兩個惡意軟件分析:“兩個軟件”已被使用近十年

6月3日訊 美國國土安全部（DHS）和聯(lián)邦調(diào)查局（FBI）在2018年5月29號發(fā)布《隱藏眼鏡蛇：Joanap 后門木馬和 Brambul 服務(wù)器消息塊蠕蟲》的聯(lián)合技術(shù)警報 TA18-149A，提醒公眾注意與國家支持性黑客有關(guān)的兩個惡意軟件家族：Joanap、Brambul，并稱這兩個惡意軟件一旦成功部署，黑客可遠(yuǎn)程訪問設(shè)備并竊取敏感信息。

DHS 和 FBI 已經(jīng)在包括中國、西班牙、瑞典、印度、巴基斯坦、沙特阿拉伯和伊朗等17個國家和地區(qū)的87個受損網(wǎng)絡(luò)節(jié)點上發(fā)現(xiàn)了遠(yuǎn)程訪問工具 Joanap 的痕跡。

兩個惡意軟件分析

警報對隱藏眼鏡蛇黑客組織（Hidden Cobra）所使用的遠(yuǎn)程訪問工具 Joanap 后門木馬和惡意的 Windows 32位服務(wù)器消息塊（SMB）蠕蟲進(jìn)行了分析。

遠(yuǎn)程訪問工具——Joanap

Joanap 是一款兩階段的惡意軟件，可用于建立點對點通信和管理旨在啟用其他操作的僵尸網(wǎng)絡(luò)。該惡意軟件為隱藏眼鏡蛇提供了在被感染的 Windows 設(shè)備上泄露數(shù)據(jù)、刪除和運行輔助有效負(fù)載、初始化代理通信的能力。該軟件的其他功能還包括：文件管理、進(jìn)程管理、創(chuàng)建和刪除目錄和節(jié)點管理。

分析表明，Joanap 惡意軟件使用 Rivest Cipher 4 加密來保護(hù)及隱藏與隱藏眼鏡蛇黑客組織之間的通信。一旦安裝完畢，這個惡意軟件會在名為 mssscardprv.ax. 文件的 Windows 系統(tǒng)目錄中創(chuàng)建一個日志條目。隱藏眼鏡蛇黑客組織使用此文件來捕獲和存儲受害者的信息，如主機的 IP 地址、主機名稱和當(dāng)前系統(tǒng)時間等。

SMB蠕蟲——Brambul

Brambul 惡意軟件是一種惡意的 Windows 32位服務(wù)器消息塊（SMB）蠕蟲，其功能是作為一個服務(wù)動態(tài)鏈接庫文件或一個可移植的可執(zhí)行文件，經(jīng)常由 dropper 惡意軟件下載并安裝到受害者的網(wǎng)絡(luò)中。執(zhí)行時，惡意軟件會嘗試與受害者系統(tǒng)和受害者本地子網(wǎng)上的 IP 地址建立聯(lián)系。一旦成功，黑客將通過使用嵌入的密碼列表來啟動暴力密碼攻擊，應(yīng)用程序會試圖通過 SMB 協(xié)議(端口139和445)獲得未經(jīng)授權(quán)的訪問。此外，惡意軟件會為隨后的攻擊生成隨機的 IP 地址。

分析者懷疑惡意軟件針對不安全或無安全保障用戶賬戶進(jìn)行攻擊，并通過安全性較差的網(wǎng)絡(luò)共享進(jìn)行傳播。一旦惡意軟件在受害者的系統(tǒng)上建立了未經(jīng)授權(quán)的訪問，它會通過惡意的電子郵件地址將受害者系統(tǒng)的信息傳遞給隱藏眼鏡蛇黑客組織。這些信息包括每個受害者系統(tǒng)的 IP 地址、主機名、用戶名和密碼。隱藏眼鏡蛇黑客組織利用這些信息，通過 SMB 協(xié)議，遠(yuǎn)程訪問被感染的系統(tǒng)。

研究人員對 Brambul 惡意軟件的一個新變種進(jìn)行了分析，確定了該惡意軟件具有的功能包括：收集系統(tǒng)信息、接收命令行參數(shù)、生成并執(zhí)行自毀腳本、通過 SMB 在網(wǎng)絡(luò)上傳播、強制 SMB 登錄憑證以及生成包含了目標(biāo)主機系統(tǒng)信息的簡單的郵件傳輸協(xié)議電子郵件信息。

“兩個軟件”已被使用近十年

官員們認(rèn)為，隱藏眼鏡蛇至少從2009年開始使用這兩種形式的惡意軟件，針對包括美國在內(nèi)的全球媒體、航空航天、金融和關(guān)鍵基礎(chǔ)設(shè)施組織進(jìn)行攻擊，且都認(rèn)為 Joanap 和 Brambul 這兩種形式的惡意軟件都能允許黑客遠(yuǎn)程訪問設(shè)備并竊取敏感數(shù)據(jù)，或進(jìn)行其他網(wǎng)絡(luò)攻擊活動。

美國官員定期發(fā)布與隱藏眼鏡蛇黑客攻擊的信息，隱藏眼鏡蛇被認(rèn)定為政府支持的黑客組織。

此次 DHS 和 FBI 聯(lián)合警報表示，F(xiàn)BI 認(rèn)為隱藏眼鏡蛇正在使用被列在本報告中的攻擊指示器（IOC）文件中的IP地址，以維持其在受害者網(wǎng)絡(luò)中的存在并對網(wǎng)絡(luò)進(jìn)行開發(fā)。DHS 和 FBI 正在分發(fā)這些 IP 地址和其他攻擊指示器（IOC），以加強網(wǎng)絡(luò)防御。

官員們鼓勵私營部門立即向 DHS 和 FBI 報告任何與這兩種形式的惡意軟件相關(guān)的活動，并為加強緩解提供最高優(yōu)先級。

緩解策略

針對這兩種形式的惡意軟件攻擊，警報給出了緩解策略。DHS 建議用戶和管理員使用以下最佳實踐作為預(yù)防措施來保護(hù)其計算機網(wǎng)絡(luò)：

保持所運行的系統(tǒng)和軟件更新是最新版本。大多數(shù)的攻擊針對有缺陷的應(yīng)用或操作系統(tǒng)。使用最新更新進(jìn)行修補可大大減少攻擊者可利用的突破口數(shù)量。

保持防病毒軟件維持在最新版本，在執(zhí)行前，對從網(wǎng)上下載的軟件進(jìn)行掃描。

限制用戶安裝和運行不需要軟件應(yīng)用程序的權(quán)限，并將最小特權(quán)原則應(yīng)用到所有系統(tǒng)和服務(wù)中。這些權(quán)限限制有助于阻止惡意軟件的運行或限制其通過網(wǎng)絡(luò)傳播的能力。

掃描并刪除可疑電子郵件附件。如果用戶打開惡意附件并啟用宏，嵌入的代碼將在機器上執(zhí)行惡意軟件。企業(yè)和組織應(yīng)考慮阻止可疑的含有附件的電子郵件。

如果不需要，請禁用 Microsoft 的文件和打印機共享服務(wù)。如果需要此項服務(wù)，請使用強密碼或活動目錄進(jìn)行身份驗證。

在組織工作站上啟用個人防火墻，并將其配置為拒絕未經(jīng)請求的連接請求。

其他與隱藏眼鏡蛇有關(guān)的惡意軟件還包括：Destover和Wild Positron（也稱Duuzer），以及具有復(fù)雜功能的Hangman，如DDoS僵尸網(wǎng)絡(luò)、鍵盤記錄器、RAT和硬盤擦除器。