网络间谍
我们的安全专家发现了一个专门窃取商业机密的网络犯罪组织。目前来看,该组织的攻击目标主要是金融科技公司、律师事务所和财务咨询公司,还至少攻击过一次外交机构。
根据他们的攻击目标范围,我们发现这个代号为DeathStalker的组织是一群网络雇佣兵。他们提供”按需攻击”的黑客服务,或在金融界充当某种信息经纪人的角色。
DeathStalker团伙最早活动可以追溯到2018年,甚至更早至2012年。正是他们对Powersing植入的使用引起了我们安全专家的注意,近期的多起攻击也使用了相似的方法。
攻击手段
首先,犯罪团伙使用鱼叉式网络钓鱼渗入受害者的网络,然后他们向内部员工发送伪装成文档的恶意LNK文件。该文件是一个快捷方式,它会启动系统命令解析器cmd.exe并执行一条恶意脚本程序。受害者会看到随机的PDF、DOC或者DOCX格式的文档,这会造成他们打开了一个正常文件的假象。
有趣的是,恶意代码中并不含有C&C服务器的地址。该恶意程序会访问发布在公共平台上的某个帖子,并读取其中一段看似没有意义的字符串。实际上,这是用来激活下一阶段攻击的加密信息,这种攻击策略被称为dead drop resolver。
接下来,攻击者获取计算机的控制权,在自动运行文件夹中放置一个恶意快捷方式文件(从而使其在系统中运行),并且和真正的C&C服务器建立连接(在这之前,它必须解码另一条发布在正常网站上的看似没有意义的字符串来获取服务器地址)。
实质上,Powersing植入完成两个任务:它定期截取受害者的屏幕并发送至C&C服务器,而且还从C&C服务器下载运行更多的Powershell脚本程序。换句话说,它的目标是在受害者的计算机上站稳脚跟从而启动更多的攻击工具。
绕过安全机制的方法
在攻击的各个阶段,该恶意程序会根据不同目标而使用各种各样的方法来绕过安全防御技术。除此之外,如果它在目标计算机上发现杀毒软件,它可以改变攻击策略甚至停止攻击。我们的安全专家认为攻击团伙在每次攻击中都会研究目标并适当调整他们的脚本程序。
不过DeathStalker最奇特的攻击技术是将公共服务用作dead drop resolver机制,这些服务允许将加密信息以公开可读的帖子、评论、用户简介和内容描述等形式存储在固定的地址。帖子就如下图所示:
总的来说,这只是攻击者用来隐藏与C&C服务器初始连接的一个小把戏,使得安全保护机制认为程序只是访问公开网站。我们的安全专家在各种攻击案例中发现,被用于该目的的服务包括Google+、Reddit、Tumblr、Twitter、YouTube和WordPress等等。而且以上只是部分被利用的服务,公司不太可能阻拦和这些服务的所有网络连接。
通过阅读Securelist上近期发表的一篇和DeathStalker有关的文章,你可以找到更多信息,包括DeathStalker团伙和Janicab以及Evilnum恶意程序之间的可能联系,还有对Powersing技术的详细描述以及被感染指标。
如何保护企业不受DeathStalker攻击
从对该团伙攻击方法和工具的描述中,我们可以看出,在当今世界即便是小型企业也要面对严峻的网络威胁。这个组织并非APT攻击者,他们也没有使用任何过于复杂的诡计,但是他们精心设计了用来绕过安全软件的工具。我们的安全专家提出以下防护建议:
- 特别注意由脚本语言解析器启动的进程,尤其是powershell.exe和cscript.exe。如果没有特别需求使用它们来完成商业任务,请将其禁用。
- 提防那些由邮件传播LNK文件发动的攻击。
- 使用高级保护技术,包括EDR(终端检测与相应)级别的解决方案。
与此同时,我们的武器库中有一个集成解决方案,可以同时兼具终端保护平台(EPP)和终端检测与响应(EDR)的功能,你可以点击这里来了解更多信息。
提示