乌克兰国家银行【鱼叉式网络钓鱼攻击】分析与防护方案

-回复 -浏览
楼主 2018-07-15 09:58:29
举报 只看此人 收藏本贴 楼主


一.鱼叉式网络钓鱼攻击





1.介绍


鱼叉式网络钓鱼(Spear phishing)指一种源于亚洲与东欧并且只针对特定目标进行攻击的网络钓鱼攻击。由于鱼叉式网络钓鱼锁定之对象并非一般个人,而是特定公司、组织之成员,故受窃之资讯已非一般网络钓鱼所窃取之个人资料,而是其他高度敏感性资料,如智慧财产权及商业机密。

网络钓鱼是指诱导人们连接那些黑客已经锁定的目标。这种攻击方法的成功率很高,也非常常见。点击链接、打开表格或者连接其他一些文件都会感染病毒。一次简单的点击相当于为攻击者开启了一扇电子门,这样他就可以接触到你的内部弱点了。因为你已经同意他进入,他能够接触弱点,然后挖掘信息和授权连接。



2.典型攻击过程



01

受害企业的部分雇员收到带有欺骗性的邮件。










02

受害人阅读邮件时,往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件,这实际上是一个可执行程序;或者看到一个有密码保护的压缩文件附件,密码在邮件中注明,如果解压会产生一个可执行程序。


03

只要受害人执行了附件中的可执行程序,就会被植入后门程序。











04

后门程序会通过TCP 80端口与C&C服务器进行加密通讯,将受害人的电脑上的信息上传,主要是帐号相关的文件信息。





05

攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码,然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。


06

所有的敏感信息会加密存储在网络中的一台临时服务器上,并最终上传到公司外部的某个服务器上,从而完成攻击。









二.乌克兰国家银行鱼叉式网络钓鱼攻击分析



2017年8月17日,乌克兰国家银行发布一则预警告知国内各金融机构警惕潜在的网络攻击事件。该攻击会通过Microsoft Word的邮件附件来利用CVE-2015-2545来远程执行代码。随后相关网络安全机构也发现了该攻击的记录并怀疑此攻击与一系列的针对东欧的攻击有关。



样本基本信息分析

Basic information analysis of samples




行为概述

Summary of behavior


攻击者通过邮件等方式发送经过精心构造的office文档,此文档利用office漏洞CVE-2015-2545释放出可执行文件并运行,子程序将连接服务器,发送get请求,获取服务端的命令,根据不同的命令执行不同的行为。


这个漏洞影响的版本有Microsoft Office 2007 SP3, 2010 SP2, 2013 SP1, and 2013 RT SP1,攻击者可以通过一个精心构造的EPS图像来远程执行任意代码。总体流程图如下所示:



执行行为分析

Analysis of execution behavior


打开恶意的office文档后,将释放名为WINWORD.exe程序并启动运行(FLTLDR.exeoffice程序)



提取文档中的EPS图像文件,可以看到其中有大量的数据,其后跟着exec函数,可判断此office文档就是通过这个EPS图像文件释放WINWORD.exe。



WINWORD.exe启动之后,首先获取盘符的序列号,后期会使用这个序列号构造网址和对文件进行重命名。



然后构造网址,向服务器发送GET请求来获取命令码,获取的命令码包括三种,分别是FAL、DEL 和 HTTP。


1
FAL


将自身移动到系统目录下,并命名为IntelSofts_4880109f.exe。这里的4880109f就是前面获得的磁盘序列号。接着删除原始文件,最后修改注册表,创建自启动项。






2
DEL


删除自启动项,退出程序。



3
HTTP


前期发送GET请求时,会先从服务端获取数据并从数据中解析出url,然后从url中读取数据写入本地文件,命名为MicrosoftsUpdte.exe,同时启动此程序。





攻击定位

Attack position


      此程序中访问的服务器IP地址为:

                  158.69.218.119





相关事件

Dependent event


1. 2015年日本养老管理机构一名员工近期在工作中不慎点开一封外来电子邮件中的带病毒附件,致使大约125万份个人信息被泄露。


2. 2010年Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致Google的网络被渗透数月,并造成各种系统数据被窃取。


3. 2011年3月,EMC公司下属的RSA公司管理人员打开邮件文档中毒导致遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取。




三.  解决方案



01

邮件控制


发件人/附件/内容/url过滤


RBL和DNSBL 支持


反向 DNS 阻断


病毒及垃圾邮件过滤


大数据分析


日志统计报告


邮件服务器监控

邮件


02

客户端控制


        拒绝访问能力


        病毒检测能力


        控制病毒传播的能力


        清除能力


        建立灾难备份系统


        及时升级系统及常用软件补丁




03

网络控制


    合理的网络架构


    外网限制访问


    分割式网络


    核心网络区域保护


    蠕虫/僵尸网络/木马行为/口令嗅探监测

   

    流量监控及日志记录




04

渗透测试


              模拟攻击


              防御体系考验


              防御体系完善


              人员安全意识培训






一片落叶

已经看不见喧嚣

秋天其实很美 

当燥热已经过去

衔着落叶冬天的前头

秋天来了

我们的脚步也走远了...





 后续会有更精彩的内容等着您,关注我们,小测在这里恭候您的到来!


我要推荐
转发到