很难想象,一个黑客会攻破一家知名安全公司的网络。然而,这不仅是可能的,而且过去也发生过;就像本周早些时候报道的那样,可能有三家杀毒软件制造商就是如此。
2012年,全世界都知道,六年前,黑客入侵了赛门铁克网络,并偷走了诺顿杀毒企业版(Norton Antivirus Corporate Edition)、诺顿网络安全特警(Norton Internet Security)、诺顿电脑优化大师(Norton Utilities)、诺顿清道夫(GoBack)和远程桌面控制软件(pcAnywhere)的源代码。
2015年,卡巴斯基宣布其内部网络被一名黑客渗透,该黑客有意了解了该公司为其安全操作系统,欺诈预防,安全网络和反APT解决方案以及服务开发的技术。
顺便提一下,Bitdefender在同一年受到了人们的关注,当时一名黑客窃取了未加密的登录用户数据,试图向该公司勒索1.5万美元。由于人为操作错误,当时服务器运行了一个过时的软件包。
上述三家公司均表示,此次事件没有产生持久影响或重大影响。赛门铁克的源代码只用于旧产品;卡巴斯基的入侵很早就被发现,让该公司得以洞察对手的工具和基础设施;Bitdefender说这次泄露只影响了不到1%的中小企业客户。
Fxmsp黑客扩大了攻击目标
一个名为Fxmsp的俄罗斯黑客组织在4月份开始在地下论坛上发布广告,称他们可以长期远程访问在美国设有办事处的多家反病毒公司的网络。
他们提供了与受害者提供的各种产品相关的源代码以及访问权限:杀毒软件基础代码、人工智能模型、客户面板、web安全软件和实用程序。
即时消息通信表明,Fxmsp能够从至少两家公司获得源代码。
下面的消息提供了有关黑客为了识别源代码文件而必须克服的一些保护措施的细节:一家公司故意更改了文件扩展名,而另一家公司删除了所有扩展名试图让人们更难以识别其文件属性。
这是翻译后的图片内容:
(2019.05.01 12:04:06)fxmsp:该公司专门更改了扩展名,使人们不能立即知道这是源代码
(2019.05.01 12:04:25)fxmsp:我们的专家从二进制文件头中识别出来他们不是调试可执行文件
(2019.05.01 12:04:57)fxmsp:扩展本身并不是它看起来的样子,你需要查看二进制文件中的标签
(2019.05.01 12:06:01)fxmsp:选择所需的文件夹,将所有文件解析为二进制文件,查看文件中的标签,根据标签更改扩展名后,运行所需的扩展格式
(01.05.2019 12:07:03)fxmsp:在一家公司,源代码没有任何扩展名,以迷惑任何想要通过扩展名寻找源代码的人,这是从事软件开发的公司的正常做法
(01.05.2019 12:07:11)fxmsp:总的来说,您亲自看看
欺诈预防公司Advanced Intelligence(AdvIntel)的安全研究主管Yelisey Boguslavskiy 告诉BleepingComputer,Fxmsp用了6个月的时间来攻击AV公司,并且这次行动是由两个团队精心策划的;一个是在美国的合作伙伴,另一个在台湾。
联邦调查局正在进行调查,虽然目前还没有正式确认Fxmsp入侵的三家反病毒公司的名称,但Boguslavskiy告诉BleepingComputer,“其中一家受害者反病毒公司已承认此事件的存在。”
有些人在Twitter和Reddit上表示受害者是赛门铁克(Symantec),迈克菲(McAfee)和趋势科技(Trend Micro)。但是,他们没有提供任何证据。
Boguslavskiy告诉我们,AdvIntel目前正在与受信任的各方合作,以弥补此次漏洞,并保护受害者信息。可能会有第四家反病毒公司遭到黑客攻击,但它的名称和位置仍然未知。
通过加密聊天销售
该组织表示,每个受害公司的源代码打包销售价格为30万美元。卖家的一些网上别名是Antony Moricone,Lampeduza,Nikolay和BigPetya。
这是图像的翻译:
(3:03:25)fxmsp:很可能这个人有不同的昵称
(3:03:51)fxmsp:我有一个伙伴,他和他一起工作
Fxmsp声称已经开发出僵尸网络恶意软件,它可以感染知名目标并窃取敏感凭据。他们正在销售这款产品,完整版售价25,000美元,功能较弱的版本售价5000美元。
这是图像的翻译内容:
(3:16:52)就像你的僵尸网络一样?你已经失踪了六个月了。
(3:17:08)fxmsp:正在开发中
(3:17:21)fxmsp:还有59天发布
(3:17:34)fxmsp:它不是真正的僵尸网络,它会更过分
(3:18:10)怎么样,如果可以问?
(3:18:41)fxmsp:准备好的时候会有说明,有很多不同的功能
(3:19:16)好的!请不要忘记,
(3:20:03)fxmsp:发售完整版的将价值25K
(3:20:09)fxmsp:简化5K
(3:20:18)fxmsp:他有点事,就这样
根据从Fxmsp聊天中收集证据的AdvIntel的说法,黑客专门“通过外部可用的远程桌面协议(RDP)服务器和暴露的Active Directory(活动目录)网络环境访问。”
Fxmsp宣传可以访问到各种受害者,包括以下活动领域的企业:制造业,能源,金融,政府,航空运输,食品和教育。您可以在下面看到一个更大的清单,其中包括:
Active Directory访问公告
2018年10月,Fxmsp的卖家之一BigPetya发布了一份公告,提供了对多个实体的内部服务器的访问权限。其中包括Reliance Industries Limited(印度瑞来斯实业公司),这家印度巨头在能源、石化、纺织、自然资源、零售和电信领域开展了多种业务。
卖方宣传“具有管理员权限,所有服务器数量和网络上所有PC的完全访问权限”和“访问域控制器”。
域控制器是Active Directory(AD)服务的重要组成部分,因为它们管理对Windows域资源的访问。它们存储用户帐户信息,负责用户身份验证以及在域上实施安全策略
他们声称他们具有这种级别的访问权限,因为它提供了对Windows网络及其连接的所有资源的完全访问权限。
在来自AdvIntel的屏幕截图中,显示了Fxmsp访问属于其中一个受害者的内部文件夹的证据,图形用户界面似乎表明黑客组织访问了Active Directory。
Active Directory安全专家Huy Kha告诉BleepingComputer,上面的屏幕截图“实际上看起来像是Windows Server 2012 R2的域控制器”。
为了比较,他从他的测试域控制器提供了下面的屏幕截图,说攻击者可能有权访问域网络服务器,这可能是因为Active Directory中的高权限用户遭到破坏。
Kha的理论还包括远程桌面访问声明,即默认情况下,只有域管理员,企业管理员和管理员组中的用户才能在域控制器上启用RDP。
具有此级别权限的用户可以访问服务器上的远程桌面设置,并可以通过Internet将其打开。默认情况下,该选项处于非活动状态。
“默认情况下,通过外部方式到DC的RDP实际上是禁用的,但是攻击者可以启用它,因为它们似乎已经破坏了域中的高权限用户,”Kha假设。
该理论将解释Fxmsp如何建立对受害者网络的持久访问。Kha说,一个组织在其Active Directory环境中几乎没有可见性,无法看到网络上发生了什么。
专家告诉我们,Active Directory本身并不安全,但管理不善是削弱其默认安全性的主要原因。
他提供了一些建议让Active Directory免受潜在的入侵,其中一个是确保他们了解域管理员组,并仅将权限赋予具有正确作业属性的用户,以便提升域控制器或提升域的功能水平。
如果无法避免授权,最好以最小权限原则为基础。此外,共享管理员帐户远非一种安全的做法。
另一项措施是限制对DC的访问。除了非IT部门(会计,市场营销)之外,拒绝工作站与工作站通信是关闭攻击者路线的好方法。否则就会出现横向渗透问题。
更新[05.13.2019]:Fxmsp想要在地下论坛上销售的受害者访问名单已经公布。一份来自黑客的通信缓存表明它们至少入侵了McAfee和Trend Micro的网络,并从中窃取了源代码。您可以在本文中看到三个防病毒软件制造商的响应。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/new-details-emerge-of-fxmsps-hacking-of-antivirus-companies/