卡巴斯基揭示最新網路間諜攻擊策略:複雜性和模組化 VS 功能性

2015-04-30 卡巴斯基安全專家認為,由國家和政府支援的網路間諜攻擊行動變得越來越複雜,攻擊者利用複雜的模組化工具,針對精心挑選的用戶發動攻擊。同時,還能夠利用先進技術有效躲避檢測系統。 卡巴斯基在對EquationDrug網路間諜平臺的詳細分析中,也驗證了上述的最新趨勢。卡巴斯基安全專家發現,隨著安全行業揭露越來越多的高級可持續性威脅(APT)組織,很多非常複雜的攻擊者開始重視惡意平臺模組數量的增加,透過減少惡意軟體的可見性,進而提高隱蔽性。 現在,最新的攻擊平臺包含很多外掛程式模組,可根據攻擊目標和目標資訊,選擇和執行多種不同的功能。卡巴斯基預計EuqationDrug包含116種不同的外掛程式。 “由政府支持的攻擊者試圖創造一種更為穩定、隱身、可靠和通用的網路間諜工具。他們致力於創造一種能夠包含這類代碼的架構,並且可以在即時系統上進行客製化,提供以加密形式儲存元件和資料的可靠手段,不同使用者則無法訪問其中的資料,”卡巴斯基全球研究和分析團隊總監Costin Raiu解釋。“這一架構的複雜性使得攻擊者與傳統網路犯罪者得以區分開來,因為傳統的網路犯罪者更注重于開發能夠直接獲取經濟利益的惡意功能。” 這類由國家和政府支援的攻擊者所使用的攻擊策略,與傳統網路犯罪者也不相同,其中包括:
  • 攻擊規模:傳統的網路犯罪者會大規模地傳播包含惡意附件的郵件或感染網站,由國家和政府支持的攻擊者則傾向於進行高度針對性的和精確的攻擊,每次攻擊僅感染小部分經過精挑細選的用戶。
  • 特徵:傳統的網路犯罪者經常會重複使用公開原始程式碼,例如知名的Zeus或Carberp木馬,有國家和政府支持的攻擊者通常會打造自己獨特的客製惡意軟體,甚至還會在惡意軟體中設置限制措施,避免其被解密或在非攻擊目標上運行。
  • 竊取重要資訊:網路犯罪者通常會盡可能的感染使用者。但是他們沒有時間和足夠的儲存空間,對所有受感染電腦進行檢查、分析所有者資料以及了解上面存有什麼資料、執行何種軟體。他們會將這些透過竊取而來的資料進行轉移,並保存其中具有潛在價值的資料。
  • 所以,他們會在惡意軟體中植入多種竊取程式,僅竊取重要的資料,如帳號密碼和信用卡資訊。但是,這類行為很容易引起使用者電腦上所安裝的安全軟體的注意。 另一方面,得到國家和政府支持的攻擊者具有足夠的資源,能夠儲存大量資料。為了保持低調,不被安全軟體所注意,他們會儘量避免感染隨機用戶,而是依靠通用的遠端系統管理工具,從受感染電腦上複製需要的資料。但是,這種大規模的資料傳輸行為,可能會拖慢網路連線速度,從而引起使用者的懷疑。
    “對於EquationDrug這種強大的網路間諜平臺,並沒有在惡意軟體的核心建構標準資料竊取功能這件事,看上去似乎不太尋常。其答案往往是攻擊者希望能夠針對每個不同的受害者做到客製化攻擊。只有在攻擊者決定對你進行監控,並且確保電腦上的安全軟體被關閉後,才會將相關外掛程式上傳到你的電腦,而後即時監控你的對話或監控你的行為。我們認為,模組化和客製特性將成為未來國家和政府支援攻擊的獨有特徵,”Costin Raiu做出總結。 EquationDrug是Equation網路攻擊組織所開發的一款主要的網路間諜攻擊平臺。這個平臺的應用已經超過10年,而且正在逐步被GrayFish平臺所取代。卡巴斯基在針對CaretoRegin以及其他網路間諜攻擊行動研究過程中,首先注意到這類攻擊的所使用的策略趨勢,更在之後在對EuqationDrug分析中,確認了上述趨勢。 卡巴斯基產品能夠成功攔截Euqation攻擊組織所使用的惡意軟體攻擊,使很多類似攻擊都無法成功感染系統,這歸功於卡巴斯基的自動漏洞入侵防護技術。因為其能夠檢測和攔截惡意軟體利用未知漏洞進行攻擊。根據推測,Equation平臺中所使用的Fanny蠕蟲應該編譯於2008年7月,而我們的自動漏洞入侵防護系統於2008年12月第一次檢測到該蠕蟲,並將其加入了黑名單。 瞭解關於EuqationDrug平臺的最新研究結果,請參考 Securelist.com 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 來源:卡巴斯基官網 文章來源:http://news.kaspersky.com.cn/news2015/03n/150311.htm 原文標題:卡巴斯基实验室揭示最新网络间谍攻击策略:复杂性和模块化 VS 功能性