APT“商業化”倒逼企業威脅模型變革
曾經,APT是網絡攻擊中的奢侈品,高端定制、手工打造、限量發售。但是,隨著APT工具技術的產品化和“民主化”,以及“APT即服務”的商業化和規模化,APT這種過去針對高價值目標的高成本低頻次攻擊,門檻大幅降低,正呈現泛濫趨勢,很多過去沒有將APT納入威脅模型的用戶,例如中小企業,如今也正成為APT攻擊的目標。這意味著大量企業和機構都應當根據APT的最新發展趨勢重新修訂其威脅模型。也許,針對網絡犯罪的“攻擊上云”趨勢,最佳防御策略正是“安全上云”。
安全公司卡巴斯基實驗室和Bitdefender在9月份分別發布了有關兩個APT雇傭軍組織的報告。其中一個針對律師事務所和金融領域的公司,而另一個針對建筑和視頻制作公司。這些只是過去幾年一系列類似報告中的最新示例。
Bitdefender的全球網絡安全研究員Liviu Arsene指出:“我們最近看到了一種趨勢,過去由國家贊助的APT團體使用的策略和技術現在已用于對小型公司的攻擊。”“這可能意味著技術能力較強的黑客組織已經開始提供的新的APT即服務模型。正如‘惡意軟件即服務’的到來標志著網絡犯罪行業的新篇章,在國家發起的攻擊中或作為其他更大的APT團體的一部分,不斷打磨技能的雇傭黑客群體所提供的‘APT即服務’都將成為新常態。”
DeathStalker和常用腳本語言
卡巴斯基的報告重點關注了被該公司命名為DeathStalker的黑客雇傭軍組織的近期活動,該組織的工具與最早可追溯至2012年的其他惡意軟件植入具有相似之處。該組織最近主要針對的目標是從事金融業或與金融業合作的實體,包括法律辦事處,財富咨詢公司和金融技術公司,經確認的受害者遍布阿根廷、中國、塞浦路斯、以色列、黎巴嫩、瑞士、土耳其、英國和阿拉伯聯合酋長國。
DeathStalker當前的植入程序是用PowerShell編寫的Powersing。PowerShell是Windows附帶的一種經常被濫用的腳本語言,用于自動執行系統管理任務。該惡意軟件通過帶有包含惡意鏈接附件的魚叉式網絡釣魚電子郵件來投遞。格外值得注意的是,Powersing有效負載可以接觸到社交媒體網站上的各種“死角”,并從作者留下的帶有編碼文本的評論中獲取命令和控制(C&C)服務器的URL。被用于“投毒”的站點包括Google +、Imgur、Reddit、Tumblr、Twitter、YouTube和WordPress。
Powersing會定期與C&C服務器聯系以獲取命令,并具有兩個功能:定期從受害者的計算機捕獲屏幕截圖并將其發送到C&C服務器,并執行C&C提供的任意Powershell腳本。這兩個簡單的功為攻擊者提供了強大的功能。一種允許他們對受害者進行偵察,另一種則允許通過手動黑客攻擊擴大攻擊范圍。
卡巴斯基實驗室(Kaspersky Lab)已經確定了DeathStalker的分發方法(LNK文件),dead drops的使用以及與過去使用過的其他腳本語言(VBE和JavaScript)編寫的另外兩個惡意軟件家族Janicab和Evilnum的代碼相似性。卡巴斯基的研究人員指出,雖然代碼比對沒有任何確切的證據,但是他們相信Powersing,Evilnum和Janicab來自同一團伙。
根據受害者的類型和黑客所關注的信息,卡巴斯基實驗室認為DeathStalker的背后是一個黑客雇傭軍組織,可以為私人客戶提供黑客出租服務,或者在金融界中充當信息經紀人的角色,出售竊取的數據。
卡巴斯基在報告中說:“我們相信DeathStalkers純粹是根據他們的價值判斷或根據客戶要求選擇目標。”“在這種情況下,我們評估,無論其地理位置如何,金融領域的任何公司都可能會是DeathStalker的獵物。”
黑客雇傭軍使用有針對性的攻擊媒介
Bitdefender在其最近的報告中記錄了對一家在全球設有辦事處,與紐約、倫敦、澳大利亞和阿曼的房地產開發商都有合作的公司最近遭遇了APT攻擊。該公司的客戶還包括知名建筑師和世界知名的室內設計師。
值得注意的是,這個黑客組織將他們的惡意軟件植入程序以Autodesk 3DS Max(一個流行的3D動畫和建模程序)流氓插件的形式投送。這表明該黑客組織確切地知道目標是誰、目標數據有哪些以及可以利用哪些軟件來作為攻擊切入點。
該公司表示:“在調查過程中,Bitdefender研究人員還發現威脅行為者擁有強大而完整的間諜工具集。”“基于Bitdefender的遙測技術,我們還發現了與同一命令和控制服務器通信的其他類似惡意軟件樣本,可追溯到不到一個月前。位于韓國、美國、日本和南非。該網絡犯罪集團可能也將這些地區的特定受害者作為目標。”
6月,Bitdefender曾發布過一份報告,涉及另一個被稱為StrongPity的可疑雇傭軍組織,該組織具備以財務和地緣政治為目標的雇傭軍網絡犯罪集團的特征。另一家代號Barium或Winnti的較早的APT組織也曾發起一系列涉及流行軟件的供應鏈攻擊,其過往的運營和攻擊行為也顯示出對網絡間諜和財務利益的巨大興趣。
雇傭APT成為趨勢?
互聯網的暗黑社會中一直存在著可供出租的黑客。甚至有證據表明,俄羅斯等國還會從網絡犯罪圈子招募黑客從事情報活動。然后,這些黑客學習復雜的APT風格的技術、策略和程序(TTP),這些技術、策略和程序也可用于其犯罪活動。或者,他們可以成立雇傭軍團體,并將其技能出售給想要監視競爭對手或操縱金融市場的私人實體。
一些團體甚至受到向第三方客戶出售黑客服務的國家的資助、培訓和支持。朝鮮就是這種情況。4月,美國國務院、財政部、國土安全部和聯邦調查局發布了有關朝鮮網絡威脅的聯合咨詢報告,其中提到:“朝鮮網絡參與者DPRK也接受第三方客戶付費入侵網站并勒索第三方。”
《網絡雇傭兵:國家,黑客和權力》一書的作者,美國外交政策智囊機構卡內基國際和平基金會網絡政策倡議的聯合主任蒂姆·莫拉爾(Tim Maurer)表示:“我發現這是一個令人著迷的故事,確實提醒了人們網絡威脅形勢的復雜性,而且我認為報紙或政策制定者目前的討論并未考慮到這一點”。“我認為很少有人真正意識到這些不同類型的維度。朝鮮必須賺很多錢,因此他們的行為舉止獨特。但這也引發了一些有趣的問題,即朝鮮的網絡攻擊方式是否會在國際上擴散。”
根據毛勒(Maurer)的說法,不同黑客或黑客團體戴著不同顏色的帽子,而政府人員和雇工黑客則使組織很難知道黑客攻擊的真正意圖是什么,以及黑客會如何處理和使用失竊的數據。
提供雇傭黑客服務的雇傭兵組織的數量正在不斷增加,這是過去過去幾年APT技術和工具商品化和公開發布所推動的。許多網絡犯罪集團和勒索軟件幫派使用手動黑客和無文件執行技術,濫用腳本語言和雙重用途工具(系統管理員或IT安全專業人員也使用這些工具),在網絡內部進行長達數月的偵察和橫向移動操作,為每個受害者開發自定義的有效載荷等等。
即使是中小型公司也面臨APT的風險
那么,不論行業和組織的規模大小,是否可以承受威脅模型中不包含APT的后果嗎?答案越來越傾向于“不”,但這對中小型企業提出了一個嚴峻問題,因為它們往往沒有檢測和響應此類攻擊所需的安全產品,預算或熟練的人員。
Bitdefender的Arsene表示:“ 中小型企業將必須徹底改革其威脅模型,建立新的安全策略,并重新調整其安全預算。”“過去,大多數APT攻擊中‘躺槍’的中小型企業實際上屬于對更大目標的供應鏈攻擊的一部分,而APT雇傭服務的興盛極大降低了此類攻擊的門檻,意味著中小型公司也將成為APT攻擊的獵物。”
“我確實認為,對于大多數組織而言,遷移到云是有意義的,因為這樣云服務提供商的安全團隊能夠更有效地檢測和防御APT,因此可以得到更好的保護,”Maurer表示。“如果您是一家小型公司,并且可能只有一個人忙于更新補丁,那么您就沒有足夠的帶寬來有效地防御更高級的威脅。過去十年中,具有攻擊性網絡能力的國家黑客組織的的國家數量就從六個增加到現在的30多個,APT攻擊知識和能力的擴散持續超過國家(和組織)有效防御的能力。”
Maurer還認為,云提供商在不斷投資提高安全性并保護其客戶方面享有聲譽,因為任何有客戶的云資產遭到破壞的新聞報道也會提及云提供商的名稱,無論他們是否負責。話雖如此,但大多數云安全問題都是由于配置不安全導致的,最終責任還是客戶自己承擔。總之,盡管遷移到云可能會減輕某些組織的網絡監視負擔,但他們仍需要確保安全配置其云服務器和資產。
Arsene認為,中小企業對抗APT還可以考慮端點檢測和響應(EDR)以及托管檢測和響應(MDR)解決方案,這些解決方案對于中小型企業來說也是負擔得起的,并且可以提供企業級安全運營中心的很多服務。
Arsene指出:“對于小型企業而言,尤其是在競爭激烈且財務驅動的垂直行業中,最大的挑戰是缺乏合格的安全和IT人員,以及缺乏能夠發現可疑行為的安全工具。”“中小型公司不僅需要檢測惡意軟件的安全軟件,而且在端點和網絡層都需要可見性工具來增強其安全性。可以通過以下方式來解決安全人才短缺的問題:選擇托管的檢測和響應團隊,不僅評估公司的基礎結構,并提出安全和強化工具,還充當專門的威脅獵人小組,對可疑事件進行威脅溯源。”
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
