根据卡巴斯基发布的最新报告,超过140家美国、南美、欧洲和非洲的银行、通讯企业和政府机构感染了一种几乎无法被检测到的极为复杂的无文件恶意程序。
卡巴斯基的专家警告: 虽然目前的官方数据显示成为目标的银行和企业至少有140家,但是鉴于这种恶意软件极难被发现的特性,潜在受害者数量可能远高于这个数字。
这种类型的感染并不是第一次出现,几年前卡巴斯基就曾在自己企业内部网络中发现了这种在当时前所未有的恶意软件,并将其称为Duqu 2.0。Duqu 2.0的来源则被认为是震网,是当时美国与以色列为了破坏伊朗核计划专门合作创建的一种极为复杂的电脑蠕虫。
感染现状
目前这种与Duqu 2.0十分相似的恶意软件已经在不计其数的企业和银行之中像野火一样蔓延开来。它会利用像是PowerShell, Metasploit和Mimikatz这样的合法管理系统或安全工具将恶意软件注入电脑内存。
卡巴斯基选择不公布这些目前正在遭受攻击的具体机构,但确定这些机构来自40个不同国家。其中受感染的5个重灾区分别是美国、法国、厄瓜多尔、肯尼亚和英国。
此次攻击十分令人厌恶的原因主要是:它可以潜伏很久并且很难被发现,并且无法确定在这个恶意软件背后的究竟是一个黑客、一个组织或很多组织?除非哪天有人出来声称对此事负责,否则在很长时间内这个幕后真凶对安全专家或当局来说都会是一个未解之谜。
工作原理
无文件恶意软件最初是由卡巴斯基在2014年发现的,一直不算是什么主流的攻击方式,直到此次事件的发生。说起来无文件恶意软件并不会为了执行而将文件或文件夹复制到硬盘上,反而是将payloads直接注入正在运行程序的内存,导致恶意软件直接在系统RAM中执行,也让专家很难在系统重启之后找到此恶意软件的踪迹。
这个恶意软件首次被发现是在2016年底,有一家银行的安全团队在微软域控制器的物理内存发现了一段Meterpreter代码。经过取证分析,卡巴斯基的专家发现这段代码是入侵者利用Windows PowerShell将Meterpreter代码注入内存,而并未将其写入磁盘。
Meterpreter是一种可注入运行程序的内存攻击payload,它可以在在被感染的系统中造成持续破坏。Meterpreter是Metasploit渗透测试框架的一部分,Metasploit是安全团队或恶意入侵者中都十分流行的工具。
首先,入侵者使用了能够从Windows中获取内存,并且获取明文密码和NTLM哈希值的神器——Mimikatz。因为 使用SC或NETSH需要本地和远程的管理员权限,同时为了利用PowerShell脚本也需要提权和执行一些政策变化。
目前我们知道会用如下脚本来生成Metasploit框架。脚本会分配内存并将WinAPIs和下载的Meterpreter直接解析到RAM。
入侵者利用微软的NETSH网络工具设置了一个代理通道,允许他们与C&C服务器通信并远程控制被感染的主机。NETSH (Network Shell) 是windows系统本身提供的功能强大的网络配置命令行工具。
为了消除设备重启后留在日志或硬盘的痕迹,入侵者还将PowerShell命令隐藏在Windows注册表,让安全专家之后的取证和分析过程变得更加困难。
看起来这个恶意软件的主要目的就是为了收集系统管理员的密码及远程控制收到感染的主机。此次攻击的终极目标可能是感染那些控制自动取款机的电脑,让入侵者能以这样的方式偷钱。
虽然受感染的企业和机构范围很广、数量较多,但是入侵者所采取的方法相对一致,这样就能帮助各公司的安全人员认识现状并采取相应措施。
卡巴斯基实验室计划在4月2日至6日之间揭露更多关于此次攻击的细节。
发表评论