洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk

無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。

Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織?

為何Lurk 總選擇在午休時間進行惡意內容派送?

沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?

Lurk 興風作浪的這五年

 

無檔案感染(Fileless Infection)就如同其名:沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見,而且對企業和一般使用者都造成了嚴重的威脅,因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」派送勒索病毒感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。無檔案感染對攻擊者來說,重要的一點是可以先評估中毒系統,確認感染狀態再決定是否繼續或消失無蹤。

典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者

Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團,這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者,在部署其他惡意軟體前先探測其目標。感染鏈有多個階段,可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣,則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰,直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元,同時也破壞了受害者的營運、信譽和重要的一切。

Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織?他們還知道什麼其他的技術可能被其他網路犯罪分子仿效?他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業?我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析,我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。

2011年至2012年初:利用路過式下載「Drive by download」攻擊瀏覽器漏洞進而危害系統

Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說,特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站(如Google)。

Lurk利用路過式下載「Drive by download」來攻擊瀏覽器漏洞進而危害系統。將惡意iframe內容注入到知名俄羅斯網站來製造水坑攻擊(watering hole),影響不知情的最終使用者。惡意廣告以及毒化內容服務應用程式元件(如毒化memcached快取)也是其重導流量手法的一部份。

隱匿性是他們運作的標準配備。在對受害者派送更多惡意軟體前,會先經由無檔案病毒(在記憶體中執行)對受害者系統進行確認檢查,從受感染系統收集資料。

在這段期間,趨勢科技開發了用來偵測Lurk相關網路流量的網址特徵碼。特徵^[A-Z0-9]{4}$對於偵測Lurk在2011年至2013年間使用的網址非常有效。這些特徵碼的平均存活時間(TTL – 這些特徵碼有效的時間)是兩三個月。特徵碼的有效時間也讓我們可以識別出這集團軟體的升級週期。

2012年中至2014年中:將不知情的訪客轉向他們的漏洞攻擊套件

Lurk在這段期間內的產量最多,他們在俄羅斯一系列的網址重新導向攻擊範圍變得更加廣泛。知名與高流量網站被利用成為中轉平台,將不知情的訪客轉向他們的漏洞攻擊套件(名稱為XXX)。

Lurk還將目標放在程序化廣告基礎設施來增加其業務規模。比方說在2012年2月,通訊社RIA Novosti(ria[.]ru)的廣告伺服器被發現帶有重新導向Lurk系統的iframe。這波攻擊只針對選定的IP地址範圍派送病毒。

在2012年8月,我們觀察到感染期間和之後的HTTP請求序列,包括受感染系統和命令與控制(C&C)間的通訊。到了2014年,Lurk開始顯示出跟Angler漏洞攻擊套件類似的特徵。比方說Lurk越來越多地使用indexm[.]html作為其登陸網頁;這也在不久後成為Angler的做法之一。

 

圖1、ria[.]ru的漏洞攻擊碼載入順序(2012年2月)

圖2、[bg].ru(2012年2月)被發現將受害者重新導向Lurk的漏洞攻擊套件

圖3、從adfox[.]ru橫幅網路重新導向Lurk登陸頁面

 

圖4、tks[.]ru所提供的惡意iframe內容(2013年8月)

Lurk從單純的瀏覽器攻擊轉變成有組織的網路犯罪

也可以看出Lurk從單純的瀏覽器攻擊轉變成有組織的網路犯罪。他們的運作加入了範圍和頻率。派送標準經常加以修改,派送的惡意軟體也經常更新。雖然Lurk僅只攻擊一組特定的瀏覽器漏洞,但漏洞程式碼也經常改變。較大的惡意軟體(以位元數論)通常都會帶有更多功能,而小的改變顯示是重新封裝的惡意軟體。

 

正如其名(註:Lurk有匿伏的意思),Lurk開發了躲避沙箱偵測的技術。除了每個IP地址僅提供一次惡意內容外,該組織還將IP地址範圍限制為目標網域。惡意軟體的執行是以多層鏈接方式完成,只有在後面階段派送的組件具備持久性機制。一開始的無檔案病毒被設計成用漏洞攻擊套件shellcode觸發,在受感染機器中執行檢查。然後以Windows執行檔形式連到組織的C&C伺服器,該執行檔又會對受感染系統再次進行分析來收集系統資訊(例如所安裝軟體及其版本,作業系統資訊等)。該資訊回傳給C&C伺服器,伺服器會做出是否進行下一步的決定。經過詳盡的檢查再考慮攻擊活動的目的,最後決定是否對系統植入更多病毒。

採集樣本變成了一項挑戰,因為惡意軟體行為主要受到執行環境的影響。比方說,如果是在沙箱環境載入漏洞攻擊網址,那麼幾乎不可能取得該集團其他部分的惡意軟體。

惡意內容在午餐時間派送,以躲避偵測?

惡意內容也經常是在午餐時間派送(莫斯科時區),而且在非常短的時間內。我們猜測這是他們躲避自動抓取沙箱偵測的方法。每個來源IP地址的地理資訊都會跟其目標地區交叉比對 – 俄羅斯和獨立國協(CIS)。漏洞攻擊碼也會在一周內的特定日子以較高頻率提供:星期五及假日的前一天。

Lurk的基礎設施也展示了新的能力。包括不同的HTTP請求特徵和代管服務商。根據他們所用的代管服務商及代管搬遷的時間,我們觀察到這集團入侵軟體派送公司的網站,並且篡改他們的軟體安裝檔案。

他們的攻擊還針對包括程序化廣告伺服器內身份認證入口漏洞,及網頁伺服器和其他網頁元件的漏洞。每個中間層受害者的重新導向機制都不同。有些包含廣告橫幅網路或實際網站 – 其他的網站內容提供元件被毒化。

 

2012 2013 2014
3dnews[.]ru 3dnews[.]ru 3dnews[.]ru
adriver[.]ru adriver[.]ru adfox[.]ru
akdi[.]ru adv[.]vz[.]ru auto[.]ru
bg[.]ru aif[.]ru avtovzglyad[.]ru
com[.]adv[.]vz[.]ru akdi[.]ru drive[.]ru
fobos[.]tv gazeta[.]ru glavbukh[.]ru
gazeta[.]ru glavbukh[.]ru inosmi[.]ru
rian[.]ru infox[.]ru irr[.]ru
newsru[.]com klerk[.]ru nalogoved[.]ru
target-m[.]ru mn[.]ru news[.]mail[.]ru
tks[.]ru newsru[.]com ria[.]ru
torrogrill[.]ru rg[.]ru riarealty[.]ru
tvrain[.]ru servernews[.]ru nk[.]ru
uik-ek[.]ru slon[.]ru rusplt[.]ru
ura[.]ru tks[.]ru smotri[.]com
slon[.]ru topnews[.]ru sport[.]mail[.]ru
vesti[.]ru tvrain[.]ru tks[.]ru
vesti[.]ru utro[.]ua
womanhit[.]ru

圖5、Lurk的中間層目標

 

2014至2016年:走向全球, Lurk所經營的IP地址,包括台灣

 

2014年是Lurk歷史上重要的一年。許多高知名的中間層受害者仍在他們的掌握之中,讓他們得以進入使用者的系統。簡單的說,他們運勢當頭。為什麼不放眼全球賺更多的錢?

Lurk在此期間所用的多數網域是購買自第三方經銷商,並在俄羅斯用網路支票或其他匿名付款方式支付。我們的觀察顯示他們對俄羅斯和獨立國協之外的橫幅網路進行惡意注入的測試。在4月,我們看到Lurk透過mail[.]ru進行重新導向,可能是惡意注入其廣告伺服器內容。從6月到9月,Lurk的登陸頁面暗示該團隊搬遷他們的基礎設施和準備進行全球性活動。

到了下半年,Lurk的地理分佈發生巨大變化。俄羅斯/獨立國協的目標開始變少,.ru網域內的受害者被手動檢查。Lurk接著出現新網址特徵,日夜不停的提供惡意軟體,不再對IP地址位置進行過濾,而將目標放在全球的IP地址。我們觀察到有其他國家的系統連到Lurk所經營的IP地址,包括烏克蘭、美國、中國、台灣、挪威、澳大利亞、英國、日本、瑞典、加拿大、義大利和韓國。然而,我們不能確認這些國家是否確實是Lurk的目標。

雖然Lurk在2011年到2012年間廣泛的利用Java漏洞,不過也有利用Flash/swf。在2014年12月出現了攻擊漏洞CVE-2013-5330的混淆過Flash檔案。只有當受害者的來源IP地址(和時間)符合Lurk參數時才會派送,不然使用者會收到404錯誤回應。

 

如前所述,Lurk使用的XXX漏洞攻擊套顯示出數種網址供應特徵和無檔案感染能力,之後會在Angler中看到。到2015年初,Lurk和Angler活動的差異開始模糊,他們的許多特徵、漏洞攻擊技術和派送量重疊。利用代管IP地址來進行關聯並不是很有用,因為Lurk和Angler常常使用相同的服務供應商。Lurk還為其登陸頁面使用了動態生成網域名稱技術。

 

2016:Lurk的垮台, 對金融機構的積極入侵引來了一連串的調查,最終逮捕了超過50名嫌犯

Lurk對金融機構的積極入侵引來了一連串的調查,最終逮捕了超過50名參與俄羅斯業務的嫌犯。漣漪效應也導致其他網路犯罪組織在之後的時間保持低調。其他漏洞攻擊套件如不是關閉就是轉成私人模式。在那時,Angler活動已經停止。這是巧合嗎?基於Angler和XXX提供漏洞攻擊碼的網址特徵和惡意軟體派送技術(特別是對無檔案感染的應用)的相似性及共享了基礎設施,我們可以看出它們運作的關聯性。

在某種程度上,Lurk的起落也反映出威脅環境的變化。我們能夠預測躲避傳統安全系統全新而不曾預見的技術會不斷發展,而且這會因為其他壞蛋如何將其商業化而加速。不幸的是,Lurk只是想從企業和一般使用者身上賺錢的眾多網路犯罪組織之一。

 

IT管理人員挑戰:沒有萬靈丹,沒有單一網路防禦工具可以處理這些威脅

Lurk的故事顯示出網路犯罪分子能夠針對特定受害者並且從他們身上獲利。不管是透過間諜活動賺錢、竊取憑證、洗劫銀行帳戶或誤導公眾輿論,壞人會逐步的發展讓傳統防禦無效化的攻擊。

這些威脅會對安全和IT管理人員在防護企業網路的努力造成極大的挑戰:多層次防禦的做法是關鍵,還有安全意識的培養:更新最新的修補程式、封鎖惡意軟體代管網站、實施網址分類、部署防火牆和入侵偵測系統,並且培養工作場所的安全文化。也要考慮縱深防禦 – 沒有萬靈丹,沒有單一網路防禦工具可以處理這些威脅。

最終使用者的系統可能成為攻擊者的主要入口,所以加以強化是非常重要的。包括使用白名單技術和監視可疑應用程式和程序,以及在系統上應用最低權限原則。還必須減少攻擊面,可能是會跟非信任元件互動的軟體(包括其擴充功能和外掛程式)。未在使用的瀏覽器外掛程式及可以讓瀏覽器執行第三方程式碼的任何功能都必須加以檢查和停用。以Lurk為例,該組織喜歡攻擊瀏覽器內Flash和Java外掛程式的漏洞。

為了減少入侵問題,要禁止網際網路對內部網路的直接連線,使用者在存取外部網路資源時要使用應用程式代理程式。特別是針對網路犯罪分子所經常利用的HTTP和HTTPS協定必須強制執行。網址和網址內容(即MIME類型)要加以嚴格分析。同樣的,對於所有可執行檔都應持保留態度,特別是如果它們下載自未知來源。

持續監視網路來察覺可疑行為(或可能一開始顯示為良性的行為)也有助於偵測入侵企圖。例如,大量企業內部的系統突然嘗試解析並連到從未看到的網域,這可能是網路受到感染或入侵的跡象。網路偵測和端點防護系統還可以通知系統管理員,並指示漏洞攻擊成功或失敗所留下的痕跡。

最終使用者也必須跟上腳步:定期更新系統,對可疑或偽造郵件/網站所出現的隨機或社交工程連結採取謹慎小心的態度。

 

趨勢科技解決方案

趨勢科技趨勢科技Deep Security趨勢科技 Vulnerability Protection 漏洞防護提供虛擬修補技術來保護端點系統免於如無檔案感染及攻擊未修補漏洞的威脅。即便是在部署修補程式前,趨勢科技 OfficeScan™ 的Vulnerability Protection也可以防護端點系統遭受已知或未知的漏洞攻擊。趨勢科技的Deep Discovery透過特製引擎、客製化沙箱和橫跨整個攻擊生命週期的無縫關聯來提供對攻擊的偵測、深入分析和主動回應,從而使得即便沒有引擎或特徵碼更新也能偵測類似的威脅。

 

相關的入侵指標(IoCs)列表可以從此附錄中找到。

 

 

@原文出處:Lurk: Retracing the Group’s Five-Year Campaign   作者: Fyodor Yarochkin和Vladimir Kropotov(趨勢科技資深威脅研究員)