360發(fā)現(xiàn)首個(gè)跨界APT攻擊 揭秘移動(dòng)安全中鉆空子的“黃金鼠”

提起“熊貓燒香”這款病毒，相信很多人仍然能夠憶起，那個(gè)出現(xiàn)在全民網(wǎng)絡(luò)時(shí)代前夜、憨態(tài)可掬地抱著三支香的熊貓圖標(biāo)。同時(shí)，“熊貓燒香”也致使全國數(shù)萬電腦被控制，該“疫情”的出現(xiàn)更是讓不少人心有余悸。幸運(yùn)的是，微軟于2011年開始對(duì)Windows自動(dòng)運(yùn)行功能進(jìn)行了限制，屏蔽了除光盤外的其它存儲(chǔ)介質(zhì)的自動(dòng)運(yùn)行功能，有效避免了來自此類病毒的攻擊。

然而，近期360烽火實(shí)驗(yàn)室在監(jiān)測黃金鼠組織(APT-C-27)的攻擊活動(dòng)過程中，發(fā)現(xiàn)其新版本的移動(dòng)端手機(jī)攻擊樣本首次具備了針對(duì)PC的RAT誘導(dǎo)跨越攻擊。這也就意味著，當(dāng)移動(dòng)端手機(jī)作為移動(dòng)存儲(chǔ)介質(zhì)存在時(shí)，存在有一定的安全隱患，極有可能被不法分子利用，通過手機(jī)端的偽裝攻擊文件向PC端發(fā)起APT攻擊。為此，360烽火實(shí)驗(yàn)室聯(lián)合360互聯(lián)網(wǎng)安全中心共同發(fā)布了《移動(dòng)端跨越攻擊預(yù)警：新型APT攻擊方式解析》報(bào)告。

跨越組合型APT攻擊：偏愛“圖片目錄”作偽裝

APT攻擊作為一種行之有效的手段不斷出現(xiàn)在各類對(duì)抗戰(zhàn)中，如目前業(yè)界認(rèn)為屬于“滅霸級(jí)別”的兩個(gè)APT組織：方程式和索倫之眼，便將APT攻擊視為秘密武器。隨著APT對(duì)抗烈度的增加，跨平臺(tái)的攻擊逐漸成為主流，而不再單一聚焦于單一的Windows平臺(tái)，移動(dòng)設(shè)備、智能硬件等領(lǐng)域也是攻擊者目標(biāo)。但是此前的跨平臺(tái)攻擊中，各平臺(tái)均為獨(dú)立存在。

據(jù)360安全專家介紹，通過分析對(duì)比發(fā)現(xiàn)，新版本的移動(dòng)端手機(jī)攻擊樣本除了保留原版的移動(dòng)端RAT功能之外，還新增了移動(dòng)存儲(chǔ)介質(zhì)誘導(dǎo)攻擊方式，首次實(shí)現(xiàn)了從移動(dòng)端到PC端的攻擊跨越，移動(dòng)端手機(jī)會(huì)釋放PC端惡意軟件，組合型APT攻擊方式已出現(xiàn)。

圖1：攜帶的PE RAT攻擊文件

當(dāng)移動(dòng)端攻擊樣本攜帶有針對(duì)PC的PE格式RAT攻擊文件“hmzvbs”并運(yùn)行后，該攻擊文件便會(huì)被釋放到指定好的移動(dòng)端外置存儲(chǔ)設(shè)備中的圖片目錄下，并且偽裝成特殊名稱，這個(gè)偽裝便是跨越攻擊前的特殊準(zhǔn)備。據(jù)悉，該偽裝還具備如下兩個(gè)特點(diǎn)：攻擊文件名稱偽裝成常見的圖片相關(guān)目錄名;攻擊文件的擴(kuò)展名為“.PIF”。

而為使用戶中招，不法分子還需借助用戶不定期使用PC瀏覽手機(jī)里照片這一習(xí)慣。假如用戶在使用PC瀏覽移動(dòng)端手機(jī)照片，一旦被誘導(dǎo)觸發(fā)了偽裝后的“圖片目錄”，該P(yáng)E RAT攻擊文件就會(huì)即刻運(yùn)行，從而使受到移動(dòng)端攻擊的PC目標(biāo)受損。

圖2：正常目錄和偽裝后的攻擊文件對(duì)比虛擬圖

攻擊或與政治活動(dòng)掛鉤 安全防護(hù)措施必不可少

現(xiàn)階段，智能手機(jī)已成為人們生活中不可分割的一部分，它影響到個(gè)人的隱私和財(cái)產(chǎn)安全，甚至也可能會(huì)威脅到企業(yè)和國家安全。據(jù)360安全專家披露，黃金鼠組織(APT-C-27)攻擊的目標(biāo)便是敘利亞及其周邊的軍事機(jī)構(gòu)和政府機(jī)關(guān)，其目標(biāo)人群在辦公及日常生活中通常都同手機(jī)和電腦緊密聯(lián)系在一起。而一旦攻擊目標(biāo)的手機(jī)和電腦被成功攻破，由此產(chǎn)生的危害和損失不可預(yù)估。

圖3：受攻擊的主要地區(qū)分布統(tǒng)計(jì)情況(土耳其、約旦、敘利亞)

此外，360安全專家還強(qiáng)調(diào)，此次新型跨越攻擊，也是手機(jī)首次被主動(dòng)當(dāng)作移動(dòng)終端跨界攻擊PC端的跳板而實(shí)行的攻擊。由此也可預(yù)見，不久的將來，這類跨越攻擊方式也會(huì)被不法分子運(yùn)用到加密勒索、蠕蟲破壞等傳播中來。再加上，手機(jī)還可與移動(dòng)互聯(lián)網(wǎng)相連接，這也便更利于不法分子直接通過網(wǎng)絡(luò)發(fā)起攻擊。

面對(duì)如此嚴(yán)峻的移動(dòng)安全形勢，移動(dòng)端的安全防護(hù)必不可少。對(duì)于企業(yè)來說，除做好自身安全防護(hù)外，還要加強(qiáng)內(nèi)部人員的個(gè)人安全意識(shí)，提醒員工切勿在企業(yè)內(nèi)部貿(mào)然打開不明來源的鏈接內(nèi)容;不僅如此，企業(yè)還需要做好網(wǎng)絡(luò)和硬件的隔離防護(hù)，并使用可信的企業(yè)版軟硬件安全防護(hù)產(chǎn)品做好實(shí)時(shí)防護(hù)，定期數(shù)據(jù)隔離備份等。只有切實(shí)做好移動(dòng)安全防護(hù)措施，才能從最大程度上杜絕攻擊，長治久安。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。