Websense公司安全研究主管Alex Watson去年在研究了来自Windows错误报告(WER)的1600万崩溃报告后,发现了利用零日漏洞发起的高级持续性威胁(APT)。
你最近发现了针对移动网络运营商和政府机构的针对性攻击,你是如何发现的?
我们当时正在试图研究如何检测威胁的问题,例如侵入企业网络的有针对性攻击。现在部署的网络安全系统主要是基于来自供应商的额外信息以及基于签名的防御。这意味着,现在的安全系统能够很好地发现已知威胁,但在过去一年我们所看到的的例子中,网络犯罪组织很愿意花费必要的资源和事件来避免PF、防火墙或防病毒系统的检测。
你如何利用Windows错误报告(WER)来发现以前未知的威胁?
微软利用这些报告来优先排序漏洞修复,以及确定应用程序是否故障,而我们利用这些崩溃报告来发现持续攻击、漏洞利用活动、代码或注入攻击。当你插入USB设备设备到你的电脑,报告会发送到微软,其中详细介绍你的电脑,但大多数企业都没有意识到这些报告被发出去。
你测试了哪些漏洞利用?
我们进行了一些案例研究,以探讨我们如何利用异常活动来发现已知攻击。我们查看了过去一年中最流行的攻击之一,即CVE-2013-3893(非常强大的IE漏洞利用,被用于台湾和日本的针对性攻击中),我们看到这个漏洞被用于针对高价值组织,但他们使用的基础设施、shell代码和模糊技术并没有达到实际漏洞利用的水平,这让我们怀疑这是唯一利用这个漏洞的群体。
你如何描述这种攻击?
这是一种有针对性的攻击,攻击者首先发送电子邮件到企业内选定的人群。我们假设是15个人,这些应用程序中至少有一个会出现故障,从而出现我们能够检测的程序崩溃,而其他可能会成功。我们逆向了这些漏洞利用,发现了崩溃点,并为崩溃报告创建了指纹(在漏洞利用失败的情况下)。
然而,我们搜索了4个月内的1600万份报告,最后发现来自四个不同企业的五份报告符合我们的指纹。我们查看了这些企业,特别是其中两个(移动网络运营商和政府机构)是高价值目标。他们都有Houdini H-Worm(远程访问木马)。
你发现了其他攻击吗?
我们还收集了来自销售点(POS)应用程序的应用崩溃报告,例如POSRAM恶意软件针对的应用程序。对这些崩溃日志信息的分析显示,攻击者可能向其pos.exe应用程序注入了代码,这类似于其他POS恶意软件使用的载体。如果你从应用程序开发人员来看这个问题,这是非常糟糕的崩溃,因为这是别人的代码,而不是你自己的代码。
从安全角度来看,这让我们相信可能出现代码注入攻击。因此,如果有恶意产品瞄准你的POS应用程序,而这个恶意程序崩溃了,那么,它可能很快会让你的网络崩溃。
安全企业应如何应对这些攻击?
随着攻击者提高其入侵技术,安全行业需要摆脱基于签名的防御,添加更多围绕异常活动和网络行为的情报监控系统。