赛门铁克警示金融机构应警惕利用Odinaff木马的高级金融攻击

日前，赛门铁克再次发布安全公告称：多家银行遭遇与Carbanak攻击组织有关的网络攻击，因此呼吁金融机构应警惕利用Odinaff木马的高级金融攻击。

赛门铁克发布的安全公告称，自 2016 年 1 月起，利用Trojan.Odinaff恶意软件所进行的网络攻击活动，已将全球众多金融机构作为攻击目标。这些攻击主要集中在银行、贸易和薪酬管理等领域的企业。同时，为这些企业提供支持的企业与机构同样面临攻击风险。

Odinaff通常部署在攻击活动的第一阶段，目标在于尽快占据网络中的据点，进而在目标网络中长期存在并安装附加工具。值得一提的是，这些附加工具均具备Carbanak高级攻击组织的攻击特征。Carbanak恶意软件从2013年就已将金融行业作为攻击目标。此次Odinaff的新一轮攻击同样使用了Carbanak活动中曾使用过的部分基础设施。

Odinaff攻击需要大量的手动操作，并在目标计算机的系统中部署大量轻量级后门病毒和用于特定目的的工具。攻击期间，攻击者需要对这些工具进行大量的协调、开发、部署和操作等。与此同时，定制化恶意软件工具同样会部署于计算机系统中，例如专门用于秘密通信 (Backdoor.Batel)、发现网络、盗取证书和监控员工等活动。

尽管这类针对银行的攻击难以实施，但回报十分可观，由Carbanak组织发起的网络攻击所造成的总损失高达数千万，甚至上亿万美元。

全球威胁         

赛门铁克安全团队发现Odinaff攻击活动从 2016 年 1 月便已出现，并对多个国家地区的企业展开攻击。其中，美国是主要受到攻击的国家，其他主要攻击目标依次为中国香港、澳大利亚、英国和乌克兰。

赛门铁克安全团队在深入了解遭遇攻击的企业业务本质后发现，金融机构是受到攻击最严重的行业，占攻击数量的34%。与此同时，部分攻击将安全、司法、医疗、政府及政府服务等行业作为攻击目标。赛门铁克尚未了解此类攻击是否出于牟利动机。

大约60%的攻击目标行业尚未清晰识别，但赛门铁克发现，主要遭遇攻击的电脑都曾运行金融类软件应用，这意味着，此类攻击背后以金融目标为导向。

攻击方法

Odinaff攻击者利用多种手段入侵目标企业的网络，其中最常见的方法便是通过含有恶意宏病毒的诱惑性文档感染目标企业。如果接收者选择启用宏，该病毒便会在计算机上安装Odinaff 木马。

为了诱使受害者在计算机中安装Odinaff，攻击者还会使用受密码保护的RAR 文件进行攻击。尽管尚未清楚这些恶意文档或链接的传播方式，但赛门铁克安全团队认为，此类文档或链接极有可能通过鱼叉式网络钓鱼电子邮件来实现传播。

此外，Trojan.Odinaff还可通过僵尸网络进行传播。该木马能够植入到已感染其他恶意软件的计算机中，例如Andromeda (Downloader.Dromedan) 和 Snifula (Trojan.Snifula)）。Andromeda 恶意软件是被植入木马的AmmyyAdmin安装程序。AmmyyAdmin是一种合法的远程管理工具，该安装程序可从官方网站进行下载，但官方网站最近频遭攻击，已被植入许多不同的恶意软件。

恶意软件工具包

Odinaff是一种相对轻量级的后门木马，能够连接到远程主机，并每五分钟寻求一次命令。Odinaff具有两项主要功能：下载 RC4 加密文件并执行；发布shell命令，并将这些命令写入批处理文件中并执行。

鉴于攻击的专业程度，攻击者需要实施大量的手动干预。因此，Odinaff组织始终谨慎管理攻击活动，尽量在企业网络中保持低调，并仅在需要时下载和安装新工具。

攻击者主要利用Trojan.Odinaff实施初期入侵，并辅助其他工具完成攻击。他们所使用的另一种恶意软件被称为Batle(Backdoor.Batel)，主要用于对目标计算机实施攻击。它能够完全在内存中运行负载，因此可秘密隐藏于受感染的计算机中。

攻击者通过使用大量不同的轻量黑客工具和合法软件工具入侵目标网络并识别关键计算机。这些工具包括：

• Mimikatz ：一种开源密码恢复工具
• PsExec： 一种来自SysInternals的流程执行工具
• Netscan： 一种网络扫描工具
• Ammyy Admin (Ammyy)和Remote Manipulator System变体 (Backdoor.Gussdoor)
• Runas ：一种可使用其他用户身份运行流程的工具。
• PowerShell

此外，该攻击组织很可能已经开发出用于入侵特定计算机的恶意软件。这些工具的创建时间与部署时间非常接近。这些工具中，含有每间隔5-30秒便可捕获屏幕截图的组件。

针对SWIFT用户的攻击证据

赛门铁克安全团队已经掌握Odinaff组织针对SWIFT用户进行攻击的证据 ——使用恶意软件隐藏与欺诈交易相关的 SWIFT用户信息。同时使用工具监控SWIFT用户的本地信息日志，并搜索与特定交易相关的关键词。不仅如此，攻击者还会将这些日志从用户本地的SWIFT软件环境中移出。目前，尚无迹象表明SWIFT网络已感染病毒。

“suppressor”组件是写入 C 盘的小型可执行文件，主要用于监控包含特定文本字符串文件的特定文件夹。赛门铁克发现，这些字符串均提及日期与特定的国际银行账号 (IBAN) 。这些系统中的文件夹结构大部分为用户定义和专有。这表明，每个可执行文件都专门面向一个目标系统。

在与suppressor共同发现的文件中，其中包括一个可覆盖硬盘前 512B 数据的小型磁盘格式化工具。该工具包含主引导记录 (MBR)，攻击者无需使用特殊工具便可访问硬盘。赛门铁克认为，每当攻击者弃用系统或阻止调查时，便会使用该工具掩盖其行踪。

继Lazarus组织抢劫孟加拉国央行之后，Odinaff攻击已经成为另一组织从事此类攻击活动的一大案例。Odinaff攻击与Lazarus的SWIFT攻击无明显联系，且Odinaff团伙所使用的SWIFT恶意软件与 Lazarus相关攻击使用的恶意软件 Trojan.Banswift 无任何相似性。

与 Carbanak的潜在联系

赛门铁克发现Odinaff相关攻击与Carbanak组织存在某种联系。Carbanak组织的攻击活动于 2014年年底为公众所知，该组织擅长对金融机构发起高价值攻击，并涉及多起针对银行的攻击和销售点(PoS)入侵攻击。

除了相似的作案手法外，Odinaff 和 Carbanak之间同样存在许多其他关联：

• 3个命令和控制 (C&C) IP地址都与之前暴露的Carbanak活动有关；
• Odinaff使用的其中一个IP地址与Carbanak组织造成的Oracle MICROS数据泄露事件有关；
• Batel曾多次出现在Carbanak的相关攻击活动中。

尽管Carbanak所使用的主要木马 Anunak(Trojan.Carberp.B和Trojan.Carberp.D)从未在Odinaff的攻击活动中被发现，但赛门铁克安全团队仍然认为，该组织使用了多种隐蔽传播方法来入侵金融机构。

虽然 Odinaff可能从属于更大的攻击组织，但基础设施的交叉并不具有典型性。因此它也有可能是一个相似的组织或攻击团体。

银行面临严重威胁

Odinaff 攻击的发现表明，银行面临的攻击风险正在不断加大。在过去几年间，网络攻击者已经对银行所使用的内部金融系统进行深入了解，获知银行内部所采用的多种系统，并投入大量时间研究运行原理和员工的操作方式。由于某些攻击组织具有较高的专业技术水平，赛门铁克认为，任何被列入潜在攻击目标的企业与机构都面临着重大的安全威胁。