您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
全球疫情相關(guān)網(wǎng)絡(luò)攻擊分析報(bào)告
概要
自今年年初新冠病毒在國(guó)內(nèi)全面爆發(fā),奇安信威脅情報(bào)中心便立刻意識(shí)到在這樣的非常時(shí)期,網(wǎng)絡(luò)攻擊者絕不會(huì)自我“隔離”。保障關(guān)鍵業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行及信息安全、重要網(wǎng)站的正常運(yùn)轉(zhuǎn)和內(nèi)容不被篡改、防范和阻斷利用疫情相關(guān)熱點(diǎn)的APT、黑產(chǎn)等網(wǎng)絡(luò)攻擊,是另一個(gè)當(dāng)務(wù)之急。
在春節(jié)期間,奇安信紅雨滴團(tuán)隊(duì)和奇安信CERT便建立了圍繞疫情相關(guān)網(wǎng)絡(luò)攻擊活動(dòng)的監(jiān)控流程,以希冀在第一時(shí)間阻斷相關(guān)攻擊,并發(fā)布相關(guān)攻擊預(yù)警。
截至目前,奇安信紅雨滴團(tuán)隊(duì)捕獲了數(shù)十個(gè)APT團(tuán)伙利用疫情相關(guān)信息針對(duì)境內(nèi)外進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng)的案例,捕獲了數(shù)百起黑產(chǎn)組織傳播勒索病毒、遠(yuǎn)控木馬等多類(lèi)型惡意代碼的攻擊活動(dòng)。并通過(guò)基于奇安信威脅情報(bào)中心威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品阻斷了數(shù)千次攻擊。相關(guān)詳細(xì)信息均及時(shí)上報(bào)國(guó)家和地方相關(guān)主管部門(mén),為加強(qiáng)政企客戶(hù)和公眾防范意識(shí),也將其中部分信息摘要發(fā)布。
在本報(bào)告中,我們將結(jié)合公開(kāi)威脅情報(bào)來(lái)源和奇安信內(nèi)部數(shù)據(jù),針對(duì)疫情期間利用相關(guān)信息進(jìn)行的網(wǎng)絡(luò)攻擊活動(dòng)進(jìn)行分析,主要針對(duì)疫情相關(guān)網(wǎng)絡(luò)攻擊態(tài)勢(shì)、APT高級(jí)威脅活動(dòng)、網(wǎng)絡(luò)犯罪攻擊活動(dòng),以及相關(guān)的攻擊手法進(jìn)行詳細(xì)分析和總結(jié)。
主要觀點(diǎn)
從奇安信對(duì)疫情期間監(jiān)控到的各類(lèi)網(wǎng)絡(luò)攻擊活動(dòng)來(lái)看。在疫情爆發(fā)初期,我們捕獲到的攻擊來(lái)源主要集中在嗅覺(jué)靈敏的國(guó)家級(jí)APT組織以及網(wǎng)絡(luò)黑產(chǎn)團(tuán)伙,例如:海蓮花、摩訶草、毒云藤、金眼狗等等。他們利用受害者對(duì)于疫情熱點(diǎn)信息的高關(guān)注度,使用疫情相關(guān)內(nèi)容作引誘,并多采用釣魚(yú)、社交網(wǎng)絡(luò)等方式針對(duì)特定人群和機(jī)構(gòu)進(jìn)行定向攻擊。
而在疫情爆發(fā)的中期,各類(lèi)網(wǎng)絡(luò)犯罪團(tuán)伙輪番登場(chǎng)。我們持續(xù)監(jiān)控到國(guó)內(nèi)外諸多網(wǎng)絡(luò)犯罪團(tuán)伙通過(guò)疫情熱點(diǎn)信息傳播勒索病毒、銀行木馬、遠(yuǎn)控后門(mén)等惡意程序的斂財(cái)活動(dòng)。
隨著新冠肺炎的全球性蔓延,當(dāng)前我們監(jiān)控到越來(lái)越多的APT組織、黑產(chǎn)團(tuán)伙、網(wǎng)絡(luò)犯罪組織加入到利用疫情熱點(diǎn)的攻擊活動(dòng)中。例如近期新冠肺炎爆發(fā)的國(guó)家意大利,我們就捕獲了多個(gè)針對(duì)意大利并利用新冠肺炎為誘餌的網(wǎng)絡(luò)攻擊活動(dòng)。從當(dāng)前奇安信針對(duì)疫情期間的網(wǎng)絡(luò)攻擊大數(shù)據(jù)分析來(lái)看,隨著疫情的全球性蔓延,相關(guān)的網(wǎng)絡(luò)攻擊已存在蔓延態(tài)勢(shì)的苗頭。
全球疫情相關(guān)網(wǎng)絡(luò)攻擊趨勢(shì)
數(shù)量和趨勢(shì)
自今年1月底新冠疫情爆發(fā)開(kāi)始,嗅覺(jué)靈敏的國(guó)家級(jí)APT組織以及網(wǎng)絡(luò)黑產(chǎn)團(tuán)伙便率先展開(kāi)在網(wǎng)絡(luò)空間借疫情信息進(jìn)行的網(wǎng)絡(luò)攻擊活動(dòng)。1月底到2月中旬,由于大規(guī)模疫情僅限于中國(guó)境內(nèi),這一期間,疫情相關(guān)的網(wǎng)絡(luò)攻擊活動(dòng)也主要表現(xiàn)為針對(duì)中國(guó)境內(nèi)。而隨著2月中旬后,新冠疫情開(kāi)始在全球范圍內(nèi)爆發(fā),隨之而來(lái)的網(wǎng)絡(luò)攻擊行動(dòng)也逐步擴(kuò)撒到世界范圍,攻擊活動(dòng)越發(fā)頻繁,越來(lái)越多的APT組織、黑產(chǎn)團(tuán)伙、網(wǎng)絡(luò)犯罪組織加入到利用疫情熱點(diǎn)的攻擊活動(dòng)中。
誘餌關(guān)鍵字
根據(jù)奇安信紅雨滴團(tuán)隊(duì)基于疫情相關(guān)網(wǎng)絡(luò)攻擊活動(dòng)的監(jiān)控來(lái)看,網(wǎng)絡(luò)空間的攻擊隨著新冠病毒的擴(kuò)撒而變化。前期,只有中國(guó)境內(nèi)疫情嚴(yán)重時(shí),相關(guān)網(wǎng)絡(luò)攻擊便集中針對(duì)漢語(yǔ)使用者,并多借以疫情相關(guān)中文熱點(diǎn)誘餌信息進(jìn)行攻擊。相關(guān)誘餌包含的信息例如:“口罩價(jià)格”、“疫情防控”、“逃離武漢”、”信息收集”、”衛(wèi)生部”等等。
而到了2月中旬,歐洲、日韓等國(guó)家疫情突然進(jìn)入爆發(fā)期,針對(duì)全球范圍的網(wǎng)絡(luò)攻擊開(kāi)始激增,誘餌信息開(kāi)始轉(zhuǎn)變?yōu)槎喾N語(yǔ)言,以” Covid19”、”Covid”、”mask”、”CORONA VIRUS”、”Coronavirus”、”COVID-19”等誘餌信息為主。
惡意文件類(lèi)型
而在本輪疫情相關(guān)的網(wǎng)絡(luò)攻擊活動(dòng)中涉及的惡意文件類(lèi)型來(lái)看,大部分攻擊者傾向于直接將PE文件加上疫情相關(guān)的誘餌名并通過(guò)郵件、社交媒體等方式傳播。其次是帶有惡意宏或者Nday漏洞的文檔類(lèi)樣本。同時(shí),移動(dòng)端的攻擊數(shù)量也不在少數(shù)。
受害目標(biāo)的國(guó)家和地區(qū)
通過(guò)疫情相關(guān)的網(wǎng)絡(luò)攻擊目標(biāo)來(lái)看,中國(guó)、美國(guó)、意大利等疫情影響最為嚴(yán)重的國(guó)家也恰巧成為疫情相關(guān)攻擊最大的受害地區(qū),這說(shuō)明網(wǎng)絡(luò)攻擊者正是利用了這些地區(qū)疫情關(guān)注度更高的特點(diǎn)來(lái)執(zhí)行誘導(dǎo)性的網(wǎng)絡(luò)攻擊。下圖為受疫情相關(guān)網(wǎng)絡(luò)攻擊的熱度地圖,顏色越深代表受影響更大。
活躍的APT和黑產(chǎn)團(tuán)伙
通過(guò)紅雨滴團(tuán)隊(duì)的疫情攻擊監(jiān)測(cè)發(fā)現(xiàn),黑產(chǎn)團(tuán)伙仍然是疫情相關(guān)網(wǎng)絡(luò)攻擊活動(dòng)的最主要來(lái)源,其通過(guò)疫情相關(guān)誘餌傳播銀行木馬、遠(yuǎn)控后門(mén)、勒索挖礦、惡意破壞軟件等惡意代碼,近期紅雨滴團(tuán)隊(duì)還捕獲了偽裝成世衛(wèi)組織傳播惡意木馬的多起網(wǎng)絡(luò)攻擊活動(dòng)。
而國(guó)家級(jí)APT組織當(dāng)然也是嗅覺(jué)最靈敏的網(wǎng)絡(luò)攻擊團(tuán)伙,在疫情爆發(fā)的整個(gè)周期,針對(duì)疫情受害嚴(yán)重的國(guó)家和地區(qū)的APT攻擊活動(dòng)就沒(méi)有停止過(guò)。已被公開(kāi)披露的APT攻擊事件就已達(dá)數(shù)十起。我們?cè)谙聢D中列舉了截止目前借疫情進(jìn)行APT攻擊的團(tuán)伙活躍度。
疫情相關(guān)攻擊活動(dòng)分析
奇安信紅雨滴團(tuán)隊(duì)基于疫情網(wǎng)絡(luò)攻擊事件感知系統(tǒng),捕獲了數(shù)百例疫情相關(guān)的APT攻擊與網(wǎng)絡(luò)犯罪等攻擊活動(dòng)。以下部分分別介紹APT和網(wǎng)絡(luò)犯罪相關(guān)的威脅活動(dòng)和攻擊技術(shù)。
針對(duì)性的APT高級(jí)威脅活動(dòng)
APT攻擊,即高級(jí)可持續(xù)威脅攻擊,也稱(chēng)為定向威脅攻擊,指某組織對(duì)特定對(duì)象展開(kāi)的持續(xù)有效的攻擊活動(dòng)。這種攻擊活動(dòng)具有極強(qiáng)的隱蔽性和針對(duì)性,通常會(huì)運(yùn)用受感染的各種介質(zhì)、供應(yīng)鏈和社會(huì)工程學(xué)等多種手段實(shí)施先進(jìn)的、持久的且有效的威脅和攻擊。
摩訶草
摩訶草組織(APT-C-09),又稱(chēng) HangOver、VICEROY TIGER、The Dropping Elephant、 Patchwork,是一個(gè)來(lái)自于南亞地區(qū)的境外 APT 組織,該組織已持續(xù)活躍了 7 年。摩訶草組 織最早由 Norman 安全公司于 2013 年曝光,隨后又有其他安全廠商持續(xù)追蹤并披露該組織的最新活動(dòng),但該組織并未由于相關(guān)攻擊行動(dòng)曝光而停止對(duì)相關(guān)目標(biāo)的攻擊,相反從 2015 年開(kāi)始更加活躍。摩訶草組織主要針對(duì)中國(guó)、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),其中以竊取敏感信息為主。相關(guān)攻擊活動(dòng)最早可以追溯到 2009 年 11 月,至今還非?;钴S。在針對(duì)中國(guó)地區(qū)的攻擊中,該組織主要針對(duì)政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊,其中以科研教育領(lǐng)域?yàn)橹鳌?/span>
在疫情爆發(fā)初期,該組織便利用” 武漢旅行信息收集申請(qǐng)表.xlsm”,” 衛(wèi)生部指令.docx”等誘餌對(duì)我國(guó)進(jìn)行攻擊活動(dòng)。同時(shí),該組織也是第一個(gè)被披露利用疫情進(jìn)行攻擊的APT組織。
蔓靈花
蔓靈花(Bitter)是疑似具有南亞背景的APT組織,長(zhǎng)期針對(duì)中國(guó)、巴基斯坦等國(guó)家進(jìn)行攻擊活動(dòng),該組織主要針對(duì)政府、軍工業(yè)、電力、核等單位進(jìn)行攻擊,竊取敏感資料,具有強(qiáng)烈的政治背景。
摩訶草率先借疫情發(fā)動(dòng)攻擊后,同樣具有南亞背景的蔓靈花也開(kāi)始偽裝國(guó)內(nèi)某政府單位進(jìn)行攻擊活動(dòng)。
海蓮花
海蓮花(OceanLotus)是一個(gè)據(jù)稱(chēng)越南背景的 APT 組織。該組織最早于 2015 年 5 月被天眼 實(shí)驗(yàn)室所揭露并命名,其攻擊活動(dòng)最早可追溯到 2012 年 4 月,攻擊目標(biāo)包括中國(guó)海事機(jī)構(gòu)、 海域建設(shè)部門(mén)、科研院所和航運(yùn)企業(yè),后擴(kuò)展到幾乎所有重要的組織機(jī)構(gòu),并持續(xù)活躍至今。
而實(shí)際上,根據(jù)各安全廠商機(jī)構(gòu)對(duì)該組織活動(dòng)的拼圖式揭露,海蓮花團(tuán)伙除針對(duì)中國(guó)發(fā)起攻擊之外,其攻擊所涉及的國(guó)家分布非常廣泛,包括越南周邊國(guó)家,如柬埔寨、泰國(guó)、老撾等, 甚至包括越南的異見(jiàn)人士、媒體、地產(chǎn)公司、外資企業(yè)和銀行。
奇安信紅雨滴(RedDrip)安全研究團(tuán)隊(duì)(前天眼實(shí)驗(yàn)室)一直對(duì)海蓮花團(tuán)伙的活動(dòng)保持高強(qiáng)度的跟蹤,疫情期間,一直針對(duì)國(guó)內(nèi)進(jìn)行攻擊的海蓮花自然不會(huì)放過(guò)機(jī)會(huì)。不但利用疫情相關(guān)信息進(jìn)行攻擊,還利用了湖南爆發(fā)的禽流感等信息進(jìn)行攻擊。并采用WPS白加黑的方式執(zhí)行木馬。
毒云藤
毒云藤,又稱(chēng)APT-C-01, 綠斑,是一個(gè)長(zhǎng)期針對(duì)中國(guó)國(guó)防、政府、科技、教育以及海事機(jī)構(gòu)等重點(diǎn)單位和部門(mén)的APT組織,該組織最早的活動(dòng)可以追溯到2007年。
疫情期間,該組織開(kāi)展了多次疫情相關(guān)的釣魚(yú)行動(dòng),分別構(gòu)造了虛假的qq郵箱,163郵箱等登陸界面,以”《南部杜氏中醫(yī)》獻(xiàn)方”,“新表.xls”等為誘餌,誘導(dǎo)受害者輸入賬戶(hù)密碼登陸下載文件。從而竊取受害者賬號(hào)密碼
Hades
Hades組織最早被披露是在2017年12月22日針對(duì)韓國(guó)平昌冬奧會(huì)的攻擊事件,其向冬奧會(huì)郵箱發(fā)送帶有惡意附件的魚(yú)叉郵件,投遞韓文的惡意文檔,控制域名為偽裝的韓國(guó)農(nóng)林部域名地址。
該組織使用被命名為OlympicDestroyer的惡意代碼,其對(duì)目標(biāo)主機(jī)系統(tǒng)具有破壞性
奇安信紅雨滴團(tuán)隊(duì)在日常的疫情攻擊監(jiān)測(cè)中,發(fā)現(xiàn)一例偽裝為烏克蘭衛(wèi)生部公共衛(wèi)生中心發(fā)布疫情信息的攻擊樣本。在捕獲該樣本的第一時(shí)間便對(duì)其進(jìn)行了公開(kāi)披露。
ProjectM
ProjectM又稱(chēng)APT36, Transparent Tribe,Operation C-Major。是疑似具有南亞政府背景的攻擊組織,其主要針對(duì)周邊國(guó)家地區(qū)進(jìn)行攻擊活動(dòng)。
奇安信威脅情報(bào)中心公開(kāi)披露了該組織利用新冠病毒信息進(jìn)行攻擊的樣本。
Kimsuky
Kimsuky,別名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。疑似具有東北亞背景,主要針對(duì)韓國(guó),俄羅斯進(jìn)行攻擊活動(dòng),最早有卡巴斯基披露。韓國(guó)安全公司認(rèn)為其與Group123存在部分重疊。
3月初,韓國(guó)疫情開(kāi)始爆發(fā),而作為長(zhǎng)期針對(duì)韓國(guó)進(jìn)行網(wǎng)絡(luò)攻擊行動(dòng)的APT,Kimsuky自然不會(huì)放過(guò)如此好機(jī)會(huì),也利用疫情相關(guān)信息對(duì)韓國(guó)進(jìn)行了攻擊活動(dòng)。
KONNI
Konni組織被認(rèn)為是來(lái)自東北亞的APT團(tuán)伙,韓國(guó)安全廠商ESTsecurity通過(guò)關(guān)聯(lián)分析,認(rèn)為其與Kimsuky組織存在聯(lián)系。
在疫情期間,Konni組織也沒(méi)讓Kimsuky單兵作戰(zhàn),Konni使用其常用的攻擊手法展開(kāi)了疫情期間的攻擊活動(dòng)。
TA505
TA505組織由Proofpoint在2017年9月首次命名,其相關(guān)活動(dòng)可以追溯到2014年。該組織主要針對(duì)銀行金融機(jī)構(gòu),采用大規(guī)模發(fā)送惡意郵件的方式進(jìn)行攻擊,并以傳播Dridex、Locky等惡意樣本而臭名昭著
在疫情期間,紅雨滴團(tuán)隊(duì)捕獲該團(tuán)伙多個(gè)以“COVID-19-FAQ.xls”為名的攻擊文檔。
網(wǎng)絡(luò)犯罪及相關(guān)攻擊技術(shù)
黑產(chǎn)等網(wǎng)絡(luò)犯罪攻擊不同于APT攻擊具有非常獨(dú)特的定向性,通常采用撒網(wǎng)的方式,四處傳播惡意代碼,以達(dá)到牟利的目的。在疫情期間,紅雨滴團(tuán)隊(duì)捕獲多個(gè)黑產(chǎn)團(tuán)體的攻擊行動(dòng),包括已被披露的金眼狗等。
由于黑產(chǎn)團(tuán)伙組織較多,且攻擊活動(dòng)基本一致,故本節(jié)不以團(tuán)伙分類(lèi),而從攻擊手法上進(jìn)行闡述。
魚(yú)叉郵件攻擊
釣魚(yú)郵件在網(wǎng)絡(luò)攻擊活動(dòng)中是最常見(jiàn)的一種投遞方式,黑客通過(guò)熱點(diǎn)新聞等信息誘導(dǎo)受害者執(zhí)行郵件附件,從而控制受害者計(jì)算機(jī)。以下為部分利用疫情熱詞并通過(guò)釣魚(yú)郵件分發(fā)的不同惡意附件類(lèi)型樣本分析。
Windows平臺(tái)相關(guān)攻擊活動(dòng)
此類(lèi)攻擊方式中,黑客通常將疫情相關(guān)的熱門(mén)詞匯作為文件名,通過(guò)社交媒體等方式進(jìn)行傳播。
博彩相關(guān)
近幾年隨著在線博彩的需求逐漸上升,東南亞等國(guó)從事博彩相關(guān)人員越來(lái)越多,而一些黑產(chǎn)團(tuán)伙則格外喜歡針對(duì)這些人群,上演黑吃黑。
此類(lèi)攻擊中誘餌一般以“色情”,“暴力”,“熱點(diǎn)新聞”等關(guān)鍵字為主。
Windows勒索軟件
勒索病毒,是伴隨數(shù)字貨幣興起的一種新型病毒木馬,通常以垃圾郵件、服務(wù)器入侵、網(wǎng)頁(yè)掛馬、捆綁軟件等多種形式進(jìn)行傳播。機(jī)器一旦遭受勒索病毒攻擊,將會(huì)使絕大多數(shù)文件被加密算法修改,并添加一個(gè)特殊的后綴,且用戶(hù)無(wú)法讀取原本正常的文件,對(duì)用戶(hù)造成無(wú)法估量的損失。勒索病毒通常利用非對(duì)稱(chēng)加密算法和對(duì)稱(chēng)加密算法組合的形式來(lái)加密文件,絕大多數(shù)勒索軟件均無(wú)法通過(guò)技術(shù)手段解密,必須拿到對(duì)應(yīng)的解密私鑰才有可能無(wú)損還原被加密文件。黑客正是通過(guò)這樣的行為向受害用戶(hù)勒索高昂的贖金,這些贖金必須通過(guò)數(shù)字貨幣支付,一般無(wú)法溯源,因此危害巨大。
疫情期間,多類(lèi)勒索軟件也開(kāi)始利用相關(guān)信息進(jìn)行傳播,包括Dharma/Crysis,CXK惡搞勒索,Android勒索等,其中一例勒索樣本還將自己命名為COVID-19RANSOMWARE
挖礦
當(dāng)今互聯(lián)網(wǎng)的高速發(fā)展,孕育出了一批高新產(chǎn)業(yè),如人工智能、分布式計(jì)算、區(qū)塊鏈、無(wú)人駕駛等。這些高新技術(shù)為人們生活帶來(lái)便利的同時(shí),引發(fā)的安全問(wèn)題也日益凸顯。隨著區(qū)塊鏈技術(shù)的普及,其涉及的虛擬數(shù)字貨幣也創(chuàng)造了巨大的財(cái)富。這些虛擬貨幣可以通過(guò)“挖礦”的形式獲取,“礦工”越多,利益越大。因此,近年來(lái)有越來(lái)越多的黑客團(tuán)伙通過(guò)非法入侵控制互聯(lián)網(wǎng)上的計(jì)算機(jī)并植入木馬程序偷偷進(jìn)行挖礦活動(dòng),為自己謀取暴利。
疫情期間,也有不法分子以新型冠狀病毒查詢(xún)?yōu)檎T餌,投遞了永恒之藍(lán)挖礦蠕蟲(chóng)。
移動(dòng)終端相關(guān)攻擊活動(dòng)
隨著移動(dòng)辦公的發(fā)展,不論是企業(yè)員工還是國(guó)家單位工作人員,都會(huì)用手機(jī)訪問(wèn)公司內(nèi)部數(shù)據(jù),根據(jù)IBM的研究,用戶(hù)對(duì)移動(dòng)設(shè)備上的網(wǎng)絡(luò)釣魚(yú)攻擊的回應(yīng)是桌面的三倍,而原因僅僅是因?yàn)槭謾C(jī)是人們最先看到消息的地方,而且企業(yè)數(shù)據(jù)、政府?dāng)?shù)據(jù)的泄露導(dǎo)致的損失,很多時(shí)候是無(wú)法挽回的。如今,移動(dòng)安全已經(jīng)不僅僅是個(gè)人手機(jī)安全的問(wèn)題,移動(dòng)訪問(wèn)也越來(lái)越成為企業(yè)安全威脅的重要的來(lái)源,甚至影響到國(guó)家安全。
在疫情期間,Android木馬也相繼出現(xiàn)蹭”新冠肺炎”的熱度。不少Android木馬以”新冠病毒”為關(guān)鍵字進(jìn)行投遞,包括老牌Android木馬家族Anubis、Cerberus(地獄犬)、新型木馬家族Cerberus、SMS蠕蟲(chóng)以及CovidLock勒索病毒等等。
Anubis
本次監(jiān)測(cè)到的Anubis銀行木馬變種繼承了之前的功能,代碼核心以遠(yuǎn)控為主體,釣魚(yú)、勒索等其它功能為輔,目的則為獲取用戶(hù)關(guān)鍵信息,竊取用戶(hù)財(cái)產(chǎn)。不同之處在于,其將一部分配置信息加密存放在了本地等,而且配置信息中使用了大量的中文,其獲取C2的方式也進(jìn)行了改變。
Cerberus
Cerberus木馬與其它銀行木馬一樣功能眾多,而且由于其一直在地下論壇中進(jìn)行租賃,可以根據(jù)“客戶(hù)”的不同需求進(jìn)行功能的增加等,加上其作者的高調(diào)做派,儼然已經(jīng)接過(guò)了Anubis的邪惡傳承,成為了目前威脅最大的銀行木馬。
Cerberus木馬運(yùn)行以后會(huì)誘騙用戶(hù)激活設(shè)備管理器、隱藏自身圖標(biāo)、防止卸載等方式進(jìn)行自我保護(hù)。Cerberus木馬會(huì)獲取并上傳用戶(hù)手機(jī)中短信、通訊錄、手機(jī)已安裝的應(yīng)用信息、gmail信息等。此外Cerberus木馬還可以截取用戶(hù)手機(jī)屏幕,電話呼叫轉(zhuǎn)移,獲取用戶(hù)銀行賬號(hào)、密碼等惡意操作,并可以通過(guò)Team Viewe進(jìn)行遠(yuǎn)控。
SMS蠕蟲(chóng)
樣本運(yùn)行后,會(huì)打開(kāi)在線口罩購(gòu)買(mǎi)平臺(tái)https[:]//masksbox[.]com,嘗試竊取用戶(hù)購(gòu)買(mǎi)時(shí)輸入的卡號(hào)和密碼。
同時(shí),該惡意程序還會(huì)以SMS短信的方式將自己傳播給通訊錄上的所有人。短信內(nèi)容為:Get safety from corona virus by using Facemask, click on this link download the app and order your own face mask – http[:]//coronasafetymask[.]tk
手機(jī)勒索軟件
該勒索木馬跟一般勒索病毒一樣,運(yùn)行后誘騙用戶(hù)激活設(shè)備管理器,之后強(qiáng)制對(duì)用戶(hù)手機(jī)進(jìn)行鎖屏,并修改用戶(hù)手機(jī)解鎖密碼,同時(shí)對(duì)用戶(hù)進(jìn)行勒索。勒索軟件威脅要在48小時(shí)之內(nèi)索要100美元的比特幣,否則會(huì)刪除用戶(hù)手機(jī)個(gè)人信息
該樣本將解鎖密碼硬編碼在樣本中,若不小心中招,可通過(guò)輸入“4865083501“進(jìn)行解鎖
各類(lèi)特殊文件格式
奇安信紅雨滴團(tuán)隊(duì)捕獲的樣本集中,除了常見(jiàn)的文件格式外,還捕獲幾例特殊文件格式樣本,如SLK,CHM等,此類(lèi)樣本通過(guò)也是通過(guò)社交媒體或郵件進(jìn)行傳播,但基于公開(kāi)信息未捕獲其傳播油價(jià),故將此類(lèi)樣本單獨(dú)闡述
SLK
近期,意大利疫情出現(xiàn)大爆發(fā),隨之而來(lái)的網(wǎng)絡(luò)攻擊活動(dòng)也越演越烈,奇安信紅雨滴團(tuán)隊(duì)捕獲一例利用特殊格式(slk)在意大利傳播的惡意樣本。
SymbolicLink (Slk)是一種Microsoft文件格式,通常用于Excel表格更新數(shù)據(jù),黑客利用這一特性將惡意的powershell代碼添加其中,當(dāng)用Excel打開(kāi)文件時(shí),惡意代碼將被執(zhí)行起來(lái)。由于這類(lèi)格式不常見(jiàn),所以具有一定程度的免殺效果。
CHM
CHM(Compiled HelpManual)即“已編譯的幫助文件”。是微軟新一代的幫助文件格式,利用HTML作源文,把幫助內(nèi)容以類(lèi)似數(shù)據(jù)庫(kù)的形式編譯儲(chǔ)存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常見(jiàn)圖形文件(GIF、JPEG、PNG)、音頻視頻文件(MID、WAV、AVI)等等。所以在大多數(shù)人眼中,CHM等同于電子書(shū),是沒(méi)有危害的軟件。
LNK
LNK是MicrosoftWindows用于指向可執(zhí)行文件或應(yīng)用程序的快捷方式文件的文件擴(kuò)展名。LNK文件通常用于創(chuàng)建開(kāi)始菜單和桌面快捷方式。LNK代表LiNK。LNK文件可以通過(guò)更改圖標(biāo)偽裝成合法文檔。
惡意腳本類(lèi)
JAR
JAR文件是在安裝了JRE等JAVA運(yùn)行環(huán)境的操作系統(tǒng)上能直接運(yùn)行的可執(zhí)行程序。由于JAVA具有跨平臺(tái)的特性,所以這類(lèi)文件可以在安裝了JAVA運(yùn)行時(shí)庫(kù)的大部分操作系統(tǒng)上運(yùn)行,包括Windows、Linux、macOSX、Android。