本文節(jié)選自《Red October” Diplomatic Cyber Attacks Investigation》

摘要

在2012年10月，卡巴斯基實驗室全球研究&分析團隊發(fā)起了一項關(guān)于新威脅的研究，研究的目標(biāo)是目前針對各種國際外交服務(wù)機構(gòu)的網(wǎng)絡(luò)攻擊。在調(diào)查過程中，一個大型的網(wǎng)絡(luò)間諜網(wǎng)絡(luò)被揭露和分析，我們稱之為“紅色十月”（來源于著名的小說《獵殺紅色十月）。

本報告以多個不同國家的政府和科研機構(gòu)遭受的攻擊為背景進(jìn)行詳細(xì)的技術(shù)分析，涉及到的地區(qū)包括東歐，前蘇聯(lián)和中亞。

攻擊者的主要目的是從有關(guān)部門收集情報，其中包括計算機系統(tǒng)，個人移動設(shè)備和網(wǎng)絡(luò)設(shè)備。

最早的證據(jù)顯示，網(wǎng)絡(luò)間諜活動始于2007年，并且在筆者發(fā)稿時（2013年1月）仍然活躍。此外，攻擊者購買（C＆C）服務(wù)器時的注冊數(shù)據(jù)和獨特的惡意病毒文件名可以追溯到2007年5月甚至更早的時間。

主要發(fā)現(xiàn)

先進(jìn)的間諜網(wǎng)絡(luò)：攻擊者潛伏多年，側(cè)重于各國在世界各地的外交和政府機構(gòu)。

攻擊者獲取的信息在后續(xù)的攻擊中被重復(fù)使用。例如，被盜的認(rèn)證信息被整理成冊并在攻擊者需要猜解口令時使用。為了控制受感染的機器組成的網(wǎng)絡(luò)，攻擊者在不同的國家（主要是德國和俄羅斯）創(chuàng)建了超過60個域名和幾個服務(wù)器的位置。

獨特的架構(gòu)：攻擊者創(chuàng)建了一個多功能的工具包，其中有一個收集情報的功能。

各種各樣的目標(biāo)：除了傳統(tǒng)的攻擊目標(biāo)（工作站），該系統(tǒng)還能從移動設(shè)備夠竊取數(shù)據(jù)，如智能手機（iPhone，諾基亞，Windows Mobile），企業(yè)網(wǎng)絡(luò)設(shè)備（思科），可移動磁盤驅(qū)動器（包括使用恢復(fù)程序恢復(fù)已刪除的文件）。

Exploit：我們找到的樣品使用的攻擊代碼是利用Microsoft Word和Microsoft Excel中的漏洞。

攻擊者何許人也：根據(jù)C＆C服務(wù)器和眾多惡意軟件的可執(zhí)行文件中，我們堅信，攻擊者屬俄語系。至今為止，攻擊者非常低調(diào)，他們從來沒有參與任何其他有針對性的網(wǎng)絡(luò)攻擊。

第一階段

在我們的調(diào)查中，我們無法找到任何攻擊中使用的電子郵件。然而，根據(jù)間接證據(jù)，我們知道電子郵件使用下列方法之一發(fā)送：

1.從免費的公共電子郵件服務(wù)提供商獲取的免費郵箱

2.從已被感染組織中拿到使用的郵箱

我們發(fā)現(xiàn)了至少三種最近的exploit:CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word)

一個顯著的事實是攻擊者使用的攻擊代碼原本來自中國。唯一的改變是在文檔中嵌入的可執(zhí)行文件，這次攻擊者使用的是他們自己的代碼。

附件中以下三個文件被運行：

%TEMP%\MSC.BAT
%ProgramFiles%\WINDOWS NT\LHAFD.GCP (<- This file name varies)%ProgramFiles%\WINDOWS NT\SVCHOST.EXE

MSC.BAT包括以下內(nèi)容

chcp 1251 
:Repeat 
attrib -a -s -h -r "%DROPPER_FILE%" 
del "%DROPPER_FILE%" 
if exist "%DROPPER_FILE%" goto Repeat 
del "%TEMP%\msc.bat"

??

LHAFD.GCP文件使用RC4加密，由“zlib的”庫壓縮。該文件本質(zhì)上是一個后門程序，由加載程序模塊（svchost.exe）解碼。解碼后的文件會注入到系統(tǒng)內(nèi)存中，并負(fù)責(zé)與C＆C服務(wù)器通信。

??

在受感染的系統(tǒng)中，每一個任務(wù)是由主后門程序控制，如果互聯(lián)網(wǎng)連接可用，它會連接到三個微軟的主機：

update.microsoft.com 
www.microsoft.com 
support.microsoft.com

??

互聯(lián)網(wǎng)連接驗證完畢后，加載器執(zhí)行的的主要后門程序會連接到C＆C服務(wù)器：

??

與C＆C的連接是加密的，且使用不同的加密算法來發(fā)送和接收數(shù)據(jù)。

??

??

第二階段

在與C＆C服務(wù)器建立連接后，后門開始通信過程并加載附加模塊。這些附加模塊可以被分為兩類：離線和在線。這些類別之間的主要區(qū)別是他們在受感染的系統(tǒng)的行為有所不同：

離線：存在于本地磁盤上，能夠創(chuàng)建系統(tǒng)的注冊表項，本地磁盤的日志文件，可自發(fā)與C＆C服務(wù)器上進(jìn)行通信。

在線：只存在于系統(tǒng)內(nèi)存中，不會保存到本地磁盤，不會創(chuàng)建注冊表項，在所有的記錄也保存在內(nèi)存中。

??

時間線

我們已經(jīng)確定了與超過30個木馬模塊相關(guān)的1000個惡意軟件，他們大多是在2010年5月和2012年10月創(chuàng)建的。

Year 2010

19.05.2010 
21.07.2010 
04.09.2010

Year 2011

05.01.2011 
14.03.2011 
05.04.2011 
23.06.2011 
06.09.2011 
21.09.2011

Year 2012

12.01.2012