[[169820]]

1. 前述

(1) 俄羅斯APT攻擊經(jīng)常以微軟系列軟件為利用目標(biāo)，其中對Office、Windows 和IE瀏覽器漏洞的使用占比為55%。這種對大量通用軟件的漏洞利用，也為國家支持的網(wǎng)絡(luò)攻擊提供了便利條件;

(2)俄羅斯APT的魚叉式郵件中經(jīng)常利用微軟Office系列漏洞，如APT28就大量使用Excel和Word漏洞文檔作為誘餌;

(3) 與俄羅斯軍事情報局(GRU)相關(guān)的APT28，利用了22個公開漏洞，其中有7個為利用代碼未知的漏洞;

(4)與俄羅斯聯(lián)邦安全局(FSB)相關(guān)的APT29，利用了5個與APT28完全不一樣的公開漏洞;

(5)俄羅斯APT攻擊所利用的漏洞，有73%左右可以在Metasploit、Exploit Database和GitHub等公開網(wǎng)絡(luò)中找到可用的漏洞利用代碼;

(6)俄羅斯APT攻擊所利用的漏洞，有46%左右與網(wǎng)絡(luò)犯罪組織使用的漏洞利用工具包相關(guān)。

Recorded Future通過對俄羅斯APT組織的關(guān)注，重點分析了33個被廣泛用于信息竊取和滲透入侵的已知漏洞。其中27個漏洞與俄羅斯軍事情報局(GRU)和聯(lián)邦安全局(FSB)的APT28和APT29相關(guān)。

最近在美國總統(tǒng)選舉活動中的民主黨委員會(DNC)網(wǎng)絡(luò)攻擊和信息泄露事件，讓俄羅斯攻擊威脅處于風(fēng)口浪尖。Crowdstrike于2016年6月在DNC電腦系統(tǒng)中先后發(fā)現(xiàn)了APT29和APT28的滲透痕跡，APT29和APT28分別于2015年夏季和2016年4月入侵DNC系統(tǒng)獲得控制權(quán)限。

而同屬俄羅斯國家支持黑客參與的Energetic Bear和Turla APT攻擊，也大量使用了微軟系列軟件漏洞。

俄羅斯APT攻擊組織對微軟Office系列產(chǎn)品公開漏洞的不同利用方式，顯示出其獨特的技術(shù)能力特點。

2. 方法論

本文主要分析與俄羅斯國家支持的相關(guān)APT和惡意軟件攻擊，由于沒有原始的APT惡意軟件樣本作為分析指導(dǎo)，Recorded Future的分析來源包括公開博客、論壇、分享網(wǎng)站、代碼及惡意軟件庫、社交媒體和已發(fā)布報告。本文分析重點為俄羅斯APT攻擊的總體趨勢和利用技術(shù)，與近期DNC攻擊事件無關(guān)。

3. 范圍

Recorded Future分析了從2012年1月1日到2016年7月31日期間與俄羅斯APT攻擊相關(guān)的開源網(wǎng)絡(luò)信息和漏洞信息。

重點涉及以下四個與俄羅斯相關(guān)的APT和惡意軟件攻擊：

(1) APT28又名 Fancy Bear、Operation Pawn Storm、 Strontium、 Sednit、 Sofacy和Tsar Team ，可能與俄羅斯軍事情報局GRU相關(guān)(ГлавноеРазведывательное Управление)

(2)APT29 又名Cozy Bear、The Dukes 、Office Monkeys，可能與俄羅斯情報機構(gòu)聯(lián)邦安全局FSB相關(guān)(Федеральная служба безопасности Российской Федерации)

(3)Energetic Bear 又名 Crouching Yeti,Dragonfly、Group 24和 Koala Team，可能與 Havex系列惡意軟件攻擊相關(guān)

(4)Turla又名Epic Turla、Snake、Ouroboros和Carbon，可能與 Agent.BTZ 惡意軟件攻擊相關(guān)

4. 結(jié)論

被俄羅斯APT組織經(jīng)常進行漏洞利用的系列辦公軟件：

以公司分類：

俄羅斯APT攻擊利用的相關(guān)漏洞：

5. 對已知漏洞的利用

俄羅斯APT攻擊的技術(shù)方式與其它APT類似：魚叉式郵件、虛假域名、網(wǎng)絡(luò)釣魚、社會工程、水坑攻擊等。其中，對Office和Adobe PDF漏洞的大量利用可能與國家支持的網(wǎng)絡(luò)攻擊相關(guān)，不同于勒索軟件出于錢財?shù)哪康?，國家支持的攻擊對攻擊目?biāo)和獲取信息的針對性更強。

6. 觀點

通過對APT28和APT29利用的漏洞分析，印證了之前很多安全專家的結(jié)論：這兩個APT攻擊可能與GRU和FSB兩個俄羅斯獨立的情報機構(gòu)相關(guān)。有趣的是，據(jù)Crowdstrike分析聲稱，這兩個APT攻擊都不約而同地竊取了DNC系統(tǒng)中相同的數(shù)據(jù)信息。

四個APT攻擊中使用的軟件漏洞情況：

7. 網(wǎng)絡(luò)犯罪組織漏洞利用工具包 VS 俄羅斯APT利用的漏洞

俄羅斯APT攻擊中利用的漏洞，有46%與網(wǎng)絡(luò)犯罪組織使用的工具包漏洞相同，這些工具包被大量用于地下暗網(wǎng)買賣和勒索軟件活動中。

俄羅斯APT利用漏洞 與 工具包漏洞重疊度分析：(按照不同軟件區(qū)分)

俄羅斯APT攻擊中利用的漏洞，有73%為利用代碼已知漏洞，雖然很難確定攻擊發(fā)生和漏洞利用代碼公開的具體時間，但總體來說，有幾個方面的原因：

(1)流行軟件存在很多漏洞;

(2)利用流行軟件漏洞，可以增加滲透入侵的成功率;

(3)流行軟件漏洞對迷惑歸因調(diào)查有幫助

俄羅斯APT漏洞利用代碼的公開程度：

8. 影響

國家支持的網(wǎng)絡(luò)滲透需要成功的定向植入攻擊。Windows每天有15億人次的使用量，另外，有12億人次安裝了Office軟件，俄羅斯APT“碰運氣”的攻擊成功率仍然較大。美國的電腦系統(tǒng)中有85%的用戶安裝有JAVA和Adobe PDF軟件，其大量存在的漏洞可被攻擊者利用。

9. 建議

1) 更新本文提到的軟件漏洞;

2) 指導(dǎo)企業(yè)進行網(wǎng)絡(luò)和電子郵件安全意識培訓(xùn);

3) 必要時請使用雙因素認(rèn)證和VPN;4) 強制區(qū)分用戶權(quán)限;

5) 在Adobe FlashPlayer中啟用“clickto play”功能;

6) 考慮替代的PDF閱讀器軟件;

7) 警惕不明身份電子郵件地址發(fā)送的郵件。