一、前言
2017至2018年,卡巴斯基实验室的专家被邀请研究一系列网络窃取相关事件,通过研究,我们发现这些事件都有一个共同的特征:即都包含一个连接到公司本地网络的未知直连设备。该设备可能被存放在任何位置,包括:办公室,区域办事处等。经过跟踪研究,我们发现此次攻击事件的主要目标是东欧银行,截至目前已经有至少8家银行受到攻击,造成的直接损失多大千万美米。我们把此次事件统一命名为”DarkVishnya”。
二、事件分析
经过分析,我们发现整个攻击大概分为三个阶段。
在第一阶段,网络攻击者会伪装身份,冒充快递员,求职人员进入想要攻击的目标场所。并将准备好的设备连接到本地网络,该设备可能被隐藏在会议室等不容易被发现的地方。
在DarkVishnya事件攻击中,攻击者会根据自身能力和喜好的不同而使用不同的攻击设备,这些设备包括以下列表:
1.低成本的笔记本电脑2.Raspberry Pi 电脑(一种基于Linux的单片机电脑)3.Bash Bunny(一个USB攻击工具)
该设备在本地网络中很难被发现,因为该攻击设备常常会被识别为未知的计算机,或是被识别为外部闪存驱动器乃至键盘等。另外,由于Bash Bunny(一个USB攻击工具)和USB闪存驱动器大小相似,使该设备隐藏性进一步增加。
攻击者攻击手段通常有以下几种:1.通过内置的恶意程序进行远程访问控制设备。2.通过USB连接GPRS/3G/LTE调制解调器进行远程访问控制设备。
第二阶段,当攻击者建立远程连接后,首先扫描本地网络,查找可被访问的共享文件夹,Web服务器等对外开放资源。其目的是获取网络相关信息,比如付款的相关服务器信息。与此同时,攻击者会通过暴力破解或嗅探的技术手段尝试登陆这些机器。攻击者采取本地释放shellcode的方法来对抗防火墙拦截。当防火墙阻止一个网段访问另一个网段,但允许反向连接时,攻击者会使用一个不同的载荷进行通信。
第三阶段,当攻击者成功登陆目标机器后,首先通过远程控制类软件留下可供访问的后门,然后使用msfvenom(一个产生自定义的payload的程序)创建一些恶意服务,为了逃避白名单等检测机制,在整个攻击过程中,攻击者不会释放落地文件并且使用PowerShell。当遇到无法绕过的白名单或者PowerShell被阻止执行时,攻击者会使用远程工具运行想要执行的恶意文件。使用的远程工具包括:impacket,winexesvc.exe,psexec.exe。
三、事件总结
企业安全防护中物理层面通常是容易被忽视的,不管是物理入侵或是物理破坏等。应及时注意网络的物理隔离、扫描以及数据恢复等。