曾经,APT是网络攻击中的奢侈品,高端定制、手工打造、限量发售。但是,随着APT工具技术的产品化和“民主化”,以及“APT即服务”的商业化和规模化,APT这种过去针对高价值目标的高成本低频次攻击,门槛大幅降低,正呈现泛滥趋势,很多过去没有将APT纳入威胁模型的用户,例如中小企业,如今也正成为APT攻击的目标。这意味着大量企业和机构都应当根据APT的最新发展趋势重新修订其威胁模型。也许,针对网络犯罪的“攻击上云”趋势,最佳防御策略正是“安全上云”。
安全公司卡巴斯基实验室和Bitdefender在9月份分别发布了有关两个APT雇佣军组织的报告。其中一个针对律师事务所和金融领域的公司,而另一个针对建筑和视频制作公司。这些只是过去几年一系列类似报告中的最新示例。
Bitdefender的全球网络安全研究员Liviu Arsene指出:“我们最近看到了一种趋势,过去由国家赞助的APT团体使用的策略和技术现在已用于对小型公司的攻击。”“这可能意味着技术能力较强的黑客组织已经开始提供的新的APT即服务模型。正如‘恶意软件即服务’的到来标志着网络犯罪行业的新篇章,在国家发起的攻击中或作为其他更大的APT团体的一部分,不断打磨技能的雇佣黑客群体所提供的‘APT即服务’都将成为新常态。”
DeathStalker和常用脚本语言
卡巴斯基的报告重点关注了被该公司命名为DeathStalker的黑客雇佣军组织的近期活动,该组织的工具与最早可追溯至2012年的其他恶意软件植入具有相似之处。该组织最近主要针对的目标是从事金融业或与金融业合作的实体,包括法律办事处,财富咨询公司和金融技术公司,经确认的受害者遍布阿根廷、中国、塞浦路斯、以色列、黎巴嫩、瑞士、土耳其、英国和阿拉伯联合酋长国。
DeathStalker当前的植入程序是用PowerShell编写的Powersing。PowerShell是Windows附带的一种经常被滥用的脚本语言,用于自动执行系统管理任务。该恶意软件通过带有包含恶意链接附件的鱼叉式网络钓鱼电子邮件来投递。格外值得注意的是,Powersing有效负载可以接触到社交媒体网站上的各种“死角”,并从作者留下的带有编码文本的评论中获取命令和控制(C&C)服务器的URL。被用于“投毒”的站点包括Google +、Imgur、Reddit、Tumblr、Twitter、YouTube和WordPress。
Powersing会定期与C&C服务器联系以获取命令,并具有两个功能:定期从受害者的计算机捕获屏幕截图并将其发送到C&C服务器,并执行C&C提供的任意Powershell脚本。这两个简单的功为攻击者提供了强大的功能。一种允许他们对受害者进行侦察,另一种则允许通过手动黑客攻击扩大攻击范围。
卡巴斯基实验室(Kaspersky Lab)已经确定了DeathStalker的分发方法(LNK文件),dead drops的使用以及与过去使用过的其他脚本语言(VBE和JavaScript)编写的另外两个恶意软件家族Janicab和Evilnum的代码相似性。卡巴斯基的研究人员指出,虽然代码比对没有任何确切的证据,但是他们相信Powersing,Evilnum和Janicab来自同一团伙。
根据受害者的类型和黑客所关注的信息,卡巴斯基实验室认为DeathStalker的背后是一个黑客雇佣军组织,可以为私人客户提供黑客出租服务,或者在金融界中充当信息经纪人的角色,出售窃取的数据。
卡巴斯基在报告中说:“我们相信DeathStalkers纯粹是根据他们的价值判断或根据客户要求选择目标。”“在这种情况下,我们评估,无论其地理位置如何,金融领域的任何公司都可能会是DeathStalker的猎物。”
黑客雇佣军使用有针对性的攻击媒介
Bitdefender在其最近的报告中记录了对一家在全球设有办事处,与纽约、伦敦、澳大利亚和阿曼的房地产开发商都有合作的公司最近遭遇了APT攻击。该公司的客户还包括知名建筑师和世界知名的室内设计师。
值得注意的是,这个黑客组织将他们的恶意软件植入程序以Autodesk 3DS Max(一个流行的3D动画和建模程序)流氓插件的形式投送。这表明该黑客组织确切地知道目标是谁、目标数据有哪些以及可以利用哪些软件来作为攻击切入点。
该公司表示:“在调查过程中,Bitdefender研究人员还发现威胁行为者拥有强大而完整的间谍工具集。”“基于Bitdefender的遥测技术,我们还发现了与同一命令和控制服务器通信的其他类似恶意软件样本,可追溯到不到一个月前。位于韩国、美国、日本和南非。该网络犯罪集团可能也将这些地区的特定受害者作为目标。”
6月,Bitdefender曾发布过一份报告,涉及另一个被称为StrongPity的可疑雇佣军组织,该组织具备以财务和地缘政治为目标的雇佣军网络犯罪集团的特征。另一家代号Barium或Winnti的较早的APT组织也曾发起一系列涉及流行软件的供应链攻击,其过往的运营和攻击行为也显示出对网络间谍和财务利益的巨大兴趣。
雇佣APT成为趋势?
互联网的暗黑社会中一直存在着可供出租的黑客。甚至有证据表明,俄罗斯等国还会从网络犯罪圈子招募黑客从事情报活动。然后,这些黑客学习复杂的APT风格的技术、策略和程序(TTP),这些技术、策略和程序也可用于其犯罪活动。或者,他们可以成立雇佣军团体,并将其技能出售给想要监视竞争对手或操纵金融市场的私人实体。
一些团体甚至受到向第三方客户出售黑客服务的国家的资助、培训和支持。朝鲜就是这种情况。4月,美国国务院、财政部、国土安全部和联邦调查局发布了有关朝鲜网络威胁的联合咨询报告,其中提到:“朝鲜网络参与者DPRK也接受第三方客户付费入侵网站并勒索第三方。”
《网络雇佣兵:国家,黑客和权力》一书的作者,美国外交政策智囊机构卡内基国际和平基金会网络政策倡议的联合主任蒂姆·莫拉尔(Tim Maurer)表示:“我发现这是一个令人着迷的故事,确实提醒了人们网络威胁形势的复杂性,而且我认为报纸或政策制定者目前的讨论并未考虑到这一点”。“我认为很少有人真正意识到这些不同类型的维度。朝鲜必须赚很多钱,因此他们的行为举止独特。但这也引发了一些有趣的问题,即朝鲜的网络攻击方式是否会在国际上扩散。”
根据毛勒(Maurer)的说法,不同黑客或黑客团体戴着不同颜色的帽子,而政府人员和雇工黑客则使组织很难知道黑客攻击的真正意图是什么,以及黑客会如何处理和使用失窃的数据。
提供雇佣黑客服务的雇佣兵组织的数量正在不断增加,这是过去过去几年APT技术和工具商品化和公开发布所推动的。许多网络犯罪集团和勒索软件帮派使用手动黑客和无文件执行技术,滥用脚本语言和双重用途工具(系统管理员或IT安全专业人员也使用这些工具),在网络内部进行长达数月的侦察和横向移动操作,为每个受害者开发自定义的有效载荷等等。
即使是中小型公司也面临APT的风险
那么,不论行业和组织的规模大小,是否可以承受威胁模型中不包含APT的后果吗?答案越来越倾向于“不”,但这对中小型企业提出了一个严峻问题,因为它们往往没有检测和响应此类攻击所需的安全产品,预算或熟练的人员。
Bitdefender的Arsene表示:“ 中小型企业将必须彻底改革其威胁模型,建立新的安全策略,并重新调整其安全预算。”“过去,大多数APT攻击中‘躺枪’的中小型企业实际上属于对更大目标的供应链攻击的一部分,而APT雇佣服务的兴盛极大降低了此类攻击的门槛,意味着中小型公司也将成为APT攻击的猎物。”
“我确实认为,对于大多数组织而言,迁移到云是有意义的,因为这样云服务提供商的安全团队能够更有效地检测和防御APT,因此可以得到更好的保护,”Maurer表示。“如果您是一家小型公司,并且可能只有一个人忙于更新补丁,那么您就没有足够的带宽来有效地防御更高级的威胁。过去十年中,具有攻击性网络能力的国家黑客组织的的国家数量就从六个增加到现在的30多个,APT攻击知识和能力的扩散持续超过国家(和组织)有效防御的能力。”
Maurer还认为,云提供商在不断投资提高安全性并保护其客户方面享有声誉,因为任何有客户的云资产遭到破坏的新闻报道也会提及云提供商的名称,无论他们是否负责。话虽如此,但大多数云安全问题都是由于配置不安全导致的,最终责任还是客户自己承担。总之,尽管迁移到云可能会减轻某些组织的网络监视负担,但他们仍需要确保安全配置其云服务器和资产。
Arsene认为,中小企业对抗APT还可以考虑端点检测和响应(EDR)以及托管检测和响应(MDR)解决方案,这些解决方案对于中小型企业来说也是负担得起的,并且可以提供企业级安全运营中心的很多服务。
Arsene指出:“对于小型企业而言,尤其是在竞争激烈且财务驱动的垂直行业中,最大的挑战是缺乏合格的安全和IT人员,以及缺乏能够发现可疑行为的安全工具。”“中小型公司不仅需要检测恶意软件的安全软件,而且在端点和网络层都需要可见性工具来增强其安全性。可以通过以下方式来解决安全人才短缺的问题:选择托管的检测和响应团队,不仅评估公司的基础结构,并提出安全和强化工具,还充当专门的威胁猎人小组,对可疑事件进行威胁溯源。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
