最近在美國(guó)總統(tǒng)選舉活動(dòng)中的民主黨委員會(huì)(DNC)網(wǎng)絡(luò)攻擊和信息泄露事件，讓俄羅斯攻擊威脅處于風(fēng)口浪尖。Crowdstrike于2016年6月在DNC電腦系統(tǒng)中先后發(fā)現(xiàn)了APT29和APT28的滲透痕跡，APT29和APT28分別于2015年夏季和2016年4月入侵DNC系統(tǒng)獲得控制權(quán)限。

而同屬俄羅斯國(guó)家支持黑客參與的Energetic Bear和Turla APT攻擊，也大量使用了微軟系列軟件漏洞。

俄羅斯APT攻擊組織對(duì)微軟Office系列產(chǎn)品公開漏洞的不同利用方式，顯示出其獨(dú)特的技術(shù)能力特點(diǎn)。

1. 前述

• 俄羅斯APT攻擊經(jīng)常以微軟系列軟件為利用目標(biāo)，其中對(duì)Office、Windows 和IE瀏覽器漏洞的使用占比為55%。這種對(duì)大量通用軟件的漏洞利用，也為國(guó)家支持的網(wǎng)絡(luò)攻擊提供了便利條件;
• 俄羅斯APT的魚叉式郵件中經(jīng)常利用微軟Office系列漏洞，如APT28就大量使用Excel和Word漏洞文檔作為誘餌;
• 與俄羅斯軍事情報(bào)局(GRU)相關(guān)的APT28，利用了22個(gè)公開漏洞，其中有7個(gè)為利用代碼未知的漏洞;
• 與俄羅斯聯(lián)邦安全局(FSB)相關(guān)的APT29，利用了5個(gè)與APT28完全不一樣的公開漏洞;
• 俄羅斯APT攻擊所利用的漏洞，有73%左右可以在Metasploit、Exploit Database和GitHub等公開網(wǎng)絡(luò)中找到可用的漏洞利用代碼;
• 俄羅斯APT攻擊所利用的漏洞，有46%左右與網(wǎng)絡(luò)犯罪組織使用的漏洞利用工具包相關(guān)。

Recorded Future通過對(duì)俄羅斯APT組織的關(guān)注，重點(diǎn)分析了33個(gè)被廣泛用于信息竊取和滲透入侵的已知漏洞。其中27個(gè)漏洞與俄羅斯軍事情報(bào)局(GRU)和聯(lián)邦安全局(FSB)的APT28和APT29相關(guān)。

2. 方法論

本文主要分析與俄羅斯國(guó)家支持的相關(guān)APT和惡意軟件攻擊，由于沒有原始的APT惡意軟件樣本作為分析指導(dǎo)，Recorded Future的分析來源包括公開博客、論壇、分享網(wǎng)站、代碼及惡意軟件庫、社交媒體和已發(fā)布報(bào)告。本文分析重點(diǎn)為俄羅斯APT攻擊的總體趨勢(shì)和利用技術(shù)，與近期DNC攻擊事件無關(guān)。

3. 范圍

Recorded Future分析了從2012年1月1日到2016年7月31日期間與俄羅斯APT攻擊相關(guān)的開源網(wǎng)絡(luò)信息和漏洞信息。

重點(diǎn)涉及以下四個(gè)與俄羅斯相關(guān)的APT和惡意軟件攻擊：

1. APT28又名 Fancy Bear、Operation Pawn Storm、 Strontium、 Sednit、 Sofacy和Tsar Team ，可能與俄羅斯軍事情報(bào)局GRU相關(guān)(ГлавноеРазведывательное Управление)
2. APT29 又名Cozy Bear、The Dukes 、Office Monkeys，可能與俄羅斯情報(bào)機(jī)構(gòu)聯(lián)邦安全局FSB相關(guān)(Федеральная служба безопасности Российской Федерации)
3. Energetic Bear 又名 Crouching Yeti,Dragonfly、Group 24和 Koala Team，可能與 Havex系列惡意軟件攻擊相關(guān)
4. Turla又名Epic Turla、Snake、Ouroboros和Carbon，可能與 Agent.BTZ 惡意軟件攻擊相關(guān)

4. 結(jié)論

被俄羅斯APT組織經(jīng)常進(jìn)行漏洞利用的系列辦公軟件：

以公司分類：

俄羅斯APT攻擊利用的相關(guān)漏洞：

5. 對(duì)已知漏洞的利用

俄羅斯APT攻擊的技術(shù)方式與其它APT類似：魚叉式郵件、虛假域名、網(wǎng)絡(luò)釣魚、社會(huì)工程、水坑攻擊等。其中，對(duì)Office和Adobe PDF漏洞的大量利用可能與國(guó)家支持的網(wǎng)絡(luò)攻擊相關(guān)，不同于勒索軟件出于錢財(cái)?shù)哪康模瑖?guó)家支持的攻擊對(duì)攻擊目標(biāo)和獲取信息的針對(duì)性更強(qiáng)。

6. 觀點(diǎn)

通過對(duì)APT28和APT29利用的漏洞分析，印證了之前很多安全專家的結(jié)論：這兩個(gè)APT攻擊可能與GRU和FSB兩個(gè)俄羅斯獨(dú)立的情報(bào)機(jī)構(gòu)相關(guān)。有趣的是，據(jù)Crowdstrike分析聲稱，這兩個(gè)APT攻擊都不約而同地竊取了DNC系統(tǒng)中相同的數(shù)據(jù)信息。

四個(gè)APT攻擊中使用的軟件漏洞情況：

7. 網(wǎng)絡(luò)犯罪組織漏洞利用工具包 VS 俄羅斯APT利用的漏洞

俄羅斯APT攻擊中利用的漏洞，有46%與網(wǎng)絡(luò)犯罪組織使用的工具包漏洞相同，這些工具包被大量用于地下暗網(wǎng)買賣和勒索軟件活動(dòng)中。

俄羅斯APT利用漏洞 與 工具包漏洞重疊度分析：(按照不同軟件區(qū)分)

俄羅斯APT攻擊中利用的漏洞，有73%為利用代碼已知漏洞，雖然很難確定攻擊發(fā)生和漏洞利用代碼公開的具體時(shí)間，但總體來說，有幾個(gè)方面的原因：

1. 流行軟件存在很多漏洞;
2. 利用流行軟件漏洞，可以增加滲透入侵的成功率;
3. 流行軟件漏洞對(duì)迷惑歸因調(diào)查有幫助

俄羅斯APT漏洞利用代碼的公開程度：

8. 影響

國(guó)家支持的網(wǎng)絡(luò)滲透需要成功的定向植入攻擊。Windows每天有15億人次的使用量，另外，有12億人次安裝了Office軟件，俄羅斯APT“碰運(yùn)氣”的攻擊成功率仍然較大。美國(guó)的電腦系統(tǒng)中有85%的用戶安裝有JAVA和Adobe PDF軟件，其大量存在的漏洞可被攻擊者利用。

9. 建議

1. 更新本文提到的軟件漏洞;
2. 指導(dǎo)企業(yè)進(jìn)行網(wǎng)絡(luò)和電子郵件安全意識(shí)培訓(xùn);
3. 必要時(shí)請(qǐng)使用雙因素認(rèn)證和VPN;
4. 強(qiáng)制區(qū)分用戶權(quán)限;
5. 在Adobe FlashPlayer中啟用“clickto play”功能;
6. 考慮替代的PDF閱讀器軟件;
7. 警惕不明身份電子郵件地址發(fā)送的郵件。

關(guān)注更多網(wǎng)絡(luò)安全工具>>

本文轉(zhuǎn)載自