Websense如何偵測及防禦-殭屍網路「Kelihos」威脅

Forcepoint™(原Raytheon | Websense)安全實驗室曾遇到一個有趣的攻擊活動,利用攻擊西方政府網站作為幌子,企圖引誘俄羅斯民眾下載並執行程序。這是報復、抵抗俄羅斯政府對烏克蘭政治的行為。事實上,不幸的受害者電腦會淪為Kelihos垃圾郵件殭屍網路的其中一員。 Kelihos(也叫Hlux)是長時間潛伏類型的木馬/bot/後門,具有不同功能的變種,像是:
  • 傳送垃圾郵件
  • 嗅探敏感資訊,像是密碼。
  • 竊取比特幣錢包
  • 植入後門到受害者電腦
  • 參與DDoS攻擊
  • 下載惡意軟體
  • 多年來,有過多次的努力將殭屍網路瓦解,但是看起來Kelihos背後的犯罪組織正企圖復興並擴張殭屍網路。以下是Forcepoint™(原Raytheon | Websense) Lab發現散布Kelihos殭屍網路的引誘手段,像是在2013年的兩大攻擊活動(利用波士頓馬拉松爆炸案),都是透過槓桿操作RedKit弱點偵測工具去投遞Kelihos到受害者電腦,這導致了財務利益上一系列股票「拉高出貨」的活動。 看到Forcepoint™(原Raytheon | Websense) ThreatSeeker Intelligence Cloud遙測與Kelihos有關的特定類型網頁的點擊統計,我們可以了解為什麼網路犯罪組織企圖擴展版圖: 可看到2014年4月各地有大量點擊產生,近幾個月似乎又下降,2014年8月又隨著逐步上升,這可能是擴展工程的開始。 這件案件不同之處在於犯罪組織訴諸愛國情感(見下文詳細分析)而不是吸引受害者的好奇心,明白的表示他們將會運行惡意軟體在下載的電腦上,但沒有揭露說明它們其實是惡意軟體。
    截至目前在這項攻擊活動中我們所分析的變種,看起來似乎是垃圾郵件機器人及嗅探功能的變種;初步分析沒有DDoS 的行為。即便如此,讓企業運行這樣的惡意軟體也會造成顯著的傷害。(像blacklisting就是個例子)
    使用Forcepoint™(原Raytheon | Websense)的客戶會被ACE所保護,ACE進階分類引擎7個階段分析過程中在以下階段進行分析:
    階段2(引誘):ACE會偵測誘餌郵件的URL,並且Forcepoint™(原Raytheon | Websense) Email Security會阻擋這些誘餌郵件。
    階段5(感染惡意文件):ACE會偵測涉及到此攻擊的二進制文件。
    階段6(回報):防止C & C的通訊連結。
    注意:此攻擊活動並未利用到階段3跟4,細節如下。
    分析
    這項攻擊活動開始於2014/8/20,email內容如下:
    主旨和正文不同,但是他們都是同樣的議題,下面是以上文字的翻譯(藉由Google):
    主旨:幫助他們的家園
    內文: 我們,是來自俄羅斯的程式設計師社群,憤怒美國對俄羅斯實行的不合理制裁。我們聽到您的聲音,你會找到連結連至我們寫的程式。在你的電腦打開它,它將會開始秘密的攻擊,針對相關城市的政府網站。這個系統運作是完全寂靜的,耗用不到你5%的網路頻寬,一天不會超過20MB的流量,並且不會耗用到運算資源。假如你想要,可以手動再次運行它。我們團結一致-即是力量。
    連結至檔案:hxxp://80.234.23.118/setup.exe 備用連結:hxxp://176.36.131.68/setup.exe
    如同我們提到的內容的變換,有些訊息內容會帶有「使用提示」告知當運行這些執行檔時要關閉防毒軟體。

    在2014.8.20到8.21之間,Websense雲端郵件安全從這件攻擊活動已主動阻擋超過了10萬封的惡意郵件,所有被發送的收件人地址都有.ru的頂域名(TLD)。 以下是我們所觀察到的郵件主旨: 因為這項攻擊活動試圖吸引、呼籲想成為網路鬥士的人,他們也就沒有必要去偽裝、隱瞞要在受害者電腦運行執行檔的事實。因此,這些訊息內容包含的URL都是直接下載的連結,如下: 儲存在這些地方的檔案會改變試圖躲避防毒軟體的偵測。 在攻擊的時候,防毒軟體的偵測率是低的,約13% 這裡有一個針對該攻擊惡意文件的Forcepoint™(原Raytheon | Websense) Threatscope沙箱報告 Kelihos利用Winpcap驅動來監視連線及嗅探不同協定中的密碼,主要目標為SMTP,使得讓郵件可看起來從看合法的郵件地址寄出。
    當受害者電腦執行惡意程序時,BOT會透過TCP聯繫C & C中繼站,然後送出加密的GET請求給C & C的URLs(位在Russia and Ukraine的主機),如下:
    其中會下載應用程序: 另外,BOT會從URL取得垃圾郵件的內容/連結列表像是: 不久後,機器人就使用DNS查詢郵件伺服器 並開始對外發送郵件;在這起案件中,與早些時候觀察到的相比屬於相同種類的攻擊: 總結:
    在這篇文章中,我們可以看到經過一段時間的停滯後,長時間運行的殭屍網路背後的犯罪組織企圖拓展並復甦的行動。這一招利用民族意識來進行惡質目的的戰術是有些獨特:這起攻擊活動背後的犯罪組織沒有隱瞞他們製作惡意軟體的事實,只是「沒有提到」運行後立即加入了SPAM的殭屍網路。自動投遞帶有DDoS能力的感染文件(雖然目前沒有),儘管如此,企業應當確保受到全面、綜合的安全解決方案的保護,以抵抗此類惡意威脅,不管是對內或對外的傳輸使用。
    補充說明:
    pump & dump(拉高出貨)-股參考Google
    資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 【文章來源:http://community.websense.com/blogs/securitylabs/archive/2014/08/22/kelihos-botnet-trying-to-expand-by-harnessing-russian-national-sentiments.aspx websense 主題:Websebse 如何偵測及防預-殭屍網路「Kelihos」的威脅 發文時間:2014/8/22