黑客是如何对俄罗斯外贸银行实施APT攻击的？

正文手机网浏览财经资讯

来源：中国网作者：佚名 2017-11-06 15:11:10

中金在线微博

微信加关注扫描二维码
关注
中金在线微信

    APT攻击一直以来是企业关注的重点，通常以智能手机、平板电脑和USB等移动设备为目标入侵企业信息系统，其中恶意邮件是APT攻击最常用的攻击手段，因此，瑞星安全研究院为长期跟踪监控各类APT攻击，专门研发了一套监测恶意邮件的“鱼叉攻击”挖掘系统。

    最近，瑞星安全研究人员Chao在“鱼叉攻击”挖掘系统中，发现了一封发给俄罗斯外贸银行的邮件，经过多年的经验积累，Chao很快就意识到这是一封钓鱼邮件，这很可能是一次专门针对俄罗斯外贸银行发起的APT攻击。

    果然，经过研究样本分析发现，该邮件附件中存在一个含有病毒的word文档，一旦用户下载并打开此文档，攻击者就可以对受害者的机器进行控制，窃取其中任何信息。

    瑞星安全研究人员Chao介绍，该word文档集成了近期流行的office逻辑漏洞CVE-2017-0199，并且还巧妙地使用到了RTF的一个机制来实现攻击。病毒先利用RTF机制释放病毒程序，然后利用CVE-2017-0199漏洞远程下载并执行病毒脚本，最后利用下载的脚本运行病毒程序。

     图：APT攻击流程图

    瑞星安全专家根据病毒脚本和服务器通信的网络数据包特征，基本可以确定击者利用了Micorsoft Word Intruder(MWI)发起了此次攻击。

    MWI是一个漏洞利用攻击平台，由俄罗斯人开发，并在黑市销售。

    2013年8月，“卡巴斯基”研究人员发现了疑似MWI的早期版本。2015年1月由国外安全研究机构“FireEye”曝光了负责和控制服务器通信的新模块MWISTAT，之后MWI才逐渐进入人们的视线。

    MWI作者一直处于活跃状态，每当有新漏洞被发现，作者就把新的漏洞利用代码集成到工具中，再销售给各个犯罪团伙。早在2015年，研究者就发现 MWI攻击平台已经帮助数十个网络犯罪团伙，从多个不同的恶意软件家族中提供数百种不同的恶意软件，涵盖了大多数恶意软件类型。

    这种MWI漏洞利用攻击平台，投资小，见效快，广受犯罪团伙的欢迎，被广泛用于传播勒索、盗号、远控等软件。由于存在巨大的利益驱使，MWI和其它类似软件的作者们，仍会继续增加对新漏洞利用，所以及时更新补丁至关重要。

    此外，如果出于利益需求，这些攻击平台的作者，也是有可能在黑市上购买未知漏洞，添加利用代码到新版本中。安全厂商面临的形式将更加严峻，需要不断提高主动防御能力，结合机器学习等方式，提高对未知病毒的查杀能力。

    MWI历史回顾

    2013年8月利用CVE-2012-0158 传播Gimemo 勒索软件，攻击者IP在德国，受害者分布在说俄语的国家，这次攻击被认为是捕获到的最早利用MWI进行的攻击。

    紧接着没过多久就发现了添加了CVE-2010-3333漏洞的版本。

    2013年12月，研究人员捕获到新的版本，新版本引入了第三个漏洞CVE-2013-3906。

    2014年6月8日增加了第四个漏洞CVE-2014-1761。

    2014年12月，“FireEye”发现了MWI增加了与服务器通信的模块，被称为MWISTAT。

    2016年7月，研究人员发现，新版本增加了CVE-2015-1641漏洞。

    2016年7月中旬，MWI在黑市的广告中，宣称新版本集成了CVE-2016-4117漏洞(Adobe Flash Player)。

    2016年8月底发布了MWI8，同时支持以下漏洞。

CVE-2010-3333

CVE-2012-0158

CVE-2013-3906

CVE-2014-1761

CVE-2015-1641

CVE-2015-2545

CVE-2016-4117

表：MWI8支持漏洞 MWI曾经投递的恶意软件家族

Andromeda	Fsysna	Sopinar
Badur	Gamarue	SpyGate
Bandok	Kasidet	Staser
Buhtrap	Limitail	Throwback
Carberp	NetWiredRC	Tinba
Corkow	Omaneat	Toshliph
Cromptui	Peaac	Trontoz
CryptoWall	Ransom	Vawtrak
Dofoil	Repezor	VBSFlood
Dyreza	Rovnix	Wauchos
Dyzap	Sekur	Zbot
Evotob	Sheldor

    表：恶意软件家族

    后来MWI软件持续升级，杀软持续查杀，在这种对抗中，软件作者开始限制此软件的使用，要求购买MWI的用户只用在小规模的针对性攻击中，而不能大范围投递恶意邮件。减小被捕获的概率，增加生存时间。

    由于只是小规模针对性投放，外界看来MWI好像是销声匿迹了。然而直到近期又捕获到一个利用了最近比较流行的漏洞CVE-2017-0199的版本，进一步证明了MWI的作者一直在持续迭代更新，犯罪团伙仍在利用此工具进行攻击活动。

责任编辑：cnfol001 【下载中金财经客户端】