無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。
Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織?
為何Lurk 總選擇在午休時間進行惡意內容派送?
沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?
Lurk 興風作浪的這五年
無檔案感染(Fileless Infection)就如同其名:沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見,而且對企業和一般使用者都造成了嚴重的威脅,因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。無檔案感染對攻擊者來說,重要的一點是可以先評估中毒系統,確認感染狀態再決定是否繼續或消失無蹤。
典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者
Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團,這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者,在部署其他惡意軟體前先探測其目標。感染鏈有多個階段,可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣,則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰,直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元,同時也破壞了受害者的營運、信譽和重要的一切。
Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織?他們還知道什麼其他的技術可能被其他網路犯罪分子仿效?他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業?我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析,我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。
2011年至2012年初:利用路過式下載「Drive by download」攻擊瀏覽器漏洞進而危害系統
Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說,特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站(如Google)。 繼續閱讀