揭示恶意软件平台Duqu 2.0 卡巴斯基实验室将确保用户不受影响
(谈谈新闻12日讯)2015年初春,卡巴斯基实验室检测到一种影响其内部多个系统的网络入侵行为。发现相关攻击后,公司启动了全面的调查,最终发现了一种最新的恶意软件平台:Duqu。该恶意软件平台是目前发现的技术最为先进、最为神秘同时也是最为强大的高级可持续性威胁(APT)之一。
卡巴斯基实验室认为攻击者非常有自信,认为不会有人能够发现这种网络攻击。这种攻击包括多个独特的之前没有发现的功能,而且几乎不会留下任何痕迹。攻击会利用零日漏洞,之后提升到域管理员权限。攻击所用的恶意软件通过MSI(微软软件安装包)文件在网络中进行传播。系统管理员经常使用这种文件在远程Windows计算机上部署软件。
这种网络攻击不会在磁盘上留下任何文件,也不会更改系统设置,所以检测极其困难。“Duqu 2.0”攻击组织的哲学思想和思维方式领先其他APT攻击组织至少一代。
卡巴斯基实验室的研究人员发现,自己并不是这种强大的网络攻击的唯一攻击目标。我们还在西方国家以及中东地区和亚洲地区的国家发现了其他受害者。尤其值得注意的是,发生于2014-2015年的一些最新感染同P5+1(伊朗核问题六方会谈)会议以及会议地点有关。Duqu幕后的攻击者似乎是在会议地点发动的攻击。除了P5+1会谈,Duqu 2.0幕后的攻击者还针对1纪念奥斯维辛集中营解放[1]70周年相关仪式和会议发动了类似的攻击。出席这些仪式和会议的人包括很多外国政府高官和要员。
卡巴斯基实验室对这种攻击进行了初步安全审计和分析。审计包括源代码验证以及企业基础设施核查。目前,审计仍在进行,并将于几周后完成。我们发现,除了试图盗窃知识产权内容外,没有发现这次攻击有其他恶意行为。分析显示,攻击者的主要目的是监视卡巴斯基实验室的技术、最新研究以及内部流程。没有发现干扰到内部流程或系统。
卡巴斯基实验室确信其用户和合作伙伴安全,公司的产品、技术和服务不会遭受影响。
网络攻击概览
2015年初,在进行一次测试时,卡巴斯基实验室开发的一款反APT解决方案的原型显示自身企业网络有遭遇复杂的针对性攻击的迹象。发现相关攻击后,公司启动了内部调查。由公司研究人员、逆向工程师和恶意软件分析师组成的团队加班加点对这种独特的攻击进行了分析。我们将发现的有关Duqu 2.0的所有技术详情均通过Securelist公开发布。
初步结论:
1. 这次攻击是精心策划和实施的,攻击者与2011年知名的Duqu APT攻击的某后攻击组织一致。卡巴斯基实验室认为这是一种由政府支持的网络攻击行动。
2. 卡巴斯基实验室坚信,这一攻击的主要目标是获取卡巴斯基实验室的最新技术情况。攻击者尤其对公司的产品创新详情感兴趣,包括卡巴斯基实验室的安全操作系统、卡巴斯基反欺诈解决方案、卡巴斯基安全网络和反APT解决方案以及服务。同研发无关的部门(销售部、市场部、传媒部和法务部)没有引起攻击者的任何兴趣。
3. 攻击者访问到的信息对公司的产品正常运转不会产生重要影响。通过获取到的攻击信息,卡巴基斯实验室将进一步提升自身多种IT安全解决方案的性能。
4. 攻击者还对卡巴斯基实验室当前针对高级针对性攻击的调查结果非常感兴趣。所以,攻击者很可能知道卡巴斯基实验室在检测和对抗复杂的APT攻击方面具有首屈一指的口碑。
5. 攻击者似乎最多利用了三种零日漏洞进行攻击。其中最后一个零日漏洞(CVE-2015-2360)在卡巴斯基实验室安全专家上报后,已经于2015年6月9日被微软所修复。
攻击所用的恶意程序使用一种高级手段隐藏自身在系统中的痕迹:Duqu 2.0的代码仅存在于计算机的内存中,并且会试图清除所有在硬盘上的痕迹。
整体情况
“Duqu幕后的攻击者是目前发现的技术最为先进,同时也是最为强大的APT攻击组织之一。他们会想尽一切办法避免被发现,”卡巴斯基实验室全球研究和分析团队总监Costin Raiu说:“这种高度复杂的攻击最多可以利用三种零日漏洞,这一点令人印象深刻,而且其成本必然非常高。为了保证不被发现,恶意软件只驻留在系统内核内存,所以反恶意软件解决方案很难检测出来。该恶意软件还不会直接连接命令和控制服务器接收指令。而是通过安装恶意驱动感染网络网关和防火墙,让内部网络和攻击者的命令和控制服务器之间通讯全部通过代理进行传输。”
“对网络安全公司进行监视是一件非常危险的事。当今世界,硬件和网络设备都能够被攻陷,而安全软件则是保护企业和消费者的最前沿。而且,这些被应用于类似针对性攻击中的技术迟早都会被发现,进而被恐怖分子和专业网络罪犯所利用。这是一种非常严重的情况,而且这种情况很可能会发生,”卡巴斯基实验室CEO尤金•卡巴斯基评论说。
“报告这样的攻击事件,是让我们的世界变得更安全的唯一办法。这样做,有助于提高和改进企业基础设施的安全设计,并且向这种恶意软件的开发者发出明确的信号:即所有的非法行为都会被制止,而且责任人将会受到惩罚。保护世界安全的唯一办法是执法机关和安全企业公开携手对抗此类攻击。对于任何攻击,我们都会进行报告,不管其来源如何,”尤金•卡巴斯基补充说。
卡巴斯基实验室对其客户和合作伙伴承诺,公司将继续无差别地抵御任何形式的网络攻击。卡巴斯基实验室致力于更好地为客户服务,获取客户的全部信任和信心。公司确信目前所采取的措施将能够解决这一问题,并且避免类似的问题再次发生。卡巴斯基实验室已经联系了多个国家的网络警察部门,正式要求对这次攻击进行犯罪调查。
卡巴斯基实验室需要重申,上述结果只是初步的调查结论。毫无疑问,这次攻击的地理影响范围较广,还涉及更多的被攻击目标。但是根据公司目前掌控的情况判断,出于类似的地缘政治利益,Duqu 2.0还被用于针对一些高层目标进行攻击。为清除这一威胁,卡巴斯基实验室发布了感染迹象等内容,并且愿意向所有感兴趣的组织提供帮助。卡巴斯基实验室的产品目前均已经能够检测和拦截Duqu 2.0。卡巴斯基实验室产品将这种威胁检测为HEUR:Trojan.Win32.Duqu2.gen。
关于Duqu 2.0 恶意软件的更多详情以及感染迹象等内容,请参阅技术报告。
应对APT的通用指南请参阅“How to mitigate 85% of all targeted attacks using 4 simple strategies”.