综述
2014年底,黑客对Sony(索尼)公司发动了大规模的攻击。这次黑客攻击具有很强的计划性。在当年感恩节前4天,他们就将一个红色骷髅头的图案贴在了索尼公司的电脑屏幕上,同时对索尼公司发出了警告:他们将会泄漏索尼的相关商业机密信息。
几天后,黑客们宣称,他们已经掌握了超过100TB的数据,并准备开始将其泄漏。其中包括大量的电子邮件和私密的雇员数据信息。这次被称为“焦土攻击”的黑客攻击事件,导致索尼公司的一些服务器陷入了瘫痪状态,在接下来的几个月中,索尼公司的正常商业运转都受到了极大的影响。袭击者同时还摧毁了其数据和数字安全门控制系统。在遭到攻击之后,索尼公司不得不对相关的IT基础设施进行维修,这一维修费用达到3500万美元。即:此次黑客攻击,给索尼公司造成超过3500万美元的经济损失。
但在一个月后,美国政府发表声明,谴责此次攻击是来自朝鲜的黑客所为。同时一些观察人士也要求迅速启动反恐行动机制。就在这之后,袭击者却突然销声匿迹了。这样的做法让人觉得很诧异,难道是他们还有更大的阴谋?
根据本周由卡巴斯基实验室,全球数据研究和分析团队的高级安全研究员Juan Andrés Guerrero-Saade,以及AlienVault Labs实验室中情报和研究小组的负责人Jaime Blasco,两位专家共同给出的数据显示,原先攻击索尼的那些黑客仍旧在活动。至少现在有证据表明:有一些企业和公司在为这些黑客提供经济支持,其中包括:韩国的核电站运营商和三星公司。他们与此次的攻击事件都有一定的关系。
本周,Guerrero-Saade和Blasco在西班牙的卡巴斯基安全分析师峰会的一次发布会上表示:“他们好像…没有消失。”
如果该说法属实,这就意味着,从去年开始,这些具有成熟技术的高水平黑客,降低了breadcrumbs(Breadcrumbs:面包屑导航,一种基于网站层次信息的显示方式。以博客为例,它可以显示发布日期,类别或标签。它们表示当前页面在导航层次结构内的位置。)的使用率,但研究人员还是能够查到他们的活动地图,发现他们所处的位置。
这些线索包括:编译复用代码,密码,使用模糊方法,以及一个能够显示反复攻击的硬编码用户代理列表。而在这个列表中,常常将 “Mozilla”错写成了“Mozillar”。
Guerrero-Saade和Blasco正考虑要重新发表一篇文章,在其中描述他们正在进行的工作。而在这篇文章中,他们应该不会展示如何将黑客和恶意软件进行联系的全部方法。因为如果这样做的话,就会暴露了他们的追踪方法,反而为黑客逃避追踪提供了便利。
他们是如何进行追踪的?
Guerrero-Saade和Blasco从恶意软件Destover的破坏性组件入手,展开调查。黑客利用该组件可实现对主引导记录和被侵入电脑上的其他关键数据的覆盖,同时,用该组件和其他数据又可以产生出一个相关的攻击。
他们制定出了一系列的规则,称其为“YARA”。这些规则是基于一些细微的相似性以及黑客在索尼样本中使用的怪异的花招。他们认为,如果今后再遇到类似的花招,便可通过YARA进行识别,就能确定出这两次攻击是否是同一个人所为。YARA是一个能够检测恶意文件或系统和网络中存在的可疑活动模式的工具。YARA规则能够帮助分析师,通过搜索字符串的方式,来找出在系统中存在的恶意软件样本,以及它们之间的联系,以便于构建出一种防护机制,预防那些可能会被忽视的,恶意软件的攻击。
在过去一年多的时间里,Guerrero-Saade和Blasco收集了400-500例,黑客用于网络攻击的恶意软件样本。而现在,经过研究,发现这些样本之间存在一定的联系,同时也被看作是黑客团体在实施攻击之后留下的数字踪迹。他们通过该方法还找到了一些相关联的恶意软件,
这些软件之前从未被公开报道过。Guerrero-Saade在谈到攻击者时说:“我认为我们已经得到了他们的信息,并能够掌握他们的一举一动。”
YARA规则表明,攻击者会重复使用相同的代码和技术实施攻击。所谓物极必反,当他们过度使用同一种攻击方式之后,就会发现这种方式已经无效了,此时就出现了临界点。
他们研究发现,当dropper(一种计算机病毒)被触发时,它会在用户的系统中安装恶意软件。黑客通常是通过发送钓鱼邮件和带有dropper的恶意软件来感染用户的计算机。当用户点击该邮件或安装该软件时,就会启动dropper,它会自动安全一些恶意软件。
在这种情况下,他们发现了几个版本相同的dropper,负责安装不同类型的恶意软件。至此,他们相信,这些软件的存在都没有得到证实。在不同的情况下,dropper都隐藏了一定的资源,同时在不同的恶意软件中,都使用了单独的密码进行保护。这就是联系之所在。攻击者使用嵌入式密码,作为一种反分析技术,来阻止杀毒软件和其他自动化安全工具对恶意软件进行扫描和删除。即使发现可通过密码来启动这些恶意软件,但自动化工具仍然无法对其进行处理。
另一条线索是,最近,安全研究人员解决了一起Rosetta stone攻击事件。黑客想通过反复使用相同的技术,来抹掉他们在受害者系统内的犯罪痕迹。虽然攻击者删除了很多他们的犯罪痕迹,但安全人员最终还是找到了线索。黑客使用了一个叫做.BAT的文件来实施攻击。(黑客在攻入某一系统后,会迅速粘贴出这一文件。)因为文件本身并没有保留在系统中,但研究人员还是能够找到其创建和使用的痕迹,进而能够锁定犯罪分子的踪迹。
其他的一些证据显示,相关的恶意软件攻击是针对系统的沙盒进行的。(sandbox:基于主机入侵防御系统的沙盘工具。允许用户据在沙盘环境中运行浏览器或其他程序,因此,运行所产生的变化可以随后进行删除。可用来消除上网,运行程序的痕迹,也可用来还原收藏夹,主页,注册表等等。此外,还可用于测试软件,测试病毒等工作。)沙盒是一个虚拟环境系统,它可阻止任何恶意软件试图发起的攻击,而不会破坏系统和网络。防病毒软件和其他安全产品都通过设置沙盒环境,来观察恶意软件的运行情况。在互联网中,可通过主机名识别的方式来找到其中一些沙盒的配置。攻击者显然也知晓了这一点,他们从公开的列表中也得到了一部分信息。也即是说,当他们在给用户发送恶意软件时,该软件的名字正好与用户沙盒上防御名单上的相同时,那么沙盒就会启动保护机制,防止用户计算机遭到该软件的攻击而感染病毒。而不利的一点是,他们所掌握的信息中,还包括一些未公开的沙盒名字列表。这又会造成一定的威胁。
Guerrero-Saade在接受“WIRED”杂志采访时说:“看起来他们关注的是恶意软件是否会自动执行,而实际上不会,因为它存在在一个密码启动机制,这听起来好像很有趣。当他们发现一个在沙盒中没记录的未知软件时,就立即将其放入列表中,进行防护。遇到这种情况时。必须十分小心谨慎。他们正在使用的这个沙盒列表是近期才更新过的。里面新增的东西都是最近几周内才出现的。当他们将其集成到代码中之后,发现这些新的恶意软件出现的频率越来越高。”
在检查过这些软件的相似之处后,研究人员能够利用原先的一些攻击证据,在结合现有的攻击的特点,来锁定这些索尼黑客。同时,他们也可利用这个方法来防御一些之前未报道过的新恶意软件攻击。比如:他们可以将2013年发现的,被不同的安全公司同称为Operation Troy(特洛伊行动),Operation DarkSeoul(黑暗首尔行动)以及Operation Silent Chollima(沉默千里马行动)和2014年发生的Hnagman(刽子手),Volgmer,TEMP.Hermit攻击,以及2015年发生的,被称为WildPositron and Duuzer等等这些攻击事件进行联系,找出相同点与不同点,从而更好地进行防御。
他们还对近期发生的两起攻击,New Troy.dll/AIMRAT和Sconlog/SSPPMID
进行了研究,并找到了这两者之间的联系。它们都是在2015年被发现。而SpaSPE and Hangman_Samsung/mySingleMessenger是在2016年才被发现。Guerrero-Saade表示,mySingleMessenger可以说是这些攻击行动中的一个典型代表,因为它体现了一些研究人员所采用新的检测方法,以及YARA规则。今年,针对韩国三星公司(Samsung)的这次攻击,被广泛报道。在新闻中了解了有关的情况之后,Guerrero-Saade和Blasco决定利用他们的YARA规则,来看看是否能收集到一些攻击样本。但随后他们意识到,其实在媒体公开报道之前,他们的系统就已经拿到了样本。
Guerrero-Saade说:“对我们来说,有趣的是,我们只是将这个“失误”看作是在测试黑客的工具包,我们在看到新闻之后,就去寻找样本了。而在媒体公开报道此事的一周之前,我们就已经拿到了。”
所有这一切都表明,即使攻击者一再改变攻击的方法,为了来逃避监测,但在这些方法中,还是存在着一些共同点,研究人员就可以按图索骥地识破这些新的攻击方法。
这些攻击者到底是谁?
研究人员一开始关于始作俑者是不是朝鲜黑客的观点,还有点犹豫。但随后,在表述中,他们证实了该观点,就是朝鲜黑客。原因是他们为了阻止索尼,取消发行一部“以刺杀朝鲜最高领导人金正恩”为主题的电影“采访”( The Interview),而对其发动了大规模的网络攻击。该电影是由埃文·戈德堡、塞斯·罗根联合执导,詹姆斯·弗兰科 、丽兹·卡潘 、 塞斯·罗根等人主演的喜剧电影。美国政府称,这就是朝鲜黑客对索尼公司发动攻击的动机所在。
在Guerrero-Saade和Blasco所参与的跟踪研究中,他们发现,黑客的目标似乎只在韩国。他们多次地犯了同一个错误,就是在他们编译代码时,忘了使用韩国的语言文件。去年9月,当媒体公开报道这次攻击事件时,他们才发现,原来攻击者一直在利用一个韩国政府和公司网络系统中存在的,文字处理程序中的漏洞。由此可见,这次攻击十分具有针对性。所谓的Hangman(刽子手)行动,就是黑客利用韩语软件中的漏洞,写好一个鱼叉式的网络钓鱼网站,用于攻击韩国的核工业系统。这次利用语言软件漏洞实施的攻击,已经被FireEye(火眼,一家计算机安全公司,从2014年就开始着手调查索尼攻击事件)证实为是朝鲜黑客所为。
原来他们一直都是在关注韩国的动向,而现在又证实是朝鲜人干的,这似乎说明整个朝鲜半岛最大的敌人是这些攻击的幕后操纵者。但Guerrero-Saade表示,现阶段,他们的关注点并不放在这个上,而是转向研究攻击者的行为。他指出。经过进一步的调查,可能还会发现其他的朝鲜黑客想要攻击的目标。
到底是谁来编译和共享这些恶意软件样本的代码?Guerrero-Saade说,应该有7个人,并且来自7个不同的小组。他接着解释说道:如果他们是分组进行攻击的话,这就能很好地解释为什么在一些安全系统中会出现攻击的差异,同时有几个攻击者比起其他人来说,更好地隐藏和消除了自己的攻击痕迹。这也就能解释为什么在某些情况下。你看到的某些安全研究方面的观念和意识,与其他的不一样。
但Blasco告诉“WIRED”说:“除了这些攻击之间存在的差异,能证明它们是由不同的小组实施的攻击,其他的,比如:代码复用,使用相同的TTP攻击工具,技术和程序,这些就是他们的共同点。难道这些只说明攻击者之间有相似性么?错了,当你把代码和TTP工具放在一起进行对比,你就会发现它们在攻击理念上高度相似。”
到底是由一个团体实施的攻击还是由多个团体联合发动攻击?Guerrero-Saade和Blasco,两位专家拒绝参与这个问题的讨论。
Guerrero-Saade在谈话中表示:在卡巴斯基,我们不会纠结地去讨论到底是一个还是两个人实施的攻击,这种浪费时间的问题。而现在,许多人正是拘泥于这个问题。我们是做安全研究的,对事故的原因,攻击者的攻击方式进行研究,提出更好的防护措施,这才是我们应该做的。
如果你问任何一个人说:你是否真的认为这次的索尼攻击事件是朝鲜人干的,他会给你摆出一堆事实来证明,但在我看来这些都是荒谬的。如果我们不相信经过调查后得出的真相,而去相信一些空口无凭的理论,那么谁都可以当专家了。所有发生的一切,你不是都可以进行解释了么?
发表评论
您还未登录,请先登录。
登录