网络安全公司赛门铁克(Symantec)在上周发布的一份报告中指出,网络间谍活动近年来最重要的进展之一,就是有许多组织开始积极采用“靠山吃山,靠水吃水(living off the land)”的策略。
living off the land策略的目的是双重的:首先,通过使用这些特性和工具,攻击者希望融入到受害者的网络中,并将他们的活动隐藏在合法进程的海洋里。其次,即使检测到涉及这些工具的恶意活动,也可能使攻击更加难以归因。如果这些组织都使用类似的工具,那么要将一个组织和另一个组织区分开来将十分困难。
此外,大多数攻击组织仍然会创建和利用自定义恶意软件,但倾向于尽量减少使用,从而降低被发现的风险。
研究人员如何大海捞针?
这并不意味着间谍攻击现在不会被发现,但这确实意味着分析人员可能需要更长时间来进行调查。这就是为什么赛门铁克创建Targeted Attack Analytics(TAA)的原因之一,它采自动完成以前需要耗费数千小时的分析工作,使得研究人员更容易在大海中捞针。
在2018年1月,TAA向东南亚的一家大型电信运营商发出警报。攻击者使用PsExec在该公司网络上的计算机之间横向移动。PsExec是微软的系统内部工具,用于在其他系统上执行进程,同时也是攻击者实施living off the land策略最常见的合法软件之一。然而,它也被广泛用于合法目的,这意味着恶意使用PsExec可能很难被发现。
TAA不仅标记了PsExec的恶意使用,还告诉我们攻击者使用它的目的。他们试图在受害者的网络中远程安装之前不为人知的恶意软件。当赛门铁克分析恶意软件时,他们发现它是Trojan.Rikamanu的更新版本,一种与Thrip组织相关的恶意软件。赛门铁克表示,他们从2013年开始就一直在监控这个组织。经过进一步调查,赛门铁克发现Thrip在这次攻击中还使用了一个全新的恶意软件(Infostealer.Catchamas)。
有了这些关于恶意软件的信息和针对受害者使用的living off the land策略,赛门铁克扩大了搜索范围,看看是否能找到类似的模式,证明Thrip一直在针对其他组织。也因此,他们发现了一起范围涵盖更广的网络间谍活动,涉及到强大的恶意软件被用来对付目标,这是一个值得关注的问题。
赛门铁克称,他们发现3台位于中国的计算机被用来发动“Thrip”攻击。Thrip的动机很可能是间谍活动,其目标包括美国和东南亚的通讯、地理空间成像和国防部门。
目光投向天空:Thrip的目标
也许赛门铁克最令人担忧的发现是Thrip瞄准了卫星通信运营商。攻击组织似乎对公司的运营方面特别感兴趣,寻找和感染运行监视和控制卫星的软件的计算机。这暗示了Thrip的动机,不仅仅是间谍行为,还可能包括破坏。
另一个目标是参与地理空间成像和制图的组织。同样,Thrip似乎主要对公司的运营方面感兴趣。它针对的是运行MapXtreme GIS(地理信息系统)软件的计算机,该软件用于诸如开发自定义地理空间应用程序或将基于位置的数据集成到其他应用程序等任务。它还针对运行Google Earth Server和Garmin成像软件的机器。
卫星运营商并非Thrip唯一感兴趣的通信目标。该集团还将目标对准了三家不同的电信运营商,均位于东南亚。在所有情况下,根据受Thrip感染的计算机的性质,似乎这些攻击的目标是电信公司本身,而不是它们的客户。
此外,还有第四个感兴趣的目标,一个国防承包商。
试图利用合法软件开展活动
正如上面提到的那样,赛门铁克从2013年起就一直在监控Thrip,当时他们发现了一起从中国系统策划的间谍活动。自从最初的发现以来,该组织已经改变了策略,并扩大了使用工具的范围。最初,它主要依赖自定义恶意软件,但在从2017年开始的最近一轮攻击中,该组织已经切换为混合使用自定义恶意软件以及living off the land工具。后者包括:
PsExec:微软系统内部工具,用于在其他系统上执行进程。攻击者主要使用该工具在受害者的网络上横向移动。
PowerShell:微软脚本工具,用于运行命令下载有效载荷、遍历受攻击的网络,并进行侦察。
Mimimikatz:可以更改权限、导出安全证书和恢复明文的Windows密码的免费工具。
WinSCP:用于从目标组织中过滤数据的开源FTP客户端。
LogMeIn:基于云的远程访问软件。目前还不清楚攻击者是未经授权进入受害者的LogMeIn帐户,还是他们自己创建的账户。
所有这些工具,除了Mimikatz(几乎总是被恶意使用)之外,其他都有合法的用途。例如,PowerShell在企业中广泛使用,而且绝大多数脚本都是合法的。类似地,系统管理员经常使用PsExec。然而,在这种情况下,是Thrip使用PsExec引起了赛门铁克的注意。
虽然Thrip现在大量使用living off the land策略,但它也使用自定义恶意软件,特别是针对感兴趣的目标计算机。这包括:
Trojan.Rikamanu:一种自定义木马,旨在从受感染的计算机中窃取信息,包括凭证和系统信息。
Infostealer.Catchamas:基于Rikamanu,该恶意软件包含旨在避免检测的附加功能。它还包括许多新功能,比如从Trojan.Rikamanu恶意软件创建以来出现的新应用程序(比如新的或更新的Web浏览器)窃取信息的功能。
Trojan.Mycicil:一个由中国黑客创建的键盘记录程序。虽然是公开的,但并不常见。
Backdoor.Spedear:虽然在最近的攻击中没有看到,但Spedear是Thrip在其他活动中使用的后门木马。
Trojan.Syndicasec:Thrip在之前的活动中使用的另一种木马。
高度针对性的间谍活动
得益于TAA最初发出的警报,使得赛门铁克能够跟随线索,最终观察到一起范围涵盖更广、源于中国计算机的网络间谍活动,并针对了美国和东南亚的多个组织。间谍活动是该组织可能的动机,但考虑到它对破坏操作系统的兴趣,它也可以采取更激进、更具破坏性的操作,如果它选择这样做的话。