卡巴斯基实验室:2019Q1高等延续要挟(APT)趋向申报 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

卡巴斯基实验室:2019Q1高等延续要挟(APT)趋向申报

申博_安全预警 申博 85次浏览 未收录 0个评论

概述

在短短两年时候内,卡巴斯基实验室的环球研讨与剖析团队(GReAT)一向在宣布高等延续要挟(APT)运动的季度择要。这些择要基于我们的要挟情报研讨,并供应了我们在详细的APT研讨中具有代表性的典范案例。我们团队的目标是,凸起显现应当提醒人人注重的严峻事项和发明。

本申报是我们最新宣布的一期,重点引见我们在2019年第一季度视察到的运动。

重点发明

最近几年来,进击者针对供应链的进击已获得肯定的胜利,ShadowPad、CCleaner和ExPetr就是很好的例子。在我们对2019年的要挟展望中,我们将其标记为能够或许延续的进击向量,而且不需要守候很长时候,就看到这一展望成为了实际。2019年1月,我们发明了一个庞杂的供应链进击运动,触及到ASUS Live Update Utility,这是为华硕笔记本电脑和台式机供应BIOS、UEFI和软件更新的机制。“ShadowHammer运动”背地的进击者为这一实用顺序添加了一个后门,然后经由过程官方渠道将其分发给用户。进击的目标是准肯定位由其网络适配器MAC地点标识的未知用户池。我们发明,进击者将一系列MAC地点硬编码到木马化样本中,这也走漏显现了这一大范围行动的真正目标,我们能够或许从此次进击中发明的200多个样本中提取600多个独一的MAC地点,同时也存在针对分歧MAC地点的其他样本。

与俄语相干的歹意运动

在往年上半年,运用俄语的歹意构造不是迥殊活泼,没有值得存眷的手艺或运营方面的转变。但是,他们延续展开不间断的流传运动,迥殊存眷政治运动。

这一点,在以乌克兰推举为重点的进击中异常显着。在我们发明针对德国政治照料构造的歹意Word文档后,进击运动就浮出水面。依据该歹意构造的网站,他们“为国际政治和交际与平安政策的政治决策者供应发起”。我们对该歹意构造的进击手艺举行了剖析,终究注解,该歹意运动背地有Sofacy或Hades构造的支撑,但我们没法肯定这些整体中的哪一个是其真正的幕后主使。

这类以政治好处为目标的进击运动其实不新颖。在近来,弗吉尼亚州的一家法院请求Microsoft强行掌握了一组网站,这些网站看起来像华盛顿智囊团的登录网站,但被怀疑是俄罗斯歹意构造在DNC黑客进击中基础设施的一部分。

别的,Microsoft走漏,俄罗斯民族国度黑客构造的目标是影响定于5月尾举办的2019年欧洲议会推举。

在手艺方面,自从2019年1月中旬以来,我们一向在追踪针对土库曼斯坦和塔吉克斯坦当局机构的Turla歹意运动。这一次,进击者运用新的.NET歹意软件(称为“Topinambour”,别名“Sunchoke”)流传其已知的JavaScript KopiLuwak。Topinambour Dropper与正当软件一同托付,个中包罗一个小型.NET Shell,将会守候来自歹意运营者的Windows Shell敕令。值得存眷的是,进击者运用了以JavaScript、.NET和PowerShell完成的分歧歹意文件,个中每一个文件都具有类似的功用。

我们还宣布了有关Zebrocy怎样将Go言语添加到其武器库的详细信息,这是我们第一次视察到着名的APT要挟构造运用这类编译的开源言语来布置歹意软件。Zebrocy继承对准中亚区域的当局相干构造,个中包罗其国内和偏远区域,和中东的新交际目标。

末了,在2019年2月,我们发明了高度针对克里米亚的未知歹意软件进击,这一范例的歹意软件在此前从未被发明过。特务顺序伪装成俄罗斯有名平安公司的VPN客户端,经由过程电子邮件的体式格局流传,并宣称供应珍爱网络的解决方案。现在,我们没法将该运动与任何已知的歹意构造联络起来。

与中文相干的歹意运动

在2019年的最后几个月,运用中文的歹意构造最为活泼,他们在传统上是针对东南亚的分歧国度。近期,美国司法部告状两名亚洲籍国民,宣称他们涉嫌计算机黑客、敲诈和严峻的身份盗用,并认定他们是APT10歹意构造的成员,代表某国交际部展开非法运动。

一样,据报导,CactusPete(别名LoneRanger、Karma Panda和Tonto Team)在2012年至2014年时期,针对韩国、日本、美国和台湾构造发起进击。在曩昔六年中,进击者极能够或许依赖于雷同的代码库和植入变种。但是,自2018年以来,这些代码已大范围扩展。该歹意构造针对其目标,应用Word中的公式编辑器破绽,和经由恰当修正和从新包装后的DarkHotel VBScript 0-day破绽,承载经由修正和从新编译后的Mimikatz变种、GSEC和WCE凭证盗取东西、键盘记录东西、种种权限提拔东西、种种较旧的实用顺序和一组更新的后门,和好像是自界说下载东西和后门模块的新变种。

自2018年4月以来,我们一向在监控针对越南当局和外洋交际实体的歹意运动。我们将这项名为“SpoiledLegacy”的歹意运动归因于LuckyMouse APT构造(别名EmissaryPanda和APTT27)。歹意运营者运用渗入测试框架,比方Cobalt Strike和Metasploit。只管我们以为,该歹意构造应用网络服务的破绽作为其重要的初始沾染序言,但我们也发明了包罗钓饵文档的鱼叉式网络垂纶音讯。我们置信,与之前的LuckyMouse歹意运动一样,内部数据库服务器也是目标之一。在进击的末了阶段,他们针对32位和64位体系,离别运用特制的注入体系历程内存的木马。值得强调的是,沾染链中的一切东西,都运用了走漏的HackingTeam代码,动态殽杂Win32 API挪用。

FireEye将APT40界说为具有亚洲某国国度配景的要挟构造,此前曾被称为TEMP.Periscope、Leviathan和TEMP.Jumper。依据FireEye的说法,该构造最少从2013年以来,就最早支撑亚洲某国度的水师现代化事情,特地针对工程、运输、国防工业,迥殊是与海事手艺相干的目标举行进击。近来,FireEye还视察到该歹意构造针对“一带一起”建议具有计谋重要性的国度和区域发起进击,个中包罗柬埔寨、比利时、德国、香港、菲律宾、马来西亚、挪威、沙特阿拉伯、瑞士、美国和英国。

风趣的是,针对日本的APT10运用更新版本的ANEL,我们发明该歹意软件与之前BlueTermite运用的歹意软件Emdivi之间的类似之处,这也表示了两个歹意构造之间的潜伏联络。

与东南亚和朝鲜半岛相干的歹意运动

这一区域,好像是天下范围内APT运动最活泼的区域。

往年1月,我们肯定了Transparent Tribe APT构造(也称为PROJECTM、MYTHIC LEOPARD),这是一个与巴基斯坦密切相干的要挟构造,一向针对印度的军事目标发起进击。

由浅入深剖析序列化攻击(一)

前言 近期因为内部培训有序列化的需求,于是趁此机会由浅入深的剖析一下序列化相关内容。 之前也写过由浅入深的xml漏洞系列 序列化的概念 简单概括来说,序列化即保存对象在内存中的状态,也可以说是实例化变量。在传递一个对象的时候,或是需要把对象保存在文件/数据库中时,就必须用序列化。 序列化样例 以php官方手册样例为例: var;
    }
}
?> 这样一来我们写了一个简单的类样例,类中包含一个属性和一个方法。 我们可以通过如下方式对类的属性进行赋值,对类的方法进行调用: $sky = new SimpleClass();
$sky->var = ‘sky is cool!’;
$sky->displayVar(); 我们观察一下序列化后字符串的

往年2月,我们肯定了一系列针对印度军事构造的歹意运动。现在,我们没法将这一歹意运动归因于任何已知的要挟构造。进击者依托水坑和鱼叉式网络垂纶来沾染他们的受害者。详细而言,他们损坏与战役研讨相干的智囊团的网站,并运用该网站来托管分发Netwire RAT变种的歹意文档。我们还发明了在统一时期内,军事职员俱乐部被攻下,并用于分发统一歹意软件的证据。

依据Palo Alto报导,在此时期,OceanLotus是别的一个活泼的歹意构造,他们运用了一种名为KerrDown的新下载东西。在年终,该歹意构造运用新编译的样本,我们在该构造发起的新一轮进击中发明了他们运动的迹象。ESET近期也发明了该歹意构造针对macOS的新增功用。

在2018年中期,我们在关于“AppleJeus歹意运动”的申报中强调了Lazarus要挟行动者对加密泉币生意业务的存眷。个中,一项重要的发明是该歹意构造具有了针对macOS发起进击的新才能。从那以后,Lazarus扩展了对该平台的运营。我们进一步跟踪该构造的运动,发明了一项新的歹意运动,最少从2018年11月最早运营。该歹意运动应用PowerShell掌握Windows体系,应用针对苹果的歹意软件来对macOS体系发起进击。Lazarus并非独一针对加密泉币生意业务的APT构造。Kimsuky歹意构造还将其运动范畴扩展到针对个人和企业,迥殊是在韩国区域。

末了,在往年年终,南亚的Bitter构造运用了一个新型的简朴下载东西(Palo Alto将其称为ArtraDownloader),将BitterRat木马流传到沙特阿拉伯和巴基斯坦的目标构造。

与中东相干的歹意运动

使人惊奇的是,在往年的前几个月,中东区域的歹意运动明显没有曩昔那末猛烈。即便如此,这一区域依然是一些歹意构造针对的目标,比方Chafer和Bitter。

我们还视察到,Gaza Team和MuddyWater的一些歹意运动。不外,这只能代表他们继承以该区域为目标,但在歹意运营和手艺革新方面没有任何新的显现。

其他值得存眷的发明

在2018岁终,我们在野外视察到了新版本的FinSpy iOS植入东西。这是FinSpy Mobile的一部分,而FinSpy Mobile是监控解决方案开发商Gamma Group供应的产物。FinSpy for iOS完成了普遍地特务软件功用,许可歹意职员跟踪受沾染装备上的险些一切内容,包罗按键、音讯和呼唤。有一个很大的限定,就是以后版本的歹意软件只能安装在逃狱后的装备上。我们以为,Gamma构造不会为逃狱受害者的手机供应破绽应用东西,但他们会为客户供应怎样对手机举行自行逃狱的发起和支撑。依据我们的遥测,展现了针对印度尼西亚和蒙古目标的植入陈迹。但是,由于Gamma的客户浩瀚,这能够或许只是受害者中的一小部分。

在这项研讨以后,我们发明Android的新版本大约在2018年6月宣布。只管在功用方面异常类似,但它完成了针对特定平台的奇特功用,比方经由过程滥用脏牛破绽(DirtyCow,CVE-2016-5195)猎取root权限。与iOS版本一样,这一植入东西具有从立即通讯软件中猎取数据的功用,包罗Threema、Signal、Whatsapp和Telegram,同时还能够从内部装备猎取音讯,包罗但不限于电子邮件和SMS音讯。

2月份,我们的AEP(自动破绽应用防护)体系检测到试图应用Windows中的破绽,这是我们近期发明的一连第四次应用Windows的当地特权提拔破绽。经由进一步剖析,我们发明了win32k.sys中的0-day破绽,我们在2月22日向Microsoft申报了这一破绽,他们敏捷确认了破绽的存在,并为其分配了CVE-2019-0797的编号。Microsoft在2019年3月12日宣布了一个补钉,并公然谢谢卡巴斯基实验室的研讨职员Vasiliy Berdnikov and Boris Larin。我们以为,这一破绽曾被几个要挟构造所应用,包罗但不限于FruityArmor和SandCat。尽人皆知,FruityArmor之前运用过0-day破绽,而SandCat是我们近来才发明的新APT构造。在野外发明的破绽,应用了Windows 8到Windows 10 Build 15063范围内的64位操作体系。

值得存眷的是,FrutiyArmor和SandCat好像遵照了并行的门路,两者同时运用雷同的破绽应用要领。这好像注解,有第三方在向他们供应如许的破绽应用要领。

讹诈软件已成为APT构造的重要东西,由于它能够用于删除进击陈迹、举行网络损坏。我们延续存眷一系列讹诈软件进击,由于这一系列进击好像只对较大的目标感兴趣。LockerGoga近期损坏了Altran、Norsk Hydro和其他进击的体系。现在还不清晰进击的幕后主使、其重要目标和最早沾染受害者的沾染门路。现在,暂不清晰LockerGoga属于讹诈软件照样消灭数据的歹意软件。歹意软件用于加密数据,并显现讹诈提醒,请求受害者与进击者获得联络并举行解密,从而调换受害者的比特币付款。但是,研讨职员视察到最新版本,他们经由过程变动暗码的体式格局,使受害者不具有从新登录体系的才能,让受害者没法再接见受沾染的体系。在这类情况下,受害者以至能够或许没法看到讹诈提醒。

总结

回忆第一季度以来的APT相干事宜,纵然我们觉得没有发生任何具有突破性的事宜,但照样发明了一些值得存眷和具有分歧演化的要挟。

针对这一季度的APT事宜举行总结,我们能够得出以下结论:

1. 地缘政治作为APT运动的重要推动力,而且这一趋向还在赓续增进。

2. 就APT运动而言,东南亚依然是天下上APT最为活泼的区域,但这也能够或许与一些构造履历较少,发生的“噪音”相干。

3. 与最近几年比拟,运用俄语的歹意构造一直保持低调,这能够或许代表着他们正在举行内部重组,但这仅仅是我们的一个假定。

4. 运用中文的歹意构造一直保持高水平的运动,其歹意运动同时连系了初级的庞杂性和高等的庞杂性。

5. 为当局和其他实体供应贸易歹意软件的厂商依然延续发展,而且他们的客户也在赓续增加。

若是要选出本季度最值得存眷的一件事,我们以为ShadowHammer歹意运动连系了几个已知APT运动以后运用的要领。这是一个先进的、具有针对性的运动,应用进击链举行分发,范围异常普遍。在该歹意运动中,触及了多少步调,包罗对其目标MAC地点的原始网络。这好像是一个新的趋向,由于该构造还针对歹意软件分发的其他受害者,展现出供应链进击一种异常使人担忧的趋向。

如平常一样,这只是我们现在视察到的已知进击。我们一直在致力于发明其他庞杂进击,并会延续实验举行革新,以发明以后存在的更多歹意进击。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明卡巴斯基实验室:2019Q1高等延续要挟(APT)趋向申报
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址