自 2016 年 1 月起，利用Trojan.Odinaff惡意軟件所進(jìn)行的網(wǎng)絡(luò)攻擊活動(dòng)，已將全球眾多金融機(jī)構(gòu)作為攻擊目標(biāo)。這些攻擊主要集中在銀行、貿(mào)易和薪酬管理等領(lǐng)域的企業(yè)。同時(shí)，為這些企業(yè)提供支持的企業(yè)與機(jī)構(gòu)同樣面臨攻擊風(fēng)險(xiǎn)。

Odinaff通常部署在攻擊活動(dòng)的第一階段，目標(biāo)在于盡快占據(jù)網(wǎng)絡(luò)中的據(jù)點(diǎn)，進(jìn)而在目標(biāo)網(wǎng)絡(luò)中長(zhǎng)期存在并安裝附加工具。值得一提的是，這些附加工具均具備Carbanak高級(jí)攻擊組織的攻擊特征。Carbanak惡意軟件從2013年就已將金融行業(yè)作為攻擊目標(biāo)。此次Odinaff的新一輪攻擊同樣使用了Carbanak活動(dòng)中曾使用過(guò)的部分基礎(chǔ)設(shè)施。

Odinaff攻擊需要大量的手動(dòng)操作，并在目標(biāo)計(jì)算機(jī)的系統(tǒng)中部署大量輕量級(jí)后門病毒和用于特定目的的工具。攻擊期間，攻擊者需要對(duì)這些工具進(jìn)行大量的協(xié)調(diào)、開發(fā)、部署和操作等。與此同時(shí)，定制化惡意軟件工具同樣會(huì)部署于計(jì)算機(jī)系統(tǒng)中，例如專門用于秘密通信 (Backdoor.Batel)、發(fā)現(xiàn)網(wǎng)絡(luò)、盜取證書和監(jiān)控員工等活動(dòng)。

盡管這類針對(duì)銀行的攻擊難以實(shí)施，但回報(bào)十分可觀，由Carbanak組織發(fā)起的網(wǎng)絡(luò)攻擊所造成的總損失高達(dá)數(shù)千萬(wàn)，甚至上億萬(wàn)美元。

全球威脅

賽門鐵克安全團(tuán)隊(duì)發(fā)現(xiàn)Odinaff攻擊活動(dòng)從 2016 年 1 月便已出現(xiàn)，并對(duì)多個(gè)國(guó)家地區(qū)的企業(yè)展開攻擊。其中，美國(guó)是主要受到攻擊的國(guó)家，其他主要攻擊目標(biāo)依次為中國(guó)香港、澳大利亞、英國(guó)和烏克蘭。

圖 1.Odinaff的攻擊行業(yè)分布圖

賽門鐵克安全團(tuán)隊(duì)在深入了解遭遇攻擊的企業(yè)業(yè)務(wù)本質(zhì)后發(fā)現(xiàn)，金融機(jī)構(gòu)是受到攻擊最嚴(yán)重的行業(yè)，占攻擊數(shù)量的34%。與此同時(shí)，部分攻擊將安全、司法、醫(yī)療、政府及政府服務(wù)等行業(yè)作為攻擊目標(biāo)。賽門鐵克尚未了解此類攻擊是否出于牟利動(dòng)機(jī)。

大約60%的攻擊目標(biāo)行業(yè)尚未清晰識(shí)別，但賽門鐵克發(fā)現(xiàn)，主要遭遇攻擊的電腦都曾運(yùn)行金融類軟件應(yīng)用，這意味著，此類攻擊背后以金融目標(biāo)為導(dǎo)向。

攻擊方法

Odinaff攻擊者利用多種手段入侵目標(biāo)企業(yè)的網(wǎng)絡(luò)，其中最常見的方法便是通過(guò)含有惡意宏病毒的誘惑性文檔感染目標(biāo)企業(yè)。如果接收者選擇啟用宏，該病毒便會(huì)在計(jì)算機(jī)上安裝Odinaff 木馬。

圖 2.含有Word宏啟用方式指令的誘惑性文檔

為了誘使受害者在計(jì)算機(jī)中安裝Odinaff，攻擊者還會(huì)使用受密碼保護(hù)的RAR 文件進(jìn)行攻擊。盡管尚未清楚這些惡意文檔或鏈接的傳播方式，但賽門鐵克安全團(tuán)隊(duì)認(rèn)為，此類文檔或鏈接極有可能通過(guò)魚叉式網(wǎng)絡(luò)釣魚電子郵件來(lái)實(shí)現(xiàn)傳播。

此外，Trojan.Odinaff還可通過(guò)僵尸網(wǎng)絡(luò)進(jìn)行傳播。該木馬能夠植入到已感染其他惡意軟件的計(jì)算機(jī)中，例如Andromeda (Downloader.Dromedan) 和 Snifula (Trojan.Snifula)）。Andromeda 惡意軟件是被植入木馬的AmmyyAdmin安裝程序。AmmyyAdmin是一種合法的遠(yuǎn)程管理工具，該安裝程序可從官方網(wǎng)站進(jìn)行下載，但官方網(wǎng)站最近頻遭攻擊，已被植入許多不同的惡意軟件。

惡意軟件工具包

Odinaff是一種相對(duì)輕量級(jí)的后門木馬，能夠連接到遠(yuǎn)程主機(jī)，并每五分鐘尋求一次命令。Odinaff具有兩項(xiàng)主要功能：下載 RC4 加密文件并執(zhí)行；發(fā)布shell命令，并將這些命令寫入批處理文件中并執(zhí)行。

鑒于攻擊的專業(yè)程度，攻擊者需要實(shí)施大量的手動(dòng)干預(yù)。因此，Odinaff組織始終謹(jǐn)慎管理攻擊活動(dòng)，盡量在企業(yè)網(wǎng)絡(luò)中保持低調(diào)，并僅在需要時(shí)下載和安裝新工具。

攻擊者主要利用Trojan.Odinaff實(shí)施初期入侵，并輔助其他工具完成攻擊。他們所使用的另一種惡意軟件被稱為Batle(Backdoor.Batel)，主要用于對(duì)目標(biāo)計(jì)算機(jī)實(shí)施攻擊。它能夠完全在內(nèi)存中運(yùn)行負(fù)載，因此可秘密隱藏于受感染的計(jì)算機(jī)中。

攻擊者通過(guò)使用大量不同的輕量黑客工具和合法軟件工具入侵目標(biāo)網(wǎng)絡(luò)并識(shí)別關(guān)鍵計(jì)算機(jī)。這些工具包括：

· Mimikatz ：一種開源密碼恢復(fù)工具

· PsExec： 一種來(lái)自SysInternals的流程執(zhí)行工具

· Netscan： 一種網(wǎng)絡(luò)掃描工具

· Ammyy Admin (Remacc.Ammyy)和Remote Manipulator System變體 (Backdoor.Gussdoor)

· Runas ：一種可使用其他用戶身份運(yùn)行流程的工具。

· PowerShell

此外，該攻擊組織很可能已經(jīng)開發(fā)出用于入侵特定計(jì)算機(jī)的惡意軟件。這些工具的創(chuàng)建時(shí)間與部署時(shí)間非常接近。這些工具中，含有每間隔5-30秒便可捕獲屏幕截圖的組件。

針對(duì)SWIFT用戶的攻擊證據(jù)

賽門鐵克安全團(tuán)隊(duì)已經(jīng)掌握Odinaff組織針對(duì)SWIFT用戶進(jìn)行攻擊的證據(jù) ——使用惡意軟件隱藏與欺詐交易相關(guān)的 SWIFT用戶信息。同時(shí)使用工具監(jiān)控SWIFT用戶的本地信息日志，并搜索與特定交易相關(guān)的關(guān)鍵詞。不僅如此，攻擊者還會(huì)將這些日志從用戶本地的SWIFT軟件環(huán)境中移出。目前，尚無(wú)跡象表明SWIFT網(wǎng)絡(luò)已感染病毒。

“suppressor”組件是寫入 C 盤的小型可執(zhí)行文件，主要用于監(jiān)控包含特定文本字符串文件的特定文件夾。賽門鐵克發(fā)現(xiàn)，這些字符串均提及日期與特定的國(guó)際銀行賬號(hào) (IBAN) 。這些系統(tǒng)中的文件夾結(jié)構(gòu)大部分為用戶定義和專有。這表明，每個(gè)可執(zhí)行文件都專門面向一個(gè)目標(biāo)系統(tǒng)。

在與suppressor共同發(fā)現(xiàn)的文件中，其中包括一個(gè)可覆蓋硬盤前 512B 數(shù)據(jù)的小型磁盤格式化工具。該工具包含主引導(dǎo)記錄 (MBR)，攻擊者無(wú)需使用特殊工具便可訪問(wèn)硬盤。賽門鐵克認(rèn)為，每當(dāng)攻擊者棄用系統(tǒng)或阻止調(diào)查時(shí)，便會(huì)使用該工具掩蓋其行蹤。

繼Lazarus組織搶劫孟加拉國(guó)央行之后，Odinaff攻擊已經(jīng)成為另一組織從事此類攻擊活動(dòng)的一大案例。Odinaff攻擊與Lazarus的SWIFT攻擊無(wú)明顯聯(lián)系，且Odinaff團(tuán)伙所使用的SWIFT惡意軟件與 Lazarus相關(guān)攻擊使用的惡意軟件 Trojan.Banswift 無(wú)任何相似性。

與 Carbanak的潛在聯(lián)系

賽門鐵克發(fā)現(xiàn)Odinaff相關(guān)攻擊與Carbanak組織存在某種聯(lián)系。Carbanak組織的攻擊活動(dòng)于 2014年年底為公眾所知，該組織擅長(zhǎng)對(duì)金融機(jī)構(gòu)發(fā)起高價(jià)值攻擊，并涉及多起針對(duì)銀行的攻擊和銷售點(diǎn)(PoS)入侵攻擊。

除了相似的作案手法外，Odinaff 和 Carbanak之間同樣存在許多其他關(guān)聯(lián)：

· 3個(gè)命令和控制 (C&C) IP地址都與之前暴露的Carbanak活動(dòng)有關(guān)；

· Odinaff使用的其中一個(gè)IP地址與Carbanak組織造成的Oracle MICROS數(shù)據(jù)泄露事件有關(guān)；

· Backdoor.Batel曾多次出現(xiàn)在Carbanak的相關(guān)攻擊活動(dòng)中。

盡管Carbanak所使用的主要木馬 Anunak(Trojan.Carberp.B和Trojan.Carberp.D)從未在Odinaff的攻擊活動(dòng)中被發(fā)現(xiàn)，但賽門鐵克安全團(tuán)隊(duì)仍然認(rèn)為，該組織使用了多種隱蔽傳播方法來(lái)入侵金融機(jī)構(gòu)。

雖然 Odinaff可能從屬于更大的攻擊組織，但基礎(chǔ)設(shè)施的交叉并不具有典型性。因此它也有可能是一個(gè)相似的組織或攻擊團(tuán)體。

銀行面臨嚴(yán)重威脅

Odinaff 攻擊的發(fā)現(xiàn)表明，銀行面臨的攻擊風(fēng)險(xiǎn)正在不斷加大。在過(guò)去幾年間，網(wǎng)絡(luò)攻擊者已經(jīng)對(duì)銀行所使用的內(nèi)部金融系統(tǒng)進(jìn)行深入了解，獲知銀行內(nèi)部所采用的多種系統(tǒng)，并投入大量時(shí)間研究運(yùn)行原理和員工的操作方式。由于某些攻擊組織具有較高的專業(yè)技術(shù)水平，賽門鐵克認(rèn)為，任何被列入潛在攻擊目標(biāo)的企業(yè)與機(jī)構(gòu)都面臨著重大的安全威脅。

賽門鐵克安全防護(hù)

賽門鐵克和諾頓產(chǎn)品可檢測(cè)出以下威脅：

防病毒程序

· Trojan.Odinaff

· Trojan.Odinaff!g1

· Trojan.Odinaff!gm

· Backdoor.Batel

· Remacc.Ammyy

· Backdoor.Gussdoor

入侵防御系統(tǒng)

· 受感染的系統(tǒng)：Trojan.Odinaff 活動(dòng)

Bluecoat

Bluecoat產(chǎn)品能夠：

· 攔截違規(guī)網(wǎng)絡(luò)流量

· 檢測(cè)并攔截使用Backdoor.Batel & Trojan. Odinaff的惡意軟件

Odinaff droppers

· f7e4135a3d22c2c25e41f83bb9e4ccd12e9f8a0f11b7db21400152cd81e89bf5 · · ·

· c122b285fbd2db543e23bc34bf956b9ff49e7519623817b94b2809c7f4d31d14 · · ·

Odinaff document droppers

· 102158d75be5a8ef169bc91fefba5eb782d6fa2186bd6007019f7a61ed6ac990 · · ·

· 60ae0362b3f264981971672e7b48b2dda2ff61b5fde67ca354ec59dbf2f8efaa · · ·

Odinaff samples

· 22be72632de9f64beca49bf4d17910de988f3a15d0299e8f94bcaeeb34bb8a96

· 2503bdaeaa264bfc67b3a3603ee48ddb7b964d6466fac0377885c6649209c098

SWIFT log suppressors

· 84d348eea1b424fe9f5fe8f6a485666289e39e4c8a0ff5a763e1fb91424cdfb8

Backdoor.Batel RTF document dropper · · ·

· 21e897fbe23a9ff5f0e26e53be0f3b1747c3fc160e8e34fa913eb2afbcd1149f · · ·

Backdoor.Batel stagers

· 001221d6393007ca918bfb25abbb0497981f8e044e377377d51d82867783a746

· 1d9ded30af0f90bf61a685a3ee8eb9bc2ad36f82e824550e4781f7047163095a

Older Batel *.CPL droppers

· 1710b33822842a4e5029af0a10029f8307381082da7727ffa9935e4eabc0134d

· 298d684694483257f12c63b33220e8825c383965780941f0d1961975e6f74ebd

Cobalt Strike, possible ATM implants

· 429bdf288f400392a9d3d6df120271ea20f5ea7d59fad745d7194130876e851e

· 44c783205220e95c1690ef41e3808cd72347242153e8bdbeb63c9b2850e4b579

Cobalt Strike implants

· 1341bdf6485ed68ceba3fec9b806cc16327ab76d18c69ca5cd678fb19f1e0486

· 48fb5e3c3dc17f549a76e1b1ce74c9fef5c94bfc29119a248ce1647644b125c7

Backdoor.Batel loaders

· 0ffe521444415371e49c6526f66363eb062b4487a43c75f03279f5b58f68ed24

· 174236a0b4e4bc97e3af88e0ec82cced7eed026784d6b9d00cc56b01c480d4ed

Stagers (MINGW)

· d94d58bd5a25fde66a2e9b2e0cc9163c8898f439be5c0e7806d21897ba8e1455

· 3cadacbb37d4a7f2767bc8b48db786810e7cdaffdef56a2c4eebbe6f2b68988e

Disk wipers

· 72b4ef3058b31ac4bf12b373f1b9712c3a094b7d68e5f777ba71e9966062af17

· c361428d4977648abfb77c2aebc7eed5b2b59f4f837446719cb285e1714da6da

Keylogger

· e07267bbfcbff72a9aff1872603ffbb630997c36a1d9a565843cb59bc5d97d90

Screengrabbers

· a7c3f125c8b9ca732832d64db2334f07240294d74ba76bdc47ea9d4009381fdc

· ae38884398fe3f26110bc3ca09e9103706d4da142276dbcdba0a9f176e0c275c

Command shells

· 9041e79658e3d212ece3360adda37d339d455568217173f1e66f291b5765b34a

· e1f30176e97a4f8b7e75d0cdf85d11cbb9a72b99620c8d54a520cecc29ea6f4a

HTTP Backconnect

· b25eee6b39f73367b22df8d7a410975a1f46e7489e2d0abbc8e5d388d8ea7bec

Connection checkers

· 28fba330560bcde299d0e174ca539153f8819a586579daf9463aa7f86e3ae3d5

· d9af163220cc129bb722f2d80810585a645513e25ab6bc9cece4ed6b98f3c874

PoisonIvy loaders

· 25ff64c263fb272f4543d024f0e64fbd113fed81b25d64635ed59f00ff2608da

· 91601e3fbbebcfdd7f94951e9b430608f7669eb80f983eceec3f6735de8f260c

Ammyy Admin remote administration tools

· 0caaf7a461a54a19f3323a0d5b7ad2514457919c5af3c7e392a1e4b7222ef687

· 295dd6f5bab13226a5a3d1027432a780de043d31b7e73d5414ae005a59923130

Ammyy Admin, Trojanized

· cce04fa1265cbfd61d6f4a8d989ee3c297bf337a9ee3abc164c9d51f3ef1689f

RemoteUtilities remote administration tools

· 2ba2a8e20481d8932900f9a084b733dd544aaa62b567932e76620628ebc5daf1

· 3232c89d21f0b087786d2ba4f06714c7b357338daedffe0343db8a2d66b81b51

Runas

· 170282aa7f2cb84e023f08339ebac17d8fefa459f5f75f60bd6a4708aff11e20

Mimikatz

· 7d7ca44d27aed4a2dc5ddb60f45e5ab8f2e00d5b57afb7c34c4e14abb78718d4

· e5a702d70186b537a7ae5c99db550c910073c93b8c82dd5f4a27a501c03bc7b6

Kasidet

· c1e797e156e12ace6d852e51d0b8aefef9c539502461efd8db563a722569e0d2

· cee2b6fa4e0acd06832527ffde20846bc583eb06801c6021ea4d6bb828bfe3ba