你有怀疑过进入银行大楼的快递员或者新面孔的求职者可能就是即将实施破坏行为的间谍吗？

当你觉得此类故事只会在电影里出现的时候，卡巴斯基的研究结果将会改变你的想法。

2017~2018年间，卡巴斯基实验室的专家们，受邀研究了一系列的网络盗窃事件。

这些网络盗窃事件有一个共同的特点：有一个直连公司本地网络的未知设备。有时它出现在中央办公室、有时出现在位于另一个国家或地区的办事处。

据悉，东欧至少有 8 家银行成为了这种袭击的目标（统称 DarkVishnya），造成了数千万美元的损失。研究显示，攻击分为以下阶段：

阶段一：网络犯罪分子潜入大楼，植入隐藏设备

他们常常以快递员、求职者等为幌子，带着装置成功潜入攻击目标大楼。在可能的情况下，装置会被隐藏或混入周围环境，以免引起怀疑。如下图所示的带插座的多媒体桌子，就很适合植入隐蔽的设备。

根据网络犯罪分子的能力和个人喜好，DarkVishnya 攻击中使用的设备也会有所不同。在卡巴斯基实验室研究的案例中，通常有如下三种：

• 上网本或廉价笔记本电脑；

• 树莓派计算机；

为学习计算机编程教育设计的一种微型电脑。

只有信用卡大小的微型电脑，其系统基于Linux。自问世以来，受众多计算机发烧友和创客的追捧，曾经一“派”难求。别看其外表“娇小”，内“心”却很强大，视频、音频等功能通通皆有，可谓是“麻雀虽小，五脏俱全”。

• Bash Bunny -- 一款用于执行 USB 攻击的特殊工具。

Bash Bunny号称世界上最先进的USB攻击平台，它集网卡、键盘、串口、闪存于一体，可以说是居家旅行必备神器。

在本地网络内，该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器，远程访问被植入的设备。结合 Bash Bunny 在外形尺寸上与 USB 闪存盘差不多的事实，这使得安全人员在搜索时，难以决定从何处先下手。

阶段二：远程连接设备，扫描本地网络

攻击者通过远程连接，来访问共享文件夹、Web服务器和其它开放式资源。此举旨在获取有关网络的信息，尤其是业务相关的服务器和工作站。与此同时，攻击者试图暴力破解或嗅探这些机器的登录凭证。

为克服防火墙的限制，它们使用本地 TCP 服务器来植入 shellcode。若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接，则攻击者会借助其它可被利用的资源，来构建所需的通信隧道。

阶段三：保留访问权限，创建恶意服务

登录目标系统，使用远程访问软件来保留访问权限，接着在受感染的计算机上启用msfvenom 创建的恶意服务。因为黑客利用了无文件攻击（Fileless Attacks）和 PowerShell，所以能够绕过白名单技术、或者域策略。即便遇到了无法绕过的白名单，或者 PowerShell 被目标计算机阻止，网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件，发动远程攻击。

从卡巴斯基展示的攻击阶段来看，攻击者将黑客技术和社会工程学结合在一起实施攻击。事实上真正的攻击并不是将设备链接到本地的时候，而是从成功混入大门的那一刻就已经开始了攻击。

APT攻击

APT，即advanced persistent threat的缩写，高级长期威胁。是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。

绝大多数的APT针对政府机构，其中所有调查情节高度保密，并且实际造成的经济影响难以估计。

然而，今天，APT已将触角伸入商业领域，更准确的说就是银行业。此次DarkVishnyaAPT攻击造成了数千万美元损失，这种银行网络盗窃行为的持续周期平均为两到四个月，从感染电脑的第一天开始算，一直到最终取现为止。

有哪些恶意软件？

卡巴斯基实验室曝光了如下恶意软件：

not-a-virus.RemoteAdmin.Win32.DameWare

MEM:Trojan.Win32.Cometer

MEM:Trojan.Win32.Metasploit

Trojan.Multi.GenAutorunReg

HEUR:Trojan.Multi.Powecod

HEUR:Trojan.Win32.Betabanker.gen

not-a-virus:RemoteAdmin.Win64.WinExe

Trojan.Win32.Powershell

PDM:Trojan.Win32.CmdServ

Trojan.Win32.Agent.smbe

HEUR:Trojan.Multi.Powesta.b

HEUR:Trojan.Multi.Runner.j

not-a-virus.RemoteAdmin.Win32.PsExec

Shellcode监听端口：

tcp://0.0.0.0:5190

tcp://0.0.0.0:7900

Shellcode 连结点：

tcp://10.**.*.***:4444

tcp://10.**.*.***:4445

tcp://10.**.*.***:31337

Shellcode管道：

\\.\xport

\\.\s-pipe

参考来源：

• cnbeta

• kaspersky

- End -

     往期热门资讯：    

• 【走进企业看安全】 第17站 爱加密，圆满落幕！

• 火狐浏览器 11年未修复漏洞曝光

• [有奖活动] 看雪2018年度最佳原创技术文章评比，谁是最闪耀的星？

• 黑客神操作：用微信二维码索要赎金......

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com