Blue Coat全面解析最新安卓惡意軟件新威脅
責編:admin |2014-12-31 14:06:38Blue Coat 研究人員發現了全新安卓惡意軟件,它專門攻擊政府、軍隊以及金融、工程等行業的高層人士。證據表明該惡意軟件的攻擊對象分布在至少 37 個國家或地區。
該惡意軟件的攻擊活動復雜程度高,技術水平遠在一般的安卓惡意軟件之上。最值得關注的是攻擊者留下的痕跡指向全球多個位置。大量關于攻擊出處的假線索表明攻擊者蓄意混淆視聽,隱藏真實來源。
除了留下假線索隱蔽身份,攻擊者還通過第三方基礎設施安全網絡路由通信。該基礎設施基于多層命令和控制體系結構,同時利用知名公共博客網站和可能已遭入侵的私人網站。
從技術角度來說,此惡意軟件與普通樣本迥然不同,完全是精心設計的間諜工具。它的主要目的是錄制通話音頻并收集受害者的身份和位置信息。鑒于受害對象包括政界人士和使館人員,這項攻擊應該是以各個關鍵行業的高層人士為目標,有組織、有預謀的竊取機密或內部信息的間諜活動。
感染
攻擊對象是精心選擇的,并使用魚叉式網絡釣魚 (spearphishing) 攻擊進行定位。惡意軟件為受害者分配單獨的目標標識符,并向每個受害者單獨發送 WhatsApp 或 Viber 更新通知電子郵件。如完整報告所述,研究人員發現了一封電子郵件以巴拉圭外交部工作人員為攻擊目標,還有一封郵件的目標是巴拉圭聯合國代表團成員。電子郵件如下所示:
在受害者使用安卓設備訪問 URL 時,他們會下載一個名為“WhatsAppUpdate.apk”的文件。使用 Apple iOS 設備訪問鏈接會下載一個基于 Cydia 的 iOS 應用。同樣地,使用黑莓設備訪問會下載一個黑莓應用。在大多數情況下,使用普通 PC 訪問同樣的鏈接會重定向到 BBC 新聞網站。
惡意軟件偽裝成 WhatsApp 更新工具,從下圖中可以看出,它的界面很簡單:
使用 Blue Coat 新一代惡意軟件分析設備 (Malware Analysis Appliance) 的移動威脅分析(Mobile Threat Analysis) 功能,可以輕松地發現命令和控制基礎設施的入口點。分析表明這是一個多層級結構,攻擊者可以迅速調整基礎設施,隱藏真正攻擊源。這樣的設計選擇為攻擊者提供了極大的敏捷性。
攻擊者依靠第三方控制的基礎設施執行命令和控制。為了獲得可靠性和敏捷性,他們使用多層級結構,可以靈活地獲得更新并隨時轉移。以下為該結構的示意圖:
第一級包含知名的博客網站。這些博客網站不是用于收集數據或發布更多命令,而只是托管用于訪問第二級命令和控制服務器的嵌入加密配置信息。此類信息隱藏在如下所示的常規博客條目中。
博客文章的開始為常規文本,這可以確保在搜索引擎索引和其他摘要中顯示“有效”內容。文本中有大加密數據塊,在經過惡意軟件解密后,包含第二級基礎設施的位置和身份驗證信息。這樣,只要發布更新的博客,即可隨時更改整個第二級基礎設施。
為實現冗余,惡意軟件會檢測多個博客,每個博客均包含第二級命令和控制服務器的獨特配置信息。我們發現了托管于 LiveJournal.com 和 Tumblr 的此類博客帳戶。此外,博客帳戶列表可使用第二級基礎設施更新。因此,攻擊者的基礎設施非常敏捷,不會因博客帳戶被暫停而受到影響。
第二級命令和控制基礎設施托管于可能已被入侵的網站。我們在波蘭、俄羅斯和德國發現了此類第二級服務。在調查中,我們發現這些網站看起來互不相關,但是它們都使用版本已過期的 Joomla 內容管理系統。黑客和犯罪分子經常利用此類網站發動攻擊。
第二級基礎設施用于將記錄的通話通過代理傳輸到實際的放置區并獲取更新。更新可以是新應用代碼或第一級博客的更新列表。第二級代理服務器的所有往來通信均完全加密,讓包含被入侵網站的代理層無法發現詳細信息。
歸屬:隱藏真實來源
在已發布的“Inception”報告中已經說過,攻擊者留下了來源線索,指向許多地點。這與整個間諜活動的做法相同,即線索指向全球多個國家/地區和地理位置。由于存在大量不一致的信息,我們認為攻擊者蓄意隱藏行蹤,制造虛假信息進行誤導。
如何識別并防范針對性攻擊?
1.針對性強的攻擊不容易識別。很多時候,人們薄弱的意識給了它們可趁之機。例如,在這個案例中,魚叉式網絡釣魚電子郵件與正常的電子郵件很難區分。用戶應當具有防范潛在攻擊的意識。如果收到了 Whatsapp 更新電子郵件,但重定向到了 BBC,這就有問題,應當報告給 IT 安全團隊。
2.只運行從 Google Play 或 Apple 的 App Store 安裝的官方應用可以顯著提升安全。在此次間諜活動中,受到攻擊的對象都使用第三方應用市場、越獄手機、或運行來源不明的應用。
3.要快速識別、屏蔽和修復此類攻擊,IT 專業人員必須要有合適的工具。他們需要網絡取證設備來記錄流量并在發現受到攻擊后對威脅進行追溯性分析。
4.沙箱可以有效防范多態惡意軟件和其他繞過傳統防線的威脅。將威脅放到沙箱環境中非常重要,這樣可以使用與組織的黃金映像 (Golden Image) 相同的軟件配置檢測威脅,發現組織面臨的真實風險。沙箱功能還可用于識別本案例中的移動威脅。
5.Blue Coat 本周發布的最新惡意軟件分析設備 (Malware Analysis Appliance) 可支持分析和識別此類移動威脅。
下一篇:2015年移動安全預測