曾经,APT是网络攻击中的奢侈品,高端定制,手工制作,限量销售。然而,随着APT产品化和工具技术“民主化”,以及“APT即服务”商业化和规模化,APT在过去,针对高价值目标的高成本、低频攻击大大降低了门槛,呈现出泛滥的趋势。许多人过去不会APT包括在威胁模型中的用户,如中小企业,现在APT攻击目标。这意味着大量的企业和机构应该遵循APT修订其威胁模型的最新发展趋势。也许,针对网络犯罪“攻击上云”趋势是最好的防御策略“安全上云”。
卡巴斯基实验室和安全公司Bitdefender9月份分别发布了两份相关信息APT雇佣军组织的报告。一家是律师事务所和金融公司,另一家是建筑和视频制作公司。这些只是过去几年类似报告中的最新例子。
Bitdefender全球网络安全研究员Liviu Arsene指出:“我们最近看到了国家赞助的趋势APT集团使用的策略和技术现在已经用来攻击小公司。”“这可能意味着技术能力强的黑客组织已经开始提供新的APT即服务模型‘恶意软件是服务’在国家发起的攻击中,网络犯罪行业的到来标志着新的篇章或其他更大的篇章APT该团体的一部分不断完善雇佣黑客群体的技能‘APT即服务’都将成为新常态。”
DeathStalker常用的脚本语言
卡巴斯基的报告侧重于该公司命名的公司DeathStalker在黑客雇佣军组织的最近活动中,该组织的工具到2012年的其他恶意软件植入。该组织最近的主要目标是从事金融业或与金融业合作的实体,包括法律办事处、财富咨询公司和金融技术公司确认的受害者遍布阿根廷、中国、塞浦路斯、以色列、黎巴嫩、瑞士、土耳其、英国和阿拉伯联合酋长国。
DeathStalker当前的植入程序是用PowerShell编写的Powersing。PowerShell是Windows附带的脚本语言经常被滥用,用于自动执行系统管理任务。恶意软件通过包含恶意链接附件的鱼叉在线钓鱼电子邮件发送。特别值得注意的是,Powersing有效负载可以接触到社交媒体网站上的各种网站“死角”,并从作者留下的带有编码文本的评论中获得命令和控制(C&C)服务器的URL。被用于“投毒”的站点包括Google 、Imgur、Reddit、Tumblr、Twitter、YouTube和WordPress。
Powersing会定期与C&C服务器联系以获取命令,并有两个功能:定期从受害者的计算机上捕获屏幕截图并发送到C&C并执行服务器C&C提供的任意Powershell脚本。这两个简单的功能为攻击者提供了强大的功能。一个允许他们侦察受害者,另一个允许通过手动黑客攻击扩大攻击范围。
卡巴斯基实验室(Kaspersky Lab)已经确定了DeathStalker的分发方法(LNK文件),dead drops与过去使用的其他脚本语言一起使用(VBE和JavaScript)另外两个恶意软件家族Janicab和Evilnum代码相似性。卡巴斯基的研究人员指出,虽然代码比较没有确切的证据,但他们相信Powersing,Evilnum和Janicab同一个团伙。
卡巴斯基实验室认为,根据受害者的类型和黑客关注的信息,DeathStalker背后是一个黑客雇佣军组织,可以为私人客户提供黑客租赁服务,或者作为金融行业的信息经纪人出售盗窃数据。
卡巴斯基在报告中说:“我们相信DeathStalkers纯粹是根据他们的价值判断或客户要求来选择目标。”“在这种情况下,我们评估金融领域的任何公司,无论其地理位置如何,都可能是DeathStalker的猎物。”
黑客雇佣军使用有针对性的攻击媒介
Bitdefender在最近的报告中,记录了一家与纽约、伦敦、澳大利亚和阿曼的房地产开发商合作的公司最近遭遇了痛苦APT攻击。该公司的客户还包括世界著名的建筑师和室内设计师。
值得注意的是,黑客组织将其恶意软件植入程序Autodesk 3DS Max(流行的3D以流氓插件的形式发送动画和建模程序。这表明黑客组织确切知道目标是谁,目标数据是什么,可以使用哪些软件作为攻击切入点。
该公司表示:“在调查过程中,Bitdefender研究人员还发现,威胁行为者有强大而完整的间谍工具集。”“基于Bitdefender在遥测技术中,我们还发现了其他类似于同一命令和控制服务器通信的恶意软件样本,可以追溯到不到一个月前。它位于韩国、美国、日本和南非。该网络犯罪集团也可以针对这些地区的特定受害者。”
6月,Bitdefender一份报告曾经发表过,另一份报告被称为StrongPity可疑雇佣军组织具有雇佣军网络犯罪集团以财务和地缘政治为目标的特点。另一个代码Barium或Winnti的较早的APT该组织还发起了一系列涉及流行软件的供应链攻击,其过去的操作和攻击也对网络间谍和财务利益表现出极大的兴趣。
雇佣APT成为趋势?
在互联网的黑暗社会中,一直有黑客可以出租。甚至有证据表明,俄罗斯和其他国家也会从网络犯罪圈招募黑客从事情报活动。然后,这些黑客学习了复杂的知识APT技术、策略和程序的风格(TTP),这些技术、策略和程序也可用于其犯罪活动。或者,他们可以建立雇佣军团体,并将其技能出售给想要监视竞争对手或操纵金融市场的私人实体。
一些团体甚至得到了向第三方客户出售黑客服务的国家的资助、培训和支持。朝鲜就是这样。4月,美国国务院、财政部、土地安全部和联邦调查局发布了关于朝鲜网络威胁的联合咨询报告,其中提到:“朝鲜网络参与者DPRK也接受第三方客户付费入侵网站并勒索第三方。”
《网络雇佣兵:国家、黑客和权力》的作者,卡内基国际和平基金会网络政策倡议的联合主任蒂姆·莫拉尔(Tim Maurer)表示:“我发现这是一个迷人的故事,它确实提醒了人们网络威胁形势的复杂性,我认为报纸或政策制定者没有考虑到这一点”。“我认为很少有人真正意识到这些不同类型的维度。朝鲜必须赚很多钱,所以他们有独特的行为。但这也导致了一些有趣的问题,即朝鲜的网络攻击是否会在世界上传播。”
根据毛勒(Maurer)据说不同的黑客或黑客群体戴着不同颜色的帽子,而政府人员和雇员使组织很难知道黑客攻击的真正意图,以及黑客将如何处理和使用盗窃数据。
在过去的几年里,提供雇佣黑客服务的雇佣兵组织数量不断增加。APT由技术和工具的商业化和公开发布所推动。许多网络犯罪集团和勒索软件帮派使用手动黑客和无文件执行技术,滥用脚本语言和双用途工具(系统管理员或IT安全专业人员也使用这些工具)在网络内进行数月的侦察和水平移动操作,为每个受害者开发定制的有效载荷等。
即使是中小企业也面临着中小企业的面临APT的风险
无论行业和组织的规模如何,威胁模型是否不包括在内APT后果吗?答案越来越倾向于“不”,但这对中小企业来说是一个严重的问题,因为他们往往没有检测和响应此类攻击所需的安全产品、预算或熟练人员。
Bitdefender的Arsene表示:“ 中小企业必须彻底改革其威胁模式,建立新的安全战略,重新调整其安全预算。”“过去,大多数APT攻击中‘躺枪’中小企业实际上是对更大目标供应链攻击的一部分,APT就业服务的繁荣大大降低了这种攻击的门槛,这意味着中小企业也将成为APT猎物的攻击。”
“我确实认为,对于大多数组织而言,迁移到云是有意义的,因为这样云服务提供商的安全团队能够更有效地检测和防御APT,因此可以得到更好的保护,”Maurer表示。“如果你是一家小公司,可能只有一个人忙于更新补丁,那么你就没有足够的带宽来有效地防止更先进的威胁。在过去的十年里,具有攻击性网络能力的国家黑客组织的数量从六个增加到30多个,APT扩散攻击知识和能力继续超过国家(和组织)有效防御的能力。”
Maurer云提供商为,云提供商在不断投资以提高安全性和保护其客户方面享有良好的声誉,因为任何破坏客户云资产的新闻报道也会提到云提供商的名称,无论他们是否负责。尽管如此,但大多数云安全问题都是由不安全的配置引起的,最终责任由客户自己承担。简而言之,虽然迁移到云可能会减轻某些组织的网络监控负担,但他们仍然需要确保云服务器和资产的安全配置。
Arsene中小企业对抗APT也可以考虑端点检测和响应(EDR)以及托管检测和响应(MDR)这些解决方案对中小企业来说也是负担得起的,可以为企业级安全运营中心提供很多服务。
Arsene指出:“对于小企业来说,尤其是在竞争激烈、财务驱动的垂直行业,最大的挑战是缺乏合格的安全性IT缺乏能够发现可疑行为的人员和安全工具。”“中小企业不仅需要检测恶意软件的安全软件,还需要端点和网络层的可见工具来提高其安全性。安全人才短缺的问题可以通过以下方式解决:选择托管检测和响应团队,不仅评估公司的基础设施,提出安全和强化工具,而且作为一个特殊的威胁猎人团队来追溯可疑事件的来源。”
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更多的好文章