2015年末,卡巴斯基实验室的全球研究和分析团队(GReAT)对未来的威胁环境趋势变化进行了一系列预测。其中一个关键趋势是针对性攻击将变得更为简单和高性价比。包括使用(循环使用)现成的恶意软件、合法的免费软件或商业软件,利用企业IT安全部署的失误进行攻击。不幸的是,尽管IT安全供应商和整个安全社区付出了很多努力,但企业安全失误情况仍然没有下降。
最常见的用于入侵企业防御系统的手段中有一种是使用软件中的漏洞,而且根本不需要是最新的零日漏洞。甚至一些允许在目标端点上执行代码,未被修复并且危害程度为“严重”的安全漏洞, 也能够为网络罪犯和数字间谍开启入侵系统的大门。如果企业没有部署多层级安全系统,没有采取高效的基于不同基础设施层面的检测机制,那这种攻击更容易实现。有些漏洞的补丁在发布后的数月甚至数年,仍然被网络罪犯用来进行攻击。因为如 果受害者未修补这些漏洞,其仍然能够带来良好的攻击效果。
例如,有一种较老的漏洞就非常受网络罪犯和网络间谍攻击者的青睐,即CVE-2015-2545。这是一种MSOffice漏洞,允许通过使用特殊的Encapsulated PostScript (EPS)图形文件任意执行代码。这种漏洞于2015年3月被发现,漏洞未修补情况持续了4个月。之后,微软发布了修复补丁(MS15-099),解决了这一安全问题。但是,这段时间内,这种漏洞为黑客提供了绝佳的攻击机会。
2015年8月,我们发现了首个试图使用CVE-2015-2545漏洞进行针对性攻击的Platinum (TwoForOne) 网络犯罪组织。9月,这一漏洞终于被微软所修补,有效阻止了Platinum攻击组织使用这种漏洞进行攻击。但是其他黑客开始想尽办法对未修补这一漏洞的用户进行攻击,并且开发自己的技术利用这种漏洞。根据推测,这些黑客应该是对补丁进行了逆向工程,获取到关于该漏洞的详细信息,之后创建最新的针对这种漏洞的漏洞利用程序。
11月至12月期间,又有两个网络被称为APT16(FireEye分类)和EvilPost(由卡巴斯基实验室发现)的间谍攻击组织开始利用这种漏洞对目标进行攻击。如果系统没有修复这一漏洞,那遭遇的风险更为严重,因为现在攻击者们已经对这一漏洞了如指掌,知道如何才能最有效的利用这种漏洞进行攻击。
所有情况下,攻击过程都非常简单:利用包含附件(伪装成MS Word文件的网络档案文件,其中嵌入了EPS图片,内部包含漏洞利用程序)的钓鱼邮件,激活下载,从命令和控制服务器下载其它恶意软件组件到受感染系统。之后,又有多个攻击组织如SPIVY使用不同的漏洞利用程序版本入侵系统,而且还很成功。
在这些网络攻击中,卡巴斯基实验室最近发现了一些有趣的攻击。其中的一项攻击同之前未被报道过的Danti攻击组织(基于卡巴斯基实验室命名法)和其他攻击组织有关,尽管他们使用的恶意软件架构很相似,但仍然需要单独进行描述,对其命名也基于其使用的恶意软件名称:SVCMONDR。目前,Danti网络间谍攻击组织的攻击目标似乎是印度外交机构,但是我们还在多个亚太地区国家检测到该组织的活动迹象,包括哈萨克斯坦、吉尔吉斯斯坦、乌兹别克斯坦、缅甸、尼泊尔和菲律宾。
同其他攻击组织不同,Danti(和SVCMONDR)所使用的初始入侵工具包中嵌入.EPS文件的DOC文档(假冒的)只能够还包括一个打包的恶意软件下载器二进制文件。同时,该组织使用的工具表明其攻击非常简单,并且具有高性价比,同卡巴斯基实验室全球研究和分析团队对2016年威胁环境的变化趋势预测不谋而合。
我们再一次发现了利用同样手段的攻击,即利用早就被修补的漏洞进行攻击。而且很明显,这种攻击手段非常成功。
在每个案例中,我们都发现攻击者使用的攻击机制都非常简单,而且攻击情景也很相似,即用户没有及时安装漏洞补丁,导致系统的大门向攻击者敞开。
有很多因素造成企业或组织没有及时修复系统中的安全漏洞。通常,发生这种情况,企业的IT安全部署肯定出现了失误。但是,这种失误往往会由于企业IT安全的复杂性而被放大,因为企业没有足够的资源其处理这些问题。很多企业根本就无法承担雇佣专门的IT安全员工,就算是有足够的资金,很多企业的IT管理人员也会发现自己被很多不同的软件解决方案所扰,因为每个方案都有不同的控制台和管理原则。
解决这一问题的最好手段是选择一款能够对不同IT安全层面提供统一管理的解决方案,包括自动化漏洞管理。这样能够有效减少这一任务的复杂性。
幸运的是,卡巴斯基网络安全解决方案高级版就是基于这种思路而设计的。在其众多的功能中,有一项系统管理组件[1],包括自动漏洞评估和补丁管理工具。这一功能意味着企业的软件,不管是操作系统还是应用软件,都能够自动保持更新,为IT管理人员节省大量时间从事其它企业IT安全管理工作。另一个非常重要的优势是多层级安全保护能够提供附加的主动保护技术,全面拦截漏洞利用程序。这种自动漏洞入侵防护功能能够识别漏洞利用程序特征,拦截其行为。网络攻击拦截功能则可以拦截基于网络的漏洞利用程序。
卡巴斯基实验室解决方案能够检测出使用CVE-2015-2545漏洞进行攻击的恶意软件,而且目前只有上述安全厂商的产品能够做到这一点。我们产品的检测结果为:
Exploit.MSOffice.CVE-2015-2545.a
漏洞利用程序释放的后门程序检测结果为:
Backdoor.Win32.Danti.bBackdoor.Win32.Danti.d
本文转自d1net(转载)
