Kaspersky研究发现, 红色十月黑客组织发现之前,它已经存在近5年了。网络间谍攻击并不新鲜,但是越来越复杂。现在,攻击者成功潜入组织并隐藏几个月不被发现很简单。企业可以通过分析这些高级攻击吸取经验教训。本文将详细介绍红色十月恶意攻击行为,以及企业安全团队可以从中学习的攻击检测方法。
红色十月恶意软件攻击分析
从2007年开始,红色十月攻击了大量目标。黑客主要针对于全世界的科学研究、外交、政府和支持组织,大多集中在东欧地区。按照这个恶意软件的内容和名字,Kaspersky实验室认为红色十月模块由俄国开发者提供,并且由中国黑客开发。
攻击活动的执行与最近发生的其他高级攻击类似;它首先发布包含恶意附件的网络钓鱼,一旦执行就攻击微软Office和Java漏洞。这样,后门和短期可执行文件就能够获得本地系统的访问权限,建立持久访问,然后利用密码盗取、键盘记录与扫描等手段为其他系统提供攻击途径。其最终目标通常是发现远程系统的访问身份或系统信息,并利用这些信息盗取数据。它会从命令控制(C&C)服务器下载指令,包括新的恶意软件,然后扫描数据并将数据导入C&C基础架构,用于隐藏主服务器的代理正位于此处。
红色十月攻击确实有一些与标准恶意软件攻击不同的特殊之处——对目标网络的攻击侦察深度、攻击计划和框架。每一个目标系统都会分配一个攻击目标ID,这样攻击者就可以方便地跟踪攻击。因为攻击有一定规模,攻击目标ID可以帮助攻击者更好地分析和控制大量受攻击的设备。这种跟踪系统还允许攻击者指定恶意软件(并避免重复使用相同的恶意软件),使他们可以很长时间不被反病毒软件发现。在接收到某种附件时,这个恶意软件甚至能够恢复C&C基础架构的访问,从而能够更快地盗取有重要价值的数据。
通常,它使用NTFS底层API和访问权限去扫描已删除数据,然后恢复目标数据。在网络扫描过程中,红色十月攻击者会寻找将来可用于攻击网络的思科路由器。甚至在捕捉到SIP配置数据时,攻击者还可能会监控电话通话。然后,它还会收集来自iPhone、诺基亚和Windows智能手机的信息,以便进一步确定目标数据。
红色十月应对措施:检查现有措施 增加新控制
对于企业安全团队而言,他们应该明白,红色十月仍然大量使用一些旧的攻击方法,如果组织部署了基本安全措施,那么他们应该已经有能力防御这些攻击。如果企业还不重视链接扫描、强力认证、快速补丁和网络监控,那么他们将来会受到类似于红色十月的攻击。因此,应该考虑采用一些额外的辅助防御措施。例如,应用白名单可以屏蔽目标系统的未授权可执行文件。此外,还有新的异常检测产品(如FireEye和Damballa的产品)应付越来越多的新情况。强力双因子认证虽然不是新的防御手段,但是也可用于防御证书攻击。
红色十月事件反映了高级攻击者的全面和多功能的攻击特性,突显出调整安全计划对于防御这些攻击的重要。和其他成功攻击类似,攻击者会在将来的攻击中使用红色十月的方法和概念,即使这些攻击已经为人所熟知。企业在未来几年都需要作好计划应付像红色十月这样有全面特性的攻击,因为一些手段不高明的攻击者仍然会采用这些新的攻击方式。企业应该有序地实施安全措施,评估他们环境,确定需要改进的控制方式,或者实施新的措施防御类似攻击。