33期报告汇总
安天发布《首起利用网络蠕虫的APT攻击——BuhtrapWorm》
据调查,Buhtrap早期与大多数黑客组织一样,使用邮件钓鱼、检查系统环境、创建远程连接的方式来实现攻击。但近期,新型的Buhtrap被曝光,它通过网络蠕虫的方式来感染整个内部网络,这种方法有效地增加了从网络终端删除恶意程序的难度。
在感染一台新的计算机之后,恶意软件会用相同的方式进行传播。如果公司内部网络中出现了一台被BuhtrapWorm感染的机器,其他所有计算机都会被反复感染。因此,仅仅只需要几分钟,它就可以在企业内部创建一个僵尸网络。
具体的攻击步骤如下:
1. 初始入侵公司内部网络后,攻击者使用远程控制软件安装和启动主模块,该模块负责为木马提供生存能力和银行内部主机的多重感染。
2. 黑客采用改良版的Mimiikatz来收集域账户凭据。
3. 恶意软件搜索安装了AWS CBC软件的系统。
4. 一旦得以访问AWS CBC ,该恶意软件就伪造付款单据发送给中央银行。
5. 感染导致银行的基础工作站瘫痪,无法从中搜索相关证据。
目前的杀毒软件只能检测launcher本身是没有威胁的,此外Buhtrap删除文件时并不会删除恶意文件,因此恶意软件会大量存储在受感染的主机中。
2016年2月5日,Buhtrap源码在地下论坛“exploit.in”被公布,作者声称自己是Buhtrap一员,但是没有得到开发报酬,因此决定公布恶意软件的所有源码。Buthtrap的开源必定会导致更多相似恶意程序的诞生以及更多类似攻击事件的发生,安天提醒相关机构要注意防范,在发现异常的第一时间将情况交由专业安全人员处理。