東巽科技:南亞某國APT組織對中國發起“豐收行動”
責編:mhshi |2016-08-10 14:29:008月8日,國內新興的APT技術廠商東巽科技發布了一份題為《東巽科技2046Lab團隊APT報告:“豐收行動”》的安全報告。報告中提到,2016年7月,東巽科技2046Lab團隊追溯到一起來自南亞某國隱匿組織的APT攻擊,目標以巴基斯坦、中國等國的科研院所、軍事院校和外交官員為主,通過竊取文件的方式獲取與軍事相關情報。由于樣本的通信密碼含有“January14”關鍵詞,這一天正好是南亞某國盛行的“豐收節”,東巽把該APT事件命名為“豐收行動”。
C&C服務器建立時間的分析
受害者群體、領域分析
據了解,事件的起因是東巽科技2046Lab團隊在7月捕獲到一例疑似木馬的樣本,該木馬樣本偽裝成Word文檔,實為利用CVE-2015-1641漏洞(Word類型混淆漏洞)的RTF格式文檔,以郵件附件的形式發給攻擊目標,發動“魚叉式攻擊”。在將文件提交到多引擎殺毒平臺檢測后,發現54款殺軟僅8款可以檢出威脅,說明木馬做了大量的免殺處理。隨后,研究人員對樣本進行了深入的人工分析,發現其C&C服務器依然存活,于是對其進行了跟蹤溯源和樣本同源分析,又發現了其他兩處C&C服務器和更多樣本。
失竊文件截圖
失竊數據截圖
與友商用大量樣本統計來分析APT方式不同,2046Lab針對“豐收行動”的分析雖也利用了樣本分析手法,但更多是利用跟蹤溯源的方式。這種跟蹤溯源和分析過程,剝離出了更多的真相。“從一個樣本到一個C&C服務器,再到另一個樣本,到另一個C&C服務器,每跟蹤溯源一次,我們對攻擊者的了解就加深一些,包括攻擊者的目標對象、使用工具、C&C服務器據點、慣用手法,最后云開霧散,終于發現了攻擊者的具體IP,找到了其在南亞某國的幕后大本營。這一過程不免讓我們再次感嘆,“人與人”的對抗確實是APT防護對抗的本質所在。”東巽科技CTO李薛表示。
本次“豐收行動”,再一次證明了APT攻擊的存在和長期活躍,而導致攻擊成功的主要因素是:防守在明、攻擊在暗,受害者的防御措施與攻擊者攻擊手段存在能力差距,尤其是未知威脅的檢測和預警能力。
李薛還認為,本次的揭露只是全球APT攻擊事件的冰山一角,中國也是APT攻擊的受害者之一。需要警醒的是,攻擊者并不會因為本次的揭露而銷聲匿跡,至多是偃旗息鼓一段時間,然后以更隱蔽的方式卷土重來,并用上新的免殺技術、新的漏洞或者新的攻擊方式。所以,通過本報告希望能給用戶,尤其是可能遭受APT攻擊的重要機構一些提醒和建議,落實習總書記4.19講話精神,樹立正確的網絡安全觀,充分識別自己的防御措施和攻擊技術之間的差距,加快構建安全保障體系提前部署防御措施,尤其是未知威脅的檢測和識別方面的能力建設,增強網絡安全防御能力和威懾能力,防患于未然。