常见网络攻击技术交流（3）

ltq80103402

        “火焰”病毒的全名为Worm.Win32.Flame，它是一种后门程序和木马病毒，同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令，它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染，病毒将开始一系列复杂的行动，包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器，让操控者一目了然。据卡巴斯基实验室统计，迄今发现感染该病毒的案例已有500多起，其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯、埃及和中国（家庭电脑较多）等国也有个别案例。“火焰”设计极为复杂，能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的网络流量规律，自动录音，记录用户密码和键盘敲击规律，将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的服务器。火焰病毒被认为是迄今为止发现的最大规模和最为复杂的网络攻击病毒。2012年5月，俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基称，这种新病毒可能是“某个国家专门开发的网络战武器”。“火焰”病毒最早可能于2010年3月就被攻击者放出，但一直没能被其他网络安全公司发现。“除卡巴斯基外，匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒。 Flame（火焰）是一种高度复杂的恶意程序，被用作网络武器并已经攻击了多个国家。卡巴斯基实验的专家们是在参与国际电联（ITU）发起的一项技术分析调查中发现Flame的。Flame被用来执行网络间谍活动。它可以盗取重要信息，包括计算机显示内容、目标系统的信息、储存的文件、联系人数据甚至音频对话记录。其复杂性和功能性已经超过其它任何已知的网络武器。Flame是迄今发现为止程序最大的网络武器，其设计结构让其几乎不能被追查到。然而，一般的恶意程序都比较小，以此方便隐藏。而庞大的Flame程序竟然能够让其未被发现。Flame通过复杂先进的技术感染计算机，而这些技术仅在之前的一个网络武器中被用到——Stuxnet。尽管Flame早在2010年3月就开始活动，但直到卡巴斯基实验室发现之前，没有任何的安全软件将其检测到。

        Turla 又称 Snake 或 Uroburos，是当下最复杂的网络间谍活动之一。卡巴斯基实验室对该活动的最新研究表明，Epic 是 Turla 受害者感染机制的初始阶段。“Epic”的目标包括下列类别：政府实体（内政部、商贸部、外交部、情报局）、大使馆、军方、研究与教育机构以及制药公司。大多数受害者都位于中东和欧洲，但我们也观察到了包括美国等其他地域的受害者。卡巴斯基实验室专家总计统计到了分布在超过 45 个国家和地区的数百名受害者 IP，其中法国在受害名单中高居首位。已检测到的攻击可以根据用于感染受害者的初始感染向量分为几个不同类别：利用 Adobe PDF 漏洞的鱼叉式网络钓鱼电子邮件 (CVE-2013-3346 + CVE-2013-5065)诱骗用户运行扩展名为“.SCR”、且有时会使用 RAR 压缩包形式的恶意软件安装程序的社会工程利用 Java 漏洞 (CVE-2012-1723)、Adobe Flash 漏洞（未知）或 Internet Explorer 6、7、8 的漏洞（未知）的水坑式攻击依靠社会工程诱骗用户运行假冒“Flash Player”的恶意软件安装程序的水坑式攻击。

       Sandworm病毒，国外厂商iSIGHT Partners 2014年10月14日发布公告称发现了Sandworm（沙虫）漏洞。Sandworm病毒利用的漏洞几乎影响所有微软Windows Vista以上装有Microsoft Office软件的主机操作系统，通俗地说，这类攻击是通过发送附件文档的方式发起的，受害者只要打开文档就会自动中招，也就是只要计算机中安装了Microsoft Office软件，都有可能受到该漏洞的影响，轻则信息遭到窃取，严重的则成为高级可持续威胁的攻击跳板。该漏洞还具有绕开常见的杀毒软件的特点，漏洞风险性较高。
TrendMicro报告发现Sandworm病毒发起后续攻击的恶意载荷包含了对工控企业的人机界面软件的攻击（主要是GE Cimplicity HMI），目的是进一步控制HMI，并且放置木马。该攻击利用了GE Cimplicity HMI软件的一个漏洞，打开攻击者恶意构造的.cim 或者.bcl文件，允许在用户机器上执行任意代码，以及安装木马文件.cim 或者.bcl文件。

       BlackEnergy是一款自动化的网络攻击工具，出现于2007年，2010年已经添加到病毒样本库，主要影响行业是电力、军事、通信、政府等基础设施和重要机构。BlackEnergy被各种犯罪团伙使用多年。其客户端采用了插件的方式进行扩展，第三方开发者可以通过增加插件针对攻击目标进行组合，实现更多攻击能力，例如，有些人利用它发送垃圾邮件，另一些人用它来盗取银行凭证。BlackEnergy工具带有一个构建器（builder）应用程序，可生成感染受害者机器的客户端。同时该工具还配备了服务器脚本，用于构建命令及控制（C&C）服务器。这些脚本也提供了一个接口，攻击者可以通过它控制“僵尸机”。该工具有简单易用的特点，意味着任何人只要能接触到这个工具，就可以利用它来构建自己的“僵尸”网络。
以乌克兰电网受攻击事件为例，该病毒的攻击者在微软Office文件（一个.xls文档）中嵌入了恶意宏文件，并以此作为感染载体来对目标系统进行感染。攻击者通过钓鱼邮件的方式，将恶意文档以附件形式发送到目标用户，目标用户在接收到这封含有恶意文件的钓鱼邮件之后，系统就会被病毒感染。攻击者将该邮件的发送地址进行了伪装，使用户认为这些邮件来自于合法渠道。在恶意文件中还包含一些文字信息，这样才能欺骗用户来运行文档中的宏。
如果攻击者成功地欺骗了目标用户，那么他们的计算机系统将会感染BlackEnergy恶意程序，再通过BlackEnergy释放出具有破坏性的KillDisk组件和SSH后门。KillDisk插件能够破坏计算机硬盘驱动器中的核心代码，并删除指定的系统文件。利用SSH后门黑客可通过一个预留的密码（passDs5Bu9Te7）来远程访问并控制电力系统的运行，最终通过执行shutdown命令关机，此时系统遭到严重破坏，关机之后已经无法重启，导致电力系统无法恢复运行，致使出现大面积的断电事件。

          “贵宾犬攻击”是在互联网上广泛使用的SSLv3存在设计缺陷，被黑客利用窃取基于SSL3.0版加密通信的内容的这种攻击方式。SSLv3是传输层安全协议TLS，已投入使用超过15年，目前绝大多数浏览器都支持该版本。由于SSLv3存在漏洞，在黑客控制网络通讯的情况下，SSLv3加密通信的数据就变得透明。例如接入一个公共WiFi使用网银，包括账号密码等加密传输的网络通信数据都可能被黑客窃取。SSLv3“贵宾犬攻击”的一个重要手段是基于ARP欺骗的中间人攻击，触发条件是通信两端均使用SSLv3进行安全传输。

          “Regin”这种软件被用来对政府机构、商业组织和个人进行窥视活动。Regin 的攻击范围并不仅限于电信网络和其它高价值目标，有48%的已知感染设备都来自小企业和普通民众。Regin病毒软件有什么危害？赛门铁克表示这款恶意程序有五个阶段，每一个阶段“都非常隐蔽和加密，除了第一阶段”。“每一个单独阶段所能提供的有关完整程序包的信息都非常有限。只有拦截了全部五个阶段，才有可能分析和理解具体的威胁。”Regin在会受感染设备做很多事情，其中包括 ● 监控截图● 控制鼠标的点击和滑动功能● 捕获和传输密码● 恢复已经删除的文件 ● 监控网络流量受害目标：目前多发现来自Regin的攻击，近半都是针对互联网服务供应商。在监控互联网服务供应商时，Regin的目标不在该公司，而是其客户。28%的攻击指向于电信运营商，其他的攻击领域还包括能源、航空、研究部门、医院等。Regin 的攻击范围并不仅限于电信网络和其它高价值目标，有 48% 的已知感染设备都来自小企业和普通民众。种种迹象表明，Regin 多数会是某项网络间谍活动的一部分，但目前为止还无法排除其它的可能。