6月3日訊 美國(guó)國(guó)土安全部（DHS）和聯(lián)邦調(diào)查局（FBI）在2018年5月29號(hào)發(fā)布《隱藏眼鏡蛇：Joanap 后門木馬和 Brambul 服務(wù)器消息塊蠕蟲》的聯(lián)合技術(shù)警報(bào) TA18-149A，提醒公眾注意與國(guó)家支持性黑客有關(guān)的兩個(gè)惡意軟件家族：Joanap、Brambul，并稱這兩個(gè)惡意軟件一旦成功部署，黑客可遠(yuǎn)程訪問設(shè)備并竊取敏感信息。

DHS 和 FBI 已經(jīng)在包括中國(guó)、西班牙、瑞典、印度、巴基斯坦、沙特阿拉伯和伊朗等17個(gè)國(guó)家和地區(qū)的87個(gè)受損網(wǎng)絡(luò)節(jié)點(diǎn)上發(fā)現(xiàn)了遠(yuǎn)程訪問工具 Joanap 的痕跡。

兩個(gè)惡意軟件分析

警報(bào)對(duì)隱藏眼鏡蛇黑客組織（Hidden Cobra）所使用的遠(yuǎn)程訪問工具 Joanap 后門木馬和惡意的 Windows 32位服務(wù)器消息塊（SMB）蠕蟲進(jìn)行了分析。

遠(yuǎn)程訪問工具——Joanap

Joanap 是一款兩階段的惡意軟件，可用于建立點(diǎn)對(duì)點(diǎn)通信和管理旨在啟用其他操作的僵尸網(wǎng)絡(luò)。該惡意軟件為隱藏眼鏡蛇提供了在被感染的 Windows 設(shè)備上泄露數(shù)據(jù)、刪除和運(yùn)行輔助有效負(fù)載、初始化代理通信的能力。該軟件的其他功能還包括：文件管理、進(jìn)程管理、創(chuàng)建和刪除目錄和節(jié)點(diǎn)管理。

分析表明，Joanap 惡意軟件使用 Rivest Cipher 4 加密來保護(hù)及隱藏與隱藏眼鏡蛇黑客組織之間的通信。一旦安裝完畢，這個(gè)惡意軟件會(huì)在名為 mssscardprv.ax. 文件的 Windows 系統(tǒng)目錄中創(chuàng)建一個(gè)日志條目。隱藏眼鏡蛇黑客組織使用此文件來捕獲和存儲(chǔ)受害者的信息，如主機(jī)的 IP 地址、主機(jī)名稱和當(dāng)前系統(tǒng)時(shí)間等。

SMB蠕蟲——Brambul

Brambul 惡意軟件是一種惡意的 Windows 32位服務(wù)器消息塊（SMB）蠕蟲，其功能是作為一個(gè)服務(wù)動(dòng)態(tài)鏈接庫(kù)文件或一個(gè)可移植的可執(zhí)行文件，經(jīng)常由 dropper 惡意軟件下載并安裝到受害者的網(wǎng)絡(luò)中。執(zhí)行時(shí)，惡意軟件會(huì)嘗試與受害者系統(tǒng)和受害者本地子網(wǎng)上的 IP 地址建立聯(lián)系。一旦成功，黑客將通過使用嵌入的密碼列表來啟動(dòng)暴力密碼攻擊，應(yīng)用程序會(huì)試圖通過 SMB 協(xié)議(端口139和445)獲得未經(jīng)授權(quán)的訪問。此外，惡意軟件會(huì)為隨后的攻擊生成隨機(jī)的 IP 地址。

分析者懷疑惡意軟件針對(duì)不安全或無安全保障用戶賬戶進(jìn)行攻擊，并通過安全性較差的網(wǎng)絡(luò)共享進(jìn)行傳播。一旦惡意軟件在受害者的系統(tǒng)上建立了未經(jīng)授權(quán)的訪問，它會(huì)通過惡意的電子郵件地址將受害者系統(tǒng)的信息傳遞給隱藏眼鏡蛇黑客組織。這些信息包括每個(gè)受害者系統(tǒng)的 IP 地址、主機(jī)名、用戶名和密碼。隱藏眼鏡蛇黑客組織利用這些信息，通過 SMB 協(xié)議，遠(yuǎn)程訪問被感染的系統(tǒng)。

研究人員對(duì) Brambul 惡意軟件的一個(gè)新變種進(jìn)行了分析，確定了該惡意軟件具有的功能包括：收集系統(tǒng)信息、接收命令行參數(shù)、生成并執(zhí)行自毀腳本、通過 SMB 在網(wǎng)絡(luò)上傳播、強(qiáng)制 SMB 登錄憑證以及生成包含了目標(biāo)主機(jī)系統(tǒng)信息的簡(jiǎn)單的郵件傳輸協(xié)議電子郵件信息。

“兩個(gè)軟件”已被使用近十年

官員們認(rèn)為，隱藏眼鏡蛇至少?gòu)?009年開始使用這兩種形式的惡意軟件，針對(duì)包括美國(guó)在內(nèi)的全球媒體、航空航天、金融和關(guān)鍵基礎(chǔ)設(shè)施組織進(jìn)行攻擊，且都認(rèn)為 Joanap 和 Brambul 這兩種形式的惡意軟件都能允許黑客遠(yuǎn)程訪問設(shè)備并竊取敏感數(shù)據(jù)，或進(jìn)行其他網(wǎng)絡(luò)攻擊活動(dòng)。

美國(guó)官員定期發(fā)布與隱藏眼鏡蛇黑客攻擊的信息，隱藏眼鏡蛇被認(rèn)定為政府支持的黑客組織。

此次 DHS 和 FBI 聯(lián)合警報(bào)表示，F(xiàn)BI 認(rèn)為隱藏眼鏡蛇正在使用被列在本報(bào)告中的攻擊指示器（IOC）文件中的IP地址，以維持其在受害者網(wǎng)絡(luò)中的存在并對(duì)網(wǎng)絡(luò)進(jìn)行開發(fā)。DHS 和 FBI 正在分發(fā)這些 IP 地址和其他攻擊指示器（IOC），以加強(qiáng)網(wǎng)絡(luò)防御。

官員們鼓勵(lì)私營(yíng)部門立即向 DHS 和 FBI 報(bào)告任何與這兩種形式的惡意軟件相關(guān)的活動(dòng)，并為加強(qiáng)緩解提供最高優(yōu)先級(jí)。

緩解策略

針對(duì)這兩種形式的惡意軟件攻擊，警報(bào)給出了緩解策略。DHS 建議用戶和管理員使用以下最佳實(shí)踐作為預(yù)防措施來保護(hù)其計(jì)算機(jī)網(wǎng)絡(luò)：

保持所運(yùn)行的系統(tǒng)和軟件更新是最新版本。大多數(shù)的攻擊針對(duì)有缺陷的應(yīng)用或操作系統(tǒng)。使用最新更新進(jìn)行修補(bǔ)可大大減少攻擊者可利用的突破口數(shù)量。

保持防病毒軟件維持在最新版本，在執(zhí)行前，對(duì)從網(wǎng)上下載的軟件進(jìn)行掃描。

限制用戶安裝和運(yùn)行不需要軟件應(yīng)用程序的權(quán)限，并將最小特權(quán)原則應(yīng)用到所有系統(tǒng)和服務(wù)中。這些權(quán)限限制有助于阻止惡意軟件的運(yùn)行或限制其通過網(wǎng)絡(luò)傳播的能力。

掃描并刪除可疑電子郵件附件。如果用戶打開惡意附件并啟用宏，嵌入的代碼將在機(jī)器上執(zhí)行惡意軟件。企業(yè)和組織應(yīng)考慮阻止可疑的含有附件的電子郵件。

如果不需要，請(qǐng)禁用 Microsoft 的文件和打印機(jī)共享服務(wù)。如果需要此項(xiàng)服務(wù)，請(qǐng)使用強(qiáng)密碼或活動(dòng)目錄進(jìn)行身份驗(yàn)證。

在組織工作站上啟用個(gè)人防火墻，并將其配置為拒絕未經(jīng)請(qǐng)求的連接請(qǐng)求。

其他與隱藏眼鏡蛇有關(guān)的惡意軟件還包括：Destover和Wild Positron（也稱Duuzer），以及具有復(fù)雜功能的Hangman，如DDoS僵尸網(wǎng)絡(luò)、鍵盤記錄器、RAT和硬盤擦除器。