e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

【安全报告】隔离网络高级威胁攻击预警分析报告

2017/7/14    来源:安全客    作者:佚名      
关键字:网络安全  安全隔离网络  
文章着重分析其对安全隔离网络的攻击手段,以供业界参考发现和防护此类高级威胁攻击。

    【安全报告】隔离网络高级威胁攻击预警分析报告
 
    同时,如果在用户启动目录中加入这个Junction文件夹,在电脑重启时也会触发加载这个dll文件执行代码。
 
   【安全报告】隔离网络高级威胁攻击预警分析报告
 
    接下来,CIA档案中还介绍了利用Windows Libray(库)文件的攻击隐藏技术,它是在Windows7及其以上系统中资源管理器一种新的快捷方式特性,它的本质是一个xml配置文件,可以支持指向上文分析的Junction文件夹,在xml文件中指定foldertype和knownfolder字段就可以构造恶意的”库”快捷方式。
 
   【安全报告】隔离网络高级威胁攻击预警分析报告
 
    最后,我们会发现野蛮袋鼠项目与震网一、二代病毒相比,利用系统特性更新了一些新的攻击技术,但仍然是以windows快捷方式文件解析漏洞为核心。在“震网一代“病毒中使用的核心漏洞是windows快捷方式文件解析漏洞(CVE-2010-2568/MS10-046),时隔5年后,安全研究员Michael Heerklotz绕过该漏洞补丁中的安全限制,发现了第二个windows快捷方式文件解析漏洞(CVE-2015-0096/MS15-020 ),此漏洞的技术细节一经披露就被黑客疯狂利用。近日,微软于2017年6月13日公告修复了第三个快捷方式文件解析漏洞 CVE-2017-8464,但在6月13日的安全公告中并没有标明任何漏洞来源,也没有发现黑客在野外利用该漏洞。
 
   【安全报告】隔离网络高级威胁攻击预警分析报告
 
    奇怪的是在一周后维基解密曝光了CIA的网络武器“野蛮袋鼠(Brutal Kangaroo)”和“激情猿猴(Emotional Simian),根据上文我们的技术分析,再结合该项目档案中的项目开发时间节点,我们推测该项目利用的核心漏洞就是最新的CVE-2017-8464。
 
    第四章 “冲击钻”攻击技术简介
 
    维基解密的创始人阿桑奇于2017年3月9日左右发布一段2分钟的视频专门解释了一个入侵安全隔离网的网络武器“冲击钻(HammerDrill)”,并在3月19日在维基解密网站公布了该项目详细开发文档。
 
    “冲击钻(HammerDrill)”是通过劫持Windows系统上的光盘刻录软件,感染光盘这类数据传输介质的方式,以达到入侵隔离网络目的。在该项目的开发文档中详细介绍了感染光盘的步骤,下面我们来简要分析解读下:
 
    1.冲击钻会启动一个线程通过wmi接口来监控系统进程。
 
    2.如果在进程列表中发现NERO.EXE, NEROEXPRESS.EXE and NEROSTARTSMART.EXE三个进程名,就会往进程中注入一个恶意的dll文件,并劫持进程的读文件操作。
 
    3.如果发现光盘刻录软件读入了PE可执行文件,就篡改文件注入shellcode恶意代码。
 
    最终,光盘刻录软件读取编辑的PE可执行文件都会被感染,这个光盘将成为一个恶意感染源,如果光盘被接入隔离网络使用,计算机操作人员不慎运行或安装了其中的软件,黑客也就成功渗透了隔离网络。由于资料只披露了HammerDrill2.0的开发笔记,没有利用高级的安全漏洞技术,但在技术上推测实际上可以作为“震网三代”的一个辅助攻击组件,配合震网三代感染光盘等软数据存储介质。
 
    第五章 “BadUSB”攻击技术简介
 
    在维基解密披露的CIA知识库文档中还介绍了“BadUSB”技术,实际上这是近年计算机安全领域最热门的攻击技术之一,黑客已经广泛利用了该技术。“BadUSB”主要是利用恶意的HID(Human InterfaceDevice,是计算机直接与人交互的设备,例如键盘、鼠标等)设备和无线网卡设备进行攻击,而与正常的普通的HID设备不同,这类设备被黑客定制小型化,外形和一个U盘没有任何差别。
 
【安全报告】隔离网络高级威胁攻击预警分析报告
 
    类似的HID设备一旦插入电脑就会被模拟成键盘自动输入恶意代码运行,而NSA(美国国家安全局)的另外一个强大的无线间谍工具水蝮蛇一号(COTTONMOUTH-I),也是看起来像一个普通U盘,但实际上是一个恶意的小型电脑,在被披露的文档中介绍了它可以创建一个无线桥接网络接入到目标网络中,然后通过这个无线网络控制目标电脑。
 
    所以,黑客仍然有可能通过恶意的USB设备入侵渗透隔离网络,但这类攻击并不具备震网三代病毒那样强大的自动感染传播能力。
 
    第六章 安全隔离网络高级威胁攻击防御建议
 
    防范震网三代(CVE-2017-8464),广大用户和企事业单位应及时安装微软6月补丁修复漏洞。360安全卫士及天擎等产品也已针对震网三代的漏洞利用特征更新了防护规则,能够精准拦截和查杀震网三代攻击样本。
 
    同时,在隔离网络中的计算机操作人员仍然需要提高安全意识,注意到封闭的隔离网络并不意味着绝对安全,对于高安全级别的隔离网络除了要修复系统和软件的安全漏洞,还要隔绝一切不被信任的外部数据存储介质和硬件设备。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐