卡巴斯基安全研究員解析狡猾的APT攻擊“The Mask”

作者：Redo1o8SK 2014-03-12 10:42:44

“The mask”的獨(dú)特魅力在于攻擊者所使用的工具集的復(fù)雜性。這套工具集包括一個(gè)極其復(fù)雜的惡意攻擊軟件,一個(gè)rootkit，一個(gè)bootkit、Mac OS X和Linux版本,可能還有Android和iPad / iPhone(iOS)版本。

1、Careto /“The mask”究竟是什么?

“The mask”是一個(gè)起始于2007年甚至可能更早，并一直活躍著的網(wǎng)絡(luò)間諜行動(dòng)。

“The mask”為了更有效的隱秘性使用了一個(gè)定制的攻擊，這個(gè)特定的攻擊模塊專門針對(duì)舊版的卡巴斯基實(shí)驗(yàn)室產(chǎn)品，復(fù)雜性甚至超過了Duqu木馬,“The mask”堪稱目前最先進(jìn)的威脅之一。鑒于此以及考慮其他一些因素，有理由相信這可能是一個(gè)由國家資助的操作。

2、為什么稱之為“The mask”?

“The mask”這個(gè)名字來自西班牙俚語詞“Careto”("Mask" or "Ugly Face"–可譯為“面具”或“丑陋的臉”)，研究員在病毒模塊中發(fā)現(xiàn)該字符串(如下圖所示)，故而以此命名。

3、誰是受害者?/攻擊目標(biāo)是什么呢?

Careto的主要目標(biāo)分為以下幾種類別:

–政府機(jī)構(gòu)

–外交辦公室和大使館

–能源,石油和天然氣公司

–研究機(jī)構(gòu)

–私人股本公司

–社會(huì)積極分子

4、目前可知受害者的總數(shù)嗎?

盡管受害者的具體數(shù)量未知,但我們已經(jīng)觀察到分布在31個(gè)國家的超過了1000個(gè)IP地址被感染，已觀察到被感染的國家包括:阿爾及利亞、阿根廷、比利時(shí)、玻利維亞、巴西、中國、哥倫比亞、哥斯達(dá)黎加、古巴、埃及、法國、德國、直布羅陀、危地馬拉、伊朗、伊拉克、利比亞、馬來西亞、墨西哥、摩洛哥、挪威、巴基斯坦、波蘭、南非、西班牙、瑞士、突尼斯、土耳其、英國、美國和委內(nèi)瑞拉。

基于卡巴斯基實(shí)驗(yàn)室開發(fā)的識(shí)別算法,估算出受害人數(shù)目在380個(gè)以上。

然而,考慮到收集這些受害者信息依據(jù)只是一些C&C服務(wù)器和已記錄在案的主機(jī),所以可能受影響的國家和受害者的真實(shí)總數(shù)會(huì)更高。

5、Careto是做什么的?目標(biāo)機(jī)器被感染后會(huì)發(fā)生什么?

對(duì)于一個(gè)受害者而言,感染了Careto的危害是災(zāi)難性的。該款惡意軟件能夠攔截所有的溝通渠道,從受感染的系統(tǒng)中收集最重要的信息。因?yàn)槠渚哂须[形rootkit功能，非常不易檢測(cè)到。除了內(nèi)置功能,Careto可以上傳可以執(zhí)行任何惡意的任務(wù)的其他模塊。考慮到已知受害者的性質(zhì),Careto的影響可能非常高。

6、Careto如何感染電腦?

我們發(fā)現(xiàn)"The mask"活動(dòng)主要依賴附帶惡意網(wǎng)站鏈接的網(wǎng)絡(luò)釣魚電子郵件。設(shè)計(jì)好的惡意網(wǎng)站包含了很多可利用的漏洞，根據(jù)系統(tǒng)配置的不同，可以感染很多游客,這取決于他的系統(tǒng)配置。成功感染后惡意網(wǎng)站會(huì)將用戶重定向到電子郵件中引用的一個(gè)良性網(wǎng)站上,比如一個(gè)YouTube電影或新聞門戶網(wǎng)站。

需要特別注意的是，這些包含可利用漏洞的網(wǎng)站不自動(dòng)感染游客;相反,襲擊者主機(jī)網(wǎng)站上的可利用漏洞存放在特定的文件夾,他們除了惡意郵件之外，并不與其他任何事物有直接關(guān)聯(lián)。有時(shí),攻擊者在惡意網(wǎng)站上使用子域,使他們看起來更合法。這些子域名主要模擬一些西班牙的主要報(bào)紙或者一些國際上有名的報(bào)紙(如《衛(wèi)報(bào)》和《華盛頓郵報(bào)》)。

7、攻擊者利用零日漏洞嗎?

到目前為止,我們觀察到的"Themask"攻擊使用到了多個(gè)攻擊手段，其中包含至少一個(gè)Adobe FlashPlayer可利用漏洞(cve – 2012 – 0773)，該漏洞主要針對(duì)Flash播放器的10.3和11.2版本。

“cve – 2012 – 0773”最初是由VUPEN黑客團(tuán)體發(fā)現(xiàn)的，這中間還有一個(gè)有趣的故事，2012年在加拿大CansecWest舉行的Pwn20wn黑客大會(huì)上由VUPEN黑客團(tuán)體首次攻破了Google公司Chrome瀏覽器，發(fā)現(xiàn)其存在一個(gè)安全繞過漏洞和一個(gè)內(nèi)存釋放后可利用漏洞。這個(gè)可利用漏洞引起了很大的爭(zhēng)議,因?yàn)閂UPEN團(tuán)隊(duì)拒絕透露他們?nèi)绾味氵^了沙箱,并聲稱他們計(jì)劃將該可利用漏洞賣給他們的客戶。有可能是Careto操作者從VUPEN手中購買了此漏洞。(參見RyanNaraine故事)

其他攻擊手段使用包括社會(huì)工程,比如要求用戶下載并執(zhí)行一個(gè)JavaUpdate。jar文件或安裝一個(gè)Chrome瀏覽器插件。我們懷疑存在其他的可利用漏洞,但我們的研究員沒有能夠從攻擊服務(wù)器檢索到它們。

8、這是一個(gè)僅適用于windows的威脅嗎?哪些Windows 版本是攻擊目標(biāo)?有針對(duì)MacOS X和Linux系統(tǒng)的變體嗎?

到目前為止,我們觀察到該木馬可以感染MicrosoftWindows和Mac OS x系統(tǒng)。發(fā)現(xiàn)其中有一些利用服務(wù)器路徑包含模塊,似乎是為感染Linux系統(tǒng)的計(jì)算機(jī)而設(shè)計(jì)的,但我們還沒有找到Linux后門。此外,從C&C服務(wù)器的日志顯示,可能存在Android和蘋果iOS系統(tǒng)的后門。

9、是否有一個(gè)移動(dòng)組件的任何證據(jù)——iOS、Android或黑莓?

我們懷疑存在一個(gè)iOS后門,但我們沒能找到它。懷疑是基于一個(gè)服務(wù)器的調(diào)試日志，日志顯示了一個(gè)標(biāo)識(shí)為阿根廷的受害者，并記錄了該用戶的代理信息是"Mozilla/5.0(iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko)Mobile/10B329"。這似乎表明這是一個(gè)iPad,盡管沒有一個(gè)確定的示例。

除此之外,我們還懷疑存在一個(gè)Android的植入物。這是基于發(fā)送到C&C服務(wù)器上的一個(gè)獨(dú)特的版本標(biāo)識(shí)符“AND1.0.0.0”。使用到這種獨(dú)特標(biāo)識(shí)符的通信已在3 g連接上被觀察到,表示可能是一個(gè)移動(dòng)設(shè)備。

10、它與其他的APT攻擊有何不同?

“The mask”的獨(dú)特魅力是攻擊者所使用的工具集的復(fù)雜性。它的武器庫包括了極其復(fù)雜的惡意軟件,rootkit,bootkit,Mac和Linux版本,可能存在Android和iPad/ iPhone(蘋果iOS)版本。

同時(shí), “The mask”為增強(qiáng)其隱秘性而使用了一個(gè)定制的攻擊，這個(gè)特定的攻擊模塊專門針對(duì)舊版的卡巴斯基實(shí)驗(yàn)室產(chǎn)品，復(fù)雜性甚至超過了Duqu木馬,“The mask”堪稱目前最先進(jìn)的威脅之一。鑒于此以及考慮其他一些因素，有理由相信這可能是一個(gè)由國家資助的操作。(回答與第一個(gè)問題雷同……)

11、如何認(rèn)知到這個(gè)威脅的存在?誰報(bào)告的?

我們最初意識(shí)到Careto是觀察到有惡意軟件試圖利用卡巴斯基安全產(chǎn)品的漏洞，從而更加隱秘的入侵系統(tǒng)。這種手段增加了我們的興趣,研究團(tuán)隊(duì)決定進(jìn)一步調(diào)查。換句話說,因?yàn)楣粽邔?duì)卡巴斯基實(shí)驗(yàn)室產(chǎn)品的攻擊，成功的吸引了我們的注意力。

雖然這個(gè)產(chǎn)品的漏洞在五年前已經(jīng)被發(fā)現(xiàn)并得到了修補(bǔ)，但是在用戶沒有更新產(chǎn)品的情況下，盡管可以刪除惡意軟件并清查系統(tǒng)，這個(gè)漏洞仍然可以被利用,。

12、有多個(gè)變體Careto嗎?這些變體主要差別是什么?

Careto是一個(gè)高度模塊化的系統(tǒng),它能夠支持插件和配置文件，這一特性使得它可以擁有很多功能。

從2007年開始，Careto就有不同的編譯版本，不過大多數(shù)模塊創(chuàng)建于2012年。

13、Careto的C&C服務(wù)器仍然活躍嗎?是否能夠掌握任何C&C服務(wù)器?

截止目前,所有已知Careto服務(wù)器都已離線。從2014年1月開始攻擊者陸續(xù)使這些C&C服務(wù)器離線。我們?nèi)哉莆罩鴰着_(tái)C&C服務(wù)器,允許我們收集統(tǒng)計(jì)信息。

14、哪些信息是攻擊者的竊取目標(biāo)?

惡意軟件從受感染的系統(tǒng)上收集大量的文檔,包括加密密鑰、VPN配置,SSH密鑰和RDP文件，我們還監(jiān)視到幾個(gè)未知功能的擴(kuò)展模塊，可能與定制的軍事/國家級(jí)別的加密工具有關(guān)聯(lián)。

我們分析到的完整的Careto收集文件格式列表如下:

* .AKF,* .ASC、* .AXX * .CFD,*.CFE,* .CRT,* . doc,* docx,* .EML,* .ENC,* .GMG,* .GPG,* .HSE,* .KEY,

* .M15,* .M2F、*.M2O * .M2R,* .MLS,* .OCFS,* .OCU,*。ods,*.ODT,* .OVPN,* .P7C,* .P7M,* .P7Z,* .PAB,* . pdf,

* .PGP,* .PKR、*.PPK * .PSW,* .PXL,* .RDP,* . rtf,* .SDC,* .SDW,* .SKR,* . ssh,* .SXC,* .SXW,*.VSD,

* .WAB,* .WPD、*.WPS * .WRD,* xls,* .XLSX

15、這是一個(gè)政府資助的攻擊嗎?

“The mask”使用一個(gè)專門針對(duì)舊版卡巴斯基實(shí)驗(yàn)室產(chǎn)品的定制攻擊，有效的提高了其隱秘性。此外,它的武器庫中還包括一個(gè)rootkit,bootkit,Linux/ Mac版本，也可能存在iOS版本。復(fù)雜性超過了Duqu木馬,就目前的技術(shù)水平而言，“The mask”的攻擊手段相當(dāng)?shù)南冗M(jìn)。

另外,我們觀察到這種攻擊背后有一個(gè)高水準(zhǔn)的專業(yè)性操作集團(tuán),比如攻擊者能有效的監(jiān)視他們的基礎(chǔ)設(shè)施,關(guān)閉操作,巧妙的穿透系統(tǒng)的訪問限制,使用擦拭而不是刪除日志文件等等。這種安全操作的級(jí)別不是尋常的網(wǎng)絡(luò)犯罪組織能夠達(dá)到的。

鑒于此以及其他一些因素，我們有理由相信這可能是由一個(gè)國家資助的活動(dòng)。

16、誰應(yīng)對(duì)此攻擊負(fù)責(zé)?

追根溯源是一項(xiàng)艱巨的任務(wù)。由于互聯(lián)網(wǎng)的開放性和波動(dòng)性，找出一個(gè)明確的源頭是非常困難。

諸如使用到了西班牙語這類的線索是相當(dāng)薄弱的證據(jù)，因?yàn)楹芏鄧叶际褂梦靼嘌勒Z，其中包括拉丁美洲,墨西哥或美國(例如在邁阿密,就存在一個(gè)強(qiáng)大的西班牙語社區(qū))。

而且在沒有確鑿證據(jù)之前，我們也不排斥語言只是一種障眼法的可能。

17、攻擊者活躍多久了?

最早的一些Careto樣本可以追溯到2007年，一直活躍到2014年1月,但在我們調(diào)查期間，C&C服務(wù)器被關(guān)閉。所以保守估計(jì)至少活動(dòng)了5年。我們不排除攻擊者在將來的某個(gè)時(shí)候重啟活動(dòng)的可能。

18、攻擊者使用了哪些有趣/先進(jìn)技術(shù)嗎?

Windows后門是極其復(fù)雜的,攻擊者為增強(qiáng)攻擊的隱秘性使用了多種技術(shù)。這些技術(shù)包括注入系統(tǒng)庫、為了逃避檢測(cè)而利用漏洞攻擊舊版卡巴斯基實(shí)驗(yàn)室產(chǎn)品。

此外,漏洞利用覆蓋了所有潛在的目標(biāo)系統(tǒng),包括Mac OS X和Linux。同樣,不同的shellcode模塊之間的利用COOKIES進(jìn)行通信,這是一個(gè)相當(dāng)不尋常的方法。

19、卡巴斯基實(shí)驗(yàn)室能檢測(cè)這個(gè)惡意軟件的所有變體嗎?

是的。我們的產(chǎn)品能檢測(cè)并刪除攻擊者使用的所有已知的惡意軟件的版本。名稱標(biāo)識(shí)為: