欧洲和北美洲的能源行业遭到新一波网络攻击,网络攻击者借此可重创受影响企业。这些攻击背后的团伙便是赫赫有名的Dragonfly。该团伙在2011年前便参与到相关网络攻击活动之中,并于2014年遭赛门铁克和一群研究人员揭发,此后销声匿迹了一段时间,不过在最近的两年多里又死灰复燃。“Dragonfly 2.0”活动于2015年的年末出现,采用的战术和工具与该团伙先前活动所使用的相同。
在过去的两年多里,能源行业成为了网络攻击者的众矢之的。最受人关注的是,2015年和2016年期间,乌克兰电力系统遭到网络攻击的影响,导致大面积停电,给无数的居民带来不便。在最近的几个月中,有媒体报道一些欧洲国家的电网遭到攻击,且多家美国核设施管理公司也遭到黑客侵入。
Dragonfly团伙似乎希望了解能源设施的运作方式,并获得操作系统的访问权。从某种程度上说,该组织如果想做的话,则有能力破坏或控制这些系统。赛门铁克客户可防御Dragonfly团伙的攻击活动。
图1.概述Dragonfly团伙最近的活动
Dragonfly 2.0
赛门铁克有证据表明,Dragonfly 2.0活动在2015年12月前便已启动,且活动次数在2017年明显增加。
赛门铁克强有力的证据显示这些网络攻击者主要活动于美国、土耳其和瑞士的企业之中,在其他国家的企业中也有活动踪迹。美国和土耳其还是Dragonfly在早先活动中的目标攻击国家,然而在最近的活动中,网络攻击者似乎明显提高了对土耳其企业的兴趣。
和2011年至2014年之前的活动一样,Dragonfly 2.0为了侵入受害者网络,使用了多种感染媒介,包括恶意电邮、水坑式攻击和木马化软件。
赛门铁克在新一波攻击活动中首先识别出来的是一场恶意电子邮件活动。2015年12月,该团伙在这场活动中向能源行业的目标发送伪装为新年晚会邀请函的电邮。
随后,该团伙在2016和2017年间执行了多场具有目标性的恶意电邮活动。电邮中包含与能源行业相关的具体内容,还有一些有关普通业务问题的内容。打开电邮后,恶意附件将试图向目标企业外的服务器泄漏受害者网络的认证信息。
七月份,思科(Cisco)公司在博文中指出基于电邮的网络攻击使用名为“Phishery”的工具包并将目标瞄准能源行业。赛门铁克发现,该团伙在2017年发送的一些电邮也使用了Phishery工具包(Trojan.Phisherly),并借此通过模板注入攻击盗取受害者的认证信息。该工具包于2016年末在GitHub公开发布。
除了发送恶意电邮外,这些网络攻击者门还侵入能源行业相关人员常访问的网站,并使用水坑式攻击来收集网络认证信息。
之后,他们将盗取的认证信息用于针对目标企业的后续攻击之中。在一个实例中,受害者访问了受感染的服务器,十一天后Backdoor.Goodor便通过 PowerShell安装在受害者的计算机之上。Backdoor.Goodor使网络攻击者能够远程访问受害者的计算机。
2014年,赛门铁克发现Dragonfly团伙对合法软件进行感染,借此向受害者发送恶意软件,而这种手段早在2011年的活动中便曾出现。在2106年和2017年的活动中,该团伙使用逃避框架Shellter开发木马应用程序。特别是Backdoor.Dorshel,其可作为木马化版本的标准Windows应用程序发送。
赛门铁克还有证据表明,网络攻击者可能使用伪装成Flash更新程序的文件,在目标网络上安装恶意后门程序,随后可能会使用社交工程学技术来说服受害者下载Flash播放器更新程序。在访问特定网址之后,受害者的计算机上将出现名为“install_flash_player.exe”的文件,而紧随其后的便是Trojan.Karagany.B后门程序。
通常情况下,网络攻击者将在受害者计算机上安装一到两个后门程序,从而进行远程访问和在必要时安全其他工具。除Trojan.Heriplor外,网络攻击者所用的后门程序还有Goodor、Karagany.B和Dorshel。
[click_to_tweet:1]
与先前活动的紧密关联
很多迹象表明,最近的攻击活动与先前Dragonfly的活动有着紧密联系。特别是Dragonfly 2.0中所用的Heriplor和Karagany木马程序在2011年至2014年Dragonfly的早期活动中就曾被使用。
Trojan.Heriplor是一种Dragonfly专用的后门程序,这强有力地说明在2011年至2014年攻击西方国家能源行业的团伙与最近这些场攻击背后的团伙是同一个团伙。这种定制恶意软件在黑市上无法获取,而且我们没有发现其他已知的网络攻击团伙在使用这种恶意软件。而且,这种软件仅出现于针对能源行业的网络攻击之中。
Trojan.Karagany.B是Trojan.Karagany的演变版本,Dragonfly曾使用过Trojan.Karagany,且这两种木马所使用的命令、加密和代码例程均有相似之处。Trojan.Karagny.B很难获取,且一直都是在对能源部门的攻击中使用。然而,先前的Trojan.Karagany已泄露至黑市,因此并不是只有Dragonfly才能使用。
|
特征
|
Dragonfly (2013-2014)
|
Dragonfly 2.0 (2015-2017)
|
关联强度
|
|
Backdoor.Oldrea
|
是
|
否
|
无
|
|
Trojan.Heriplor (Oldrea第二阶段)
|
是
|
是
|
强
|
|
Trojan.Karagany
|
是
|
是 (Trojan.Karagany.B)
|
中强
|
|
Trojan.Listrix (Karagany第二阶段)
|
是
|
是
|
中强
|
|
目标瞄准西方国家
|
是
|
是
|
中
|
|
战略型网站入侵
|
是
|
是
|
弱
|
|
网络钓鱼电邮
|
是
|
是
|
弱
|
|
木马化应用程序
|
是
|
是
|
弱
|
图2.Dragonfly当前和早先网络攻击活动之间的关联
遭受破坏的可能性
通常情况下,网络攻击者在执行破坏前要先收集情报。在这个阶段,网络攻击者会收集有关目标网络和系统的信息,并获取随后攻击活动中所使用的认证信息。最知名的破坏性程序便是Stuxnet和Shamoon,其能够使用先前盗取的认证信息来管理破坏性净负荷。
现在看起来,Dragonfly最初的活动似乎更像是处于探索阶段,攻击者们只是试图获取目标企业网络的访问权。Dragonfly 2.0活动展示出网络攻击者可能已进入一个新的阶段,最近的攻击活动使其能够访问操作系统,以在未来实施更具破坏性的攻击。
最令人关注的是其对截屏的使用。在一个特例中,网络攻击者使用了清楚的格式来命名截屏文件,即[机器描述和位置 ].[机构名称]。字符串“cntrl”(控制)用于很多计算机描述之中,这可能表明这些计算机有权访问操作系统。
[click_to_tweet:2]
线索还是假象?
虽然赛门铁克无法确定Dragonfly的出处,但其很明显是一个专业的网络攻击团伙。该团伙能够通过各种方法入侵目标企业;可以窃取认证信息来访问目标网络;有大量可用的恶意软件工具,其中有一些为自行开发。Dragonfly是一个目标性极强的团伙,自2011年起便执行对能源行业的目标性攻击,而且该团伙的活动自去年起变得再度活跃起来。
为了让人们更难确定幕后黑手是谁,该团伙所执行了以下活动:
- 网络攻击者使用了更为普遍的恶意软件和“受害者手头资源”的工具(如PowerShell、PsExec和Bitsadmin), 而这可能是其混淆视听策略的一部分。Phishery工具包于2016年在GitHub公开发布,而且该团伙使用的工具“Screenutil”也似乎使用了CodeProject中的一些代码。
- 网络攻击者也没有利用任何零日漏洞。该团伙对公开工具的使用可能故意为了遮人耳目,或可能表明其缺少资源。
- 恶意软见得一些代码字符串使用了俄语。然而,还有一些使用了法语,这表明其中一种是在以假乱真。
这些互相矛盾的证据和遮人耳目的手法使我们很难确定该网络攻击团伙的位置和幕后主使者。
然而, 很清楚的一点是Dragonfly是一个经验丰富的网络攻击团伙,能够入侵众多企业网络,窃取信息,并获得关键系统的访问权。该团伙计划用这种情报来做什么尚不明确,但如果其想做的话,则可对目标企业带来实质性的破坏。
保护
赛门铁克客户可防御Dragonfly的攻击活动。而且,赛门铁克也尽力将相关信息通知给Dragonfly近期活动的攻击目标。
为了检测本博文所述恶意软件,赛门铁克采用以下特殊检测方法:
赛门铁克还制定了一个感染指标列表,以帮助客户识别Dragonfly的活动:
|
种类
|
MD5
|
命令和控制
|
|
Backdoor.Dorshel
|
b3b5d67f5bbf5a043f5bf5d079dbcb56
|
hxxp://103.41.177.69/A56WY
|
|
Trojan.Karagany.B
|
1560f68403c5a41e96b28d3f882de7f1
|
hxxp://37.1.202.26/getimage/622622.jpg
|
|
Trojan.Heriplor
|
e02603178c8c47d198f7d34bcf2d68b8
|
|
|
Trojan.Listrix
|
da9d8c78efe0c6c8be70e6b857400fb1
|
|
|
Hacktool.Credrix
|
a4cf567f27f3b2f8b73ae15e2e487f00
|
|
|
Backdoor.Goodor
|
765fcd7588b1d94008975c4627c8feb6
|
|
|
Trojan.Phisherly
|
141e78d16456a072c9697454fc6d5f58
|
184.154.150.66
|
|
Screenutil
|
db07e1740152e09610ea826655d27e8d
|
|
DeepSight Intelligence管理攻击者和威胁情报(MATI)服务的客户之前已收到了关于Dragonfly 2.0团伙的报告,其中包括检测和阻挡该团伙活动的方法。
最佳经验
-
Dragonfly在很大程度上依赖于盗取的认证信息来入侵网络。重要密码(如带有高权限的密码)的长度应至少为8至10个字符(最好更长),并应含有字母和数字的组合。鼓励用户不要在多个网站重复使用相同密码,并禁止与他人共享密码。删除不使用的认证信息和配置文件,限制创建管理级配置文件的数量。采用双重认证(如Symantec VIP)以再提供一层保护,防止网络攻击者使用任何盗取的认证信息。
-
加强使用多个重叠和相互支持的防御系统,以防止任何特定技术或保护措施中的单点失效。这包括在整个网络中使用定期更新的防火墙、防毒网关、入侵检测或保护系统 (IPS)、网站恶意软件漏洞预防和网络安全网关解决方案。
-
执行安全策略,借此在敏感数据静止和传输时对其进行加密。确保对客户数据也进行加密,从而缓解企业内部数据泄露而所导致的损失。
-
在外围设备上执行 SMB 出口流量过滤,防止 SMB 流量从您的网络转至互联网之上。
-
使员工了解鱼叉式网络钓鱼电邮可构成的危险,包括在查看未知来源的电邮和打开非请求附件时要格外小心。全方位保护堆栈可帮助用户防御电邮威胁,其中包括可阻挡电邮传播威胁的Symantec Email Security.cloud,以及可阻挡端点上恶意软件的Symantec Endpoint Protection。Symantec Messaging Gateway的解除威胁技术可在用户接收附件前将其中的恶意内容删除,使计算机免遭相关威胁的影响。
-
通过DeepSight Adversary Intelligence等服务了解攻击者使用的工具、技术和程序(TTP),有效防御像Dragonfly 2.0这样的高端攻击团伙。除了对该团伙技术的了解之外,还应通过战略情报了解其动机、能力和下一步行动,确保制定更为及时有效的决定,以防止您的网络遭到上述威胁的影响。