转载

卡巴斯基实验室被攻陷后的四个未解之谜

【编者按】卡巴斯基实验室被Duqu 2.0攻陷后许多安全界人士对代码和0Day进行了深入分析,但目前还有很多不清楚的地方,除了卡巴斯基之外还有别的受害者吗?使用的是哪种0Day攻击?攻击者到底做了什么?在一篇外电中我们看到了一些资料。

以下是译文:

前几天,卡巴斯基实验室被Duqu 2.0攻陷的消息传出来后,尽管安全厂商对Duqu 2.0的代码和对攻击者采用的0Day攻击进行了深入分析,目前仍有许多未解之谜。

先不说这事儿是谁干的,所有人的研究都仅限于把攻击来源确定为以色列,除此之外,还有很多方面我们还不知道:

除了卡巴斯基实验室以外还有别的被黑的安全公司吗?

Symantec,FireEye,Trend Micro都表示没有受到Duqu 2.0的攻击,其它的厂商也没有报告Duqu的信息。但我们了解到Duqu 2.0是在内存中的病毒,电脑一旦重启就会消失,入侵者可以轻松消除痕迹,所以,很难说谁没被黑过。

尤金·卡巴斯基说,我们在这件事上花了好几个月的时间,当初意识到一些奇怪的东西后,就开始展开调查寻求突破口。

卡巴斯基实验室首席安全研究员库尔特鲍姆加特纳发布了被入侵的一些指标,并表示受害者肯定远远不止卡巴这一家。攻击的范围很广,攻击的目标很多,可能有100个。就目前所知,Duqu 2.0曾被用于对最复杂、难度等级最高的目标进行攻击,包括地缘政绩利益。

在第一次攻击卡巴斯基实验室的时候使用的是哪种0Day攻击?

卡巴斯基实验室在Duqu 2.0攻击中识别出了两到三种0Day手法,目前正在调查攻击者利用了哪些漏洞来对最初的受害者下手的,亚太区的以为员工认为那是通过鱼叉式钓鱼攻击。

鲍姆加特纳(Baumgartner)表示对方利用的可能是CVE-2014-4148,对方可以通过一个Word文档接触到内核。但是目前尚没有确认具体的第一次攻击是如何实施的。

赛门铁克也没有什么进展。“问题是,我们还不知道Duqu 2.0感染的载体到底是什么!”,赛门铁克安全响应中心高级经理维克拉姆·塔库尔说。 “我们还在调查这次事件的具体细节。”

攻击者到底做了什么?

尤金卡巴斯基表示,他们还不确定Duqu 2.0的攻击者到底访问了公司的那些信息。“我们还不知道他们究竟想找什么”。

塔库尔表示Duqu 2.0最厉害的地方在于他侵入和掩埋痕迹的能力。“它没有在你的电脑上留下任何文件,重启之后什么都没了”。“这些攻击者有目的的这么做,这样他们还可以随意偷取他想要的东西,一关机,啥都没了。”

塔库尔表示他们的团队还在分析恶意软件的模块,他们也还不知道到底攻击者是如何提前过滤数据(exfiltrated)的。

也有安全专家表示,主要还是因为他们不知道到底那些信息被窃取了,所以他们无法准确的找到到底哪些数据和系统被接触过。

Bay Dynamics的首席营销官Gautam Aggarwal认为,这些攻击者的目的是在搜寻卡巴斯基Secure OS和Anti-APT产品的漏洞。Duqu 2.0攻击是一个内存(in-memory)攻击,他不会增删改任何硬盘上的文件或者系统设置,这才让卡巴斯基的调查举步维艰。如果他们一旦找到卡巴斯基产品的一些漏洞,入侵使用他们产品和解决方案的客户就是轻而易举的事儿了。

卡巴斯基实验室调查过2011年那次Duqu木马攻击,这次攻击非常有针对性,他说。这让人感觉APT攻击小组是把卡巴斯基实验室作为Duqu 2.0攻击的一个支点,它可以破坏其内部的防御,然后达到某种目的。

直觉告诉我们,卡巴斯基这事儿只是个开始,陆续我们还会看到更多这样的事儿。

神秘模块里的ICS/SCADA线索有什么含义?

卡巴斯基实验室全球研究和分析团队总监Costin Raiu发布了一条推特,发图片截屏了Duqu 2.0模块的一个文件名,说:“有谁认识Duqu2 模块访问的这些文件名和路径吗?来说说”

研究人员在研究这些样本的时候在文件名中发现了“HMI”一词,指向ICS / SCADA系统的链接。HMI(human-machine interface)指的是工业产品领域的人机界面。

本文作者: DarkReading.com执行主编凯利·杰克逊希金斯。

原文链接: 点击这里

正文到此结束
Loading...