Kaspersky研究發(fā)現(xiàn)， 紅色十月黑客組織發(fā)現(xiàn)之前，它已經(jīng)存在近5年了。網(wǎng)絡間諜攻擊并不新鮮，但是越來越復雜。現(xiàn)在，攻擊者成功潛入組織并隱藏幾個月不被發(fā)現(xiàn)很簡單。企業(yè)可以通過分析這些高級攻擊吸取經(jīng)驗教訓。本文將詳細介紹紅色十月惡意攻擊行為，以及企業(yè)安全團隊可以從中學習的攻擊檢測方法。

紅色十月惡意軟件攻擊分析

從2007年開始，紅色十月攻擊了大量目標。黑客主要針對于全世界的科學研究、外交、政府和支持組織，大多集中在東歐地區(qū)。按照這個惡意軟件的內(nèi)容和名字，Kaspersky實驗室認為紅色十月模塊由俄國開發(fā)者提供，并且由中國黑客開發(fā)。

攻擊活動的執(zhí)行與最近發(fā)生的其他高級攻擊類似;它首先發(fā)布包含惡意附件的網(wǎng)絡釣魚，一旦執(zhí)行就攻擊微軟Office和Java漏洞。這樣，后門和短期可執(zhí)行文件就能夠獲得本地系統(tǒng)的訪問權(quán)限，建立持久訪問，然后利用密碼盜取、鍵盤記錄與掃描等手段為其他系統(tǒng)提供攻擊途徑。其最終目標通常是發(fā)現(xiàn)遠程系統(tǒng)的訪問身份或系統(tǒng)信息，并利用這些信息盜取數(shù)據(jù)。它會從命令控制(C&C)服務器下載指令，包括新的惡意軟件，然后掃描數(shù)據(jù)并將數(shù)據(jù)導入C&C基礎(chǔ)架構(gòu)，用于隱藏主服務器的代理正位于此處。

紅色十月攻擊確實有一些與標準惡意軟件攻擊不同的特殊之處——對目標網(wǎng)絡的攻擊偵察深度、攻擊計劃和框架。每一個目標系統(tǒng)都會分配一個攻擊目標ID，這樣攻擊者就可以方便地跟蹤攻擊。因為攻擊有一定規(guī)模，攻擊目標ID可以幫助攻擊者更好地分析和控制大量受攻擊的設(shè)備。這種跟蹤系統(tǒng)還允許攻擊者指定惡意軟件(并避免重復使用相同的惡意軟件)，使他們可以很長時間不被反病毒軟件發(fā)現(xiàn)。在接收到某種附件時，這個惡意軟件甚至能夠恢復C&C基礎(chǔ)架構(gòu)的訪問，從而能夠更快地盜取有重要價值的數(shù)據(jù)。

通常，它使用NTFS底層API和訪問權(quán)限去掃描已刪除數(shù)據(jù)，然后恢復目標數(shù)據(jù)。在網(wǎng)絡掃描過程中，紅色十月攻擊者會尋找將來可用于攻擊網(wǎng)絡的思科路由器。甚至在捕捉到SIP配置數(shù)據(jù)時，攻擊者還可能會監(jiān)控電話通話。然后，它還會收集來自iPhone、諾基亞和Windows智能手機的信息，以便進一步確定目標數(shù)據(jù)。

紅色十月應對措施：檢查現(xiàn)有措施 增加新控制

對于企業(yè)安全團隊而言，他們應該明白，紅色十月仍然大量使用一些舊的攻擊方法，如果組織部署了基本安全措施，那么他們應該已經(jīng)有能力防御這些攻擊。如果企業(yè)還不重視鏈接掃描、強力認證、快速補丁和網(wǎng)絡監(jiān)控，那么他們將來會受到類似于紅色十月的攻擊。因此，應該考慮采用一些額外的輔助防御措施。例如，應用白名單可以屏蔽目標系統(tǒng)的未授權(quán)可執(zhí)行文件。此外，還有新的異常檢測產(chǎn)品(如FireEye和Damballa的產(chǎn)品)應付越來越多的新情況。強力雙因子認證雖然不是新的防御手段，但是也可用于防御證書攻擊。

紅色十月事件反映了高級攻擊者的全面和多功能的攻擊特性，突顯出調(diào)整安全計劃對于防御這些攻擊的重要。和其他成功攻擊類似，攻擊者會在將來的攻擊中使用紅色十月的方法和概念，即使這些攻擊已經(jīng)為人所熟知。企業(yè)在未來幾年都需要作好計劃應付像紅色十月這樣有全面特性的攻擊，因為一些手段不高明的攻擊者仍然會采用這些新的攻擊方式。企業(yè)應該有序地實施安全措施，評估他們環(huán)境，確定需要改進的控制方式，或者實施新的措施防御類似攻擊。