APT 攻击云端化,Blue Coat 发现史上最複杂的多层次恶意行动

APT 攻击云端化,Blue Coat 发现史上最複杂的多层次恶意行动

商务保障技术巿场领导厂商 Blue Coat Systems 的资讯安全实验室发现最新崛起的针对性攻击行动,主要在取得受害者的电脑存取权后从中窃取机密资讯;由于此恶意程式使用多层次(layers)手法侵入,因此命名为「全面启动」(Inception)。该行动锁定的都是高阶人士:如石油、金融、工程界的一级主管,及军官、使馆人员或是政府官员。「全面启动」攻击起初锁定俄罗斯或与俄罗斯有利害关係的目标,但之后又将目标扩大到全世界,其感染途径主要是透过夹带内含木马程式文件的网路钓鱼信件。

其 Windows 平台的命令与控制(Command & Control)流量间接从瑞典云端服务空间,利用 WebDAV 协定执行,不仅隐藏攻击者身分,同时还能绕过现今许多企业採用的侦测机制。此外,攻击者还加入其他间接层来伪装身分,例如命令与控制的沟通利用到一些路由器的代理网路(proxy network),而且会先骇入安全设定较为薄弱或使用预设设定的家用路由器。从恶意程式利用多层次的混淆与间接攻击者之间的控制机制和锁定的目标等证据来看,显然「全面启动」行动的攻击目的是想要持续潜伏。

它的架构(framework)持续在发展,Blue Coat 资安实验室发现,攻击者还为 Android、黑莓(BlackBerry),及 iOS 等行动装置打造专属的恶意程式,以蒐集受害者的机密资料;此外似乎还为目标对象设计了多媒体简讯(MMS)网钓行动。目前为止 Blue Coat 观察到已被锁定的全球电信业者就有 60 多家,包括了中国移动、O2、Orange、SingTel、T-Mobile,以及 Vodafone,但实际数字应该会更多。

初步发现

2014 年 3 月微软发布安全警告,丰富文字格式(RTF)的新漏洞,也就是 CVE-2014-1761 已出现攻击案例。两个先前的 RTF 漏洞,CVE-2010-3333 与 CVE-2012-0158 也成为被锁定的主要漏洞。在 8 月底 Blue Coat 资安实验室发现一间谍活动利用 CVE-2014-1761 及 CVE-2012-0158 漏洞来启动恶意活动的有效装载(payload),并以瑞典的 CloudMe 云端服务做为其可见架构的主要骨干。

Blue Coat 通知 CloudMe.com 服务被滥用的情况,CloudMe 提供进一步资讯,包括与攻击有关的大量日誌(log)资讯。但要注意的是,实际上散布恶意内容的并不是 CloudMe,攻击者只是拿它来存放档案而已。

运作机制

攻击者将恶意元件嵌入到 RTF 档案里,然后利用 RTF 格式的漏洞远端存取受害者电脑。档案则是透过 Word 文件附档以网路钓鱼邮件传送到受害者电脑。

APT 攻击云端化,Blue Coat 发现史上最複杂的多层次恶意行动

 网钓邮件样本。

当使用者点选附件时会显示出一个 Word 文件,让使用者不会起疑心,无法注意到已有恶意程式偷偷解密并储存在电脑磁碟里。和其他许多攻击行动不一样的是,所下载的档案名称都不一样,显然是随机产生的,可藉以规避档案名称的侦测机制。

这个恶意程式会蒐集受感染机器的系统资讯,包括作业系统版本、电脑名称、使用者名称、使用者群组成员、正在执行的程序、本机 ID,以及系统磁碟机和容量等资讯。所有的系统资讯都会经由加密后透过 WebDAV 协定传送到云端储存空间。如此的恶意活动架构设计,是为了要确保恶意程式感染系统后能够透过云端服务来执行所有的通讯,例如目标的研究、配置更新、恶意程式更新及资料的提取等。

恶意活动的架构元件採用了外挂(plug-in)模型,让恶意程式能够利用既存的恶意程式元件与整个框架互动。如果没有初始的安装器,后续的各个独立模组都将无法运作,而且由于全部元件都只存在于记忆体,所以会在重新开机之后消失。

APT 攻击云端化,Blue Coat 发现史上最複杂的多层次恶意行动

 恶意程式安装链。

攻击者所展现出的操作,是 Blue Coat 所见过最为先进的。攻击者与整个基础设施之间的互动,绝大多数都是透过难以捉摸的路由器代理(router proxies)网路及租用的主机,而且这些路由器代理及租用主机多数似乎都因为安全设定太弱或使用预设的设定而遭受感染。

APT 攻击云端化,Blue Coat 发现史上最複杂的多层次恶意行动

 SOCKSS 图。APT 攻击云端化,Blue Coat 发现史上最複杂的多层次恶意行动

 妥协嵌入设备图。以混淆及误导等手法掩饰攻击源头

攻击者虽然留下一些或许能够找到其实体位置的可能线索,但又很难鉴别出那一些是有效的线索,那些又是刻意留下来用以混淆其足迹的麵包屑(bread crumbs)。以下所列是已经发现的一些可能指标线索,经研究之后认为很可能藉以找出攻击源的证据。


攻击目标扩大至行动装置

攻击者已经将恶意程式的感染目标扩大到 Android、Black Berry,及 iOS 装置,这是为了要蒐集受害者包括手机通话记录在内的一些个人资料。特别是在 Android 平台上,使用者无论是拨、接的所有通话都会被录成MP4声音档案然后定期上传给攻击者。

另一方面,还有一些迹象显示攻击者同时锁定一些特定人士进行大规模的 MMS 网钓活动。根据 Blue Coat 研究员所取得的资料,这些可能的受害者使用全球一些行动电信业者的服务,所掌握到的就超过 60 家业者受到影响,但真正的数量应该会更高。这些 MMS 网钓讯息有许多国家的版本,包括亚洲(含俄罗斯及中国)、非洲、中东,及欧洲国家。

结论

很显然的,「全面启动」行动的背后有强大的资源以及非常专业的组织在支持,并有相当明确的目标企图,因此将可能造成广泛的伤害。自动化以及精湛的程式能力、攻击行动中有效酬载的多层次保护措施,以及混淆攻击者身分的技法相当进阶,种种迹象都可看出整个攻击框架的複杂程度。

从它的攻击属性以及锁定的都是国家政治、经济与国防等相关人士为目标对象来看,「全面启动」行动背后的支持者可能是中型国家或是资源充裕的专业私人企业。

就基础架构的周详程度而言,这是一个大型的攻击活动,目前所见还只是行动的开始。虽然锁定的目标对象大多数位于俄罗斯或者是与俄罗斯有利害关係的人士,但还有许多来自全世界其他不同国家的对象,而且攻击行动可能扩大至全球。其攻击架构是属通用型,只要依据攻击目的而稍加修改就可以应用于不同的攻击行动。


防护建议

受感染的徵兆:

避免受到感染的方法:

遭受锁定的徵兆:

收到不请自来的信件或 MMS 讯息,并通知应用程式需要更新。