么?
尤金卡巴斯基表示,他們還不確定Duqu 2.0的攻擊者到底訪問(wèn)了公司的那些信息。“我們還不知道他們究竟想找什么”。
塔庫(kù)爾表示Duqu 2.0最厲害的地方在于他侵入和掩埋痕跡的能力。“它沒有在你的電腦上留下任何文件,重啟之后什么都沒了”。“這些攻擊者有目的的這么做,這樣他們還可以隨意偷取他想要的東西,一關(guān)機(jī),啥都沒了。”
塔庫(kù)爾表示他們的團(tuán)隊(duì)還在分析惡意軟件的模塊,他們也還不知道到底攻擊者是如何秘密盜取數(shù)據(jù)(exfiltrated)的。
也有安全專家表示,主要還是因?yàn)樗麄儾恢赖降啄切┬畔⒈桓`取了,所以他們無(wú)法準(zhǔn)確的找到到底哪些數(shù)據(jù)和系統(tǒng)被接觸過(guò)。
Bay Dynamics的首席營(yíng)銷官Gautam Aggarwal認(rèn)為,這些攻擊者的目的是在搜尋卡巴斯基Secure OS和Anti-APT產(chǎn)品的漏洞。Duqu 2.0攻擊是一個(gè)內(nèi)存(in-memory)攻擊,他不會(huì)增刪改任何硬盤上的文件或者系統(tǒng)設(shè)置,這才讓卡巴斯基的調(diào)查舉步維艱。如果他們一旦找到卡巴斯基產(chǎn)品的一些漏洞,入侵使用他們產(chǎn)品和解決方案的客戶就是輕而易舉的事兒了。
卡巴斯基實(shí)驗(yàn)室調(diào)查過(guò)2011年那次Duqu木馬攻擊,這次攻擊非常有針對(duì)性,他說(shuō)。這讓人感覺APT攻擊小組是把卡巴斯基實(shí)驗(yàn)室作為Duqu 2.0攻擊的一個(gè)支點(diǎn),它可以破壞其內(nèi)部的防御,然后達(dá)到某種目的。
直覺告訴我們,卡巴斯基這事兒只是個(gè)開始,陸續(xù)我們還會(huì)看到更多這樣的事兒。
神秘模塊里的ICS/SCADA線索有什么含義?
卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)總監(jiān)Costin Raiu發(fā)布了一條推特,發(fā)圖片截屏了Duqu 2.0模塊的一個(gè)文件名,說(shuō):“有誰(shuí)認(rèn)識(shí)Duqu2 模塊訪問(wèn)的這些文件名和路徑嗎?來(lái)說(shuō)說(shuō)”
研究人員在研究這些樣本的時(shí)候在文件名中發(fā)現(xiàn)了“HMI”一詞,指向ICS / SCADA系統(tǒng)的鏈接。HMI(human-machine interface)指的是工業(yè)產(chǎn)品領(lǐng)域的人機(jī)界面。