e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

【安全报告】隔离网络高级威胁攻击预警分析报告

2017/7/14    来源:安全客    作者:佚名      
关键字:网络安全  安全隔离网络  
文章着重分析其对安全隔离网络的攻击手段,以供业界参考发现和防护此类高级威胁攻击。
    第一章 安全隔离网络高级威胁攻击简介
 
    维基解密于2017年6月22日解密了美国中央情报局(CIA)穹顶7(Vault7)网络武器库中的第十二批档案,分别是“野蛮袋鼠(Brutal Kangaroo)”和“激情猿猴(Emotional Simian)”项目,被披露的档案中详细描述了美国情报机构如何远程隐蔽地入侵访问封闭的计算机网络或独立的安全隔离网络(Air-Gapped Devices,从未连接过互联网的设备)。
 
    一般金融机构、军事机构、核设施和能源基础行业等都会使用无法访问互联网的封闭网络以保护重要数字资产,重要数字资产处在隔离网络中,黑客无法直接攻击这些目标,传统的黑客渗透攻击手段都会失效。但隔离网络并不代表着绝对安全,它只能隔离计算机数字资产的网络访问,无法阻断物理介质传输数据和物理设备的接入,比如U盘、光盘等物理数据存储介质,键盘、鼠标等硬件设备,非安全的硬件设备和数据传输介质进入隔离网络,极有可能成为黑客渗透入侵隔离网络的桥梁。
 
    第二章 “震网三代”隔离网攻击流程简介
 
    2010年6月,“震网”病毒首次被发现,它被称为有史以来最复杂的网络武器,使用了4个Windows 0day漏洞用于攻击伊朗的封闭网络中的核设施工控设备,我们定义它为“震网一代”。时隔两年,2012年5月,“火焰”病毒利用了和“震网一代”相同的Windows 漏洞作为网络武器攻击了多个国家,在一代的基础上新增了更多的高级威胁攻击技术和0day漏洞,我们定义它为“震网二代”。此次披露的CIA网络武器资料表明,其攻击封闭网络的方式和前两代“震网”病毒的攻击方式相似,并使用了新的未知攻击技术,我们定义它为“震网三代”。下面会着重分析其对安全隔离网络的攻击手段,以供业界参考发现和防护此类高级威胁攻击。
 
    此次披露的CIA网络武器主要针对微软Windows操作系统进行攻击,通过USB存储介质对安全隔离网络进行渗透攻击和窃取数据:
 
    1.首先,它会攻击与目标相关联的可以连接互联网的计算机,在计算机中植入恶意感染程序。
 
    2.然后,凡是接入被感染计算机的USB存储设备(如:U盘),都会被再次植入恶意程序,整个U盘将会变成一个数据中转站,同时也是一个新的感染源。
 
    3.接下来,如果这个被感染的U盘在封闭网络中被用于拷贝数据的话,U盘就会感染封闭网络中的计算机,同时偷窃计算机中的数据并秘密保存在U盘中。
 
    4.最后,被感染的U盘一旦被带出隔离网络,连接到可以联网的计算机时,窃取的数据就会被传送回CIA。
 
    更可怕的是,多台封闭网络中被感染的计算机彼此间会形成一个隐蔽的网络,用于数据交换和任务协作,并在封闭网络中持续潜伏攻击。
 
    震网三代攻击演示视频:http://weibo.com/tv/v/F90MPyYOH 
 
    第三章 “震网三代”隔离网攻击方式分析
 
    攻击安全隔离网络的关键技术是针对USB存储设备的感染技术,在“震网一代”病毒中该技术使用的是Windows快捷方式文件解析漏洞(CVE-2010-2568/MS10-046),这个漏洞利用了Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,可以使系统自动加载攻击者指定的DLL文件,执行其中的恶意代码。该漏洞的利用效果稳定且隐蔽,具有非常强大的感染能力,将利用了漏洞的快捷方式文件置于USB存储设备(如U盘)中,无需任何用户交互,受害者只要打开设备就会被自动攻击控制电脑。
 
    “震网二代”病毒使用了一种新的攻击隐蔽技术,参考下图中赛门铁克报告中的分析,攻击会使用一个文件夹,文件夹中放有desktop.ini、target.lnk和mssecmgr.ocx三个文件。
 
    “震网二代”病毒在desktop.ini文件中通过shellclassinfo字段设置classid,会将文件夹重定向到一个Junction文件夹,Junction是Windows(NTFS)特有的一种链接方式,和软链接类似,但Junction只针对文件夹,下面会再详细分析。受害者打开文件夹会触发target.lnk漏洞攻击执行恶意代码,同时还能够隐藏保护文件夹中的恶意文件和lnk漏洞文件。
 
    维基解密曝光的CIA网络武器档案中描述了三种未知的Windows快捷方式文件漏洞攻击方法和一些漏洞攻击隐蔽技术,这三种未知的攻击分别是:Giraffe Links(长颈鹿快捷文件)、Lachesis LinkFiles (拉克西斯快捷文件)和Riverjack(杰克河快捷方式文件), 疑似为微软于2017年6月13日公告修复的新的快捷方式文件解析漏洞 CVE-2017-8464。下面我们先来介绍这三种安全隔离网络的攻击方式:
 
    1.Giraffe Links(长颈鹿快捷文件攻击),该攻击特点是只要桌面进程显示了快捷方式文件就会自动加载dll执行恶意代码,可以成功攻击除开Windows XP系统以外的所有windows系统。这个攻击场景包含了所有的快捷方式场景,也就是无论是在U盘中的快捷方式文件还是系统中的快捷方式文件,只要电脑显示了快捷方式,就会被攻击。

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐