蔓灵花(BITTER)
蔓灵花 (BITTER) 组织是一个长期针对巴基斯坦和中国等国家进行攻击的攻击组织,主要针对政府、 军工业、电力和核设施等单位进行攻击,具有强烈的政治意图。该组织通常使用 InPage 文档处理软件 的漏洞进行攻击,该软件在巴基斯坦具有广泛的使用群体。 2019 年 9 月,绿盟科技伏影实验室威胁追踪系统检测到一起蔓灵花组织的 APT攻击事件,我们发 现此次活动的 C&C仍然存活,且处于更新状态,于是利用 C&C服务器 的配置错误获取到了攻击武器库 中所有的文件。在与历史数据进行对比后,我们发现该组织更新并替换了攻击工具,且对工具的功能进 行了拆分。同时,我们捕获了一个全新的 RAT工具 Splinter,根据长期的追踪分析,该组织从 2019 年 5 月起一直在专心开发此 RAT工具,大有取代原有 RAT工具的趋势。
海莲花(OceanLotus )
海花组织于 2014 年被披露。该 APT组织的攻击目标主要针对私营企业、政府机构、持不同政见 者和新闻工作者,攻击范围重点是东南亚 国家和地区,包括越南、菲律宾、老挝和柬埔寨等。绿盟科技伏影实验室 分析了海花近两年的攻击方式、攻击工具和攻击链,我们发现 wwlib side- loading 是海花最常使用的攻击链,该攻击链载荷的最早观测始于 2018 年前,此时期使用的载荷相 对单一。进入 2019 年后,海花组织对该攻击链的流程和载荷进行了多次改进,并将其作为主要攻击 方式,由于该攻击链具有一定的免杀和反检测能力,需要相关企业或组织的工作人员在保障安全检测设 备正常运行的同时,进一步提升对未知邮件附件的敏感度,将海莲花组织的攻击拦截在入侵阶段之前。海莲花组织近期的攻击方式多样,攻击链条复杂,但使用的核心攻击技术与最终木马载荷较为固定。 作为本年度海花组织使用的主要远控攻击载荷, DenesRAT 木马值得被重点关注。海花使用了多种 方式来来释放 DensRAT,包括 HTA文件、WinRAR 漏洞和 WinRAR自解压文件。 在木马进行分析后发现,与往年相比,海花组织对木马的能力需求继续上升,在要求其基本功能 的同时还要求其具有高隐蔽性和高对抗性。目前,多级释放、内存加载、混淆和加密等技术已经成为海 莲花各攻击链中的常规操作,这对安全厂商的检测能力和安全人员的分析能力提出了更高的要求。在对近年海花组织使用的攻击链的分析中可以看出他们会积极尝试使用各类热门漏洞和攻击技 术,将其融入到自己的攻击流程中,来增加自己的打击范围和攻击成功率,这也对各大安全厂商的防御 体系提出了更高的要求。
Muddywater
MuddyWater 是伊朗的 APT组织,攻击主要针对中东地区、欧洲和北美地区,目标主要是政府、电 信和石油部门,具有强烈的政治目的。该组织的活动曾经与 FIN7 组织相关,但相关研究人员普遍认为 该组织是一个专门从事间谍活动相关的独立组织。 我们分析发现该组织的攻击方式具有鲜明的特征,主要是利用带有宏病毒的 DOC文档,且非常依 赖 VBS和 Powershell 脚本,一般通过设置自启动项和计划任务来启动它们。这些脚本中使用了大量的 对抗手段,如反调试、加密和混淆等。该组织往往使用 CMSTP.exe 程序来绕过 UAC和 Powershell 的 AppLocker。同时该组织还通过大范围扫描和网页挂马,搜集了大量的被攻破网站作为 Proxy 代理机器, 以隐藏了真实 C&C地址。 MuddyWater 新型攻击趋势是在使用以往 VBS和 Powershell 脚本工具的同时,逐步开始使用 Delphi编写的 RAT工具,同时向 Android 等移动端设备上迁移。这暗示该组织仍然在不断的开发新的工具, 并利用新的攻击技术以抵御更加严密的检测。#### APT APT34 是伊朗的 APT组织,该组织从 2014 年起就开始进行针对中东等地区的攻击活动。他们主要 针对金融、政府、能源、化工和电信等行业。但是在过去的几年中,该组织对中国、土耳其、阿尔巴尼 亚等国均进行过攻击,而中国受到的攻击占比极高。 早在 2019 年 3 月中旬,该黑客 / 黑客组织就已经开始在网络上发布并售卖此套工具包。2019 年 4 月 18 日,有黑客组织使用假名 Lab Dookhtegan 在 Telegram 频道上出售 APT34 团伙的工具包,此外 还有收集到的受害者数据及工具后端面板内容截图。绿盟科技对泄露的工具包进行了分析,确定此次泄 露的工具包中的工具相较于以前公布的 APT34 组织使用的攻击工具有所不同。 据分析发现 APT34使用的攻击方式比较多样,包括:利用 SQL注入攻击获取系统数据、暴力破解攻击、 弱口令字典攻击、在内网渗透过程中使用 mimikatz 进行横向移动。我们还发现该组织入侵时大部分通 过 WebMail 作为系统入口点进行渗透,推断该组织疑似有某款 WebMail 系统的 0day 漏洞。
FIN
FIN7 组织活动始于 2015 年。该组织历来以美国金融、零售、餐饮和酒店行业为目标,发动精心设 计的鱼叉钓鱼攻击。据悉,从 2015 年开始,FIN7 成员就针对 100 多家美国公司开展了高度复杂的恶 意软件活动。通过入侵了数以千计的计算机系统,窃取了百万计的客户信用卡和借记卡号,出售并牟利。 虽然在 2018 年,美国逮捕了该团伙的 3 位领导人,但该组织依然活跃并实施多次鱼叉攻击。 该组织条理并结构化的运营以及他们适应和更改 TTP 的规模和速度表明,FIN7 是大规模的网络犯 罪团伙。FIN7 在三年的持久活动中,多次更新了投递技术,使用了多种具有高度对抗性的 RAT工具来 控制目标系统,主要包括 HALFBAKED、POWERSOURCE、BATELEUR和 GRIFFON等。此外,在不同 时间节点,FIN7 还先后使用 CARBANAK、TINIMET、DRIFTPIN 等 RAT工具进行持续性威胁。
IPv 环境下的安全威胁
自 2017 年 11 月,我国印发《推进互联网协议第六版(IPv6)规模部署行动计划》1 (以下简称《行 动计划》)以来,我国 IPv6 呈现出加速发展的态势。截至 2019 年 6 月,我国 IPv6 活跃用户数已达 1.30 亿。我国基础电信企业已分配 IPv6 地址的用户数达 12.07 亿。 同时,近一年来我国 IPv6 流量不断增长, 截至 2019 年 5 月, 我国 IPv6 地址资源总量达到 47282 块(/32),居全球第一位。基础电信企业积 极推进网络基础设施改造,三大基础电信企业的递归域名服务系统(DNS)全部支持 IPv6 域名 解析, 内容分发网络(CDN)企业已在全国范围内开展 IPv6 改造,初步具备 IPv6 的分发加速能力。骨干网络、 LTE 网络、城域网络基本完成改造 2 。随着 IPv6 的加速发展,IPv6 应用环境下的安全威胁更加值得关注, 本章将从漏洞和流量两方面介绍相应的威胁态势。
IPv 漏洞态势
在 IPv4 地址资源的耗尽以及 2012 年世界各国对 IPv6 网络及应用的强制启动的形势下,IPv6 相关 的系统、网络和应用服务的部署会越来越普及,截止目前,已有 25.33% 的网络部署了 IPv63 。
随着 IPv6 网络和业务开始上线,IPv6 的系统资源也越来越受到攻击者的关注,IPv6 相关的漏洞数 呈现快速增长的趋势。因此互联网建设正面临客观安全挑战,IPv6 相比 IPv4 虽然在协议安全性方面进 行了改进,但传输数据报文的基本机制没有发生变化,依然存在一些和 IPv4 相同的攻击,如针对应用 层 HTTP、传输层 TCP 的攻击,同样对 IPv6 网络构成较大威胁。IPv6 报文结构中引入的新字段以及新 协议,也都可能存在漏洞,如利用 IPv6 扩展报头、NDP 协议以及 ICMPv6 协议可以实现嗅探、DoS 等 攻击。根据 NVD的统计,从 2002 年至今为止的 IPv6 漏洞,共有 369 个。 表 6.6 IPv6 漏洞分布
| 协议 | 漏洞数 | 漏洞类型 DoS RCE 信息泄露 其他 | 漏洞位置 系统 应用 路由器等设备 协议 | ||||||
|---|---|---|---|---|---|---|---|---|---|
| IPv6 | 369 | 244 | 3 | 20 | 87 | 187 | 113 | 23 | 1 |
| ICMPv6 | 32 | 24 | 2 | 6 | 0 | 22 | 7 | 2 | 1 |
| NDP | 20 | 15 | 0 | 0 | 5 | 12 | 6 | 2 | 0 |
| DHCPv6 | 33 | 27 | 1 | 3 | 2 | 14 | 18 | 1 | 0 |
| 在 IPv6 相关漏洞中,拒绝服务攻击类漏洞将占到所有漏洞的 66%,也就是 244 条漏洞能够造成拒 绝服务,这对于网络设备和网络服务来说是比较严重的危害,其中远程拒绝服务占据了 185 条,因此 抵御拒绝服务攻击的任务将非常艰巨。同时需要关注的是当前 IPv4 的互联网是一个庞大的系统,其设备和应用系统向 IPv6 升级迁移的经济代价和技术成本无疑是非常巨大的,因此这两种网络也必将共存 很长的一段时间。为实现从 IPv4 到 IPv6 的平滑过渡,相应的过渡技术已经开发出来并投入使用,包括: 双协议栈技术、隧道技术以及协议翻译技术。过渡技术相关的安全问题同样值得我们持续关注,在现有 的漏洞库里与过渡技术相关的有 16 条,未来一段时期,该类型的漏洞也会不断增加。 |
攻击类型热点分布
2019 年,在 IPv6 环境下出现过的告警信息有 295 种,告警数量达 237 万。下图为 IPv6 告警数量 月度趋势。从图中可以看出,IPv6 告警数量整体呈上升趋势,最高在 11 月份出现 88 万条告警。 1000000 100000 10000 1000 1 2 3 4 5 6 7 8 9 10 11 12 图 6.19 IPv6 告警数量月度趋势 恶意软件 后门和挖矿是 IPv6 环境中出现最多的恶意软件类型,其次是木马、勒索和蠕虫。
僵尸肉鸡
其它 0%
2%
蠕虫 7%
勒索
后门 13%
32%
木马 15%
挖矿 31%
图 6.20 IPv6 恶意软件类型分布
后门是 2019 年 IPv6 环境中告警最多的恶意软件,占比 32%。下图为后门攻击的日趋势图,6 月和 7 月后门告警的高峰期,多日出现高峰,7 月上旬告警数量最多,最高一天有 1633 条的后门告警。
1800 1600
1400 1200
1000 800 600 400 200 0
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
图 6.21 后门攻击趋势
下表为后门攻击类型的 Top5,值得关注的是,可疑 webshell 后门访问控制的告警数量 2.75 万,占 所有木马攻击的 87.8%。
表 6.7 后门攻击类型 TOP5
| 告警类型 TOP5 |
|---|
| 可疑 webshell 后门访问控制 |
| 木马后门程序 chopper webshell 检测 |
| 木马后门程序 php 一句话木马 |
| 木马后门程序冬日之恋通信 2 |
| 齐博 cms splitword.php 后门 |
| 挖矿在 IPv6 环境中告警数量仅次于后门,占比 31%。日趋势图如下图所示,在 2019 年初 IPv6 环 境挖矿活跃度较低,随后告警数量小幅增长,从 6 月下旬开始突增,直到年底,间断出现大量 IPv6 挖 矿告警。6 月下旬和 7 月上旬是 IPv6 挖矿高峰期,持续将近 1 个月。 |
| 600 500 |
| 0 |
| Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec |
| 图 6.22 挖矿攻击趋势 |
| 挖矿类型分布 Top5 下表所示,挖矿蠕虫 WannaMine 连接通信和勒索病毒 WannaCry 尝试通信告 警最多,其次是门罗币挖矿程序网络通信、恶意挖矿病毒 XmrigDNS 请求连接和挖矿程序查询 DNS 矿 池服务器域名。 |
表 6.8 挖矿类型分布 Top5
| 告警名称 |
|---|
| 挖矿蠕虫 WannaMine 连接通信 |
| 勒索病毒 WannaCry 尝试通信 |
| 门罗币挖矿程序网络通信 |
| 恶意挖矿病毒 XmrigDNS请求连接 |
| 挖矿程序查询 DNS矿池服务器域名 |
| Web 攻击 |
| 从攻击应用分类来看,针对 Web 服务的攻击高达 44%。其次是针对 DNS服务的攻击,达 42%。 |
| Service |
| Other Service |
| File |
| Service Web Service DNS Service Wind...... |
| 图 6.23 攻击目标应用分类占比 |
| 下表为被攻击的 Web 框架 Top5, Tomcat 和 ThinkPHP 是被攻击最多的框架,其次是 IIS,Struts 和 Nginx。 |
| 表 6.9 被攻击 Web 框架 Top5 |
| 被攻击 Web 框架 |
|---|
| Tomcat |
| ThinkPHP |
| IIS |
| Struts |
| Nginx |
| 76 |
Web 服务远程跨站脚本执行攻击依然是最突出的 Web 攻击告警类型,但是数量上相比去年增长近 十倍。 表 6.10 Web 攻击告警 Top10
| 告警数量 | 告警名称 |
|---|---|
| 85621 | Web 服务远程跨站脚本执行攻击 |
| 50319 | Web 服务远程 SQL注入攻击可疑行为 |
| 23103 | HTML中存在 JavaScript 混淆代码 |
| 16984 | PHP 代码执行漏洞 |
| 13622 | HTTP/2HEADERS和 CONTINUATION帧连接 |
| 10953 | HTTPURLTab 字符分割规避尝试 |
| 6292 | Java 代码执行漏洞 |
| 5812 | ApacheTomcat 远程代码执行漏洞(CVE-2017-12615) |
| 5346 | FCKEditor'FileUpload()' 函数任意文件上传漏洞 |
| 3798 | HTTP 命令注入尝试 |
| 3230 | ThinkPHP5.x 远程命令执行漏洞 |
