Kaspersky研究發現， 紅色十月黑客組織發現之前，它已經存在近5年了。網絡間諜攻擊并不新鮮，但是越來越復雜?，F在，攻擊者成功潛入組織并隱藏幾個月不被發現很簡單。企業可以通過分析這些高級攻擊吸取經驗教訓。本文將詳細介紹紅色十月惡意攻擊行為，以及企業安全團隊可以從中學習的攻擊檢測方法。

紅色十月惡意軟件攻擊分析

從2007年開始，紅色十月攻擊了大量目標。黑客主要針對于全世界的科學研究、外交、政府和支持組織，大多集中在東歐地區。按照這個惡意軟件的內容和名字，Kaspersky實驗室認為紅色十月模塊由俄國開發者提供，并且由中國黑客開發。

攻擊活動的執行與最近發生的其他高級攻擊類似;它首先發布包含惡意附件的網絡釣魚，一旦執行就攻擊微軟Office和Java漏洞。這樣，后門和短期可執行文件就能夠獲得本地系統的訪問權限，建立持久訪問，然后利用密碼盜取、鍵盤記錄與掃描等手段為其他系統提供攻擊途徑。其最終目標通常是發現遠程系統的訪問身份或系統信息，并利用這些信息盜取數據。它會從命令控制(C&C)服務器下載指令，包括新的惡意軟件，然后掃描數據并將數據導入C&C基礎架構，用于隱藏主服務器的代理正位于此處。

紅色十月攻擊確實有一些與標準惡意軟件攻擊不同的特殊之處——對目標網絡的攻擊偵察深度、攻擊計劃和框架。每一個目標系統都會分配一個攻擊目標ID，這樣攻擊者就可以方便地跟蹤攻擊。因為攻擊有一定規模，攻擊目標ID可以幫助攻擊者更好地分析和控制大量受攻擊的設備。這種跟蹤系統還允許攻擊者指定惡意軟件(并避免重復使用相同的惡意軟件)，使他們可以很長時間不被反病毒軟件發現。在接收到某種附件時，這個惡意軟件甚至能夠恢復C&C基礎架構的訪問，從而能夠更快地盜取有重要價值的數據。

通常，它使用NTFS底層API和訪問權限去掃描已刪除數據，然后恢復目標數據。在網絡掃描過程中，紅色十月攻擊者會尋找將來可用于攻擊網絡的思科路由器。甚至在捕捉到SIP配置數據時，攻擊者還可能會監控電話通話。然后，它還會收集來自iPhone、諾基亞和Windows智能手機的信息，以便進一步確定目標數據。

紅色十月應對措施：檢查現有措施 增加新控制

對于企業安全團隊而言，他們應該明白，紅色十月仍然大量使用一些舊的攻擊方法，如果組織部署了基本安全措施，那么他們應該已經有能力防御這些攻擊。如果企業還不重視鏈接掃描、強力認證、快速補丁和網絡監控，那么他們將來會受到類似于紅色十月的攻擊。因此，應該考慮采用一些額外的輔助防御措施。例如，應用白名單可以屏蔽目標系統的未授權可執行文件。此外，還有新的異常檢測產品(如FireEye和Damballa的產品)應付越來越多的新情況。強力雙因子認證雖然不是新的防御手段，但是也可用于防御證書攻擊。

紅色十月事件反映了高級攻擊者的全面和多功能的攻擊特性，突顯出調整安全計劃對于防御這些攻擊的重要。和其他成功攻擊類似，攻擊者會在將來的攻擊中使用紅色十月的方法和概念，即使這些攻擊已經為人所熟知。企業在未來幾年都需要作好計劃應付像紅色十月這樣有全面特性的攻擊，因為一些手段不高明的攻擊者仍然會采用這些新的攻擊方式。企業應該有序地實施安全措施，評估他們環境，確定需要改進的控制方式，或者實施新的措施防御類似攻擊。