微软联手FireEye增强Win10安全 但否认双方进行数据整合 APT17报告称攻击来自中国

据报道,微软与安全研究公司FireEye签署了一项合作协议,微软将会结合该公司的iSIGHT Intelligence软件和Windows Defender高级威胁防护工具帮助Windows 10系统增强安全性能。Fireeye近期发布的APT17报告称,来自中国的攻击者利用微软TechNet论坛掩盖其C&C服务器通信。

APT17报告称

近期,一些加密数据注入到 TechNet 网页中,FireEye 与微软团队开始深入了解恶意软件及相关受害者。此报告将帮助他们与反病毒社区展开合作,以便生成签名,进而标识和清理受 BLACKCOFFEE给系统工作带来的影响,同时提醒其他论坛和消息董事会管理人员,对这种技术要提高警惕。

虽然安全社区尚未广泛讨论这项技术,FireEye 已观察到其他威胁群体采取这些措施,预计这一趋势继续其他社区网站上。

这次的合作让各方多有质疑,一家澳大利亚网站还指出双方的协议中有表示

FireEye可以访问任意运行的Windows 10设备遥测数据。微软会在Windows 10设备中收集崩溃信息和其他数据,可如果FireEye也能得到这些数据,难免会让人感到不安。

FireEye否认双方的数据整合

很快,24日中午FireEye就进行了辟谣。他们表示微软只是对其提供了一些安全技术方面的零散内容,Windows 10系统并不会允许其访问。同时还表示,与微软合作后,FireEye能够提供一些差异化的WDATP情报,帮助用户的组织机构更为安全,提高运行品质。

Windows 10收集用户系统中的遥测数据始终存在部分争议,可是微软认为这些崩溃数据和使用模式等数据会帮助微软改善系统。

但是,Fireeye在近期发布的APT17报告中,已经与微软Technet展开合作,并发布报告APT17称

FireEye 威胁情报和微软威胁情报中心联合调查一起安全事件,在微软的 TechNet(IT 专业人员的门户网站)上使用的命令和控制 (CnC) 混淆战术

TechNet 的安全不接受这种战术,就像其他留言板和论坛一样。

FireEye 报告称APT17来自中国威胁组织

Fireeye在报告中写道

APT17,也被称为 DeputyDog,是一种 FireEye 观察到的威胁组织,该组织针对美国政府实体、 国防工业、 律师事务所、 信息技术公司、 矿业公司和非政府组织,进行网络入侵。

FireEye 监测到 APT17 的变种BLACKCOFFEE投入使用, 自2013 年以来,该恶意软件将其C&C服务器与客户端之间的通信伪装为对 web 搜索引擎的查询。

FireEye 威胁情报评估 APT17,基于中国威胁组织,是作的尝试背后。其他团体有在过去使用到主机数控 IP 地址的合法网站。BLACKCOFFEE 使用者不断变换使用的公共网站。在过去一段时间,攻击者总是在利用容易获取后门的网站,以便托管C&C主机命令和配置,其中一些网站后门程序,在与中国相关的 APT1的 WEBCnC 后门套件中,同样可以找到。

fireeye在报告中给出的图片

BlackCoffee的工作原理

BLACKCOFFEE 的功能包括上传和下载文件;创建一个反向的壳中;枚举文件和进程;重命名、 移动和删除文件;终止进程;通过和扩大其功能中添加新的后门程序命令。

APT17 加密后C&C服务器IP 地址, BLACKCOFFEE 恶意软件在微软 TechNet 用户信息页面及论坛中传播,相关的方法被称为"死掉解析器 (dead drop resolver)"。加密后的 IP 地址,为网络安全专业人员识别真正的C&C地址带来了困难。

如果CnC 服务器被发现或者被关闭,攻击者就会在TechNet发布信息(包含了加密的IP地址),以便持续控制受害者的机器。

加密的IP地址

@MICROSOFT<eight-character string with two characters per octet>corporation

这 BLACKCOFFEE 变量包含一个或多个 Url ,链接到攻击者创建的配置文件,以及包含这些相同的配置文件的论坛帖子。攻击者随机的选择一个 URL,并在两个标记之间获得加密的IP地址,"@MICR0S0FT"和"C0RP0RATI0N"之间。

 

这种手法在之前印度黑客的一次事件中曾经出现过,见这里

“孔夫子”用密码本隐藏C&C服务器地址 洋间谍开始学中国黑话 安全公司用这个特征成为听风者 

 

Fireeye APT17报告全文下载

点击图片下载

发表评论