本文節(jié)選自《Red October” Diplomatic Cyber Attacks Investigation》

摘要

在2012年10月，卡巴斯基實(shí)驗(yàn)室全球研究&分析團(tuán)隊(duì)發(fā)起了一項(xiàng)關(guān)于新威脅的研究，研究的目標(biāo)是目前針對(duì)各種國(guó)際外交服務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)攻擊。在調(diào)查過(guò)程中，一個(gè)大型的網(wǎng)絡(luò)間諜網(wǎng)絡(luò)被揭露和分析，我們稱(chēng)之為“紅色十月”（來(lái)源于著名的小說(shuō)《獵殺紅色十月）。

本報(bào)告以多個(gè)不同國(guó)家的政府和科研機(jī)構(gòu)遭受的攻擊為背景進(jìn)行詳細(xì)的技術(shù)分析，涉及到的地區(qū)包括東歐，前蘇聯(lián)和中亞。

攻擊者的主要目的是從有關(guān)部門(mén)收集情報(bào)，其中包括計(jì)算機(jī)系統(tǒng)，個(gè)人移動(dòng)設(shè)備和網(wǎng)絡(luò)設(shè)備。

最早的證據(jù)顯示，網(wǎng)絡(luò)間諜活動(dòng)始于2007年，并且在筆者發(fā)稿時(shí)（2013年1月）仍然活躍。此外，攻擊者購(gòu)買(mǎi)（C＆C）服務(wù)器時(shí)的注冊(cè)數(shù)據(jù)和獨(dú)特的惡意病毒文件名可以追溯到2007年5月甚至更早的時(shí)間。

主要發(fā)現(xiàn)

先進(jìn)的間諜網(wǎng)絡(luò)：攻擊者潛伏多年，側(cè)重于各國(guó)在世界各地的外交和政府機(jī)構(gòu)。

攻擊者獲取的信息在后續(xù)的攻擊中被重復(fù)使用。例如，被盜的認(rèn)證信息被整理成冊(cè)并在攻擊者需要猜解口令時(shí)使用。為了控制受感染的機(jī)器組成的網(wǎng)絡(luò)，攻擊者在不同的國(guó)家（主要是德國(guó)和俄羅斯）創(chuàng)建了超過(guò)60個(gè)域名和幾個(gè)服務(wù)器的位置。

獨(dú)特的架構(gòu)：攻擊者創(chuàng)建了一個(gè)多功能的工具包，其中有一個(gè)收集情報(bào)的功能。

各種各樣的目標(biāo)：除了傳統(tǒng)的攻擊目標(biāo)（工作站），該系統(tǒng)還能從移動(dòng)設(shè)備夠竊取數(shù)據(jù)，如智能手機(jī)（iPhone，諾基亞，Windows Mobile），企業(yè)網(wǎng)絡(luò)設(shè)備（思科），可移動(dòng)磁盤(pán)驅(qū)動(dòng)器（包括使用恢復(fù)程序恢復(fù)已刪除的文件）。

Exploit：我們找到的樣品使用的攻擊代碼是利用Microsoft Word和Microsoft Excel中的漏洞。

攻擊者何許人也：根據(jù)C＆C服務(wù)器和眾多惡意軟件的可執(zhí)行文件中，我們堅(jiān)信，攻擊者屬俄語(yǔ)系。至今為止，攻擊者非常低調(diào)，他們從來(lái)沒(méi)有參與任何其他有針對(duì)性的網(wǎng)絡(luò)攻擊。

第一階段

在我們的調(diào)查中，我們無(wú)法找到任何攻擊中使用的電子郵件。然而，根據(jù)間接證據(jù)，我們知道電子郵件使用下列方法之一發(fā)送：

1.從免費(fèi)的公共電子郵件服務(wù)提供商獲取的免費(fèi)郵箱

2.從已被感染組織中拿到使用的郵箱

我們發(fā)現(xiàn)了至少三種最近的exploit:CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word)

一個(gè)顯著的事實(shí)是攻擊者使用的攻擊代碼原本來(lái)自中國(guó)。唯一的改變是在文檔中嵌入的可執(zhí)行文件，這次攻擊者使用的是他們自己的代碼。

附件中以下三個(gè)文件被運(yùn)行：

%TEMP%\MSC.BAT
%ProgramFiles%\WINDOWS NT\LHAFD.GCP (<- This file name varies)%ProgramFiles%\WINDOWS NT\SVCHOST.EXE

MSC.BAT包括以下內(nèi)容

chcp 1251 
:Repeat 
attrib -a -s -h -r "%DROPPER_FILE%" 
del "%DROPPER_FILE%" 
if exist "%DROPPER_FILE%" goto Repeat 
del "%TEMP%\msc.bat"

??

LHAFD.GCP文件使用RC4加密，由“zlib的”庫(kù)壓縮。該文件本質(zhì)上是一個(gè)后門(mén)程序，由加載程序模塊（svchost.exe）解碼。解碼后的文件會(huì)注入到系統(tǒng)內(nèi)存中，并負(fù)責(zé)與C＆C服務(wù)器通信。

??

在受感染的系統(tǒng)中，每一個(gè)任務(wù)是由主后門(mén)程序控制，如果互聯(lián)網(wǎng)連接可用，它會(huì)連接到三個(gè)微軟的主機(jī)：

update.microsoft.com 
www.microsoft.com 
support.microsoft.com

??

互聯(lián)網(wǎng)連接驗(yàn)證完畢后，加載器執(zhí)行的的主要后門(mén)程序會(huì)連接到C＆C服務(wù)器：

??

與C＆C的連接是加密的，且使用不同的加密算法來(lái)發(fā)送和接收數(shù)據(jù)。

??

??

第二階段

在與C＆C服務(wù)器建立連接后，后門(mén)開(kāi)始通信過(guò)程并加載附加模塊。這些附加模塊可以被分為兩類(lèi)：離線和在線。這些類(lèi)別之間的主要區(qū)別是他們?cè)谑芨腥镜南到y(tǒng)的行為有所不同：

離線：存在于本地磁盤(pán)上，能夠創(chuàng)建系統(tǒng)的注冊(cè)表項(xiàng)，本地磁盤(pán)的日志文件，可自發(fā)與C＆C服務(wù)器上進(jìn)行通信。

在線：只存在于系統(tǒng)內(nèi)存中，不會(huì)保存到本地磁盤(pán)，不會(huì)創(chuàng)建注冊(cè)表項(xiàng)，在所有的記錄也保存在內(nèi)存中。

??

時(shí)間線

我們已經(jīng)確定了與超過(guò)30個(gè)木馬模塊相關(guān)的1000個(gè)惡意軟件，他們大多是在2010年5月和2012年10月創(chuàng)建的。

Year 2010

19.05.2010 
21.07.2010 
04.09.2010

Year 2011

05.01.2011 
14.03.2011 
05.04.2011 
23.06.2011 
06.09.2011 
21.09.2011

Year 2012

12.01.2012