俄罗斯400多家工业企业遭逢网络垂钓攻击

作者：Hydralab 2018-08-09

概要

卡巴斯基尝试室（Kaspersky Lab）ICS CERT发现了一系列带有恶意附件的网络垂钓电子邮件，重要针对的是与工业出产有关的企业和机构。网络垂钓电子邮件假装成合法的贸易约请函，重要被发送给位于俄罗斯的工业企业，且每一封电子邮件的内容都与指标收件人所从事的工作有很大的有关性。

凭据我们网络到的数据，这一系列攻击起头于2017年11月，且目前仍在进行中。值妥贴心的是，早在2015年就已经有类似攻击的纪录。

这些攻击中使用的恶意软件装置了合法的远程治理软件——TeamViewer或Remote Manipulator System/Remote Utilities（RMS），这使攻击者可能远程节造受习染的系统。另表，攻击者还使用了各类技术来覆盖系统被装置在系统中的恶意软件的习染和活动。

凭据现罕见据，攻击者的重要指标是从受害企业的帐户中窃取资金。在攻击者衔接到受害者的推算机之后，他们会搜索并分析采购文档，以及其使用的财政和管帐软件。在此之后，攻击者会寻找各类步骤来执行财政诓骗，例如伪造用于付款的银行信息。

在习染系统之后，若是攻击者必要额表的数据或职能（如权限提升和获取本地治理员权限、窃取用于财政软件和服务的用户身份验证数据，或者用于横向移动的Windows帐户），那么他们会将一个额表的恶意软件集中下载到系统中，且它是专门针对每一位幼我受害者的攻击而量身定造的。这个恶意软件集中可能蕴含间谍软件、扩大攻击者对受习染系统节造的其他远程治理工具、用于利用操作系统和利用软件缝隙的恶意软件，以及为攻击者提供Windows帐户数据的Mimikatz工具。

攻击者很显然是通过度析被攻击企业员工的通讯来获取他们进行犯罪活动所需的信息。另表，他们也能够使用这些电子邮件中的信息来筹备新的攻击——针对与当前受害者合作的企业。除了经济损失之表，这些攻击还会导致受害企业敏感数据的泄露。

网络垂钓电子邮件

在大无数案例中，网络垂钓电子邮件的内容都与财政有关，其附件的定名也体现了这一点。具体来说，其中一些电子邮件宣称是由大型工业企业所发出的招标约请（见下文）。

恶意附件通�；崾且桓龃娴滴募�。有些电子邮件没有附件，在这些案例中，电子邮件的正文旨在引诱收件人点击一个指向表部资源的链接，而恶意对象就会从这些资源下载。

以下是针对某些企业的攻击中所使用的网络垂钓电子邮件的示例：

网络垂钓电子邮件的屏幕截图

这封电子邮件宣称自己是由一家驰名的工业企业发出的。发送该电子邮件的服务器的域名与该企业官方网站的域名的确极度类似。电子邮件附带有一个受密码�；さ拇娴滴募�，而这个密码能够在电子邮件的正文中找到。

值妥贴心的是，攻击者在电子邮件中使用了该企业一名员工的全名（出于保密原因，我们对电子邮件的这部门内容进行了屏蔽处置，见上面的屏幕截图）。这批注攻击是经过精心筹备的，并且攻击者针对每一名指标收件人都创建了蕴含与特定企业有关的具体信息的幼我电子邮件。

作为攻击的一部门，攻击者使用了各类技术来覆盖习染过程。在此类案例中，除恶意软件组件和远程治理当用法式之表，Seldon 1.7（用于搜索招标信息的合法软件）也被装置在了受习染的系统中。

为了不让用户疑惑他们为什么没有获取到在垂钓电子邮件中提到的采购招标信息，恶意法式所装置的这个Seldon 1.7软件内容上是一个恶意版本。

合法软件Seldon 1.7的窗口

在某些案例中，受害者看到的是一个部门败坏的图像。

由恶意软件打开的图像

此表，还存在将一个已知的恶意软件被假装成一份蕴含银行转帐收条的PDF文档的案例。奇怪的是，收条简直蕴含有效的数据。具体来说，它提到了现有公司及其有效的财政细节，甚至连汽车的VIN码也与其型号相匹配。

银行转帐收条的屏幕截图

在这些攻击中使用的恶意软件装置了合法的远程治理软件——TeamViewer或Remote Manipulator System/Remote Utilities（RMS）。

使用RMS执行的攻击

有几种已知的步骤能够将恶意软件装置到系统中。恶意文件能够通过附加到电子邮件中可执行文件运行，也能够通过特造的Windows号令诠释法式运行。

例如，上面提到的存档文件就蕴含了一个与其占有一样名称的可执行文件，并且它是一个受密码�；さ淖越庋勾娴滴募�。存档文件会在提取文件的同时运行一个剧本，用于装置和启动系统中的现实恶意软件。

恶意软件装置文件的内容

从上面屏幕截图中的号令能够看出，在复造文件后，剧本会删除自身文件，并在系统中启动合法软件——Seldon v.1.7和RMS，使攻击者可能在用户不知情的情况下节造受习染的系统。

恶意软件的文件将被装置在%AppData%\LocalDataNT folder %AppData%\NTLocalData文件夹或%AppData%\NTLocalAppData文件夹中，这取决于它的版本。

当它启动时，合法的RMS软件将加载操作所需的动态库（DLL），蕴含系统文件winspool.drv，它位于系统文件夹中，用于将文档发送到打印机。由于RMS使用其相对蹊径不安全地加载库（供给商已被奉告此缝隙），因而使得攻击者可能进行DLL劫持攻击：他们将恶意库搁置在与RMS可执行文件所处的统一个目录中，从而导致一个恶意软件组件被加载并获得节造权，而不是相应的系统库。

恶意库会实现恶意软件的装置。具体来说，它会创建一个注册表值，掌管在系统启动时自动运行RMS。值妥贴心的是，在这次活动的大无数案例中，注册表值被搁置在RunOnce键值中，而不是Run键值，这使得恶意软件仅鄙人次系统启动时自动运行。之后，恶意软件必要再次创建注册表值。

之所以选择这种步骤，很可能来自于攻击者想要通过这种步骤来覆盖恶意软件在系统中的存在。另表，恶意库还实现了匹敌分析和检测的技术。其中一种技术涉及使用哈希值动态导入Windows API函数。通过这种方式，攻击者就不用将这些函数的名称存储在恶意库的主体中，这有助于他们对大无数分析工具暗藏法式的现实职能。

实现动态导入函数的恶意代码段的一部门

恶意动态库文件winspool.drv将解密由攻击者筹备的配置文件，其中蕴含RMS软件的设置、远程节造推算机的密码以及通知攻击者系统已成功被习染所需的设置。

其中一个配置文件蕴含了一个电子邮件地址，用于接管有关受习染系统的信息，蕴含推算机名称、用户名、RMS推算机的Internet ID等。其中，Internet ID是在推算机衔接到RMS供给商的合法服务器上天生的。这个标识符随后将用于衔接到位于NAT后面的远程节造系统（在盛行的即时新闻解决规划中也使用了类似的机造）。

在已发现的配置文件中找到的电子邮件地址列表将在IoCs部门中提供。

一个RC4的批改版本被用于加密配置文件。上面提到的存档文件中的配置文件如下所示。

解密后的InternetId.rcfg文件的内容

解密后的notification.rcfg文件的内容

解密后的Options.rcfg文件的内容

解密后的Password.rcfg文件的内容

在实现这些之后，攻击者就能够使用系统的Internet ID和密码在用户不知情的情况下通过合法的RMS服务器使用尺度的RMS客户端来节造整个系统。

使用TeamViewer执行的攻击

使用合法的TeamViewer软件执行的攻击与使用RMS软件执行的攻击极度类似，具体如上所述。最显著的一个区别特点是，来自受习染系统的信息被发送到了恶意软件的号令和节造服务器，而不是攻击者的电子邮件地址。

与使用RMS一样，恶意代码通过将恶意库代替为系统DLL注入到TeamViewer过程中。在使用TeamViewer的案例中，攻击者使用了msimg32.dll。

这并非一种专属战术，合法的TeamViewer软件之前曾被用于APT和网络犯罪攻击。在使用过这个工具集的组织中，最驰名的应该算是TeamSpy Crew。不外，我们以为在本文中描述的攻击与TeamSpy无关，而是另一个网络犯罪集团所为。奇怪的是，在分析这些攻击的过程中被鉴别出来的用于加密配置文件和解密密码的算法与去年4月份描述类似攻击的一篇文章中所颁布的算法齐全一样。

各人都知路，合法的TeamViewer软件并不会向用户暗藏其启动或操作，尤其是在远程节造接入的时辰会通知用户�５�，攻击者必要在用户不知情的情况下获得对受习染系统的远程节造。为此，他们挂钩了几个Windows API函数。

攻击者使用了一种名为“Hooking”的多所周知的步骤来将函数挂钩起来。因而，当合法的软件挪用其中一个Windows API函数时，节造权将被传递给恶意DLL，而合法的软件只会得到一个糊弄性的响应，而不是一个来自操作系统的响应。

Windows API函数被恶意软件挂钩

挂钩Windows API函数使攻击者可能暗藏TeamViewer的窗口，�；ざ褚馊砑募槐患觳獾�，并节造TeamViewer启动参数。

启动后，恶意库通过执行号令“ping 1.1.1.1”来查抄Internet衔接是否可用，而后解密恶意法式的配置文件tvr.cfg。该文件蕴含各类参数，例如用于远程节造系统的密码、攻击者的号令和节造服务器的URL、在发送到号令和节造服务器的要求中使用的HTTP标头的User-Agent字段、用于TeamViewer的VPN参数等。

解密后的恶意软件配置文件的内容

与RMS分歧处地点于，Team Viewer使用内置VPN远程节造位于NAT后面的推算机。

与RMS一样的处地点于，有关的值将被增长到RunOnce注册表键值中，以确保恶意软件在系统启动时自动运行。

恶意软件会网络受习染推算机上的数据，并将其连同远程治理所需的系统标识符一路发送到号令和节造服务器。发送的数据蕴含：

● 操作系统版本

● 用户名

● 推算机名

● 有关在运行恶意软件的用户权限级此外信息

● 系统中是否存在麦克风和网络摄像头

● 是否装置了防病毒软件或其他安全解决规划，以及UAC级别

恶意软件会通过以下WQL查问来获取有关系统中装置的安全软件的信息：

root\SecurityCenter:SELECT * FROM AntiVirusProduct

网络的信息将通过以下POST要求发送给攻击者的服务器：

用于向号令和节造服务器发送加密数据的POST要求

涉及TeamViewer的攻击的另一个显着区别特点是可能向受习染的系统发送号令，并让它们由恶意软件执行。这些号令通过TeamViewer利用法式中内置的Chat（谈天）�？榇雍帕詈徒谠旆衿鞣⑺秃帕�。当然，谈天窗口会被恶意库暗藏，且日志文件会被删除。

被发送到受习染系统的号令将通过以下指令在Windows号令诠释法式中执行：

cmd.exe /c start /b

参数“/ b”暗示由攻击者发送的用于执行的号令将在不创建新窗口的情况下运行。

此表，当恶意软件从攻击者的服务器接管到对应的号令时，它还会执行自毁机造。

其他被使用的恶意软件

当攻击者还必要其他数据（如授权数据）的时辰，他们会将间谍软件下载到受害者的推算机上，以便网络电子邮箱、网站、SSH/FTP/Telnet客户端的登录名和密码，以及纪录击键和屏幕截图。

在攻击者的服务器上装置并下载到受害者推算机上的其他软件中，被发现蕴含来自以下家庭的恶意软件：

● Babylon RAT

● Betabot/Neurevt

● AZORult stealer

● Hallaj PRO Rat

对于这些木马而言，它们被下载到受习染系统中，很可能是被用来网络信息和窃取数据。除了远程治理之表，这些恶意软件还蕴含以下职能：

● 纪录击键

● 屏幕截图

● 网络系统信息以及与已装置法式和在运行的过程有关的信息

● 下载其他恶意文件

● 使用推算机作为代理服务器

● 从盛行的法式和浏览器中窃取密码

● 窃取加密钱币钱包

● 窃取Skype新闻

● 进行DDoS攻击

● 拦截和糊弄用户流量

● 将肆意用户文件发送到号令和节造服务器

在其他一些案例中，在对受习染系统进行初步分析后，攻击者会将一个额表的恶意软件�？橄略氐绞芎φ叩耐扑慊�。这是一个蕴含多种恶意和合法法式的自解压存档文件，它很可能是针对某些特定系统而额表被下载的。

例如，若是恶意软件是在没有本地治理员权限的情况下执行的，那么为了绕过Windows用户帐户节造（UAC），攻击者则会使用上面提到的DLL劫持技术。但在这种情况下，使用的是Windows系统文件%systemdir%\migwiz\migwiz.exe和库文件cryptbase.dll。

此表，攻击者在一些系统中还装置了另一个远程治理实用法式RemoteUtilities，它提供了比RMS或TeamViewer更壮大的职能集来节造受习染的推算机。其职能蕴含：

● 远程节造系统（RDP）

● 从受习染的系统下载文件或上传文件到受习染系统

● 节造受习染系统的电源

● 远程治理在运行的利用法式的过程

● 远程shell（号令行）

● 治理硬件

● 屏幕截图和录造屏幕

● 通过衔接到受习染系统的设备录造音频和视频

● 远程治理系统注册表

攻击者使用了RemoteUtilities的批改版本，使得他们可能在用户不知情的情况下执行上述操作。

在某些案例中，除了cryptbase.dll和RemoteUtilities之表，攻击者还装置了Mimikatz实用法式。我们以为，若是第一个受习染的系统没有装置财政数据处置软件，那么攻击者则会装置Mimikatz。Mimikatz实用法式被攻击者窃取企业员工的身份验证数据，并获取对企业网络中其他推算机的远程接见。攻击者使用这种技术会给企业带来很大的威胁：若是他们成功获取到了域治理怨厥户的凭证，那么他们则能够节造企业网络中的所有系统。

攻击的指标

凭据KSN的数据，在2017年10月到2018年6月期间，约莫有800属于工业企业的员工推算机被本文中描述的恶意软件所攻击。

2017年10月到2018年6月期间被攻击的推算机数量

在2017年10月到2018年6月期间被攻击的推算机数量（按月统计）

据我们估计，俄罗斯至少有400家工业企业成为了这次攻击的指标，涉及到以下行业：

● 造作业

● 石油和天然气

● 冶金

● 工程

● 能源

● 建造

● 矿业

● 物流

基于此，能够得出结论，攻击者并不专一于任何特定行业或领域的企业。与此同时，他们的活动明显地讲了然他们专一于粉碎属于工业企业的系统。网络犯罪分子的这一选择可能是由于工业企业的网络威胁意识和网络安全文化远不如其他经济领域（如银行或IT公司）的企业。另表，正如我们早前所提到的那样，工业企业与其他领域的企业相比更习惯于在其账户上进行涉及大量资金的操作。这些都使得它们成为对于网络罪犯而言更具吸引力的指标。

结论

这项钻研再次批注，即便使用单一的技术和已知的恶意软件，攻击者也能够通过纯熟地使用社会工程并在指标系统中覆盖恶意代码来成功地攻击大量的工业企业。犯罪分子积极地使用社会工程来预防用户疑惑自己的推算机受到了习染。另表，他们还使用了合法的远程治理软件来逃避防病毒解决规划的检测。

这一系列攻击重要针对的是俄罗斯的企业，但同样的战术和工具同样可用来攻击全世界领域内任何国度的工业企业。

我们以为，这次攻击事务背后的幕后黑手很可能是一个犯罪集团，其成员对俄语有着很纯熟的把握，这一点能够从网络垂钓电子邮件正文的高水平编写以及批改俄语企业财政数据的能力上体现出来。

远程治理职能使犯罪分子可能齐全节造被粉碎的系统，因而可能的攻击场景不仅限于偷窃资金。在攻击指标的过程中，攻击者还可能窃取属于指标企业及其合作同伴和客户的敏感数据，对受害企业员工执行隐秘的视频监控，并能够通过衔接到受习染推算机的设备来录造音频和视频。

IoCs

在这里查看和下载。

（转载来自FreeBuf.COM）

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

工业互联网安全专题