2019Q3信息系統威脅趨勢報告
一、有針對性的攻擊和惡意軟體活動
1.1 針對中東的移動間諜活動
6月底,我們報告了一個具有高度針對性的惡意活動的詳細信息,我們將其稱為「Operation ViceLeaker」,該惡意活動通過即時消息傳播Android惡意樣本。這場惡意活動影響了以色列和伊朗的數十名受害者。我們在2018年5月發現了這一起惡意活動,當時以色列安全機構宣布哈馬斯組織已經在以色列士兵的智能手機上安裝間諜軟體,與此同時我們還在威脅情報門戶網站上發布了一份私有報告。我們認為,該惡意軟體自2016年底就一直在持續開發,但在2017年底開始集中供暖分發。攻擊者使用兩種方法來安裝這些植入程序:一種是將合法應用程序進行篡改,注入惡意Smali後門代碼;另一種方法是攻擊者創建了一個開源的「Conversations」通信應用程序,其中包含惡意代碼。
1.2 APT33惡意組織增強了工具集
7月,我們發布了NewsBeef(又稱為APT33,或Charming Kitten)在2016-2017年期間的惡意活動情況,NewsBeef是一個惡意組織,主要關注沙烏地阿拉伯和西方的目標。NewsBeef缺乏先進的攻擊能力,此前曾進行長期、精心設計的社會工程學攻擊活動,而這些活動利用了流行的社交網路平台。在以前的惡意活動中,該威脅參與者非常依賴於瀏覽器漏洞利用框架(BeEF)。但是,在2016年夏季,該惡意組織部署了一個新的工具集,其中包括啟用宏的Office文檔、PowerSploit和Pupy後門。在最近的惡意活動中,他們將這個工具集與魚叉式網路釣魚電子郵件結合,通過社交媒體發送的鏈接與獨立的私有消息應用程序結合使用,並且利用被攻擊的知名網站(部分網站屬於沙特政府)進行水坑攻擊。這個惡意組織每一年都改變他們的多個特徵,包括所使用的戰略、將惡意JavaScript注入到的網站以及命令和控制(C2)基礎結構。我們的私有情報用戶將收到有關NewsBeef等來自世界各地的1009個APT的重要活動情報和獨特數據。
1.3 在野外發現新的FinSpy iOS和Android植入工具
我們最近報道了適用於Android和iOS的FinSpy最新版本。全世界的政府和執法機構都利用這個監控軟體來收集個人數據。用於iOS和Android的FinSpy植入工具具有幾乎相同的功能,它們能收集個人信息,包括通訊錄、消息、電子郵件、日曆、GPS位置、照片、內存中的文件、電話錄音以及流行即時通訊軟體Messenger的數據。Android植入程序中還包含通過濫用已知漏洞而獲得root特權的功能。在iOS版本上,無法提供漏洞利用功能,因此只能利用在已經越獄的設備上,這導致必須要物理訪問手機才能安裝植入工具。在我們的最新研究中,我們在近20個國家之中檢測到這些植入工具的最新版本,但我們認為實際感染的數量可能會更多。
1.4 Turla改進其工具集
Turla(又稱為「Venomous Bear」、「Uroboros」和「Waterbug」),是一個使用俄語的知名惡意組織,以政府和外交機構為目標開展網路間諜活動,該惡意組織本季度對其工具集進行了重大更改。最值得注意的是,該組織將其臭名昭著的JavaScript KopiLuwak惡意軟體包裝在一個名為Topinambour的新投放工具中,這是一個新的.NET文件,Turla正在使用該文件通過受感染的安裝程序包分發和投放JavaScript KopiLuwak,以安裝合法軟體程序(例如VPN)來規避互聯網審查。惡意軟體作者命名的Topinambour是Jerusalem的另一個名稱。威脅參與者進行的某些更改旨在幫助其逃避檢測。例如,C2基礎結構使用的IP地址幾乎是模擬普通的LAN地址。此外,該惡意軟體幾乎是完全「無文件」的:感染的最後一個階段是一個用於遠程管理的加密木馬,它被嵌入到計算機的註冊表中,以便在惡意軟體就緒時可以訪問。還有兩個KopiLuwak的相似工具用於網路間諜活動,分別是.NET的RocketMan木馬和PowerShell的MiamiBeach木馬。我們認為,當目標計算機上存在能夠檢測到KopiLuwak的安全軟體時,威脅行為者會部署這些版本。上述三種植入工具都能對目標進行指紋識別,收集有關係統和網路適配器的信息,竊取文件,同時還可以下載並執行其他惡意軟體。MiamiBeach還具有截圖的功能。
1.5 CloudAtlas使用新的感染鏈
CloudAtlas(又稱為「Inception」)長期以來針對行業和政府機構開展網路間諜惡意活動。我們在2014年首次報道了該惡意組織,從那時起便持續跟蹤其活動情況。在今年上半年,我們確定了該惡意組織針對俄羅斯、中亞地區以及烏克蘭這些持續軍事衝突地區的惡意活動。自2018年以來,Cloud Atlas一直沒有改變其TTP(戰術、技術和程序),並持續依靠現有的戰術和惡意軟體來攻擊高價值的目標。威脅參與者的Windows入侵工具集仍然使用魚叉式網路釣魚電子郵件來定位其受害者,這些郵件中包含精心製作的Office文檔,而這些Office文檔使用了託管在遠程伺服器上的惡意遠程模板(將每個受害者列入了白名單之中)。此前,Cloud Atlas在利用Microsoft公式編輯器漏洞(CVE-2017-11882和CVE-2018-0802)之後,直接投放了名為PowerShower的「Validator」植入工具。最近幾個月,我們發現了一條新的感染鏈,涉及到多態性HTA,用於執行PowerShower的新型多態性VBS植入工具和Cloud Atlas第二階段模塊化後門(2014年披露)。
1.6 發現Dtrack銀行惡意軟體
在2018年夏季,我們發現了ATMDtrack,這是一種針對印度銀行的銀行惡意軟體。我們使用YARA和Kaspersky ATTribution Engine嘗試發現有關這個ATM惡意軟體的更多信息。最終,我們發現了間諜工具超過180種新的惡意軟體樣本,我們現在將其稱為Dtrack。我們最初發現的所有Dtrack樣本都是實際投放的樣本,因為實際的Payload已經使用各種投放程序進行了加密。根據ATMDtrack和Dtrack內存轉儲過程中使用的獨特序列,我們得以找到它們。在我們解密了最終Payload並再次使用Kaspersky Attribution Engine之後,我們可以發現它與DarkSeoul惡意活動的相似之處,該惡意活動可以追溯到2013年,與Lazarus惡意組織相關。目前看來,攻擊者重用了部分老代碼來攻擊印度的金融部門和研究中心。我們的遙測表明,最新的DTrack活動是在2019年9月起檢測到的。這是一個很好的例子,可以說明正確的YARA規則和可靠的Attribution Engine能夠幫助新型惡意軟體與已知惡意軟體家族之間的關聯性。在這種情況下,我們可以在Lazarus惡意組織的武器庫中添加另外一個家族——ATMDtrack和Dtrack。
二、其他安全新聞
2.1 Sodin勒索軟體攻擊MSP
四月,Sodin勒索軟體(又稱為「Sodinokibi」或「REvil」)引起了我們的注意,特別是這個勒索軟體的傳播方式格外引人關注。該木馬利用CVE-2019-2725漏洞,在易受攻擊的Oracle WebLogic伺服器上執行PowerShell命令,從而使攻擊者可以將投放工具上傳到伺服器,然後安裝勒索軟體Payload。該漏洞的修復程序在4月發布,但在6月底,還發現了另外一餓類似的漏洞——CVE-2019-2729。Sodin還對MSP進行了攻擊。在某些場景中,攻擊者使用Webroot和Kaseya遠程訪問控制台來發送木馬。在其他場景中,攻擊者利用RDP連接,使用特權提升的方式,在停用安全解決方案和備份之後攻破了MSP基礎架構,然後將勒索軟體下載到客戶端計算機上。這種勒索軟體也非常少見,因為它不需要受害者採取任何行動。我們的統計表明,大多數受害者位於亞太地區,包括台灣、香港和韓國。
勒索軟體仍然是令消費者和企業頭疼的一大問題。恢復勒索軟體木馬加密的數據通常是不可能的。但是,在某些情況下,也許可以。最近的案例包括Yatron和FortuneCrypt惡意軟體。如果用戶遭遇了勒索軟體木馬,我們建議用戶可以首先在No More Ransom網站上查詢是否有相應的解密工具可用。
2.2 Web挖礦的影響
惡意挖礦工具是劫持受害者的CPU來挖掘加密貨幣的程序。其攻擊思路非常簡單:感染計算機,使用其CPU或GPU的處理能力來挖掘加密貨幣,並通過合法交易來賺取現實中的錢。對於受感染的受害者來說,挖礦程序的存在並不明顯,因為大多數人都不會使用計算機的全部處理能力,而加密貨幣挖掘工具佔用了70%-80%的計算機資源。挖礦惡意軟體可以與廣告軟體、破解版遊戲和其他盜版內容一起安裝。但是,還有另一種攻擊場景,即使用嵌入式挖礦腳本,該腳本在受害者打開受感染的網頁時啟動。一旦攻擊者感染了企業網路,那麼可以被網路攻擊者調配的CPU總量就變得非常巨大。但是,挖礦會有什麼實際影響呢?我們最近正試圖對惡意挖礦者產生的經濟影響和環境影響進行量化,從而評估出防範惡意挖礦所產生的實際效益。
我們可以用公式來計算整體的節電效果,其中·N是加密貨幣挖掘過程中受害者設備功耗增加的平均值,N是根據卡巴斯基安全網路(KSN)的惡意挖礦阻止次數而得到的數值,該數字取自2018年的數據。經過計算後,得到的數字是18.8±11.8 GW,這是一年中所有比特幣挖礦工具平均功耗的兩倍。要基於這一功耗率評估出節省的能源總量,需要將這個數字乘以受害設備在Web挖礦上所花費的平均時間。也就是說,根據公式「·N·t」,其中「t」是網路挖礦工具沒有受到產品阻止時的平均工作時間。由於我們無法從卡巴斯基的數據中獲得該值,因此我們使用了第三方研究人員提供的開放數據,根據該信息,我們計算出使用安全產品的用戶節省的電量預計為240-1670 MWh。以個人用戶的平均用電價格來計算,北美居民所能節省的電費成本最高位200000美元,歐洲居民最高能節省250000歐元。
2.3 macOS威脅態勢
目前,仍然有用戶認為macOS上不存在嚴重威脅。當然,與Windows相比,macOS的威脅確實較少,但主要原因是Windows用戶佔據大多數。因此,攻擊者可以將更多的Windows用戶作為潛在受害者目標。但是,隨著使用macOS系統的人數的增加,針對macOS的威脅數量也在增加。
我們的資料庫中,當前包含針對macOS的206759個獨特惡意文件和潛在有害文件。從2012年到2017年,遭受攻擊的人數逐年增加,在2017年達到峰值,當時我們阻止了大約255000台運行macOS的計算機遭遇攻擊。從那個時間節點之後,數據呈現逐漸下降的趨勢。在2019年上半年,我們阻止了約87000次攻擊。2019年,macOS的大多數威脅都屬於廣告軟體類別,這類威脅往往更容易構建,並且能夠為網路犯罪分子提供更好的投資回報。
針對macOS的網路釣魚攻擊數量也在逐年增加。在2019年上半年,我們檢測到近600萬次網路釣魚攻擊,其中有11.8%是針對企業用戶的。遭受網路釣魚攻擊最多的國家是巴西(30.87%)、印度(22.08%)和法國(22.02%)。近年來,試圖利用蘋果品牌的網路釣魚攻擊數量也有所增加,似乎在以每年30-40%的速度在增長。在2018年,有近150萬次此類攻擊。而在2019年上半年,這一數字就已經超過了160萬,已經比去年一整年增長了9%。
2.4 智能家居漏洞
我們有一位同事,已經將自己的房屋變成了智能家居,並且安裝了Fibaro Home Center系統,以便他可以遠程管理房屋內的智能設備,包括燈光、熱水器、冰箱、立體聲音響、浴霸、煙霧探測器、洪水感測器、網路攝像機和門鈴。他邀請卡巴斯基ICS CERT團隊的研究人員對自己的房屋進行測試,以了解其安全性。研究人員已經掌握智能家居的型號和IP地址。研究人員決定先不考慮Z-Wave協議,這是智能家居系統與設備進行通信的協議,原因在於這需要物理上靠近房屋。除此之外,研究人員也放棄了利用編程語言解釋器的思路,因為Fibaro已經安裝了補丁。
儘管Fibaro致力於防範這類漏洞,但我們的研究人員仍然發現了一個遠程SQL執行漏洞,並且還在PHP代碼中發現了另外一部分遠程代碼執行漏洞。一旦被利用,這些漏洞將使攻擊者完全獲得智能中心的root訪問許可權,從而完全控制智能中心。攻擊者還發現Fibaro雲中存在嚴重漏洞功能,攻擊者可能會用該漏洞訪問從全球Fibaro智能家居上傳的所有備份。這也就是我們的研究團隊之所以能獲取特定家庭中Fibaro家庭中心存儲的備份方案的方式。除了許多其他內容之外,這個備份還包含一個資料庫文件,其中包含許多個人信息,包括房屋的位置、所有者智能手機中的地理位置數據、用於向Fibaro註冊的電子郵件地址、有關所有者家中智能設備的信息,甚至是所有者的密碼。實際山,Fibaro Group創造了一個相當安全的產品,並且該廠商還與我們的研究人員緊密合作,迅速修復了我們提交的漏洞。
2.5 智能建築的安全性
本季度,我們還研究了建築物自動化系統的安全性,涉及到感測器和控制器,這些感測器和控制器用於管理電梯、通風、供暖、照明、電力、供水、視頻監控、警報系統、滅火系統以及其他工業設施。這樣的系統不僅應用於辦公樓和住宅樓,而且還用於醫院、購物中心、監獄、工業生產環境、公共交通以及其他需要控制較大規模工作或生活區域的地方。我們查看了針對基於建築物的自動化系統的實時威脅,並查看在2019年上半年遭遇到的部分惡意軟體。
大多數被組織的威脅都不是針對性的,也不是基於特定的建築物自動化系統的,而是經常會在與自動化系統無關的組織內部網路上經常發現常見的惡意軟體。這些惡意軟體可能導致文件加密(例如資料庫加密),也可能造成網路設備或工作站由於惡意流量和不穩定的漏洞利用而導致的拒絕服務,這樣的威脅仍然可能對自動化系統的可用性和完整性產生重大影響。間諜軟體和後門程序構成了更大的威脅,因為可以使用失竊的身份驗證數據和提供的遠程控制功能來計劃和實施針對建築物自動化系統的有針對性攻擊。
2.6 智能汽車和互聯設備
卡巴斯基近年來對智能汽車的安全性進行了研究,發現了許多安全問題。隨著汽車變得越來越智能,互聯程度越來越高,它們也逐漸暴露越來越多的弱點。並且,這不僅僅體現在智能汽車及其支持的應用上。目前,從汽車檢測工具到改裝配件,整個汽車配件市場上都致力於在設計中改善駕駛體驗。在最近的一份報告中,我們檢查了許多車聯網設備,並檢查了它們的安全設置。這樣的研究過程讓我們能夠了解這些設備中存在的安全性問題。我們進行分析的目標對象包括一些自動掃描工具、一個儀錶盤攝像頭、一個GPS定位器、一個智能警報系統以及一個壓力/溫度監控系統。
我們發現,這些設備具有比較充分的安全機制,與此同時還存在著一些小問題。造成這些問題的原因,是由於設備功能受限,或者廠商認為相應攻擊行為不會導致嚴重的後果。但是,隨著我們科學技術的不斷發展,我們應該關注,產品越智能化,就應該越關注開發和更新過程中的安全性。一旦在開發過程中出現疏漏,或者存在未修復的漏洞,都可能導致攻擊者劫持受害者的汽車,或者能夠監控整個車輛。
我們將持續開發KasperskyOS,以幫助客戶保護連接的系統,包括移動設備、計算機、物聯網設備、智能能源系統、工業系統、電信系統和交通系統。
如果您正在考慮購買一個汽車智能化產品,應該首先考慮其安全風險。我們需要檢查設備是否存在任何漏洞,以及是否能夠對設備進行安全更新。不要輕易購買最新發布的產品,因為其中可能包含尚未發現的安全漏洞,最佳的選擇是購買已經更新過幾次的產品。最後,輕時重考慮移動設備的安全性,特別是Android設備的安全性——儘管應用程序使生活變得更輕鬆,但是一旦智能手機遭到惡意軟體的攻擊,就可能會導致一些嚴重的後果。
2.7 個人數據竊取
我們可能已經習慣了接連不斷的數據泄露新聞報道。最近的數據泄露案例包括有攻擊者從CafePress竊取了23205290個電子郵件地址及使用Base 64 SHA-1編碼的用戶密碼。令人擔憂的是,這一黑客入侵行為是由「Have I Been Pwned」首先披露的,CafePress直到數據泄露發生的幾個月後才將這一情況通知給客戶。
8月,兩名以色列研究人員從Suprema Biostar 2生物訪問控制系統暴露的一個資料庫中發現了指紋、面部識別數據和其他個人信息。生物特徵數據的信息泄露特別引人關注。如果攻擊者獲取了我的密碼,我還可以做更改,但如果攻擊者獲取到生物識別信息,這個信息則是伴隨終身、無法修改的。
Facebook因多次未能正確處理客戶數據而飽受批評。在接連發生的事件中,最近發生的一起事件是在沒有密碼保護的互聯網伺服器上發現Facebook帳戶關聯的數億個電話號碼。每一條記錄都包含一個唯一的Facebook ID和帳戶對應的電話號碼,該信息的泄露將導致受影響的Facebook用戶容易受到垃圾郵件和營銷電話的侵擾。
9月12日,移動遊戲公司Zynga報告稱,外部黑客可能非法訪問了一些玩家的帳戶數據。隨後,一個名為Gnosticplayers的黑客聲稱已經攻破了Words With Friends、Draw Something和OMGPOP(已停產的遊戲)的玩家資料庫,從而泄露了超過2億個Android和iOS玩家的數據。儘管Zynga發現了這一漏洞並通知了客戶,但令人擔心的是,該廠商以明文存儲了密碼。
作為普通用戶,我們在將個人數據提交給在線服務提供商之後,往往無法保證個人數據的安全性。但是,我們可以向在線服務提供商創建唯一且難於猜測的密碼,或者使用密碼管理器輔助我們記錄不同的密碼,以此控制在線服務提供商可能出現的安全漏洞所造成的損失。通過啟用在線服務提供商的雙因素身份認證,我們也可以進一步減少帳戶被攻陷的可能性。
除此之外,還需要關注的是,攻擊在線服務提供商的伺服器並非網路犯罪者獲取密碼和其他個人數據的唯一途徑。攻擊者可能還會直接獲取存儲在用戶計算機上的數據。具體包括存儲在瀏覽器中的數據、存儲在硬碟中的文件、系統數據、帳戶登錄信息等。我們的數據顯示,在2019年上半年,有94萬人受到信息竊取類惡意軟體的攻擊。我們建議廣大用戶使用專業軟體來存儲帳戶密碼和銀行卡詳細信息,不要依賴於瀏覽器的「自動記住」功能。
