出於某種原因, 我們時不時就會聽到有人說:”我們不是大公司;攻擊者不會對我們感興趣。”這種類似的說法很多, 但中心思想不變, 都覺得自己不會成為攻擊者的目標。然而, 這種普遍的想法實際上是一種很深的誤解。下面我們來舉例說明APT攻擊者是如何在供應鏈攻擊中利用小公司的。

在本月早些時候舉行的安全分析師峰會上, AVAST員工介紹了他們去年收購的一家小型英國軟體公司Piriform的案例。Piriform推出的CCleaner實用工具相當出名, 用於清除可能不需要的檔以及無效的Windows註冊表項。事實上, 這是一款最老的系統清潔工具, 下載次數超過20億次。或許這就是為什麼APT攻擊者會選中它來傳播間諜軟體的原因。
CCleaner攻擊
起初, 犯罪分子是通過感染構建程式的伺服器來入侵Piriform的編譯環境。雖然原始程式碼很乾淨, 但編譯後的版本包含了後來被用於攻擊的惡意軟體。此外, 借助更改後的編譯器庫, 該惡意軟體獲得了合法的Piriform數位簽章。被感染的版本是CCleaner 5.33.6162和CCleaner Cloud 1.7.0.3191。
攻擊手法本身相當複雜, 至少分為三個階段。該惡意軟體隱藏在一款擁有約1億活躍使用者的流行應用程式中, 而且分發時間已經有一個月。大約有227萬人下載了被感染程式, 並且至少有165萬個惡意軟體副本在試圖與罪犯分子的伺服器通信。後來人們才發現, 命令控制伺服器包含一個簡單的腳本, 用於確定哪些受害者成為第二階段的攻擊目標。此腳本只檢查用戶的域, 然後選出在知名高科技公司和IT供應商那裡工作的人。通過這種方式選出的電腦只有40台;這些電腦會收到另外的惡意軟體。
第二階段攻擊的目的與第一階段差不多 – 是用來調整目標。應該是犯罪分子收集了這40台電腦的資訊, 進行分析後, 選擇了最感興趣的目標。在此階段, 犯罪分子的目標群體減少到了四個。
這四台電腦會收到量身定制的ShadowPad, 這是中國攻擊者慣用的著名惡意軟體。至此, 此次攻擊的真正目的才真正曝露:向知名公司的某些員工傳遞後門。
該採取什麼措施?
這起事件帶給我們的主要教訓其實已經在本文開頭說過了:就算你不是APT攻擊者關注的目標, 也仍然有可能成為惡意軟體傳遞鏈中的受害者。尤其是號稱下載量達數十億的軟體。為了最大限度地減少可能對企業造成的傷害, 您需要採取一種策略, 全方位防禦有針對性的攻擊:從防禦措施、檢測、回應一直到消除漏洞和預測可能的風險。不時尋求外部專家的支持或許是明智的做法。
保持安全的關鍵在於捕捉威脅。複雜的有針對性攻擊可以植入惡意軟體並在很長一段時間內檢測不到(在本案例中, 該惡意軟體上傳播了一個多月, Piriform一直未能察覺)。為了防止這類攻擊, 你需要有經驗的獵手來幫您捕獲威脅。卡巴斯基威脅捕獲可以助您一臂之力。利用”針對性攻擊發現”服務, 我們的專家將幫您識別您網路中的現有網路犯罪活動和網路間諜活動, 瞭解這些事件背後的原因和可能的來源, 幫助執行有效的緩解活動, 以避免將來發生類似的攻擊。此外, 我們還可以提供”卡巴斯基代管防禦”- 全天候監控並持續分析網路威脅資料。
要詳細瞭解我們的安全分析師檢測到的高級威脅, 請訪問卡巴斯基威脅捕獲網頁。
資料來源:https://www.kaspersky.com/blog/ccleaner-supply-chain/21785/