33期報告匯總

安天發布《首起利用網絡蠕蟲的APT攻擊——BuhtrapWorm》
 

       近日，安天追影小組發現了一起利用網絡蠕蟲針對銀行的APT攻擊，從2015年8月到2016年2月為止，黑客組織Buhtrap針對俄羅斯銀行成功發起了13次攻擊，共計竊取資金18億盧布（約合2740美元），最多的一次竊取了6億盧布（約合880萬美元），最少的一次也高達2560萬盧布（約合37萬美元），這還并未包括對烏克蘭的攻擊造成的損失。

       據調查，Buhtrap早期與大多數黑客組織一樣，使用郵件釣魚、檢查系統環境、創建遠程連接的方式來實現攻擊。但近期，新型的Buhtrap被曝光，它通過網絡蠕蟲的方式來感染整個內部網絡，這種方法有效地增加了從網絡終端刪除惡意程序的難度。

       在感染一臺新的計算機之后，惡意軟件會用相同的方式進行傳播。如果公司內部網絡中出現了一臺被BuhtrapWorm感染的機器，其他所有計算機都會被反復感染。因此，僅僅只需要幾分鐘，它就可以在企業內部創建一個僵尸網絡。

       具體的攻擊步驟如下：

       1. 初始入侵公司內部網絡后，攻擊者使用遠程控制軟件安裝和啟動主模塊，該模塊負責為木馬提供生存能力和銀行內部主機的多重感染。
       2. 黑客采用改良版的Mimiikatz來收集域賬戶憑據。
       3. 惡意軟件搜索安裝了AWS CBC軟件的系統。
       4. 一旦得以訪問AWS CBC ，該惡意軟件就偽造付款單據發送給中央銀行。
       5. 感染導致銀行的基礎工作站癱瘓，無法從中搜索相關證據。

       目前的殺毒軟件只能檢測launcher本身是沒有威脅的，此外Buhtrap刪除文件時并不會刪除惡意文件，因此惡意軟件會大量存儲在受感染的主機中。

       2016年2月5日，Buhtrap源碼在地下論壇“exploit.in”被公布，作者聲稱自己是Buhtrap一員，但是沒有得到開發報酬，因此決定公布惡意軟件的所有源碼。Buthtrap的開源必定會導致更多相似惡意程序的誕生以及更多類似攻擊事件的發生，安天提醒相關機構要注意防范，在發現異常的第一時間將情況交由專業安全人員處理。