前幾天,卡巴斯基實(shí)驗(yàn)室被Duqu 2.0攻陷的消息傳出來后����,盡管安全廠商對(duì)Duqu 2.0的代碼和對(duì)攻擊者采用的0Day攻擊進(jìn)行了深入分析,目前仍有許多未解之謎�����。
前幾天�����,卡巴斯基實(shí)驗(yàn)室被Duqu 2.0攻陷的消息傳出來后����,盡管安全廠商對(duì)Duqu 2.0的代碼和對(duì)攻擊者采用的0Day攻擊進(jìn)行了深入分析���,目前仍有許多未解之謎。
先不說這事兒是誰干的�,所有人的研究都僅限于把攻擊來源確定為以色列,除此之外���,還有很多方面我們還不知道:
除了卡巴斯基實(shí)驗(yàn)室以外還有別的被黑的安全公司嗎?
Symantec��,F(xiàn)ireEye�,Trend Micro都表示沒有受到Duqu 2.0的攻擊�,其它的廠商也沒有報(bào)告Duqu的信息。但我們了解到Duqu 2.0是在內(nèi)存中的病毒�����,電腦一旦重啟就會(huì)消失��,入侵者可以輕松消除痕跡����,所以,很難說誰沒被黑過���。
尤金·卡巴斯基說�,我們?cè)谶@件事上花了好幾個(gè)月的時(shí)間,當(dāng)初意識(shí)到一些奇怪的東西后�,就開始展開調(diào)查尋求突破口。
卡巴斯基實(shí)驗(yàn)室首席安全研究員庫爾特鮑姆加特納發(fā)布了被入侵的一些指標(biāo)�����,并表示受害者肯定遠(yuǎn)遠(yuǎn)不止卡巴這一家����。攻擊的范圍很廣,攻擊的目標(biāo)很多�����,可能有100個(gè)���。就目前所知,Duqu 2.0曾被用于對(duì)最復(fù)雜��、難度等級(jí)最高的目標(biāo)進(jìn)行攻擊��,包括地緣政績利益�����。
在第一次攻擊卡巴斯基實(shí)驗(yàn)室的時(shí)候使用的是哪種0Day攻擊?
卡巴斯基實(shí)驗(yàn)室在Duqu 2.0攻擊中識(shí)別出了兩到三種0Day手法,目前正在調(diào)查攻擊者利用了哪些漏洞來對(duì)最初的受害者下手的�����,亞太區(qū)的一位員工認(rèn)為是通過魚叉式釣魚攻擊來進(jìn)行的��。
鮑姆加特納(Baumgartner)表示對(duì)方利用的可能是CVE-2014-4148�����,對(duì)方可以通過一個(gè)Word文檔接觸到內(nèi)核��。但是目前尚沒有確認(rèn)具體的第一次攻擊是如何實(shí)施的�。
賽門鐵克也沒有什么進(jìn)展。“問題是��,我們還不知道Duqu 2.0感染的載體到底是什么!”���,賽門鐵克安全響應(yīng)中心高級(jí)經(jīng)理維克拉姆·塔庫爾說�。 “我們還在調(diào)查這次事件的具體細(xì)節(jié)���。”
攻擊者到底做了什么���?
尤金卡巴斯基表示�,他們還不確定Duqu 2.0的攻擊者到底訪問了公司的那些信息���。“我們還不知道他們究竟想找什么”�����。
塔庫爾表示Duqu 2.0最厲害的地方在于他侵入和掩埋痕跡的能力�。“它沒有在你的電腦上留下任何文件���,重啟之后什么都沒了”���。“這些攻擊者有目的的這么做,這樣他們還可以隨意偷取他想要的東西��,一關(guān)機(jī)�����,啥都沒了�����。”
塔庫爾表示他們的團(tuán)隊(duì)還在分析惡意軟件的模塊��,他們也還不知道到底攻擊者是如何秘密盜取數(shù)據(jù)(exfiltrated)的�。
也有安全專家表示,主要還是因?yàn)樗麄儾恢赖降啄切┬畔⒈桓`取了�����,所以他們無法準(zhǔn)確的找到到底哪些數(shù)據(jù)和系統(tǒng)被接觸過����。
Bay Dynamics的首席營銷官Gautam Aggarwal認(rèn)為,這些攻擊者的目的是在搜尋卡巴斯基Secure OS和Anti-APT產(chǎn)品的漏洞���。Duqu 2.0攻擊是一個(gè)內(nèi)存(in-memory)攻擊���,他不會(huì)增刪改任何硬盤上的文件或者系統(tǒng)設(shè)置,這才讓卡巴斯基的調(diào)查舉步維艱��。如果他們一旦找到卡巴斯基產(chǎn)品的一些漏洞��,入侵使用他們產(chǎn)品和解決方案的客戶就是輕而易舉的事兒了�����。
卡巴斯基實(shí)驗(yàn)室調(diào)查過2011年那次Duqu木馬攻擊,這次攻擊非常有針對(duì)性�,他說。這讓人感覺APT攻擊小組是把卡巴斯基實(shí)驗(yàn)室作為Duqu 2.0攻擊的一個(gè)支點(diǎn)�,它可以破壞其內(nèi)部的防御,然后達(dá)到某種目的���。
直覺告訴我們�,卡巴斯基這事兒只是個(gè)開始�,陸續(xù)我們還會(huì)看到更多這樣的事兒。
神秘模塊里的ICS/SCADA線索有什么含義?
卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)總監(jiān)Costin Raiu發(fā)布了一條推特�,發(fā)圖片截屏了Duqu 2.0模塊的一個(gè)文件名,說:“有誰認(rèn)識(shí)Duqu2 模塊訪問的這些文件名和路徑嗎?來說說”
研究人員在研究這些樣本的時(shí)候在文件名中發(fā)現(xiàn)了“HMI”一詞�����,指向ICS / SCADA系統(tǒng)的鏈接��。HMI(human-machine interface)指的是工業(yè)產(chǎn)品領(lǐng)域的人機(jī)界面��。
