Расследование FireEye показывает, что группа хакера APT17 скрывала командный пункт для ботнета на форумах комментария по сайту TechNet Microsoft.Один из ключевых инструментов, используемых профессионалами безопасности IT-систем для защиты от ботнетов, помещает в черный список подозреваемый IP-адрес командного пункта (C2) узлы. Но что происходит, когда те узлы обнаруживаются посредством обычно допустимого Трафика сайта? Это – то, о какой фирме безопасности FireEye сообщает в новом исследовании, детализирующем операции группы хакера APT17, которой FireEye верит, чтобы быть деятелем угрозы этнического государства, действующим из Китая.
Расследование FireEye нашло, что APT17 встраивал информацию C2 о сайте Microsoft TechNet, который получался из систем, зараженных вредоносным программным обеспечением Blackcoffee.«Что было hardcoded во вредоносном программном обеспечении Blackcoffee, была страница профиля TechNet для обращений», сказал Майк Оппенхейм, менеджер разведывательных операций Команды Аналитики Угрозы в FireEye, eWEEK.
Оппенхейм объяснил, что вредоносное программное обеспечение будет искать определенную строку данных, от которой можно вытянуть данные. Он отметил, что строка будет использоваться вредоносным программным обеспечением Blackcoffee, и декодируемая стоимость была IP-адресом C2, принадлежавшим деятелям угрозы APT17.«Что было закодировано на страницах TechNet, была закодированная строка между ярлыком ‘@Micr0soft’ и ‘Корпорацией’», сказал Оппенхейм. «Строка была закодирована на странице TechNet, и к нормальному глазу Вы будете видеть в простом виде ярлыки выше и эту искаженную [закодированную] строку символов, которая была закодированным IP-адресом C2».
Многократные группы угрозы путей FireEye из Китая, включая APT30, относительно которого это недавно сообщило как активное следование за правительствами и журналистами через Юго-Восточную Азию и Индию. FireEye не наблюдал отношения между APT17 и APT30, по словам Оппенхейма. Он отметил, что APT17 имеет уникальные действия и методы, тактику и процедуры (TTPs), которые отличаются от используемых другими группами.FireEye сначала обнаружил вредоносное программное обеспечение Blackcoffee во время расследования в сети жертвы, сказал Оппенхейм.
Вследствие совместного использования FireEye политик Оппенхейм сказал, что не мог показать, какой сетью жертвы это было.«Однако FireEye наблюдал это вредоносное программное обеспечение в использовании в многократных сетях жертвы и решил связаться с Microsoft для работы с ними для приведения в нерабочее состояние этого вредоносного программного обеспечения Blackcoffee», сказал он.Оппенхейм добавил, что открытие является действительно кредитом консультантам со стороны Mandiant Services FireEye и аналитикам, работающим над FireEye, как сервис предлагающим.
«Они сначала идентифицировали и обнаружили эту деятельность, и FireEye смог развернуть подписи обнаружения на основе продукта», сказал он.Защита от способности атакующего по существу скрыться в простом виде на регулярном Веб-сайте является трудной проблемой.«Операторы форума могут попытаться провести качество и управление данных, помещенных на этих страницах форума», сказал Оппенхейм. «Однако широкой публике трудно идентифицировать случайную строку на Вашей странице как что-то используемое в злонамеренных целях».Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.