分析

　　使用 Blue Coat 新一代恶意软件分析设备 (Malware Analysis Appliance) 的移动威胁分析(Mobile Threat Analysis) 功能，可以轻松地发现命令和控制基础设施的入口点。分析表明这是一个多层级结构，攻击者可以迅速调整基础设施，隐藏真正攻击源。这样的设计选择为攻击者提供了极大的敏捷性。

▲

　　图 3 - Blue Coat 恶意软件分析设备 (Malware Analysis Appliance) 应用分析报告

　　命令和控制

　　攻击者依靠第三方控制的基础设施执行命令和控制。为了获得可靠性和敏捷性，他们使用多层级结构，可以灵活地获得更新并随时转移。以下为该结构的示意图：

▲

　　图 4 - 多层级命令和控制基础设施体系结构。

　　第一级包含知名的博客网站。这些博客网站不是用于收集数据或发布更多命令，而只是托管用于访问第二级命令和控制服务器的嵌入加密配置信息。此类信息隐藏在如下所示的常规博客条目中。

▲

　　图 5 - 包含第二级基础设施编码引用的博客文章

　　博客文章的开始为常规文本，这可以确保在搜索引擎索引和其他摘要中显示“有效”内容。文本中有大加密数据块，在经过恶意软件解密后，包含第二级基础设施的位置和身份验证信息。这样，只要发布更新的博客，即可随时更改整个第二级基础设施。

　　为实现冗余，恶意软件会检测多个博客，每个博客均包含第二级命令和控制服务器的独特配置信息。我们发现了托管于 LiveJournal.com 和 Tumblr 的此类博客帐户。此外，博客帐户列表可使用第二级基础设施更新。因此，攻击者的基础设施非常敏捷，不会因博客帐户被暂停而受到影响。

　　第二级命令和控制基础设施托管于可能已被入侵的网站。我们在波兰、俄罗斯和德国发现了此类第二级服务。在调查中，我们发现这些网站看起来互不相关，但是它们都使用版本已过期的 Joomla 内容管理系统。黑客和犯罪分子经常利用此类网站发动攻击。

▲

　　图 6 - 被第二级基础设施利用的网站示例

　　第二级基础设施用于将记录的通话通过代理传输到实际的放置区并获取更新。更新可以是新应用代码或第一级博客的更新列表。第二级代理服务器的所有往来通信均完全加密，让包含被入侵网站的代理层无法发现详细信息。

　　归属：隐藏真实来源

　　在已发布的“Inception”报告中已经说过，攻击者留下了来源线索，指向许多地点。这与整个间谍活动的做法相同，即线索指向全球多个国家/地区和地理位置。由于存在大量不一致的信息，我们认为攻击者蓄意隐藏行踪，制造虚假信息进行误导。

　　如何识别并防范针对性攻击?

　　1.针对性强的攻击不容易识别。很多时候，人们薄弱的意识给了它们可趁之机。例如，在这个案例中，鱼叉式网络钓鱼电子邮件与正常的电子邮件很难区分。用户应当具有防范潜在攻击的意识。如果收到了 Whatsapp 更新电子邮件，但重定向到了 BBC，这就有问题，应当报告给 IT 安全团队。

　　2.只运行从 Google Play 或 Apple 的 App Store 安装的官方应用可以显著提升安全。在此次间谍活动中，受到攻击的对象都使用第三方应用市场、越狱手机、或运行来源不明的应用。

　　3.要快速识别、屏蔽和修复此类攻击，IT 专业人员必须要有合适的工具。他们需要网络取证设备来记录流量并在发现受到攻击后对威胁进行追溯性分析。

　　4.沙箱可以有效防范多态恶意软件和其他绕过传统防线的威胁。将威胁放到沙箱环境中非常重要，这样可以使用与组织的黄金映像 (Golden Image) 相同的软件配置检测威胁，发现组织面临的真实风险。沙箱功能还可用于识别本案例中的移动威胁。

　　5.Blue Coat 本周发布的最新恶意软件分析设备 (Malware Analysis Appliance) 可支持分析和识别此类移动威胁。