2020-3-22周日 网安资讯_检测
1、加密流量检测与态势预警平台研究
摘 要
网络流量检测是实现网络整体安全态势感知的主要手段,通过采集网络流量、脆弱性、安全事件和威胁情报等数据,利用大数据和机器学习技术,分析网络行为及用户行为等因素构成的整个网络当前状态和变化趋势,并预测网络安全状态发展趋势。随着密码技术的广泛应用,网络中存在着越来越多的加密流量,如 HTTPS、VPN 流量;由于加密技术的使用,破坏了明文数据的统计特点、数据格式等,用通用的流量检测方法很难有效检测加密流量,基于加密技术的随机性、网络上下文等,结合人工智能技术和机器学习方法,研究和设计了网络加密流量检测体系框架、方法和关键技术,对加密流量的检测具有较强的指导意义。
0 引 言
网络空间安全态势感知能有效捍卫国家网络空间安全,提高国家对网络空间的监管、治理能力和强度,保护网络空间的正常运行,为网络空间社会治理、网络经济有序繁荣、网络民生安全等提供有力支撑,促进和谐、安全、开放、合作的网络空间建设。
流量检测是全天候网络空间安全态势感知的基础,通过对网络流量数据的检测,借助大数据存储能力与多种分析手段来可视化呈现流量分布情况,自动发现网络访问关系,从而认知、理解、建立、完善、预测网络流量秩序, 满足对网络空间流量监控和异常感知的需求, 形成网络安全态势中的流量态势,如流量分布、异常攻击、TOP 地址、TOP 协议、安全总体态势等信息。
随着互联网的普及和电子商务、电子政务、社交应用的大力推广,社会整体安全意识的提高,基于数据安全和隐私保护的需求,大量采用了密码技术,加密流量呈现爆发式增长。如大量采用安全套接字层(SSL)、安全外壳协议(SSH)、虚拟专用网(VPN)、匿名通信(如Tor)等密码技术以满足网络安全需求。即时通信(IM)和流媒体也越来越多地使用加密和隧道技术应对DPI(deep packet inspection)技术的检测;加密协议良好的兼容性和可扩展性,使得加密技术应用变得越来越简单,如现有的 Web应用可以无缝地迁移到 HTTPS,且 SSL 协议除了能跟 HTTP 搭配,还能跟其他应用层协议搭配( 如 FTP、SMTP、POP),以提高这些应用层协议的安全性。
构建网络全数据流量检测的网络空间安全态势感知能力成为国家网络空间安全的重中之重,能有效全面监控、审计和管理网络行为,有效规避风险,有效提升我国的信息安全自主化和信息安全防护能力,对实现国家网络强国目标,构建可控、有序、健康发展的网络生态具有重要战略意义。而加密流量检测是目前网络空间安全态势感知的难点和关键。基于端口、数据流特性的加密流量检测等技术,各有优缺点,充分利用目前的加密流量检测方法,结合人工智能、机器学习、大数据分析等技术,突破加密流量检测体系框架、评估体系、检测方法和关键技术,指导加密流量的深度检测应用化。
1 加密流量研究
党和国家一直非常重视网络空间安全,大力推广商用密码技术在各领域、各行业的广泛应用,制定出台了相关法律法规和政策,如《网络安全法》《密码法》《商用密码管理条例》《网络安全等级保护条例》《关键信息基础设施安全保护条例》和《金融和重要领域密码应用与创新发展工作规划 2018—2022 年》等重要法律和要求。各行业和领域也纷纷出台了商用密码应用推进和实施计划、实施方案,在金融、能源、电子政务等领域大力推广商用密码技术的使用, 也取得了显著效果,形成了关键基础设施、基础网络和重要信息系统商用密码应用的国产化浪潮。
但是,由于密码技术、密码产品、密码系统、密码服务的多样化、专业化和应用系统的复杂性,难以对密码应用的正确性、合规性和有效性进行有效的监管和评估。
密码技术虽然能有效保护数据安全和隐私,但同样可以构成新的安全威胁和风险,使得对网络攻击的检测、跟踪和分析更加困难,如勒索病毒、暗网、基于洋葱路由的双向匿名秘密通信、采用密码技术对僵尸网络进行多态化和变形混淆等,这些攻击方法能规避常规的网络监测,构成了对我国网络空间安全、国家安全和社会稳定、经济繁荣的现实威胁和破坏,传统的基于防火墙、入侵检测技术构建的安全体系难以应对基于密码技术的网络攻击。
因此迫切需要构建网络空间的密码应用态势感知与密码应用监管能力,形成密码应用的“可管理、可感知、可预警、可防护、可处置”的一体化监管与态势感知预警体系,对网络空间的密码应用进行全面有效监控、审计和管理;能有效规避密码应用风险,提升我国网络空间信息安全自主化和信息安全防护能力,对实现国家网络强国目标,构建可控、有序、健康发展的网络生态具有重要战略意义。
加密流量检测是密码应用态势感知和密码应用监管的核心技术,其主要功能如下:
(1)能及时发现非法加密流量的威胁风险,采用基于机器学习和专家系统,对加密流量大范围样本数据进行安全分析,发现未知威胁。通过多维度(漏洞、统计、规则)数据关联分析, 发现潜在的安全问题。通过加密流量态势感知平台,用户可以及时了解网络的加密流量状态、攻击来源以及哪些服务易受到攻击等情况,并能够及时采取防范措施。
(2)支撑安全决策和应急响应,利用云端检测,形成“云网端”协同的主动防御体系,通过“云网端”协同联动,基于知识库根据实时场景自适应决策响应,快速生成密码应用应急响应预案,实现密码应用安全事件的预警、响应和处置,完成对威胁攻击的控制闭环反馈。
(3)有利于建立安全全局预警机制,面向大规模网络的密码应用安全态势感知,通过提供全局的密码应用安全视图,使用户、主管部门能够快速准确地把握全网当前的密码应用安全状态,掌握全网密码应用安全态势趋势, 并能够对异常事件进行预警, 对于提高国家骨干网络的应急响应能力,缓解网络攻击造成的危害,发现潜在的恶意入侵,具有十分重要的意义。
因此,加密流量检测需要针对不同的密码应用领域、不同业务应用、不同的平台、不同的网络应用环境、政策需求等,突破传统单一加密流量分析和检测的局限性,通过对加密流量特征的深度挖掘,进行加密流量的多尺度行为建模,实现加密流量的快速、精确分析与预警;采用多维、多层、多粒度的加密流量分析融合技术,结合关联规则、聚类算法和逻辑推理等数据挖掘技术,实现对加密流量的全面动态、可靠检测,有效规避加密流量引发的安全威胁和风险, 提升密码应用的安全性、合规性和有效性。
2 加密流量检测模型
图 1 加密流量检测框架
加密流量机器学习框架如图 3 所示。
图 3 加密流量检测机器学习框架
3 加密流量检测关键技术
针对密码应用的多样性、复杂性、关联性及大规模等特征,研究提取表征密码应用态势的关键要素。在此基础上,研究密码应用特征的多层次(数据级、特征级和决策级)的数据融合技术。
研究密码应用的异常检测方法;研究从单个密码应用汇聚整体网络空间密码应用行为的异常检测方法,从而进一步刻画网络空间密码应用态势。研究基于机器学习、模糊推理、数据流挖掘等方法建立动态的密码应用态势预测模型,实现对网络空间大规模密码应用态势的预测;最终完成预警,为安全管理和安全应急提供决策支持。
需要突破的关键技术如下:
(1)自适应的加密流量检测模型:实时反馈的加密流量检测模型的建立,实现科学、合理、高效的特征集提取(数据包特征与数据流的特征)与快速匹配算法;保障加密流量检测模型的科学性(约束、关联、层次和结构)、加密流量检测模型的演化和扩展性(退化、涌现、变异、适应和稳定)、加密流量检测模型性能指标(可用性、全面性、复杂性、准确率、漏报率、误报率、实时性)。
(2)多加密流量检测引擎下的综合评估与评判准则。研究自适应加密流量检测下的综合评估体系,建立覆盖全面、完善合理、策略灵活的综合评价指标。
4 加密流量态势感知预警平台框架
图 4 加密流量态势感知预警平台框架
通过统一的数据服务方式,实现通报预警、可视化呈现、信息处置和应急处置。同时,平台安全管理是加密流量态势感知预警平台安全的有力保障,保障平台自身安全、访问控制和安全审计等。
5 结 语
密码应用监管与态势感知能有效捍卫国家网络空间安全,提高国家对网络空间的监管、治理能力和强度,保护网络空间的正常运行,为网络空间社会治理、网络经济有序繁荣、网络民生安全等提供有力支撑,促进和谐、安全、开放、合作的网络空间建设。遵循“以密码应用为中心、以密码监管与态势感知预警能力为基本抓手”的原则,采取整体规划与布局,构建多层次、全方位的密码应用监管与态势感知预警能力,实现密码应用的实时监管、实时感知与实时处置。主要包括如下几点:
(1)完善密码应用监管体系和制度,出台相关密码监管与态势感知预警政策与要求,明确互联网密码应用的态势感知与预警要求,强化在基础网络、重要信息系统中的密码应用监管与态势感知平台建设,建立各国家密码主管部门、密码应用行业主管单位、用户单位、监督和检测机构的信息通报、共享机制。
(2)完善相关标准,密码应用监管与态势感知预警,离不开密码设备、密码系统的配合和支撑,目前的密码产品应用标准、接口标准、服务标准、检测标准等,都不能完全满足密码应用的监管与态势预警需求,需要完善监管相关标准与接口。
(3)构建国家级分级、分层、联动共享、及时响应的密码威胁情报库、专家委员会和密码智库等。形成对密码应用监管与态势感知预警的有力支撑。
(4)构建国家互联网智能化密码应用态势感知平台。采用分层、分级部署方式(按国家、省、市方式部署),形成统一、协调联动的国家互联网密码应用态势感知能力,实现对互联网密码应用的细粒度感知与预警;针对互联网密码应用的多样性、复杂性等特征,在关键节点、关键应用上提取密码应用态势感知的关键数据(加密流量、源 / 目的地址、应用等);采用大数据、数据挖掘、人工智能等技术,对数据进行归一化、关联和融合等分析处理,结合威胁情报库与专家系统,对整个互联网的密码应用态势与密码应用异常进行检测与预警。实现从单个节点、应用的密码异常检测到整个网络空间的密码应用态势进行评估、告警和辅助决策。
(5)构建多层次、多领域、高度智能化的关键基础设施、基础网络和重要信息系统密码应用监管与态势感知预警一体化平台。实现密码设备、密码应用、密码算法的实时监管,实现密码应用态势的实时感知、应急处置,保障密码应用的合规性、准确性和有效性。主要包括对密码产品和密码服务的有效性、合规性管理、密码设备的实时监管、密码专家委员会和智库管理。针对不同领域的密码应用、不同的网络应用环境、政策需求等,建设密码应用信息采集和态势感知预警平台,实现密码应用信息采集报送、智能分析、态势感知、安全预警、应急处理一体化管理。建立多层次、多领域的密码应用态势感知预警平台。
2、恶意软件蹿行,捷克COVID-19测试中心惨遭攻击
世界各地的医院都在应对日益增长的COVID-19病毒感染浪潮,但是,网络犯罪活动毁掉了欧洲一个测试中心的努力。
彼时,捷克共和国全国感染超过140例,约4800人被隔离,政府已经宣布进入紧急状态,并对越境实施严厉限制。
但上周五的凌晨(3月13日)发生了一场网络攻击,导致了捷克共和国布尔诺大学医院的计算机系统当天关闭。该医院拥有捷克全国18个新冠病毒测试中心之一,每天需要进行20项测试。
并非所有系统都停摆
此次攻击发生在当地时间星期五早上2点左右。关于攻击的信息很少,性质仍然未知,但如果是勒索软件事件,也就不足为奇了。
由于受到攻击,过去几天里本该进行的COVID-19测试结果(估计有几十个)被推迟了。该医院的负责人表示,计算机系统开始“减少使用”,并且“必须关闭”。工作人员还收到了不打开计算机的指示。
幸好,为血液学、微生物学、生物化学、肿瘤诊断或放射学实验室服务的系统似乎与受影响的系统位于不同的网络上,还能继续工作。不过,虽然医院仍可进行基本手术,但是,实验室系统收集的医学数据被卡住了,无法记录在数据库中。
在疫情情况下,每一分钟都很重要。但现在数据是手写的或手打的,导致检查时间更长。
目前,该国国家网络和信息安全局(NÚKIB)已被召集,并正在努力查明问题的根源并纠正这种情况,国家有组织犯罪中心也参与了此案。
COVID-19时代的恶意软件
一些勒索软件运营商(例如Maze)正在有意避免针对关键服务。他们表示:“不会袭击医院、癌症中心、妇产医院和其他对社会至关重要的实体”。
但是,一些其他勒索软件参与者则“百无禁忌”。2018年初,SamSam在美国至少袭击了两家医院。Ryuk也毫不后悔地攻击了医院。去年,Alabama的DCH医院支付了网络罪犯要求的用于解锁医疗数据的费用。
其他威胁参与者也试图从这次全球健康危机中获利,并以COVID-19主题创建恶意软件或发起攻击。
2020年2月1日:骗子开始利用冠状病毒作为诱饵传播恶意软件
安全研究人员警告了旨在传播恶意软件的活动,这些恶意软件利用了媒体对COVID-19的关注。
2020年2月25日:韩国遭受“病毒感染者传播情况”攻击
发现伪装成“ Corona 19实时状态”查询程序的恶意代码。
2020年2月26日:新的网络攻击活动利用了COVID-19
Cybaze Yoroi的研究人员发现了一个新的攻击活动,该活动利用了对COVID-19演变的兴趣来传播恶意软件。
2020年3月6日–TrickBot瞄准了意大利,使用假冒WHO冠状病毒电子邮件作为诱饵
TrickBot运营商以意大利用户为目标,继续利用公众对COVID-19爆发的关注,
2020年3月8日:以冠状病毒为主题的恶意垃圾邮件中提供了FormBook 恶意软件
专家们发现了一个新的以COVID19为主题的活动,正在分发一个恶意软件下载器,该下载器提供FormBook信息窃取木马。
2020年3月12日:攻击者使用武器化的冠病毒地图,以分发恶意软件
当世卫组织宣布COVID-19爆发为大流行病时,攻击者们仍试图利用这种情况赚钱。
2020年3月13日:国家资助的黑客发起以冠状病毒为主题的攻击
国家资助的黑客现在正在使用COVID-19诱饵感染其目标。
2020年3月15日:一种使用Cloudflare Workers进行C2通信的恶意软件BlackWater
专家发现了一个名为BlackWater的新后门,该后门假装提供有关COVID-19的信息。
近期还发现了一种新的勒索软件,BEC诈骗者正在利用这次疫情诱使受害者将钱转入另一个帐户。而DomainTools也发现了一种针对Android手机的新型恶意软件,研究人员将其命名为CovidLock,它会锁定手机屏幕并威胁要删除联系人、图片和视频,将其锁定并要求价值100美元的比特币赎金,声称如果不交赎金还会把社交媒体帐户泄露给公众。
参考链接
https://www.bleepingcomputer.com/news/security/covid-19-testing-center-hit-by-cyberattack/
https://securityaffairs.co/wordpress/99682/cyber-warfare-2/coronavirus-themed-attacks.html
* 本文作者:kirazhou,转载请注明来自FreeBuf.COM
3、区块链技术在工业互联网安全的应用
一、区块链技术与工业互联网安全
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式,本身具有去中心化、数据透明、不可篡改、集体维护等特点。其提供了一种安全、高效、可信的技术方法,为解决机构与机构、人与人、设备与设备之间的高效协作问题带来机遇。
(一)区块链技术符合工业互联网场景需求
区块链具有可信协作、隐私保护等技术优势,可与工业互联网实现深度融合,尤其是在工业互联网数据的确权、确责和交易等领域有着广阔应用前景,为构建国家工业互联网数据资源管理和服务体系提供了坚实技术基础。区块链技术具有促进数据共享、优化业务流程、降低运营成本、提升协同效率、建设可信体系等优点。工业互联网连接了工业全要素、全产业链,实时采集海量工业数据并支持自由流转和精准分析,需要实现在标识解析、协同制造等多类分布式场景里的多方协同。区块链的分布式网络技术、共识机制、可信数据交互模式可以在其中发挥优势。
(二)抢占新一代信息技术主导权
加强区块链技术的创新、试验和应用,有利于抢占新一代信息技术主导权。当前正处于信息化引领全面创新、构筑国家竞争新优势的重要战略机遇期,是我国从网络大国迈向网络强国、成长为全球互联网引领者的关键窗口期,是信息技术从跟跑并跑到并跑领跑、抢占战略制高点的激烈竞逐期。通过布局区块链前沿技术,研究及其在工业互联网安全方面的应用,有助于打造自主先进的技术体系,提升国际竞争力和安全可控能力,推动工业互联网安全产业协同创新。
(三)为工业互联网安全注入新动能
当前我国正处于信息化与经济社会深度融合、新旧动能充分释放的协同迸发期。工业互联网安全是传统计算机网络安全的延伸,也是工业控制系统安全的拓展,是工业信息安全重要组成部分,在传统安全保障工作机制的基础上,需要引入新的管理和技术模式。区块链技术提供了一种在不可信网络中进行信息与价值传递交换的可信通道,为解决工业互联网安全问题提供新方法和新思路。
二、区块链技术赋能工业互联网安全的思考
运用区块链技术能够从数据安全、可信协作、监管审计、响应联动、加快恢复几个方面保障工业互联网安全。
(一)区块链技术保障工业互联网数据安全
区块链技术可用于保障工业互联网中各类数据的真实性与完整性,实现数据权益保护。将工业互联网采集数据存储在区块链上,能够从源头保护工业互联网数据完整性,方便对工业互联网数据的取证、鉴定、保全以及出证,保障数据在全生命周期的证明力。将工业互联网标识数据存储在区块链上,方便对标识身份进行分布式验证,支撑对标识数据进行全生命周期的可信管理,包括注册、主体身份信息变更、属性数据更新、注销回收等。
(二)区块链技术实现工业互联网可信共享协作
区块链技术可用于实现工业互联网中的信息可信共享协作,通过智能合约实现工业互联网信息的多方共识验证,防止信息的篡改,同时结合匿名隐私保护技术,实现信息的安全共享与可信的价值交换,提升工业互联网安全可信生产能力。利用区块链技术打通跨企业、跨平台的可信数据交互渠道,实现可信、可追溯的数据录入和基于身份认证及访问控制的数据共享,保障企业及平台方的数据权属,支撑工业互联网数据治理,促进工业互联网企业及平台的互联互通。
(三)区块链技术支撑工业互联网监管审计
传统的信息化模式对于已经形成的数字化文件信息在各个节点的传递过程中,缺乏强大的数据保护措施,会出现数据文件的失窃和篡改的可能性。利用区块链多方参与的特性,在区块链网络中接入监管节点,可以在不影响原有生产及操作流程的基础上,快速同步区块链存储数据,支撑监管部门对工业互联网数据进行柔性监管与合规审计。
(四)区块链技术促进工业互联网安全事件联动响应
区块链技术可用于对安全信息与安全事件进行记录,有助于信息共享、攻击溯源以及事件关联分析,通过智能合约设计安全风险的识别与响应策略,能够实现全网快速的安全信息更新与安全事件响应联动,能够更好地落实应急响应策略,提升了自动化响应效率。
(五)区块链技术提升工业互联网攻击恢复能力
区块链技术可用于对被破坏系统进行灾难恢复,通过全节点备份为其中存储的数据提供快速恢复的能力,改变了原有体系的备份模式,能够实现异地多节点的快速共识与备份,降低了攻击、灾害的影响程度,提升了攻击者造成大规模攻击伤害的难度。
(六)区块链技术结合国产密码加强核心技术安全可靠
我国在区块链领域拥有良好基础,密码技术研究基础扎实,既具备国际主流密码技术的运用能力,又拥有自主密码算法、密码设备及其他基础设施。密码技术是区块链技术的关键与核心,通过密码算法的国产化替代能够把握区块链技术的自主权,从而提升区块链技术应用的可控性与可靠性。
三、区块链技术在工业互联网安全应用的挑战
一是区块链技术性能限制应用落地。区块链技术自身当前还处于探索发展阶段,共识速度、存储容量等性能指标与工业互联网海量终端场景下的低延时应用需求之间差距明显,是当前区块链技术在工业互联网中落地的主要瓶颈,数据隐私保护问题突出,亟需突破共识算法、密码学、跨链、数据治理等关键技术研究。
二是引入新兴技术为传统场景带来新的安全问题。区块链记录不可篡改、不可删除的特性一方面有利于保护数据安全,另一方面也带来新的信息监管问题,如利用区块链传播政治有害信息、网络谣言和煽动性、攻击性信息,给社会带来不利影响,也为监管部门带来很大挑战。区块链公开透明的数据流转方式搭建了低信任成本的多方可信数据交互平台,但也对数据治理、隐私保护带来更高的要求。区块链技术自身存在51%攻击、双花攻击、女巫攻击等安全风险,交易所、矿池、钱包等生态环节面临安全威胁。
三是前沿技术缺乏配套生态。当前区块链配套生态有待完善,区块链底层技术有待突破,特别是扩展性问题亟待解决,法律上缺乏针对智能合约的保护措施,需要建立对上链数据真实性的保证机制,确保工业互联网采集数据上链时的安全性,同时还需保障链上智能合约能够在链下执行。结合有效的应用监管政策,推动建立安全有序的区块链技术落地应用生态。
(来源:工业信息安全产业发展联盟)
4、推进工业数据分类分级,精准防控数据安全风险
随着工业互联网、云计算、大数据、人工智能等新一代信息技术与制造业的深度融合发展,我国传统工业已走上数字化转型的道路,在数字化、网络化、智能化的趋势引领下,工业数据呈现出爆发式增长。汇集的海量数据经处理、分析、挖掘转化为信息和知识,可有效支撑工业生产决策,带来资源配置优化、生产效率提升和服务方式革新。工业数据作为新的生产要素资源,支撑供给侧结构性改革、驱动制造业转型升级的作用日益显现,正成为推动质量变革、效率变革、动力变革的新引擎。
然而,工业数据的巨大价值也引发了黑客组织和攻击者的高度关注,企业普遍面临工业数据被篡改、泄露、窃取等安全风险,如何推动企业提升工业数据管理能力,在促进工业数据使用、流动与共享的同时实现有效管控治理,成为亟待解决的问题。近日,工业和信息化部印发了《工业数据分类分级指南(试行)》(以下简称《指南》),从工业数据定义、分类分级方法、差异化管理等方面提出16条指导意见,这是工业领域关于数据分类分级管理的首份指导性文件,是加强工业数据管理实践探索和理论创新的重要阶段性成果。
一
工业数据安全事件频发敲响安全“警钟”
国家工业信息安全发展研究中心(以下简称“中心”)发布的《2019年工业信息安全态势展望报告》显示,2019年针对工业数据的网络攻击呈现明显增势,工业数据已成为网络攻击的重点目标。3月,全球铝业巨头挪威海德鲁公司遭网络攻击,20余种重要文件被加密,经济损失高达4000余万美元,6月,大型飞机零部件供应商ASCO遭遇勒索病毒攻击,位于比利时、德国、加拿大和美国的工厂被迫关闭,企业运营中断。据美国威瑞森公司《2019数据泄露报告》统计,2019年制造业数据泄露事件共发生87起,较上一年增加16起,增幅近20%。
分析发现,工业数据安全事件具有以经济利益为主要目的、以重要敏感工业数据为攻击目标、攻击大多来源于企业外部等特点。目前,我国暴露于公共互联网的工业控制系统和物联网设备,大多存在弱口令、目录遍历、SQL注入、未授权访问等漏洞,易被攻击者利用实施数据篡改、窃取及删除等恶意操作,工业数据面临的安全形势愈发严峻。
二
数字化转型时代亟待分类分级标定“着力点”
中心作为《指南》编制的牵头支撑单位,承担了调查研究、指南起草、方法验证等重要任务。在前期调研中我们发现,随着工业数据体量的爆发式增长,工业领域对于数据安全的管理需求日益显现,很多大型工业企业和平台企业正在积极探索建立数据分类分级制度,目的在于通过分类梳理工业企业海量数据资产,明确基础数据类型,通过分级确定各类工业数据的敏感程度,明确数据的范围边界和使用方式,为加强数据安全管理,推动数据开放共享和最大化挖掘利用提供支撑。
三
扎实推进指南落实,做好工业数据“安全卫士”
《指南》的出台为推进工业数据分类分级工作提供了方法和指导,为进一步做好工业数据管理,强化工业数据安全防护奠定了坚实的基础。中心将切实发挥工业信息安全“国家智库”作用,致力于用科学理论、创新技术和解决方案服务于行业发展,为推进工业企业数字化转型,保障工业生产安全积极献力。下一步中心将充分发挥自身技术优势,从以下方面推进指南落实。
一是开展宣贯培训。深刻理解指南内容,详细剖析各项要求,编制工业数据分类分级系列宣贯读本,为社会各界了解使用指南提供参考;支撑各级工业和信息化主管部门以及企业开展工业数据分类分级培训,提高安全意识,助力指南落地实施;充分利用我中心自有媒体、联盟、论坛等资源,加大宣传力度,号召各方积极参与,努力打造“学习指南、落实指南”的良好氛围。
二是强化自身落实。将工业数据分类分级方法应用于安全态势感知、重要资源测绘等国家级平台的建设运营中,对平台汇聚的数据进行分类分级管理,明确数据使用范围和安全防护重点,保障平台运行安全。同时,利用分类分级数据标签绘制工业数据资产地图,通过持续跟踪监测工业数据资产情况,支撑工业数据安全态势感知、风险防控、产业分析等工作。
三是做好行业服务。围绕指南落地实际需求,为各级行业主管部门和有关企业提供工业数据分类分级咨询和技术服务。针对工业数据采集、传输、存储、分析等关键应用环节,梳理数据资产,划分数据等级,并提出分级数据安全防护策略建议。加快中心企业侧态势感知与安全服务平台的部署进度,持续监测工业数据安全状态,为各方提升工业数据管理水平和安全防护能力提供技术支撑。
(来源:人民邮电报)
5、报告称美国83%联网医疗成像设备易受黑客攻击
一项新的研究显示,美国绝大多数的医疗成像设备容易受到黑客攻击,一大原因是操作系统老旧,不受支持。根据Palo Alto Networks旗下Unit 42 Threat安全团队发布的《2020年物联网威胁报告》,多达83%的联网医疗成像设备(如乳房X光造影机、MRI核磁共振成像机等等)存在安全隐患。这一比例明显高于2018年的56%。
Palo Alto Networks杰出工程师王梅(May Wang音译)将该比例的上升归因于微软不再支持Windows 7。虽然医疗设备的生命周期很长,但如果它们不定期更新到操作系统的最新版本,或者运行不受支持的操作系统,那么黑客就能乘虚而入,利用漏洞窃取数据,渗透到医院网络,扰乱医疗工作。
王梅说,“这就好比你的房子侧面一直有一扇坏了的窗户——你完全无法知道什么时候会有人溜进来,防不胜防。”
恶意软件Conficker卷土重来
王梅指出,医院在网络安全方面通常落后于其他行业,因此它们特别容易受到各种攻击。例如,该报告详细描述了已有12年历史的恶意软件Conficker是如何卷土重来的。
在报告中提到的一家未具名医院,一台乳腺X线机出现了异常流量。在短短几天的时间里,IT团队确定Conficker蠕虫感染了医院网络上的其他医疗设备,包括另一台乳腺X线机、一台放射机、一台数字成像设备以及其他的设备。
Conficker在2008年首次被检测到,当时它利用了Windows XP和较老的微软操作系统中的漏洞。该蠕虫会感染设备,并将它们添加到僵尸网络中,然后继续寻求感染其它的设备。到2009年,这种蠕虫感染了大约1500万台电脑,波及医院、政府机构和企业。
2015年,估计有40万台机器感染了Conficker蠕虫。2020年的报告说,这个数字现在可能是50万。
在上面提到的那家医院,重新启动设备并不起作用,因为引发Conficker感染的漏洞没有修补。最终,该医院不得不让设备下线,给它们安装重要的安全补丁,然后慢慢将它们一个接一个地重新上线。报告称,该医院当时宕机了一个星期。
黑客为何攻击医院
Palo Alto Networks的报告还警告称,黑客会对利润丰厚的个人数据发起新的攻击。
数据安全公司Mimecast的企业安全主管马修·加德纳(Matthew Gardiner)在接受杂志时表示,“医疗机构存有高度机密和敏感的个人信息,这些信息对于不法分子尤其具有吸引力。从本质上讲,那是信息宝库,既可以用来直接变现,也可以用于身份盗窃或其他的后续攻击。”
Mimecast周二发布的研究报告显示,去年高达90%的医疗机构受到过电子邮件攻击。其中,四分之一的医疗机构称,其遭受的攻击极具破坏性。甚至有医疗机构因为网络攻击而不得不关闭。
对于资金并不充裕的医院来说,有两个选择:购买新的成像机,或者投资升级医院防火墙来帮助缓解这类攻击。
王梅称,攻击者知道医院系统升级缓慢,因而往往利用这一点来谋利。“企业的系统宕机意味着金钱损失,而医院的系统宕机则意味着生命损失。医疗机构往往会通过向勒索软件支付赎金来重新获得对系统和数据的控制。”
预防措施
医院现在可以采取一些措施来缓解这种威胁。
王梅建议医疗机构定期扫描它们的网络,看看哪些物联网设备处于联网状态。任何不属于网络上的或者不在使用状态的设备都应该断开连接。其他的设备应定期更新,以确保修补任何的漏洞。最后,物联网医疗设备应该与常规网络分离。
“正如我们的报告所显示的,在72%的医疗机构里,物联网医疗设备没有与常规网络分离,”王梅说道,“这意味着,攻击一旦渗透到物联网医疗设备,那么除了可能从医疗设备本身窃取患者数据外,攻击者还可能会渗透到医院的主网络,窃取更多的患者数据。”
7、刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结
刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结
一.前言
双尾蝎APT组织(又名: APT-C-23 ),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在2017年的时候其攻击活动被360企业安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。
攻击平台主要包括 Windows 与 Android :
其中针对 windows 的平台,其比较常见的手法有投放带有" *.exe "或" *.scr "文件后缀的 释放者文件,在目标用户打开后释放对应的诱饵文档,并且释放下一步的 侦查者(Recon).持久存在的方式也不唯一,一般通过写入注册表启动项以及释放指向持久化远控的快捷方式到自启动文件夹下.其侦查者会收集当前机器的相关信息包含( 系统版本,计算名,杀毒软件信息,当前文件所在路径,恶意软件当前版本),以及其解析 C2 的回显指令,并执行.比如: 远程shell,截屏和文件下载。
同时根据别的安全厂商的报告,我们也得知该组织拥有于攻击 Android 平台的组件,拥有 定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC 端后门程序功能包括收集用户信息上传到指定服务器的功能、远程下载文件能力.
近日 check point 安全厂商披露了该组织自导自演,给以色列士兵手上安装恶意软件的攻击活动.可以从中看出该团伙的攻击设计之巧妙,准备之充分。但最后结果还是被以色列给反制了一波............
Gcow安全团队 追影小组于 2019.12 月初开始监测到了 双尾蝎APT组织通过投递带有诱饵文件的相关可执行文件针对 巴勒斯坦的部门 进行了相应的攻击活动,这些诱饵文件涉及教育,科技,政治等方面的内容,其攻击活动一直持续到了 2020.2 月底. 追影小组对该组织进行了一定时间的追踪.遂写成此报告还请各位看官欣赏.
二.样本信息介绍以及分析 1.样本信息介绍
在本次 双尾蝎APT组织针对 巴勒斯坦的活动中,Gcow安全团队 追影小组一共捕获了 14 个样本,均为 windows 样本,其中 12 个样本是释放诱饵文档的可执行文件, 2 个样本是带有恶意宏的诱饵文档
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2
在这 12 个可执行文件样本中,有 7 个样本伪装成 pdf 文档文件,有 1 个样本伪装为 word 文档文件,有 2 个样本伪装为 rar 压缩文件.有 2 个样本伪装成 mp3 , mp4 音频文件
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放可执行文件样本的样本类型占比图-pic3
在这 14 个 Windows 恶意样本中,其诱饵文档的题材,政治类的样本数量有 9 个,教育类的样本数量有 1 个,科研类的样本数量有 1 个,未知类的样本数量有 3 个( 注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容)
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4
现在各位看官应该对这批 双尾蝎组织针对 巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的,这里 Gcow 安全团队 追影小组持该组织主要是攻击 巴勒斯坦的观点,若各位看官有更多的证据,欢迎联系我们团队. 注意:这里只是一家之言,还请各位看官须知。
那下面 追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。 注意:因为其他样本的主要逻辑是相同的,所以没有必要枉费笔墨
2.样本分析 (1).Define the Internet in government institutions a.样本信息
样本Define the Internet in government institutions_pdf.exe文件信息(表格)-pic5
样本Define the Internet in government institutions_pdf.exe文件信息(图片)-pic6 b.样本分析
通过对样本的分析我们得知了该样本是兼具 释放者(Dropper)与 下载者(Downloader)的功能,其 释放者(Dropper)主要是用以释放诱饵
文档加以伪装以及将自身拷贝到 %ProgramData%目录下,并且生成执行该文件的快捷方式并且释放于自启动文件夹下,而 下载者(Downloader)
部分主要是通过进行信息收集以及等待C2给予的回显,主要功能有: 远程shell,文件下载,屏幕截屏
i.释放者(Dropper)部分:
通过 FindResource 函数查找名称为: MyData的资源
FindResource函数查找MyData资源-pic7
通过LoadResource 函数加载该资源
LoadResource函数加载资源-pic8
通过LockResource 函数锁定资源并且获取资源在内存的地址
LockResource函数锁定资源-pic9
通过SizeOfResource 函数通过获取资源的地址计算该资源的长度
SizeOfResource函数获取资源长度-pic10
通过CreateFile 函数在%temp%目录下释放诱饵PDF文档Define the Internet in government institutions.pdf
CreateFile函数创造诱饵PDF文档-pic11
通过WriteFile 函数将PDF源数据写入创建的诱饵文档内
诱饵PDF文档源数据-pic12
WriteFile函数将PDF文档源数据写入诱饵PDF文档中-pic13
通过ShellExecute 函数打开PDF诱饵文档,以免引起目标怀疑
ShellExecute函数打开诱饵PDF文档-pic14
其PDF诱饵文档内容如图,主要关于其使用互联网的政治类题材样本,推测应该是针对政府部门的活动
诱饵PDF文档原文以及翻译-pic15
同时利用CopyFileA 函数将自身拷贝到%ProgramData% 目录下并且重命名为SyncDownOptzHostProc.exe
CopyFile函数拷贝自身文件并重命名为SyncDownOptzHostProc.exe-pic16
利用CreateFilewW 函数在自启动文件夹下创造指向%ProgramData%SyncDownOptzHostProc.exe 的快捷方式SyncDownOptzHostProc.lnk
利用CreateFileW函数创造指向后门文件的快捷方式-pic17
指向后门文件的快捷方式于自启动文件夹下-pic18 ii.下载者(Downloader)部分:
通过 CreateFile 函数创造 %ProgramData%GUID.bin 文件,内部写入对应本机的 GUID .当软件再次运行的时候检查自身是否位于 %ProgramData% 文件夹下,若不是则释放pdf文档。若是,则释放 lnk 到自启动文件夹
生成GUID码-pic19
创造GUID.bin文件并将生成的GUID码写入-pic20 ①.信息收集
1.收集 当前用户名以及 当前计算机名称,并且读取 GUID.bin 文件中的 GUID码
收集username和computername并且读取GUID-pic21
再以如下格式拼接信息
编码前cname报文-pic22
将这些拼接好的信息利用base64进行编码,组合成cname 报文
编码后cname报文-pic23
2.通过 GetVersion 函数收集 当前系统版本
通过GetVersion函数收集当前系统版本-pic24
并且将其结果通过Base64进行编码,组成osversion 报文
编码osversion报文-pic25
3.通过 WMI 查询本地安装的安全软件
被侦查的安全软件包括 360 , F-secure , Corporate , Bitdefender
通过wmi查询本地安全的安全软件-pic26
被侦查的安全软件列表-pic27
如果存在的话,获取结果组成 av 报文
4.通过 GetModuleFile 函数获取当前文件的运行路径
通过GetModuleFile函数获取当前文件运行路径-pic28
将当前程序运行路径信息通过base64编码组成 aname 报文
编码aname报文-pic29
5.后门版本号 ver 报文,本次活动的后门版本号为: 5.HXD.zz.1201
编码前ver报文-pic30
将版本号通过base64编码组成 ver 报文
编码后ver报文-pic31
将这些信息按照如下方式拼接好后,通过 Send 方式向URL地址 htp://nicoledotson.icu/debby/weatherford/yportysnr 发送上线报文
通过send发送报文-pic32
wireshark报文-pic33 ②.获取指令
通过 http://nicoledotson.icu/debby/weatherford/ekspertyza URL获取功能命令( 功能为截屏,远程shell,以及下载文件)
获取功能指令-pic34 ③.发送屏幕快照
截取屏幕快照函数
截屏主要代码-pic35
向URL地址http://nicoledotson.icu/debby/weatherford/Zavantazhyty 发送截屏
发送截屏-pic36 ④.远程shell
远程shell主要代码
远程shell主要代码-pic37
向URL地址http://nicoledotson.icu/debby/weatherford/pidnimit 发送shell回显
发送shell回显-pic38 ⑤.文件下载
下载文件,推测应该先另存为base64编码的txt文件再解密另存为为exe文件,最后删除txt文件.由于环境问题我们并没有捕获后续的代码
下载文件1-pic39
下载文件2-pic40 ⑥.删除命令
通过URL http://nicoledotson.icu/debby/weatherford/vydalyty 获取删除指令
获取删除指令-pic41
此外我们还关联到一个与之相似的样本,诱饵文档与之相同故不再赘述
样本Internet in government_984747457_489376.exe信息(表格)-pic42 (2).Employee-entitlements-2020 a.样本信息
样本Employee-entitlements-2020.doc文件信息(表格)-pic43
样本Employee-entitlements-2020.doc文件信息(图片)-pic44
该样本属于包含恶意 宏的文档,我们打开可以看到其内容关于 财政部关于文职和军事雇员福利的声明,属于涉及 政治类的题材
样本Employee-entitlements-2020.doc正文与翻译-pic45 b.样本分析
通过使用 olevba dump出其包含的恶意宏代码(如下图所示:)
其主要逻辑为:下载该URL http://linda-callaghan.icu/Minkowski/brown 上的内容到本台机器的 %ProgramData%IntegratedOffice.txt (此时并不是其后门,而且后门文件的 base64 编码后的结果)。通过读取 IntegratedOffice.txt 的所有内容将其解码后,把数据流写入 %ProgramData%IntegratedOffice.exe 中,并且延迟运行 %ProgramData%IntegratedOffice.exe 删除 %ProgramData%IntegratedOffice.txt
样本Employee-entitlements-2020.doc中的恶意宏文件主要代码(带注释)-pic46
样本IntegratedOffice.exe文件信息(表格)-pic47
样本IntegratedOffice.exe文件信息(图片)-pic48
该样本属于上一个样本中的 下载者(Downloader)部分,其还是通过创建 GUID .bin标记感染机器
创建guid.bin-pic49
并且创建指向自身的快捷方式于自启动文件夹中
在自启动文件夹创建指向自身的快捷方式-pic50
剩下的收集信息并且等待回显数据的操作都与上文中提到的相同故此不再赘述
(3).Brochure-Jerusalem_26082019_pdf a.样本信息
样本Brochure-Jerusalem_26082019_pdf.exe文件信息(表格)-pic51
样本Brochure-Jerusalem_26082019_pdf.exe文件信息(图片)-pic52
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 PDF 文件
FindResource函数查找资源MYDATA-pic53
通过CreateFile函数将文件源数据写入Brochure-Jerusalem_26082019.pdf-pic54
打开Brochure-Jerusalem_26082019.pdf-pic55
该样本关于 耶路撒冷的话题,属于 政治类诱饵文档
诱饵文件Brochure-Jerusalem_26082019.pdf内容以及翻译-pic56
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(4).Congratulations_Jan-7_78348966_pdf a.样本信息
样本Congratulations_Jan-7_78348966_pdf.exe文件信息(表格)-pic57
样本Congratulations_Jan-7_78348966_pdf.exe文件信息(图片)-pic58 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 PDF 文件
FindResource函数查找资源MYDATA-pic59
通过 CreateFile 函数将文件源数据写入 %Temp%Congratulations_Jan-7.pdf (诱饵文件)中
通过CreateFile函数将文件源数据写入Congratulations_Jan-7.pdf-pic60
通过 ShellExecute 函数将 %Temp%Congratulations_Jan-7.pdf 打开
打开Scholarships in Serbia 2019-2020.pdf-pic61
该样本关于 耶路撒冷归属的话题,属于 政治类诱饵文档
诱饵文件Congratulations_Jan-7.pdf内容以及翻译-pic62
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(5).Directory of Government Services_pdf a.样本信息
样本Directory of Government Services_pdf.exe文件信息(表格)-pic63
样本Directory of Government Services_pdf.exe文件信息(图片)-pic64 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 PDF 文件
FindResource函数查找资源MYDATA-pic65
通过 CreateFile 函数将文件源数据写入 %Temp%Directory of Government Services.pdf (诱饵文件)中
通过CreateFile函数将文件源数据写入Directory of Government Services.pdf-pic66
通过 ShellExecute 函数将 %Temp%Directory of Government Services.pdf 打开
打开Directory of Government Services.pdf-pic67
该样本关于 政府部门秘书处的话题,属于 政治类诱饵文档
诱饵文件Directory of Government Services.pdf内容以及翻译-pic68
诱饵内容对应的官网图片
巴勒斯坦秘书部官网图片-pic69 (6).entelaqa_hamas_32_1412_847403867_rar a.样本信息
样本entelaqa_hamas_32_1412_847403867_rar.exe文件信息(表格)-pic70
样本entelaqa_hamas_32_1412_847403867_rar.exe文件信息(图片)-pic71 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 RAR 文件
FindResource函数查找资源MYDATA-pic72
通过 CreateFile 函数将文件源数据写入 %Temp%Entelaqa32.rar (诱饵文件)中
通过CreateFile函数将文件源数据写入Entelaqa32.rar-pic73
通过 ShellExecute 函数将 %Temp%Entelaqa32.rar 打开
打开Scholarships in Serbia 2019-2020.pdf-pic74
该样本关于 哈马斯的话题,属于 政治类诱饵文档
诱饵文件Entelaqa32.rar内容-pic75 (7).final_meeting_9659836_299283789235_rar a.样本信息
样本final_meeting_9659836_299283789235_rar.exe文件信息(表格)-pic76
样本final_meeting_9659836_299283789235_rar.exe文件信息(图片)-pic77 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 rar 文件
FindResource函数查找资源MYDATA-资源是rar文件-pic78
通过 CreateFile 函数将 rar 文件源数据写入 %Temp%jalsa.rar (诱饵文件)中
通过CreateFile函数将rar源数据写入jalsa.rar-pic79
通过 ShellExecute 函数将 %Temp%jalsa.rar 打开
打开jalsa.rar-pic80
其诱饵文件的内容与 第十二届亚洲会议有关,其主体是 无条件支持巴勒斯坦,可见可能是利用 亚洲会议针对 巴勒斯坦*的活动,属于 政治类题材的诱饵样本
jalsa.rar诱饵文件信息(带翻译)-pic81
之后的行为就和之前的如出一辙了,在此就不必多费笔墨
(8).Meeting Agenda_pdf a.样本信息
样本Meeting Agenda_pdf.exe文件信息(表格)-pic82
样本Meeting Agenda_pdf.exe文件信息(图片)-pic83 b.样本分析
通过 CreateFile 函数将文件源数据写入 %Temp%Meeting Agenda.pdf (诱饵文件)中
通过CreateFile函数将源数据写入Meeting Agenda.pdf-pic84
通过 ShellExecute 函数将 %Temp%Meeting Agenda.pdf 打开
打开Meeting Agenda.pdf-pic85
但由于其塞入数据的错误导致该 Meeting Agenda.pdf 文件无法正常打开故此将该样本归因到 未知类题材,之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(9).Scholarships in Serbia 2019-2020_pdf a.样本信息
样本Scholarships in Serbia 2019-2020_pdf.exe文件信息(表格)-pic86
样本Scholarships in Serbia 2019-2020_pdf.exe文件信息(图片)-pic87 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 PDF 文件
FindResource函数查找资源MYDATA-pic88
通过 CreateFile 函数将文件源数据写入 %Temp%Scholarships in Serbia 2019-2020.pdf (诱饵文件)中
通过CreateFile函数将文件源数据写入Scholarships in Serbia 2019-2020.pdf-pic89
通过 ShellExecute 函数将 %Temp%Scholarships in Serbia 2019-2020.pdf 打开
打开Scholarships in Serbia 2019-2020.pdf-pic90
该样本关于 巴勒斯坦在 塞尔维亚共和国奖学金的话题,属于 教育类诱饵文档
诱饵文件Scholarships in Serbia 2019-2020.pdf内容以及翻译-pic91
诱饵内容对应的官网图片
巴勒斯坦教育部图片-pic92
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(10).تقرير حول أهم المستجدات_347678363764 a.样本信息
样本تقرير حول أهم المستجدات_347678363764.exe的文件信息(表格)-pic93
样本تقرير حول أهم المستجدات_347678363764.exe的文件信息(图片)-pic94 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 docx 文件
FindResource函数查找资源MYDATA-资源是docx文件-pic95
通过 CreateFile 函数将 docx 文件源数据写入 %Temp%daily_report.docx (诱饵文件)中
通过CreateFile函数将docx源数据写入daily_report.docx-pic96
通过 ShellExecute 函数将 %Temp%daily_report.docx 打开
打开daily_report.docx-pic97
从诱饵样本中的内容我们可以看出其关于 巴勒斯坦态势的问题,属于 政治类诱饵样本
诱饵文档daily_report.docx文件原文与翻译-pic98
之后的行为就和之前的如出一辙了,在此就不必多费笔墨
(11).asala-panet-il-music-live-892578923756-mp3 a.样本信息
样本asala-panet-il-music-live-892578923756-mp3.exe的文件信息(表格)-pic99
样本asala-panet-il-music-live-892578923756-mp3.exe的文件信息(图片)-pic100 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 unknown 文件
FindResource函数查找资源MYDATA-pic101
通过 CreateFile 函数将文件源数据写入 %Temp%asala.mp3 (诱饵文件)中
通过CreateFile函数将文件源数据写入asala.mp3-pic102
通过 ShellExecute 函数将 %Temp%asala.mp3 打开
打开asala.mp3.mp4-pic103
歌曲挺好听的,但是我们也不知道啥意思,将其归属于 未知类题材样本
(12).artisan-video-5625572889047205-9356297846-mp4 a.样本信息
样本artisan-video-5625572889047205-9356297846-mp4.exe的文件信息(表格)-pic104
样本artisan-video-5625572889047205-9356297846-mp4.exe的文件信息(图片)-pic105 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 unknown 文件
FindResource函数查找资源MYDATA-pic106
通过 CreateFile 函数将文件源数据写入 %Temp%artisan-errors.mp4 (诱饵文件)中
通过CreateFile函数将文件源数据写入artisan-errors.mp4-pic107
通过 ShellExecute 函数将 %Temp%artisan-errors.mp4 打开
打开artisan-errors.mp4-pic108
该样本伪装成视频丢失的404信号,没有实际参考价值,故归入 未知类题材样本
诱饵文件artisan-errors.mp4内容-pic109
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(13).السيرة الذاتية منال1 a.样本信息
样本السيرة الذاتية منال1.doc的文件信息(表格)-pic110
样本السيرة الذاتية منال1.doc的文件信息(图片)-pic111 b.样本分析
其诱饵内容关于在东耶路撒冷( 巴勒斯坦)的阿布迪斯大学秘书,属于 大学科研类样本
样本السيرة الذاتية منال1.doc原文翻译-pic112
同时其包含的恶意宏代码如图所示,由于我们并没有能成功获得下一步的载荷,故没法进行下一步的分析。不过推测其大致功能应该与上文相同
恶意宏代码-pic113 三.组织关联与技术演进
在本次活动中,我们可以清晰的看到 双尾蝎APT组织的攻击手段,同时 Gcow 安全团队 追影小组也对其进行了一定的组织关联,并且对其技术的演进做了一定的研究。下面我们将分为 组织关联与 技术演进这两部分内容进行详细的叙述。
注意:下文中的时间段仅仅为参考值,并非准确时间。由于在这一时间段内该类样本较多,故此分类。
1.组织关联 (1).样本执行流程基本相似
我们根据对比了从 2017 到 2020 年所有疑似属于 双尾蝎APT组织的样本,( 注意:这里比对的样本主要是windows平台的可执行文件样本).在 2017 年到 2019 年的样本中我们可以看出其先在 临时文件夹下释放诱饵文件,再打开迷惑受害者,再将自身拷贝到 %ProgramData% 下.创建指向%ProgramData%下的自拷贝恶意文件的快捷方式于自启动文件夹.本次活动与 2018 年 2019 年的活动所使用样本的流程极为相似.如下图所示.故判断为该活动属于 双尾蝎APT组织。
本次活动的样本流程与2017——2019年双尾蝎APT组织活动所使用的流程相似-pic114 (2).C&C中存在名人姓名的痕迹
根据 checkpoint 的报告我们得知,该组织乐于使用 一些明星或者名人的名字在其 C&C 服务器上.左图是 checkpoint 安全厂商揭露其针对以色列士兵的活动的报告原文,我们可以看到其中含有 Jim Morrison , Eliza Dollittle , Gretchen Bleiler 等名字.而右图在带有恶意宏文档的样本中,我们发现了其带有 Minkowski 这个字符.通过搜索我们发现其来源于 Hermann Minkowski 名字的一部分,勉强地符合了 双尾蝎APT组织的特征之一.
双尾蝎组织的C&C域名上存在名人名字的痕迹-pic115 2.技术演进 (1).在编写语言上的演进
根据 360 的报告我们可以得知 双尾蝎APT组织在 2016 年到 2017 年这段时间内该组织主要采用了 VC 去编写载荷.再到 2017 年到 2018 年这段时间内该组织主要是以 Delphi 来编写其 侦查者(Recon),根据 Gcow 安全团队 追影小组的跟踪,该组织在 2018 年到 2019 年这段时间内也使用了 Delphi 编写的恶意载荷。与 2017 年到 2018 年不同的是: 2017 年到 2018 年所采用的编译器信息是: Borland Delphi 2014XE6。而在 2018 年到 2019 年这个时间段内采用的编辑器信息是: Borland Delphi 2014XE7-S.10。同时在本次活动中该组织使用 Pascal 语言来编写载荷。可见该组织一直在不断寻求一些受众面现在越来越小的语言以逃脱杀软对其的监测。
载荷编写语言的演进-pic116 (2).编译时间戳的演进
根据 360 的报告我们可以得知 双尾蝎APT组织在 2016 年到 2018 年这个时间段中,该组织所使用的恶意载荷的时间戳信息大部分时间集中位于北京的下午以及第二天的凌晨,属于中东地区的时间。而在 2019 年 7 月份捕获的 双尾蝎APT组织样本中该组织的编译戳为 2019.7.14 11:08:48 而在本次活动所捕获的样本中我们发现该组织将编译时间戳统一改为: 1970.1.1 1:00 ,也就是置0.通过伪造时间戳以阻断安全人员的关联以及对其的地域判断
编译时间戳的演进-pic117 (3).自拷贝方式的演进
自拷贝手法的演进-pic118 (4).持久化方式的演进
根据 360 的报告,我们可以得知 双尾蝎APT组织在 2016 年到 2017 年的活动之中,主要采用的是修改注册表添加启动项的方式进行权限的持久化存在。而根据 追影小组的捕获的样本,我们发现在 2017 年到 2018 年的这段时间内该组织使用拥有白名单 Shortcut.exe 通过命令行的方式在自启动文件夹中添加指向自拷贝后的恶意文件的快捷方式。而在本次活动中,该组织则采用调用 CreateFile Windows API函数的方式在自启动文件夹中创建指向自拷贝后恶意文件的快捷方式以完成持久化存在
持久化方式的演进-pic119 (5).C&C报文的演进
为了对比的方便,我们只对比 双尾蝎APT组织 2018 年到 2019 年的上半年的活动与本次活动的 C&C 报文的区别。如图所示下图的左上是本次活动的样本的 C&C 报文,右下角的是 2018 年到 2019 年上半年活动的样本的 C&C 报文。通过下面所给出的解密我们可以得知两个样本所向 C&C 收集并发送的信息基本相同。同时值得注意的是该组织逐渐减少明文的直接发送收集到的注意而开始采用比较常见的通过Base64的方式编码后在发送。同时在ver版本中我们发现: 2018 年到 2019 年上半年的样本的后门版本号为: 1.4.2.MUSv1107 ( 推测是2018.11.07更新的后门);而在本次活动中后门版本号为: 5.HXD.zz.1201 ( 推测是2019.12.01号更新的后门),由此可见该组织正在随着披露的增加而不断的进行后门的更迭。
C&C报文的演进-pic120 四.总结 1.概述
Gcow 安全团队 追影小组针对 双尾蝎APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解
双尾蝎本次活动样本流程图-pic121
该组织拥有很强的攻击能力,其载荷涵盖较广( Windows和Android平台).并且在被 以色列进行导弹物理打击后快速恢复其攻击能力.对巴勒斯坦地区进行了一波较为猛烈的攻势,同时我们绘制了一幅本次活动之中样本与 C&C 的关系图
双尾蝎本次活动样本与C&C服务器关系图-pic122
通过之前的分析我们发现了该组织拥有很强的技术对抗能力,并且其投放的样本一直围绕着与 巴勒斯坦和 以色列的敏感话题进行投放,我们对其话题关键字做了统计,方便各位看官了解
双尾蝎本次活动所投放样本的话题关键字柱状图统计-pic123 2.处置方案:
删除文件
3.结语
通过本次分析报告,我们相信一定给各位看官提供了一个更加充分了解该组织的机会.我们在前面分析了该组织的技术特点以及对该组织实施攻击的攻击手法的演进进行了详细的概述。同时在后面的部分我们也会贴出该组织最新活动所使用样本的 IOCs 供给各位感兴趣的看官交流与学习.同时我们希望各位看官如果有其他的意见欢迎向我们提出。