量产化网络攻击之路

2014-09-11 9,389

小编注:

国外近些年不乏各种炒作中国黑客威胁论,黑我大天朝,我们都深知国外敌对势力是要抑制我们的中国梦,抑制我们的崛起。

而我大天朝官员整天被国外黑的哑巴吃黄莲,死要面子活受罪;小编觉得我们国家应该出现像Fireeye旗下Mandiant公司来溯源和研究中国受害者的攻击源和手法,公司甚至可以命名为Fandiant!

最近Fireeye发了一篇文章,翻译如下,单单凭相似的攻击手法和类似的攻击工具来证明团伙关联性是不是太武断了,各位看官自己审度吧。

------------------------------------------------------------------------------------------------------------------------

流水线般的人,流水线般的部件。现代生产线由一个个的个体,组成了一个更大的进程。
工业制造中这种常见的制造方法都是高效且有利可图的。

 

img_produits

 

现在看来 世界上最大的制造业国家的网络攻击团伙都是使用类似的途径感染目标网络和攫取数据,他们合作以提高效率和有效性。

FireEye研究者将发布一份报告来详述在中国不同地区的不同团伙发起的两个攻击活动,这两个团伙显然是并行操作的。

第一个团伙,姑且命名Moafee,似乎在广东省操纵攻击活动。它的目标包括在中国南海有利益冲突的相关国家政府部门和军事组织,甚至包括一些美国国防工业基地。
Moafee选择了其目标可能是基于资源丰富的中国南海地区——世界第二业务航线,根据维基百科,包括稀土金属,原油和天然气。

第二个团伙,称为DragonOK,目标是日本和台湾高科技和制造企业。这可能表明他们正在获取商业机密以达到在该地区有经济竞争上的优势。DragonOK似乎在中国江苏省附近运作。

看起来这两个团队,尽管在截然不同的两个地区活动,1)合作,2)接收相同的训练),3)共享一个共同的工具包供应链,4)这些场景的组合,意味着他们正在使用一种"流水生产线"模式的方法发起网络攻击来突破防御。

 镜像彼此:

两场网络战都使用了相似的工具(Tools),技术(Techniques)和流程(Procedures) (TTPs) --包括使用定制的后门程序和远程控制工具来渗透他们的目标网络。

Moafee和DragonOK都使用一个著名的代理工具——HUC数据包传输工具(HTRAN)来伪装他们的地理位置。都使用密码保护的文件和大文件来掩盖他们的攻击。这些方法,以及下面我们将回顾的其他相似的TTPs,似乎表明这些团伙在某种程度上有附属性,至少在网络攻击战中有一些共性。

还有第三个独立组织似乎也在使用相同的TTPS,包括相同的定制的后门和远控;然而,FireEye研究人员暂时还没有足够的洞察力和可靠报告的表明最终他们跟Moafee和DragonOK团伙有任何关系。

 脱离视线:

Moafee和DragonOK团伙都喜欢使用鱼叉式网络钓鱼(spear-phishing)邮件作为攻击媒介,常常采用诱饵欺骗受害者。这些钓鱼邮件精心包装过,受众很特定,甚至使用受害者的母语来书写的。
他们发送的附件通常是一个ZIP压缩的可执行文件或有密码保护的微软Office文档。我们还观察到两个团伙都使用诱饵文档展示给受害者,而恶意软件已经在后台运行。

两个团伙都使用多种常见的方法来隐匿他们的攻击行为。即便使用沙箱环境,杀毒软件和网关防火墙,这些恶意软件都隐藏的难以发觉。
它们用了如下方法:

检查核心处理器的数量(如果只有一个就放弃);
加密的附件过邮件防火墙,并在邮件正文提供密码;
发送空字节的超大文件来绕过一些网络和本地的反病毒软件,这些杀毒软件不能扫描超大文件。

 工具交流:

两个组织似乎共享后门和远控工具,这些工具一些是定制的,其余的是公开的。
重叠的工具包括:
CT / NewCT / NewCT2
Mongall
Nflog
PoisonIvy
我们观察到Moafee多个指挥控制(C2)服务器上使用HTRAN代理,所有操作都在广东省的公用主干网上。
像Moafee团伙一样,我们观察到DragonOK团伙也在他们的C2服务器上运行HTRAN代理,只是公用主干网在江苏省。

 最后总结:

主要集中在与中国南海有利益冲突的相关国家的政府和军事机构,Moafee选择其目标可能是基于地区丰富的自然资源。
通过瞄准在日本和台湾的高科技和制造业务,DragonOK可能为经济竞争优势获取商业机密。

尽管他们的目标和任务看似不同,我们的研究人员发现足够的证据足以证明Moafee和DragonOK之间的关联性,或许甚至有第三个攻击小组。通过共享TTPs和协调联合攻击,
这些高级威胁充当者利用中国经济的供应链执行全球范围的广泛间谍活动。

quantum1

 

源地址:http://www.fireeye.com/blog/technical/targeted-attack/2014/09/the-path-to-mass-producing-cyber-attacks.html
翻译:SP小编
SP地址:http://www.secpulse.com/archives/277.html

本文作者:SP小编

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/277.html

Tags:
评论  (3)
快来写下你的想法吧!
  • helen 2014-09-12 13:29:26

    关注国外安全很多年

  • 上头欢乐送 个人认证 2014-09-12 13:36:14

    小编辛苦了 翻译的很到位 而且个人态度表现的很正能量!

  • fuckray 2014-09-12 19:17:34

    少翻译点火眼的垃圾文章啊,搞了火眼才是王道,fuck dm557

SP小编

文章数:209 积分: 25

交流和分享以及愉快的玩耍

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号