追踪Lazazus :追踪黑客组织 杜绝大型银行被劫

2017-04-06 09:54:00 作者:ym 分类 : 比特网

  近日,卡巴斯基实验室公开了一项耗时超过一年的针对Lazarus黑客组织的调查结果。Lazarus黑客组织臭名昭著,曾经于2016年从孟加拉中央银行盗窃8100万美元的资金。该组织在东南亚以及欧洲银行都留下过攻击痕迹,卡巴斯基实验室对这些遗留的痕迹进行取证分析后,掌握了该黑客组织所使用的恶意工具以及其在针对全球范围内金融机构、赌场、投资企业软件开发商以及加密货币企业进行攻击时的运营方式。这些发现帮助我们终止了至少两次类似的攻击。黑客发动攻击的目的只有一个,既从金融机构窃取大量资金。

  2016年2月,一个黑客组织(当时还未被命名)试图从孟加拉中央银行窃取8.51亿美元,但最后只成功转出了8100万美元。这次攻击是有史以来规模最大,最为成功的一次网络盗窃事件。来自多个不同IT安全企业(包括卡巴斯基实验室)的研究人员在进行深入调查后认为,这次攻击的幕后组织很可能是Lazarus——一个臭名昭著的网络间谍和破坏组织。该黑客组织曾经进行过多次毁灭性攻击,而且从2009年开始,至少在全球18个国家进行过攻击行动,目标包括制造企业、媒体和金融机构。

  针对孟加拉中央银行的攻击过后,Lazarus黑客组织沉寂了几个月,但是仍然在活跃。他们一直在为新的攻击行动做准备,目标是从其它银行窃取资金。当他们准备好时,已经成功入侵了一家东南亚银行。但是,他们的行动被卡巴斯基实验室产品和相关调查所打断。他们只好推迟了几个月再进行行动,并且决定将目标转向欧洲。但是,他们的攻击企图再一次被卡巴斯基实验室的安全软件检测到,还有卡巴斯基实验室顶级研究人员提供的快速事故响应、取证分析和逆向工程支持服务。

  Lazarus的攻击方法

  基于对这些攻击的取证分析结果,卡巴斯基实验室研究人员还原了这些网络罪犯的犯罪手法。

  · 初始入侵:利用远程可访问漏洞代码(既网页服务器)或水坑式攻击(通过良性网站植入漏洞利用程序),入侵银行的一台计算机系统。一旦用户访问被植入漏洞的网站,受害者(银行员工)的计算机就会被恶意软件感染,这种恶意软件会下载其它额外组件。

  · 站稳脚跟:之后,黑客会入侵其它的银行主机,并且部署持久的后门程序。这些后门程序能够让黑客随时进入受攻击银行的网络。

  · 内部侦察:黑客会花费几天或几周了解入侵的网络,寻找有价值的资源。这些资源可以是备份服务器,因为其中存储着验证信息。也可以是邮件服务器或整体域名控制器,其中包含通向受害企业所有“大门”的要是。此外,还包括存储或处理金融交易记录的服务器。

  · 实施盗窃:最后,他们会部署特殊的能够绕过金融软件内部安全检测的恶意软件,以银行的名义进行假冒的银行转账。

  攻击的地理分布和网络罪犯归属

  卡巴斯基实验室调查的攻击持续了数周。但是,攻击者可能在未被发现的情况下进行了多个月的攻击。例如,在对东南亚事件分析过程中,安全专家发现攻击者早在银行安全团队请求事故响应之前至少七个月就已经入侵了银行的网络。事实上,孟加拉银行失窃案中,网络犯罪组织也是早就可以访问银行的网络。

  根据卡巴斯基实验室记录,从2015年12月开始,同Lazarus黑客组织活动相关的恶意软件样本出现在众多国家的金融机构、为投资公司开发赌场软件的开发商以及加密货币企业。其中包括韩国、孟加拉、印度、越南、印度尼西亚、哥斯达黎加、马来西亚、波兰、伊拉克、埃塞俄比亚、肯尼亚、尼日利亚、乌拉圭、加蓬、泰国和其它国家。卡巴斯基实验室发现的最新样本于2017年3月被检测到,表明攻击者根本没有停止攻击的打算。

  尽管攻击者很小心,会尽量消除攻击痕迹,但他们在另一次攻击行动中犯了一个严重的错误,留下了一个重要的证据。为了准备实施攻击,黑客将服务器配置为恶意软件的命令和控制中心。首次连接发生于配置完成大量,连接来源为几个VPN/代理服务器,表明网络罪犯正在对命令和控制服务器进行测量。但是,当天还出现一个短暂的连接,来自一个非常罕见的来自朝鲜的IP地址。

  研究人员认为,有以下可能:

  · 攻击者使用了朝鲜的IP地址进行连接

  · 这是一次精心设计的伪旗行动

  · 朝鲜的某个用户无意间访问到命令和控制服务器的地址

  Lazarus黑客组织投入大量资源开发最新的恶意软件样本。几个月来,他们一直试图制作出能够不被安全解决方案检测到的恶意工具。但是,每次都被卡巴斯基实验室的专家识别出来,从而让卡巴斯基实验室的产品能够追踪最新的样本。目前,攻击者已经进入沉寂状态,这表明他们可能已经暂停开发最新的攻击工具。

  “我们确定攻击者将会卷土重来。通过Lazarus黑客组织实施的攻击来看,任何微小的不当配置,都可能导致严重的安全入侵事故,给企业造成数千万美元的损失。我们希望全球的银行、赌场和投资公司的主管人员能够记住Lazarus这个名字,”卡巴斯基实验室全球研究和分析团队负责人Vitaly Kamluk说。

  卡巴斯基实验室产品能够成功检测和拦截Lazarus黑客组织使用的恶意软件,检测名称如下:

  · HEUR:Trojan-Banker.Win32.Alreay*,

  · Trojan-Banker.Win32.Agent*

  公司还发表了重要感染痕迹(IOC)和其它数据,帮助企业和组织在自己的企业网络中查找攻击痕迹。更多信息,请参见Securelist.com

  我们建议所有组织和企业仔细扫描自己的网络,查找是否存在Lazarus恶意软件样本。如果发现有,请尽快消除干扰,并将相关情况上报给执法机关和事故响应团队。

  想要了解更多Lazarus黑客组织发动的金融攻击详情,请浏览Securelist.com上的相关博文。

芥末视频

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。