前言:
3 月 20 日下午,多家韩国民间企业遭受数次黑客攻击,业务运作严重中断。此次事件的开始是受害企业内部数台计算机黑屏,网络冻结,造成计算机无法使用。
4 月中事件调查出炉,报导说朝鲜至少用了 8 个月来策划这次攻击,成功潜入韩国金融机构 1500 次,以部署攻击程序,受害计算机总数达 48000 台,这次攻击路径涉及韩国 25 个地点、海外 24 个地点,部分地点与朝鲜之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共有 76 种,其中 9 种具有破坏性,其余恶意软件仅负责监视与入侵之用。相关报导:韩国 320 黑客事件调查出炉,朝鲜花 8 个月潜入企业千次部署攻击
作者:趋势科技
趋势科技在本博客发布过一些关于 2013 年 3 月 20 日针对韩国大量系统进行 MBR 破坏攻击的细节。
今天,我想借着这些内容,以及从这次事件里获得的额外信息,讲讲我们可以从这次攻击里学到什么。
当我们现在看这起针对韩国的攻击时,可以得到三个具体的教训:
- 后 PC 时代的攻击并不只是针对设备
- 自动更新基础设施是个可能的目标
- 安全和基础设施产品也是目标之一
这些经验教训里有个最重要的主题:当我们提到目标攻击,并不仅是指通过针对性鱼叉式网络钓鱼邮件所启动的攻击。目标攻击同时也指会针对所选择的受害者去了解对方的基础设施,想办法尽可能加以闪避或利用。最重要的是,这也适用在安全防护和控制措施上。
后 PC 时代的攻击并不只是针对设备
这些攻击里有件特别引人注目的事情,就是出现了针对 Unix 和 Linux 操作系统的攻击程序代码。我们在过去一年已经看到攻击者开始将注意力转向 Mac OS X,所以通过恶意软件攻击非 Windows 操作系统并非新方式。然而 Unix 和 Linux 通常是黑客入侵的对象,而非恶意软件的目标,所以这也代表了一种新的趋势,将这些操作系统放入后 PC 时代攻击的狙击线内。
大多数组织会将这些版本的 Unix 用在高价值系统上,所以将它们包含在攻击程序代码内,似乎也表示将目标放在这些高价值系统上。而 Linux 往往被用在基础设施和商业化操作系统中,所以我们知道这些也都成为了目标。
这里的关键教训是,如果要找出目目标攻击,就必须将所有的平台和设备都视为可能的目标。所以尽可能将端点安全的最佳实作延伸到所有平台和设备上,这是合理的作法,并且要实施其他层的防护,以保护那些无法使用客户端安全解决方案的平台和设备(如 iOS)。
自动更新基础设施是个可能的目标
我们从这些攻击中学到的一个重要教训是,攻击者可能会破坏利用受害者的修补更新管理系统的认证机制,并用它来传播自己的恶意软件。这是第二次主要的目标攻击,会攻击自动更新/修补管理用的基础设施,并将它变成恶意软件传送系统:去年 5 月的 Flame 攻击也代表一种主要的攻击方式升级:破坏 Windows Update 客户端来传播恶意软件。
有了 Flame 攻击,加上现在这起案例,很明显,攻击者不仅是要破坏自动更新机制,还要进一步去利用它。这并不是说自动更新在本质上不可靠,应该是说,不该再将其视为理所当然。Flame 攻击使用了一种非常复杂的作法,而针对韩国的攻击则使用老式的破坏凭证方法。虽然面对 Flame 攻击所使用的那种方式,我们并没有什么可以做的,但可以进一步地确保安全修补管理和更新基础设施都在更好的管控之下。从风险管理的角度来看,应该将这些资产评估为关键、高价值的目标,并且适当地应对其风险。
安全和基础设施产品也是目标之一
这一点是从前两者延伸出来的,范围也更广阔。MBR 擦除程序恶意软件会针对两三个韩国安全软件进行隐蔽。这种针对特定安全产品采取一定措施的做法本身不是新闻,Conficker/DOWNAD 和其他恶意软件在过去都曾经做过。但这里最有意思的是,它只针对有限的两三个目标,而非大量目标(例如 DOWNAD 那样)。
这代表他们了解目标的安全防护措施。加上他们所利用的修补管理系统也集中在单一厂商产品上,根据这些事实我们可以得出结论:攻击者做好了充分的准备,收集了目标受害者的安全和基础设施相关信息。
就跟我们前面提到,要调整修补管理基础设施的风险评估一样,这里所学到的教训是:在目标攻击里,安全和基础设施产品也是可能的目标。因此,我们需要额外的防护层来消除风险,特别是能够支持启发式检测能力的防护层。
更多APT内容:http://www.trendmicro.com.cn/apt/
结论
MBR 攻击事件中有两件事情特别引人注目:强大的破坏性和他们如何清楚地针对高价值目标展开目标攻击。像这样大规模的攻击很罕见:我记得上次类似的例子是发生在 2004 年的 Witty 蠕虫攻击,它针对运行 Black Ice 的系统,会让系统无法启动。这些攻击突显出一些攻击的兴起和令人担忧的趋势。我们所能做的就是了解这些趋势意味着什么,并采取积极的防护措施,以更好地去对抗它们。而我们现在至少能够知道一件事,那就是成功的战术会被放到其他攻击者的工具箱内,并被用在其他攻击上。
@原文出处:Three Lessons from the South Korea MBR Wiper Attacks
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!