当前位置:99696大富豪棋牌 > 关于我们 > 威胁策略是两步注入攻击,该组织由美国、英国

威胁策略是两步注入攻击,该组织由美国、英国

文章作者:关于我们 上传时间:2019-10-11

作为针对金融服务和电子商务用户的网络犯罪工具的持续研究的一部分,IBM X-Force 分析了有组织恶意软件团伙的策略,技术和程序,暴露他们的内部工作,帮助将可靠的威胁情报传播到安全社区。

研究人员分别发现 2019 年 4 月和 5 月攻击企业用户的恶意攻击活动,攻击者使用垃圾邮件来攻击不同行业的企业,包括交通和物流、健康、出口和进口、营销、农业等。

近日,英国国家网络安全中心在其与“五眼”情报合作伙伴(澳大利亚、加拿大、新西兰和美国)的联合报告中,公布了最常用和公开可用的黑客工具及技术清单。

在最近对IcedID Trojan攻击的分析中,我们的团队调查了 IcedID 运营商如何针对美国的电子商务供应商,这是该组织的典型攻击。威胁策略是两步注入攻击,旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的,IcedID 背后的人要么正在研究不同的货币化方案,要么将僵尸网络租给其他犯罪分子,将其转变为网络犯罪即服务,类似于Gozi Trojan ’ s的商业模式。

99696大富豪棋牌 1

IBM X-Force 事件响应与情报服务(IRIS)团队:臭名昭著的磁盘清除恶意软件Shamoon,利用启用宏的文档和PowerShell脚本感染目标系统。

99696大富豪棋牌 2

一、起源

HawkEye 是专门用于从受感染的设备中窃取信息的,但也可以被用做加载器,可以使用其僵尸网络来提取其他恶意软件到设备中作为第三方网络犯罪的服务。

99696大富豪棋牌 3

据了解,五眼(Five Eyes),是指二战后英美多项秘密协议催生的多国监听组织“UKUSA”。该组织由美国、英国、澳大利亚、加拿大和新西兰的情报机构组成。这五个国家组成的情报间谍联盟内部实现互联互通情报信息,窃取来的商业数据在这些国家的政府部门和公司企业之间共享。

IBM Security 于 2017 年 9 月发现 IcedID 并为其命名。该现代银行特洛伊木马程序具有与 TrickBot 和 Gozi 等恶意软件类似的模块。它通常针对银行、支付卡提供商、移动服务提供商、payroll、网络邮件和电子商务网站,其攻击目标主要位于美国和加拿大。从他们的配置文件中,显而易见的是,IcedID 的运营商寻找比消费者账户中常见的更高价值的商业账户。

4 月和 5 月的 HawkEye 攻击活动

最近,针对沙特阿拉伯和其他波斯湾国家的攻击中,发现了Shamoon 2的身影。该恶意软件还有另一个名称——Disttrack,其变种很多,包括一款能够攻击虚拟桌面基础架构(VDI)产品的。

该联合报告的根本目标是帮助网络维护者和系统管理员更好地组织其工作。此外,该报告还提供了关于限制这些工具的有效性,以及检测其在网络上的使用的建议。

IcedID 能够启动不同的攻击类型,包括通过其侦听的端口对所有受害者流量进行 web 注入、重定向和代理重定向。

使用 keylogger 攻击企业用户的垃圾邮件活动会窃取账户凭证和敏感信息,用作之后发起账号接管和 BEC 攻击。

赛门铁克近期进行的一份分析显示:Shamoon背后的攻击者,也就是很多人认为的伊朗黑客,可能有昵称为Greenbug的黑帽子相助。赛门铁克在同一系统中发现这两个恶意软件的存在后,将Greenbug和Shamoon联系了在一起。

“五眼”Top5:使用最广泛的黑客工具

恶意软件的分发和感染策略表明其运营商并不是网络犯罪领域的新手 ; 自 2017 年以来它通过 Emotet Trojan 感染用户,并在 2018 年中期通过 TrickBot 推出测试活动。在过去两年中,Emotet 一直是迎合东欧精英网络犯罪团体最出名的恶意服务之一。其可疑客户包括经营QakBot,Dridex,IcedID 和TrickBot的组织。

在 4 月和 5 月的 HawkEye 攻击活动,攻击者使用位于爱沙尼亚共和国的垃圾邮件服务器将垃圾邮件伪装成来自西班牙银行或合法公司的消息来传播 HawkEye Reborn v8.0 和 HawkEye Reborn v9.0 软件。

X-Force IRIS 研究人员分析了最近一波的Shamoon攻击,确认最初的泄露可能在该恶意软件部署并激活前数周就已发生。

该报告主要涵盖了五大类别,包括远程访问木马、web shells、凭证窃取程序、横向移动框架以及C2混淆器。

二、使用 ATSEngine 攻击电子商务用户

虽然垃圾邮件使用一般的问候语,文本和内容质量很差,也没有任何公司的 logo,但是垃圾邮件发送者可以将发送地址伪装成看似合法银行域名的地址。垃圾邮件附件含有伪造的商业发票,受害者打开后就会在后台释放 HawkEye 恶意软件。

需要指出的是,很多案例中,Shamoon都被编程为在特定的日期和时间发动,尤其是在目标公司的员工不太可能注意到其活动的时候。

并且,它主要聚焦JBiFrost、China Chopper、Mimikatz、PowerShell Empire以及HTran这5款黑客工具。

虽然目前的 IcedID 配置同时具备 web 注入和重定向攻击,但让我们关注其两阶段 web 注入方案。此策略与类似的特洛伊木马不同,大多数特洛伊木马从配置或动态部署整个注入。

99696大富豪棋牌 4

专家认为,攻击者采用武器化Office文档作为入口点。这些文档包含有恶意宏,一旦执行,就会启动命令与控制(C&C)通信,并通过PowerShell建立远程Shell。

该报告重申了对基本安全卫生的需求,强调了针对受损系统的入侵活动通常会利用一些常见的安全漏洞,例如未修补的软件漏洞等等。下述这些工具一旦实现入侵就会发挥作用,允许攻击者在受害者的系统内进一步实现其恶意企图。

为了部署注入并收集来自受害者输入的数据,一些 IcedID 攻击者使用Yummba ’ s ATSEngine的商业注入面板。在此,ATS 代表自动交易系统。ATSEngine 是一个基于 Web 的控制面板,可从攻击 / 注入服务器运行,而不是从恶意软件的命令和控制服务器运行。它允许攻击者编排注入过程,更灵活更快的更新攻击服务器上的注入,解析窃取数据以及管理欺诈性交易的操作。商业交易面板非常普遍,并且从 2007 年的 Zeus Trojan 时开始流行以来一直被广泛使用。

样本垃圾邮件

这些恶意文件通常包含有简历和其他人力资源文档,通过渔叉式网络钓鱼邮件发送给目标用户。IBM发现的其中一些文档提到了一家位于埃及的软件人才服务公司——IT Worx,以及沙特阿拉伯的商务与投资部(MCI)。

1. JBiFrost远程访问木马

三、针对特定电子商务供应商

IBM X-Force 分析发现 HawkEye Reborn v9 样本主要攻击西班牙、美国和阿联酋的用户,而 HawkEye v8 主要攻击西班牙用户。为了用 keylogger/stealer 恶意软件感染用户,受害者在打开伪造的发票时 PhotoViewer 会释放一个 mshta.exe 二进制文件,该二进制文件会使用 PowerShell 来连接到 C2 服务器,并释放其他的恶意软件 payload。

文档一被打开,就会执行宏代码,然后启动PowerShell建立信道,使攻击者能够在被感染设备上远程执行指令。

99696大富豪棋牌 5

在我们检测的攻击中,意识到一些 IcedID 运营商正在使用恶意软件来定位电子商务领域中非常具体的品牌。我们的研究人员指出,这种攻击可能是从主僵尸网络中划分出来的,这些僵尸网络由专门从事欺诈性商品交易的犯罪分子运营。

恶意软件在 AutoIt 脚本的帮助下会在受感染的系统中完成驻留,AutoIt 脚本是以可执行文件 gvg.exe 的形式存在的,会把自己以 AutoRun 记录的形式加入到 Windows 注册表中,这样可以确保每次系统重启后仍然可以自动重启。

攻击者还能借此部署其他工具和恶意软件,获得对受害者网络的进一步访问权。一旦关键服务器被发现,攻击者就可以部署Shamoon,清除硬盘数据,导致系统无法运作。

木马这个词源自于经典的特洛伊战争故事,一群希腊士兵藏在一个巨大的木马中,并进入特洛伊城,然后跳出来大肆攻击敌人。而在计算机世界里,木马是种恶意软件,通过电子邮件或恶意网页偷偷进入并安装在你的计算机上。一旦进入后,恶意软件就可以做各种坏事了。

让我们看一下这些注入的示例代码。此特定示例取自旨在窃取凭据并接管浏览美国流行电子商务网站的用户帐户的攻击。

研究人员还发现脚本的第二行是一个名为 AAHEP.txt 的文件。该文件含有与真实 Hawkeye Keylogger 相关的函数和命令相关的所有指令。

文档中发现的宏会执行两个PowerShell脚本,其中一个来自托管了跨平台远程访问工具(RAT)Pupy的某个域名。该RAT和域名,在对名为“魔法猎犬( Magic Hound )”的伊朗相关黑客活动的分析中也有出现。

有些木马程序被称为远程访问木马,被设计用于远程操纵用户的计算机,让黑客可以完全控制。有些则可能有不同目的,例如窃取个人信息,侧录键盘,甚至将受害者计算机作为僵尸网络的一部分。

作为第一步,要从攻击服务器接收任何信息,受感染设备上的常驻恶意软件必须向僵尸网络的运营商验证自己的身份。它使用配置文件中的脚本执行此操作。如果僵尸程序已通过服务器验证,则会从攻击者的 ATSEngine 服务器发送恶意脚本,在本例中通过 URL home_link / gate.php 发送。

99696大富豪棋牌 6

IBM研究人员相信,最近的分析和沙特阿拉伯发布的警告,有可能会让Shamoon攻击者再次消失,就像他们在2012年沙特阿美行动后销声匿迹一样,并且为下一波攻击修改战术。

英国国家网络安全中心表示,虽然有大量的RAT活跃于世,但是JBiFrost开始越来越多地被用于针对关键国家基础设施所有者及其供应链运营商的针对性攻击活动之中。

请注意,IcedID 通过加密保护其配置的指令。因此,僵尸程序需要一个私钥来验证攻击者的 Web 控制面板(例如,var pkey ="Ab1cd23")。这意味着受感染的设备不会与属于其他犯罪分子或安全研究人员的其他 C&C 服务器进行交互。

感染过程

【编辑推荐】

据悉,JBiFrost RAT是一款基于Java的、跨平台且多功能的远程访问木马。它可以对多种不同的操作系统构成威胁,具体包括Windows、Linux、MAC OS X以及Android。JBiFrost允许恶意行为者在网络上横向移动,或安装其他恶意软件。它主要通过网络钓鱼电子邮件作为附件进行传播。

99696大富豪棋牌 7

HawkEye 相关的垃圾邮件攻击活动

感染迹象包括:

图 1:IcedID 特洛伊木马接收有关连接到攻击服务器的说明(来源:IBM Trusteer)

分析 2019 年 4 月和 5 月的 IoC,研究人员发现 2019 年 2 月 11 日至 3 月 3 日期间从土耳其服务器加载的另外一起垃圾邮件活动,但 IP 地址是来自相同的 C 类网络。

  • 无法以安全模式重新启动计算机;
  • 无法打开Windows注册表编辑器或任务管理;
  • 磁盘活动和/或网络流量显着增加;
  • 99696大富豪棋牌,尝试连接已知的恶意IP地址;
  • 使用模糊或随机名称创建新文件和目录;

接下来,我们评估了与攻击服务器通信时的 eval(function ( p, a, c, k, e, r ) )函数,并得到以下代码。编码是打包代码的常用策略,使其更紧凑。

根据攻击的特征和释放恶意软件 payload 的邮件以及用信息窃取木马感染目标等特征,研究人员认为这 2 起攻击活动背后的攻击者是相同的。Cisco Talo 研究人员在 4 月份也发现了其他释放 Hawkeye keylogger 的垃圾邮件活动。

防御建议

99696大富豪棋牌 8

99696大富豪棋牌 9

NCSC表示,定期修补和更新补丁程序,以及使用现代防病毒程序可以阻止大多数变种。组织还应该针对重要网络资产实施额外的防病毒检测。此外,培训用户和企业员工的网络钓鱼意识也至关重要。

图 2:设计用于设置浏览器接受外部脚本注入的 IcedID 代码(来源:IBM Trusteer)

Hawkeye Keylogger 发送的邮件

2. 中国菜刀(China Chopper)

本文由99696大富豪棋牌发布于关于我们,转载请注明出处:威胁策略是两步注入攻击,该组织由美国、英国

关键词: