卡巴斯基研究人員發(fā)現(xiàn)一種被稱為WinDealer的能夠通過旁觀者攻擊進行入侵的惡意軟件，該惡意軟件由講中文的高級可持續(xù)威脅（APT）行為者LuoYu傳播。這一突破性的發(fā)展允許威脅行為者修改傳輸中的網(wǎng)絡(luò)流量以插入惡意有效載荷。這種攻擊非常危險且具有破壞性，因為攻擊不需要與目標(biāo)進行任何互動就能成功導(dǎo)致感染。

根據(jù)TeamT5的調(diào)查結(jié)果，卡巴斯基研究人員發(fā)現(xiàn)威脅運營者應(yīng)用于傳播WinDealer惡意軟件的一種新的傳播方法。具體來說，他們使用了一種旁觀者攻擊方式來讀取流量并插入新的信息。旁觀者攻擊的通常概念是當(dāng)攻擊者看到對網(wǎng)絡(luò)上特定資源的請求時（通過其攔截功能或在ISP網(wǎng)絡(luò)中的戰(zhàn)略位置），攻擊者會試圖比合法服務(wù)器更快地回復(fù)受害者。如果攻擊者贏得了這場“競賽”，目標(biāo)計算機就會試用攻擊者提供的數(shù)據(jù)，而非正常的數(shù)據(jù)。即使攻擊者沒有贏得大多數(shù)“競賽”，他們也可以再次嘗試，直到他們成功，保證他們最終會感染大多數(shù)設(shè)備。

成功進行攻擊后，目標(biāo)設(shè)備會收到一個間諜軟件應(yīng)用，能夠收集大量信息。攻擊者將能夠查看和下載存儲在設(shè)備上的任何文件，并對所有文檔進行關(guān)鍵詞搜索。通常情況下，LuoYu的攻擊目標(biāo)是在中國的外國外交組織和學(xué)術(shù)界成員，此外還包括國防、物流以及電信公司。該威脅行為者使用WinDealer惡意軟件來攻擊Windows設(shè)備。

通常情況下，惡意軟件包含一個硬編碼的命令和控制服務(wù)器，惡意軟件運營者從那里控制整個系統(tǒng)。如果獲取到有關(guān)該服務(wù)器的信息，就有可能攔截惡意軟件與之交互的計算機的IP地址，從而消除威脅。但是，WinDealer依靠復(fù)雜的IP生成算法來確定要聯(lián)系的計算機。這包括48,000個IP地址的范圍，使得操作者幾乎不可能控制哪怕是一小部分的地址。解釋這種看似不可能的網(wǎng)絡(luò)行為的唯一方法是假設(shè)攻擊者在該 IP 范圍內(nèi)具有強大的攔截能力，甚至可以讀取沒有到達目的地的網(wǎng)絡(luò)數(shù)據(jù)包。

旁觀者攻擊的危害性非常大，因為它不需要與受攻擊目標(biāo)進行任何互動，就可以成功感染：僅需一臺連接到互聯(lián)網(wǎng)的計算機就足夠了。不僅如此，除了通過另一個網(wǎng)絡(luò)路由流量外，用戶無法采取任何措施來保護自己。這可以通過VPN來實現(xiàn)，但根據(jù)用戶地理位置，這可能是一種無法使用的方法，并且通常不適用于中國公民。

大多數(shù)LuoYu的受害者都位于中國，所以卡巴斯基專家認為LuoYu這個APT組織的主要攻擊目標(biāo)是講中文的受害者和與中國有關(guān)的組織。但是，卡巴斯基研究人員還注意到其他國家也存在攻擊，例如德國、奧地利、美國、杰克、俄羅斯和印度。

WinDealer攻擊的地理分布趨勢

“LuoYu是一個非常復(fù)雜的威脅行為者，能夠利用只有最成熟的攻擊者才能使用的功能。我們只能推測他們是如何發(fā)展這種能力的。旁觀者攻擊極具破壞性，因為攻擊設(shè)備所需的唯一條件是將其連接到互聯(lián)網(wǎng)。即使第一次攻擊失敗，攻擊者也可以一遍又一遍地重復(fù)該過程，直到他們成功為止。他們就是這樣針對其受害者進行極度危險和成功的間諜攻擊的，這些受害者通常包括外交官、科學(xué)家和其他關(guān)鍵部門的員工。無論攻擊是如何進行的，潛在受害者保護自己的唯一方法是保持高警惕性，并運用強大的安全程序，例如定期進行反病毒掃描，分析出站網(wǎng)絡(luò)流量和進行廣泛的日志記錄，以檢測異常情況，”卡巴斯基全球研究與分析團隊（GReAT）高級安全研究員Suguru Ishimaru評論說。

要閱讀有關(guān)WinDealer的報告全文，請訪問Securelist。

為了保護自己免受此類高級威脅的侵害，卡巴斯基建議：

采用強大的安全程序，包括定期進行反病毒掃描，分析出站網(wǎng)絡(luò)流量和進行廣泛的日志記錄，以檢測異常情況

對您的網(wǎng)絡(luò)進行網(wǎng)絡(luò)安全審計，并修復(fù)在網(wǎng)絡(luò)外圍或網(wǎng)絡(luò)內(nèi)部發(fā)現(xiàn)的任何弱點。

安裝反APT和EDR解決方案，并啟用威脅發(fā)現(xiàn)和檢測、調(diào)查功能以及及時的事件修復(fù)功能。為你的SOC團隊提供對最新威脅情報的訪問，利用專業(yè)培訓(xùn)定期提升他們的技能。上述所有服務(wù)均可通過卡巴斯基專家安全框架獲取。

除了適當(dāng)?shù)亩它c保護外，專門的服務(wù)可以幫助應(yīng)對引人注目的攻擊。卡巴斯基管理檢測和響應(yīng)服務(wù)能夠幫助在攻擊者實現(xiàn)其目標(biāo)之前，在早期階段識別和阻止攻擊。