APT 攻擊已成時下黑客慣用技倆之一,而早前亦有資安機構指 APT 攻擊事件的目標已由針對政府機構擴大至各類型的企業,並佔相關事件總數的四分之一。而日前 FireEye 就發現中國黑客組織 APT17 利用 Microsoft 旗下網站 TechNet 作為隱藏 C&C 行動的手法,以竊取或修改目標電腦上的資料、刪除檔案等。
黑客以合法服務作掩飾令專家難以辨識
FireEye 指,來自中國的黑客組織 APT17 過去就曾對美國政府、國際非政府組織、各種國防、法律、IT 與採礦業等私人企業發動攻擊,並借用知名網站作命令與控制 (Command & Conquer,C&C) 通訊,並利用 Google、Bing 等搜尋引擎以模糊、掩飾其行動與實際代管地點。
但 APT17 於日前被發現的 TechNet 攻擊行動中使用新的 C&C 技術:除將編碼後的 C&C IP 位址嵌入 TechNet 論壇的用戶討論中後,再藉變種後門程式 BlackCoffee 連結至 C&C 的伺服器。FireEye 安全人員指此類型以合法掩飾非法技倆令網路安全專家難以辨認出 C&C 服務的真正位址。
FireEye 自 2013 年就開始追蹤可以讓黑客上、下載檔案,建立反向 shell,模擬執行檔案或程序,將檔案重新命名、搬移、刪除,終止程序,插入新後門指令以擴充功能的 BlackCoffee。
FireEye 威脅情報部門經理 Laura Galante 指,利用網站合法功能以執行 C&C 將加強企業單位偵測與預防進階威脅的難度;FireEye 更指就 APT17 是次攻擊行動的成效而言,相信類似編碼與模糊手法將漸成為黑客常用的手段之一。
而 FireEye 與 Microsoft 均表示 TechNet 的安全防護並未因 APT17 的行動而被破壞,目前雙方已聯手處理相關攻擊行動的影響,但他們重申此類手法仍有可能被用於其他論壇或討論區中。
Source:FireEye