卡巴斯基實驗室目前正在跟蹤100多名威脅行為者和針對80多個國家的商業和政府機構的復雜惡意行動。 2017年第一季度，我們已經向情報服務訂閱者發布了33份私人報告，其中包含“攻擊指標”（IOC）數據和YARA規則，來協助相關人員進行取證和惡意軟件搜索工作。

我們還發現國家支持的網絡攻擊行為的復雜性正在急劇上升，以及APT行為者和利益驅動的網絡犯罪分子之間的戰術、技術和流程（Tactics、Techniques和 Procedures，TTPs）正在不斷融合。中東已經成為主要的網絡戰場之一。同時，2017年第一季度發現的一類專門摧毀硬碟資料的惡意程式“wiper”，也把業務從中東地區擴展至歐洲大陸。

在本次報告中，我們將對2017年第一季度出現的尤為突出的針對性攻擊事件，以及一些需要立即關注的新型趨勢進行討論。

表現突出的定向攻擊

Wipers進化：APT攻擊者的新武器

在過去幾個月中，出現了新一波針對中東多個目標的磁盤擦除器攻擊（wiper attacks），此次攻擊使用的惡意代碼就是臭名昭著的Shamoon蠕蟲的變種，Shamoon惡意代碼曾在2012年攻擊過沙特阿拉伯Aramco國家石油公司和卡塔爾Rasgas天然氣公司。

在調查這些攻擊事件時，我們發現了一種名為“StoneDrill”的新型Wipers，發現它與Shamoon樣本存在多處類似，如利用多種技術和方法來逃避檢測。

　　【StoneDrill和Shamoon2.0比較】

此外，我們還發現StoneDrill與Charming Kitten使用的惡意軟件（NewsBeef）之間存在許多相似之處，包括代碼、C&C命名規范、后門命令和功能，以及Winmain簽名等。從這一點來看，StoneDrill也可能是Charming Kitten惡意軟件的演變版。

【StoneDrill和NewsBeef樣本中用于C2通信的憑據（用戶名和密碼）相同】

【StoneDrill和Shamoon2.0以及NewsBeef之間的異同比較】

對于StoneDrill、Shamoon以及Charming Kitten三個惡意軟件之間的關系有以下三種假設：

StoneDrill是Shamoon攻擊者部署的另一種Wiper？

StoneDrill和Shamoon是否為兩個不同的惡意軟件，或攻擊組織毫不相關，只是同時針對沙特阿拉伯的組織機構發起攻擊？

兩個組織是獨立的，只是目標一致？

卡巴斯基實驗室全球研究與分析小組高級安全研究員Mohamad Amin Hasbini認為，威脅背后有兩個獨立的小組，它們具有相同的目標。因為報告顯示：

“雖然Shamoon中嵌入了阿拉伯—也門語資源語言段，但StoneDrill嵌入了大多數波斯語資源語言段。當然，我們不能排除這些Artifact（指軟件開發過程的中間或最后工作產品,包括文檔、模型和程序）故意偽裝的可能性。”

近日，我們在歐洲發現了第一例StoneDrill受害者，該受害者屬于能源行業，這意味著這種攻擊威脅正在從中東往歐洲蔓延。尤其是在我們認為該威脅行為可能來自國家支持的攻擊組織后，這一事實更為令人擔憂，這可能意味著網絡破壞行為正以地緣政治動機（geopolitically-motivated）進行擴展。當然，目前為止這種假設尚未得到確認。

概要：

Wipers正在擴大他們的地理輻射；

Wipers目前已經成為APT組織武器庫的一部分。它們可以被用于破壞性行為，以及在進行網絡間諜活動后刪除痕跡；

最新的Shamoon攻擊浪潮中使用的模塊之一包含勒索軟件功能，這可能被認為是“不那么明顯的擦拭（not-so-obvious wiping）”的另一種形式；

針對能源公司的這些破壞行為可能與一些政府支持的APT組織有關的事實絕對令人擔憂，超越了典型的間諜活動。

BlueNoroff/Lazarus：銀行劫案的演變

針對波蘭銀行的大規模水坑攻擊于2017年2月3日被公開披露。攻擊者在波蘭金融監管機構的網站上植入了一種病毒，然后等待銀行在訪問該網站期間不經意地下載它。

攻擊者對銀行展開的就是所謂的水坑攻擊——得名于攻擊者在目標經常出沒之處進行伏擊的做法；這個案例中，“水坑”是金融監管機構的網站。當名單上的銀行訪問該網站時，它們會被重定向至會試圖下載惡意軟件的軟件。除了波蘭銀行，攻擊者也對墨西哥財政部門采取了非常類似的戰術，雖然沒有其他受害者被公開披露出來，但是有可能更多的銀行也受到了同樣的影響。

據悉，在目標名單上，波蘭銀行的數量最多，緊隨其后的則是美國的銀行，其中包括德意志銀行美國分行。為農業和農村項目提供貸款的CoBank也被列為攻擊目標。俄羅斯、委內瑞拉、墨西哥、智利和捷克的央行都在名單上。唯一一個與中國有關的目標，是中國銀行在香港和美國的分支機構。

我們分析發現這些攻擊事件與Lazarus 旗下代號為 Bluenoroff 的黑客組織有關，他們專門從事金融犯罪，包括著名的孟加拉國銀行大劫案，攻擊目標遍及全球十余個國家的銀行、賭場、加密貨幣公司。此次針對全球金融機構的水坑攻擊中雖然沒有使用任何零日漏洞，但是Flash Player和Silverlight漏洞已經足夠瓦解銀行機構運行的過時軟件。

事實上，我們從很久以前就開始跟蹤BlueNoroff組織。剛開始，該組織主要針對東南亞地區的銀行機構，后來進行重新分組并轉戰至新的國家，選取目標主要為貧窮、較不發達地區，因為這些目標顯然更容易得手。

BlueNoroff開發了一套可以在目標組織內部橫向移動的定制工具，并通過篡改SWIFT系統來實現攻擊。這種技術與去年的孟加拉國央行劫案存在很大聯系，當時攻擊者試圖從中竊取9億美元。在2月份的“波蘭劫案”中，我們發現該組織重新利用這些已知的橫向移動工具，發動了新一輪的金融攻擊。這讓我們相信，這些攻擊事件與Bluenoroff 黑客組織有關。

有趣的是，BlueNoroff組織在代碼中種植了俄語詞匯，擾亂了研究人員的方向。據悉，該代碼中包含的俄語存在以俄語為母語的開發者不會犯的語法錯誤，懷疑可能是使用了在線翻譯工具處理的句子。

概要：

我們認為，BlueNoroff是針對金融機構實施攻擊最活躍的團體之一，并且試圖在多個地區積極地感染不同的受害者。

我們認為他們的業務仍在繼續，事實上，2017年3月我們發現了其最近的惡意軟件樣本。

目前，我們認為BlueNoroff可能是對全球銀行機構最嚴重的威脅。

無文件惡意軟件：增加了檢測和追溯難度

無文件惡意軟件是一種不需要在文件系統中存放惡意可執行文件的軟件。對于許多APT攻擊者而言，避免歸因是非常重要的目標之一，特別是近年來攻擊者的大量業務被不斷曝光。對于最復雜的團體來說，他們自身存在很多無法被人忽視的因素。

但是對于那些不是那么醒目的攻擊者而言，使用無文件惡意軟件來避免歸因就足夠了。不需要創建和使用自己的工具，他們只需要使用通用的工具就可以完成操作，不僅具有明顯的經濟優勢，而且還為攻擊者提供分析事件和逃避歸因的附加價值。

現在有許多不同的框架為攻擊者提供更多選擇，特別是橫向移動。這些類別包括Nishang、Empire、Powercat以及Meterpreter等。有趣的是，這些軟件大多數都是基于Powershell的，且允許使用無文件后門。

　　【受害區域分布圖，40個國家的140多個企業組織受到影響】

我們發現，這些技術在過去幾個月得到了廣泛運用。我們在針對東歐銀行的Shamoon攻擊使用的橫向移動工具中發現了一些例子，這些技術被不同的APT攻擊者使用，例如CloudComputating、Lungen或HiddenGecko，以及像Hikit這樣的舊后門的演變，Hikit已經演變成新的無文件版本。這種趨勢使傳統的取證分析變得更加困難，它有助于逃避大部分的日志活動。

另一方面，攻擊者通常需要升級權限或竊取管理員憑據，因為他們通常不具備在想要感染的機器中重啟生存機制的能力，所以在重新連接受感染的網絡時，他們需要依賴于訪問它們。目前這種新的趨勢仍在繼續，從防御角度來看，還沒有最好的防御方式。但是，我們將在本末提供我們的相關建議。

概要：

使用標準和開源工具，結合不同的技巧，使檢測和歸因變得幾乎不可能。

確定隱藏其活動的攻擊者以及檢測和事件響應變得越來越困難，這也是內存取證對于分析惡意軟件及其功能變得至關重要的原因。

在這種情況下，事件響應是關鍵。

如何保護自身安全？

利用漏洞仍然是感染系統的關鍵方法，因此及時修補是至關重要的——作為最繁瑣的IT維護任務之一，運用自動化可以很好的實現目標。卡巴斯基高級商務端點安全和卡巴斯基全面安全解決方案中包括漏洞和補丁管理組件，為打補丁提供便利易操作的工具，幫助IT員工降低時耗，提高效率。

鑒于使用基于Powershell的技術（包括無身份惡意軟件場景）的趨勢，您需要確保您的安全解決方案了解這些細節。卡巴斯基終端安全解決方案以及卡巴斯基虛擬化安全解決方案擁有最廣泛的機器學習檢測技術，包括專門處理使用Powershell技術的惡意軟件。我們的行為系統監視器（System Watcher）技術也可以識別特定的Wiper活動，如大量文件刪除行為；在阻止惡意軟件后，其“Rollback”功能會將重要的用戶文件從已刪除狀態中恢復。

但是，我們還是有必要正確認識定向攻擊行為的危險性，不僅因為它們非常復雜（有時并非如此），而且因為它們通常是做好準備的，并嘗試利用與其目標無明顯相關性的安全漏洞實施攻擊。

因此，強烈建議您不僅要做好預防（如端點保護）工作，還可以運行主動地檢測功能，特別是可以檢測整個網絡正在進行的活動中的異常情況，并對用戶端點上可能存在的可疑文件進行更深層次的仔細檢查。

卡巴斯基反定向攻擊（Anti Targeted Attack）是一個智能檢測平臺，用于匹配來自不同基礎設施級別的事件，識別異常并將其聚合進事件中，同時在沙箱的安全環境中研究相關工件。與大多數卡巴斯基產品一樣，卡巴斯基反定向攻擊由HuMachine Intelligence提供支持，幫助我們實時了解威脅情報大數據的情況。

防止攻擊者發現和利用安全漏洞的最佳方法就是擺脫所有這些漏洞，包括涉及不正確的系統配置或專有應用程序中的錯誤。對此，卡巴斯基滲透測試和應用安全評估服務就是這樣一套方便高效的解決方案，不僅提供了發現漏洞的數據，還提供了如何解決這個問題的方法，進一步加強企業安全。