Pawn Storm - 資安趨勢部落格

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

2017 年 06 月 08 日2017 年 06 月 16 日趨勢科技 TrendMicro

拼字和文法上的錯誤、看似不尋常的網址，瀏覽器上沒有顯示加密連線的圖案，這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客，通常擁有充沛的資源和豐富的經驗，因此不會犯下這種明顯的錯誤。不僅如此，他們會想出一些非常聰明的社交工程（social engineering ）技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件，不論使用哪一種語言，其文字都非常完美且流暢，而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上，登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具，可能導致企業敏感資料遭駭客外洩或損毀，甚至被拿來向企業勒索。

Pawn Storm 又名：Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8，這些名字聽起來很像 Instagram 帳號、機密間諜行動，或是剛剛通過的法案，但其實他們都是指同一個網路間諜集團。該集團為了達到目的，通常會從各種不同角度、利用各種不同手法來攻擊同一目標，其攻擊技巧經常屢試不爽，尤其是網路釣魚（Phishing）攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊，趨勢科技的研究報告:「網路間諜與網路宣傳：檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術：繼續閱讀

Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼

2015 年 11 月 06 日2015 年 11 月 06 日趨勢科技 TrendMicro

當說到漏洞攻擊包，最重要的就是時間。漏洞攻擊包通常都會包入最新或零時差的漏洞攻擊碼，好盡可能地攻擊更多尚未更新的受害者。趨勢科技發現有兩個漏洞正被漏洞攻擊包當作目標，其中之一被用在最近的Pawn Storm Flash零時差漏洞攻擊。

從10月28日開始，趨勢科技發現這兩個漏洞被 Angler和Nuclear漏洞攻擊包當作目標。（第二個漏洞是Flash的漏洞，直到版本18.0.0.232都存在；我們目前正在與Adobe確認此漏洞的CVE編號）

圖1、Angler漏洞攻擊包中CVE-2015-7645的截圖（點擊放大）

圖2、Nuclear漏洞攻擊包中CVE-2015-7645的截圖（點擊放大）

圖3、Angler漏洞攻擊包中第二個漏洞的截圖（點擊放大）

Diffie-Hellman協定被惡意使用

趨勢科技最新的研究確認此兩個漏洞攻擊包惡意使用了Diffie-Hellman金鑰交換協定，跟之前的用法有些許不同。這次是用來隱藏自己的網路流量並繞過某些安全產品。

這些改變試圖讓研究人員想分析它們的金鑰交換時更加困難。Angler漏洞攻擊包對其Diffie-Hellman協定的用法做出以下改變。它們在之前比較明確而清晰的程序中加入一些混淆處。

不再從客戶端發送g和p給伺服器。相對地，它送出ssid來確認g和p的配對。
隨機金鑰K是128字元而非16字元。使用128字元的金鑰使得想解開原始資料變得更加困難。

圖4、Diffie-Hellman協定，使用ssid來識別g，p配對繼續閱讀

新的棘手問題：Pawn Storm零時差攻擊如何閃過Java的點擊播放（Click-to-Play）保護

2015 年 10 月 26 日2015 年 10 月 26 日趨勢科技 TrendMicro

趨勢科技在幾個月前披露Pawn Storm(典當風暴)使用當時尚未被發現的零時差Java漏洞（CVE-2015-2590）進行攻擊。在當時，我們注意到另一個漏洞被用來繞過Java的點擊播放（Click-to-Play）保護。這第二個漏洞（CVE-2015-4902）現在已經被Oracle在每季定期更新中修復，這要歸功於趨勢科技的發現。

點擊播放（Click-to-Play）要求使用者在執行Java應用程式前點擊它通常會顯示的地方。它會詢問使用者是否真的確定自己要執行Java程式碼。

繞過點擊播放（Click-to-Play）保護讓惡意Java程式碼可以在不顯示任何警告視窗下執行。這對Pawn Storm來說非常有用，因為它在今年初使用針對這些漏洞的攻擊碼來對北大西洋公約組織（NATO）成員和白宮進行針對性攻擊。Pawn Storm本身以頻繁使用零時差攻擊而知名：最近它被發現將Adobe Flash未修補的漏洞用在其攻擊的一部分。（此漏洞已經被Adobe修復。）

當我們私下披露此漏洞時，Oracle承認有此漏洞。用來繞過這種保護的方法很巧妙；在我們徹底討論此漏洞前先讓我們討論一些背景資料。

Oracle提供Java網路啟動通訊協定（JNLP）技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中，攻擊者利用JNLP來部署applet。

要實現這做法，Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI（Java命名和目錄介面）。這種機制是Java遠端程序呼叫的基礎，稱為RMI（遠端方法調用）。JNDI有些基本概念和此攻擊有關，即：

Context – 一組名稱和物件的綁定。換言之，Context物件可以解析一個物件的名稱。這個物件有數種類型；RegistryContext是其中之一。
ContextFactory – context物件的工廠（factory），其為呼叫者建立Context物件。RegisterContextFactory是建立ContextFactory物件的工廠（factory）。

下圖顯示此攻擊是如何運作：

攻擊者需要完成三件事以進行攻擊：

攻擊者將圖2中的HTML碼加到一個惡意網站。
攻擊者建立具備公開IP地址的RMI註冊伺服器。
攻擊者建立另一個同樣具備公開IP地址Web伺服器來儲存惡意Java程式碼。

圖2.、HTML碼插入到一個惡意網站

下面是攻擊進行的過程：

在受害者的電腦上，瀏覽器程序產生（fork）出exe程序（Java客戶端的一部分）來請求惡意網站上的init.jnlp。這由圖2內的HTML碼所造成（Java網路啟動通訊協定用一個.jnlp檔案來透過Java Web Start技術來啟動Java程式碼。）

惡意網站傳回jnlp。讓我們來看看此檔案的內容：

繼續閱讀

俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會

2015 年 10 月 24 日2015 年 11 月 02 日趨勢科技 TrendMicro

馬來西亞航空MH17失事報告10月13日出爐，證實班機遭俄製飛彈擊落，隔天(10月14日)俄國駭客嘗試入侵荷蘭安全委員會電腦系統，嘗試取得敏感的最終失事報告。趨勢科技的研究發現應該是由 Pawn Storm 幕後集團針對DSB (Dutch Safety Board，亦稱 Onderzoeksraad) 所發動的攻擊。

"失蹤的馬航真的在印度降落了!!"是真的詐騙!! — 圖說:馬航班機被擊落失事的新聞震驚全球，卻也立即成為駭客進行不法行為的話題跳板。圖為當時臉書詐騙【瘋傳】「失蹤的馬航真的在印度降落了!!」

根據趨勢科技前瞻威脅研究 (FTR) 團隊所提供的報告，Pawn Storm 背後的駭客已攻擊了負責調查馬來西亞航空 MH 17 班機墜毀事件的荷蘭安全委員會 (Dutch Safety Board，簡稱 DSB，亦稱 Onderzoeksraad) 。

MH 17 班機於 2014 年 7 月 14 日墜毀在烏克蘭東部，機上 283 名乘客和 15 名機組人員全部罹難。

由於該班機是從荷蘭阿姆斯特丹起飛，因此由 DSB 負責調查這起事件。2015 年 10 月 13 日，DSB 發表了他們的最終調查報告。繼續閱讀

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

2015 年 10 月 14 日2015 年 10 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動，以攻擊知名目標聞名，而且近兩年來更使用了 Java 有史以來第一個零時差漏洞。

在最近一波攻擊行動當中，Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計，看起來都指向一些正常的時事新聞網頁，其使用過的電子郵件主旨包括：

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

值得注意的是，其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。

近來，各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外，歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門，從事一些簡單卻極為有效的網路釣魚攻擊 ( credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示，Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示，這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。